威努特工控安全-大話(huà)工控安全白環(huán)境v5

大話(huà)工控安全“白環(huán)境”編者按：本文的目的是盡量通俗的讓那些對(duì)工控安全感興趣，但對(duì)如何做安全防護(hù)卻不甚了解的讀者理解工控安全的技術(shù)特點(diǎn)。工控安全這個(gè)安全的細(xì)分領(lǐng)域現(xiàn)如今也是流派紛呈、百家爭(zhēng)鳴、欣欣向榮的景象。概括來(lái)講，廠(chǎng)商可以分成三個(gè)大類(lèi)：自動(dòng)化背景的廠(chǎng)商、傳統(tǒng)IT安全廠(chǎng)商和專(zhuān)業(yè)工控安全廠(chǎng)商（對(duì)這部分詳情感興趣的讀者可以參考我司公眾號(hào)上的相關(guān)文章，這里不再細(xì)表）。北京威努特技術(shù)有限公司屬于第三種類(lèi)型-專(zhuān)業(yè)工控安全廠(chǎng)商，因?yàn)閷?zhuān)業(yè)，所以專(zhuān)注，因?yàn)閷?zhuān)注，所以創(chuàng)新。小威在客戶(hù)現(xiàn)場(chǎng)經(jīng)常會(huì)被人問(wèn)到如下一些問(wèn)題：我們的方案是如何設(shè)計(jì)定的？產(chǎn)品是如何工作的？防護(hù)的效果是怎么樣的？小威是一個(gè)專(zhuān)業(yè)的技術(shù)人員，于是乎會(huì)不厭其煩、滔滔不絕的給客戶(hù)講方案、講技術(shù)??，但面對(duì)的聽(tīng)眾其技術(shù)基礎(chǔ)不盡相同，琴瑟和鳴的情況也有，但曲高和寡的情形更多。今天我們就大話(huà)一下小威公司在業(yè)界首創(chuàng)的工控安全“白環(huán)境”解決方案。開(kāi)講之前，上個(gè)圖先，正所謂有圖有真相。■核心技術(shù)理念：■■核心技術(shù)理念：■白名單機(jī)制■工業(yè)協(xié)議深度解析■縱深防御■實(shí)時(shí)監(jiān)控審計(jì)■統(tǒng)一平臺(tái)營(yíng)理段安全U魂崖監(jiān)的審計(jì)騫可信網(wǎng)關(guān)@工業(yè)控制系統(tǒng)的安全問(wèn)題有別于傳統(tǒng)IT網(wǎng)絡(luò)安全問(wèn)題，因此在技術(shù)理念和產(chǎn)品實(shí)現(xiàn)上也完全不同。威努特創(chuàng)新性的提出了建立工控系統(tǒng)的可信任網(wǎng)絡(luò)白環(huán)境和工控軟件白名單理念，為客戶(hù)構(gòu)筑工控系統(tǒng)“安全白環(huán)境”整體防護(hù)體系，保護(hù)國(guó)家基礎(chǔ)工業(yè)設(shè)施安全。只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行。我們的防護(hù)理念:從“黑”到“白”,從“被動(dòng)防御”到“主動(dòng)防護(hù)”。

理念過(guò)于技術(shù)化，大家會(huì)表示看不懂，那么讓我們一一解惑。這是如何做到的呢?網(wǎng)絡(luò)分層、區(qū)域隔離,只有可信任的主機(jī)間才能通信,主機(jī)上只有可信任的軟件才能運(yùn)行,只有可信任軟件發(fā)送的工控消息才能在監(jiān)控網(wǎng)與控制網(wǎng)傳輸。何為可信任的主機(jī)?經(jīng)過(guò)技術(shù)檢測(cè)及處理過(guò)并安裝了可信衛(wèi)士的主機(jī)。何為可信任的軟件?經(jīng)過(guò)技術(shù)鑒定完整可用的業(yè)務(wù)相關(guān)軟件（存在于可信衛(wèi)士白名單中的軟件）。什么樣的工控消息是可信任的?