威努特工控安全-大話工控安全白環(huán)境v5

大話工控安全“白環(huán)境”編者按：本文的目的是盡量通俗的讓那些對(duì)工控安全感興趣，但對(duì)如何做安全防護(hù)卻不甚了解的讀者理解工控安全的技術(shù)特點(diǎn)。工控安全這個(gè)安全的細(xì)分領(lǐng)域現(xiàn)如今也是流派紛呈、百家爭鳴、欣欣向榮的景象。概括來講，廠商可以分成三個(gè)大類：自動(dòng)化背景的廠商、傳統(tǒng)IT安全廠商和專業(yè)工控安全廠商（對(duì)這部分詳情感興趣的讀者可以參考我司公眾號(hào)上的相關(guān)文章，這里不再細(xì)表）。北京威努特技術(shù)有限公司屬于第三種類型-專業(yè)工控安全廠商，因?yàn)閷I(yè)，所以專注，因?yàn)閷Ｗ?，所以?chuàng)新。小威在客戶現(xiàn)場經(jīng)常會(huì)被人問到如下一些問題：我們的方案是如何設(shè)計(jì)定的？產(chǎn)品是如何工作的？防護(hù)的效果是怎么樣的？小威是一個(gè)專業(yè)的技術(shù)人員，于是乎會(huì)不厭其煩、滔滔不絕的給客戶講方案、講技術(shù)??，但面對(duì)的聽眾其技術(shù)基礎(chǔ)不盡相同，琴瑟和鳴的情況也有，但曲高和寡的情形更多。今天我們就大話一下小威公司在業(yè)界首創(chuàng)的工控安全“白環(huán)境”解決方案。開講之前，上個(gè)圖先，正所謂有圖有真相?！龊诵募夹g(shù)理念：■■核心技術(shù)理念：■白名單機(jī)制■工業(yè)協(xié)議深度解析■縱深防御■實(shí)時(shí)監(jiān)控審計(jì)■統(tǒng)一平臺(tái)營理段安全U魂崖監(jiān)的審計(jì)騫可信網(wǎng)關(guān)@工業(yè)控制系統(tǒng)的安全問題有別于傳統(tǒng)IT網(wǎng)絡(luò)安全問題，因此在技術(shù)理念和產(chǎn)品實(shí)現(xiàn)上也完全不同。威努特創(chuàng)新性的提出了建立工控系統(tǒng)的可信任網(wǎng)絡(luò)白環(huán)境和工控軟件白名單理念，為客戶構(gòu)筑工控系統(tǒng)“安全白環(huán)境”整體防護(hù)體系，保護(hù)國家基礎(chǔ)工業(yè)設(shè)施安全。只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行。我們的防護(hù)理念:從“黑”到“白”,從“被動(dòng)防御”到“主動(dòng)防護(hù)”。

理念過于技術(shù)化，大家會(huì)表示看不懂，那么讓我們一一解惑。這是如何做到的呢?網(wǎng)絡(luò)分層、區(qū)域隔離,只有可信任的主機(jī)間才能通信,主機(jī)上只有可信任的軟件才能運(yùn)行,只有可信任軟件發(fā)送的工控消息才能在監(jiān)控網(wǎng)與控制網(wǎng)傳輸。何為可信任的主機(jī)?經(jīng)過技術(shù)檢測及處理過并安裝了可信衛(wèi)士的主機(jī)。何為可信任的軟件?經(jīng)過技術(shù)鑒定完整可用的業(yè)務(wù)相關(guān)軟件（存在于可信衛(wèi)士白名單中的軟件）。什么樣的工控消息是可信任的?由可信任的業(yè)務(wù)軟件發(fā)出的到另一臺(tái)可信設(shè)備之間的且額定參數(shù)在合理區(qū)間的數(shù)據(jù)消息。以上基礎(chǔ)的白環(huán)境中需要使用兩個(gè)基礎(chǔ)產(chǎn)品:可信網(wǎng)關(guān)、可信衛(wèi)士。下面我們來簡要的說下，它們是如何工作的。由語言余坑化的外電先說可信網(wǎng)關(guān)的產(chǎn)品架構(gòu)：它采用專用多核硬件平臺(tái)，主處理器為專用MIPS由語言余坑化的外電先說可信網(wǎng)關(guān)的產(chǎn)品架構(gòu)：它采用專用多核硬件平臺(tái)，主處理器為專用MIPS架構(gòu)，自主設(shè)計(jì)開發(fā)的威努特智能工控安全操作系統(tǒng)集設(shè)備智能調(diào)度、工控協(xié)議解析、內(nèi)容檢測審計(jì)于一體，極大提高了底層硬件的安全性、工控協(xié)議解析處理速度。,就是阿美的盛構(gòu)圖了FWI工控協(xié)議管控I月名單I日志審計(jì),就是阿美的盛構(gòu)圖了FWI工控協(xié)議管控I月名單I日志審計(jì)專用多核工控便件平臺(tái)驅(qū)動(dòng)適配層IICSfqST智能調(diào)度、工控協(xié)說解析、內(nèi)容檢泅）察統(tǒng)管理【P/MAC綁定\TN可信網(wǎng)關(guān)的架構(gòu)看完了，再來介紹下功能，比如防火墻的功能大家都知道，但是它是怎么實(shí)現(xiàn)的呢？五元組+DPI五元組是通信術(shù)語。通常是指源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議;DPI是通信術(shù)語，這里指工控協(xié)議的深度解析；話說有個(gè)土匪A，要到城里搞事情，在進(jìn)城時(shí)被抓捕了，因?yàn)樗f自己是從A處來，要到金庫去兌換外幣，而A是個(gè)匪山，源就不被信任且金庫不兌換外幣（五元組不符）；第二天土匪B來了，他說自他說自己是從鄰市來的，要到金庫去檢修損壞的設(shè)備，也被抓捕了，因?yàn)闄z查工具包的時(shí)候發(fā)現(xiàn)了不和諧器具而不是檢修工具（DPI解析，協(xié)議不符合）;五元組+DPI實(shí)現(xiàn)了網(wǎng)絡(luò)訪問和工控協(xié)議的管控，那這樣是不是萬事大吉了呢？NO！第三天有個(gè)“聰明”的土匪C，化妝成了李鐵柱（金庫員工）想進(jìn)城到金庫搞事情，依然抓捕了！土匪想不明白，自己繞過了五元組、繞過了DPI的協(xié)議識(shí)別，怎么還是被發(fā)現(xiàn)了呢？！原來警察（可信網(wǎng)關(guān)）對(duì)金庫的每位員工的身份（值域）、工作內(nèi)容（控制指令）等細(xì)節(jié)立了白名單庫（可信安全通信模型）。保安保安，讓你出場了…, 頭巾是鐵枝的衣服是鐵柱的FA少?棒子是鐵柱的/ 推孑是鐵枝的植手是鐵柱的走婆和鐵柱一樣臉和鐵柱一樣黑濃密的絡(luò)腮胡