由可信任的業(yè)務(wù)軟件發(fā)出的到另一臺(tái)可信設(shè)備之間的且額定參數(shù)在合理區(qū)間的數(shù)據(jù)消息。以上基礎(chǔ)的白環(huán)境中需要使用兩個(gè)基礎(chǔ)產(chǎn)品:可信網(wǎng)關(guān)、可信衛(wèi)士。下面我們來(lái)簡(jiǎn)要的說(shuō)下，它們是如何工作的。由語(yǔ)言余坑化的外電先說(shuō)可信網(wǎng)關(guān)的產(chǎn)品架構(gòu)：它采用專(zhuān)用多核硬件平臺(tái)，主處理器為專(zhuān)用MIPS由語(yǔ)言余坑化的外電先說(shuō)可信網(wǎng)關(guān)的產(chǎn)品架構(gòu)：它采用專(zhuān)用多核硬件平臺(tái)，主處理器為專(zhuān)用MIPS架構(gòu)，自主設(shè)計(jì)開(kāi)發(fā)的威努特智能工控安全操作系統(tǒng)集設(shè)備智能調(diào)度、工控協(xié)議解析、內(nèi)容檢測(cè)審計(jì)于一體，極大提高了底層硬件的安全性、工控協(xié)議解析處理速度。,就是阿美的盛構(gòu)圖了FWI工控協(xié)議管控I月名單I日志審計(jì),就是阿美的盛構(gòu)圖了FWI工控協(xié)議管控I月名單I日志審計(jì)專(zhuān)用多核工控便件平臺(tái)驅(qū)動(dòng)適配層IICSfqST智能調(diào)度、工控協(xié)說(shuō)解析、內(nèi)容檢泅）察統(tǒng)管理【P/MAC綁定\TN可信網(wǎng)關(guān)的架構(gòu)看完了，再來(lái)介紹下功能，比如防火墻的功能大家都知道，但是它是怎么實(shí)現(xiàn)的呢？五元組+DPI五元組是通信術(shù)語(yǔ)。通常是指源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議;DPI是通信術(shù)語(yǔ)，這里指工控協(xié)議的深度解析；話(huà)說(shuō)有個(gè)土匪A，要到城里搞事情，在進(jìn)城時(shí)被抓捕了，因?yàn)樗f(shuō)自己是從A處來(lái)，要到金庫(kù)去兌換外幣，而A是個(gè)匪山，源就不被信任且金庫(kù)不兌換外幣（五元組不符）；第二天土匪B來(lái)了，他說(shuō)自他說(shuō)自己是從鄰市來(lái)的，要到金庫(kù)去檢修損壞的設(shè)備，也被抓捕了，因?yàn)闄z查工具包的時(shí)候發(fā)現(xiàn)了不和諧器具而不是檢修工具（DPI解析，協(xié)議不符合）;五元組+DPI實(shí)現(xiàn)了網(wǎng)絡(luò)訪(fǎng)問(wèn)和工控協(xié)議的管控，那這樣是不是萬(wàn)事大吉了呢？NO！第三天有個(gè)“聰明”的土匪C，化妝成了李鐵柱（金庫(kù)員工）想進(jìn)城到金庫(kù)搞事情，依然抓捕了！土匪想不明白，自己繞過(guò)了五元組、繞過(guò)了DPI的協(xié)議識(shí)別，怎么還是被發(fā)現(xiàn)了呢？！原來(lái)警察（可信網(wǎng)關(guān)）對(duì)金庫(kù)的每位員工的身份（值域）、工作內(nèi)容（控制指令）等細(xì)節(jié)立了白名單庫(kù)（可信安全通信模型）。保安保安，讓你出場(chǎng)了…, 頭巾是鐵枝的衣服是鐵柱的FA少?棒子是鐵柱的/ 推孑是鐵枝的植手是鐵柱的走婆和鐵柱一樣臉和鐵柱一樣黑濃密的絡(luò)腮胡