體狂保妾，揍他…體狂保妾，揍他…鐵柱是位優(yōu)秀的員工，但她是位女士~~土匪卻是男性！這就是白名單思想~在工業(yè)網(wǎng)環(huán)境中相比信息網(wǎng)要“單純”很多，可信安全通信模型其威力強(qiáng)大有著得天獨(dú)厚的優(yōu)勢，如該技術(shù)可以抵御0Day惡意軟件和有針對(duì)性的攻擊等。可信網(wǎng)關(guān)使用以上技術(shù)打出一套組合拳，去解決現(xiàn)今工控行業(yè)遇見的安全問題以及隱患，如：防止非法的對(duì)工控系統(tǒng)的指令操作；防止非法身份的用戶對(duì)工控系統(tǒng)的訪問；防止非法時(shí)間段對(duì)工控系統(tǒng)的操作；防止非法協(xié)議進(jìn)入工控系統(tǒng)。砰我就再講講工拽主機(jī)衛(wèi)士~砰我就再講講工拽主機(jī)衛(wèi)士~工技主機(jī)衛(wèi)士是怎么囪事？威努特工控主機(jī)衛(wèi)士具有完全自主的知識(shí)產(chǎn)權(quán)，能夠幫助涉密單位、關(guān)系國計(jì)民生的大型工控企業(yè)對(duì)工控系統(tǒng)工作站、服務(wù)器進(jìn)行安全防護(hù)和安全加固，杜絕安全后門隱患，使用先進(jìn)的白名單防護(hù)技術(shù)，能夠有效抵御病毒、木馬、惡意軟件、零日攻擊對(duì)工控網(wǎng)絡(luò)工作站、服務(wù)器的攻擊與破壞行為，真正幫助企業(yè)發(fā)現(xiàn)工控網(wǎng)絡(luò)攻擊，解決安全問題，使企業(yè)的安全投入物有所值。工控主機(jī)衛(wèi)士是運(yùn)行在主機(jī)操作系統(tǒng)上的白名單思想的安全防護(hù)軟件，工控主機(jī)衛(wèi)士的白名單和可信網(wǎng)關(guān)的白名單名字一樣但意義不同?。。ù颂幹攸c(diǎn)理解~）首先，主機(jī)在安裝工控主機(jī)衛(wèi)士之前我們會(huì)進(jìn)行技術(shù)檢測，確保主機(jī)就當(dāng)前情況下是安全的，業(yè)務(wù)軟件是完整可用的（想知道怎么做的嗎？歡迎技術(shù)交流~）。其次，安裝我們的工控主機(jī)衛(wèi)士到主機(jī)上，簡單配置后開啟安全防護(hù)。我們的可信衛(wèi)士內(nèi)置白名單廿$｝目前的操作系統(tǒng)及工控組態(tài)軟件大部分文件已經(jīng)被我們收錄，如果現(xiàn)場主機(jī)上的組態(tài)軟件沒有被收錄可信衛(wèi)士也有手動(dòng)追加白名單的功能。在開啟防護(hù)后，沒有在白名單內(nèi)的可執(zhí)行程序（PE類、腳本語言類）將不允許執(zhí)行（來我們這交流??！我們當(dāng)面告訴你~）。再次，工控主機(jī)衛(wèi)士還可以對(duì)操作系統(tǒng)完整性、進(jìn)程完整性進(jìn)行檢測，也對(duì)移動(dòng)存儲(chǔ)等外設(shè)設(shè)備進(jìn)行控制（工控主機(jī)衛(wèi)士還有很多功能，再次歡迎技術(shù)交流~）。

組態(tài)軟件完整性我負(fù)責(zé)外設(shè)按電組態(tài)軟件完整性我負(fù)責(zé)外設(shè)按電隨著工業(yè)4.0及兩化融合的趨勢到來，傳統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全（簡稱工控安全）問題已成為企業(yè)及國家安全面臨的嚴(yán)峻挑戰(zhàn)，受到越來越多的企業(yè)及政府關(guān)注。針對(duì)廣泛分布于工控網(wǎng)絡(luò)的工作站、服務(wù)器等設(shè)