體狂保妾，揍他…體狂保妾，揍他…鐵柱是位優(yōu)秀的員工，但她是位女士~~土匪卻是男性！這就是白名單思想~在工業(yè)網(wǎng)環(huán)境中相比信息網(wǎng)要“單純”很多，可信安全通信模型其威力強(qiáng)大有著得天獨(dú)厚的優(yōu)勢(shì)，如該技術(shù)可以抵御0Day惡意軟件和有針對(duì)性的攻擊等?？尚啪W(wǎng)關(guān)使用以上技術(shù)打出一套組合拳，去解決現(xiàn)今工控行業(yè)遇見(jiàn)的安全問(wèn)題以及隱患，如：防止非法的對(duì)工控系統(tǒng)的指令操作；防止非法身份的用戶(hù)對(duì)工控系統(tǒng)的訪(fǎng)問(wèn)；防止非法時(shí)間段對(duì)工控系統(tǒng)的操作；防止非法協(xié)議進(jìn)入工控系統(tǒng)。砰我就再講講工拽主機(jī)衛(wèi)士~砰我就再講講工拽主機(jī)衛(wèi)士~工技主機(jī)衛(wèi)士是怎么囪事？威努特工控主機(jī)衛(wèi)士具有完全自主的知識(shí)產(chǎn)權(quán)，能夠幫助涉密單位、關(guān)系國(guó)計(jì)民生的大型工控企業(yè)對(duì)工控系統(tǒng)工作站、服務(wù)器進(jìn)行安全防護(hù)和安全加固，杜絕安全后門(mén)隱患，使用先進(jìn)的白名單防護(hù)技術(shù)，能夠有效抵御病毒、木馬、惡意軟件、零日攻擊對(duì)工控網(wǎng)絡(luò)工作站、服務(wù)器的攻擊與破壞行為，真正幫助企業(yè)發(fā)現(xiàn)工控網(wǎng)絡(luò)攻擊，解決安全問(wèn)題，使企業(yè)的安全投入物有所值。工控主機(jī)衛(wèi)士是運(yùn)行在主機(jī)操作系統(tǒng)上的白名單思想的安全防護(hù)軟件，工控主機(jī)衛(wèi)士的白名單和可信網(wǎng)關(guān)的白名單名字一樣但意義不同?。。ù颂幹攸c(diǎn)理解~）首先，主機(jī)在安裝工控主機(jī)衛(wèi)士之前我們會(huì)進(jìn)行技術(shù)檢測(cè)，確保主機(jī)就當(dāng)前情況下是安全的，業(yè)務(wù)軟件是完整可用的（想知道怎么做的嗎？歡迎技術(shù)交流~）。其次，安裝我們的工控主機(jī)衛(wèi)士到主機(jī)上，簡(jiǎn)單配置后開(kāi)啟安全防護(hù)。我們的可信衛(wèi)士?jī)?nèi)置白名單廿$｝目前的操作系統(tǒng)及工控組態(tài)軟件大部分文件已經(jīng)被我們收錄，如果現(xiàn)場(chǎng)主機(jī)上的組態(tài)軟件沒(méi)有被收錄可信衛(wèi)士也有手動(dòng)追加白名單的功能。在開(kāi)啟防護(hù)后，沒(méi)有在白名單內(nèi)的可執(zhí)行程序（PE類(lèi)、腳本語(yǔ)言類(lèi)）將不允許執(zhí)行（來(lái)我們這交流??！我們當(dāng)面告訴你~）。再次，工控主機(jī)衛(wèi)士還可以對(duì)操作系統(tǒng)完整性、進(jìn)程完整性進(jìn)行檢測(cè)，也對(duì)移動(dòng)存儲(chǔ)等外設(shè)設(shè)備進(jìn)行控制（工控主機(jī)衛(wèi)士還有很多功能，再次歡迎技術(shù)交流~）。

組態(tài)軟件完整性我負(fù)責(zé)外設(shè)按電組態(tài)軟件完整性我負(fù)責(zé)外設(shè)按電隨著工業(yè)4.0及兩化融合的趨勢(shì)到來(lái)，傳統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全（簡(jiǎn)稱(chēng)工控安全）問(wèn)題已成為企業(yè)及國(guó)家安全面臨的嚴(yán)峻挑戰(zhàn)，受到越來(lái)越多的企業(yè)及政府關(guān)注。針對(duì)廣泛分布于工控網(wǎng)絡(luò)的工作站、服務(wù)器等設(shè)