如何防微杜渐“微软蓝屏”事件，保障工业主机安全

=====================================================================================================================================================================================

2024年7月19日，一场足以载入网络安全史册的 “微软蓝屏”事件席卷全球，给全球范围内航空、金融、医疗、媒体和通信等多个行业使用微软操作系统的用户带来巨大的经济损失。蓝屏问题被确认与网络安全公司CrowdStrike的软件更新有关，也导致网络安全公司CrowdStrike美股盘前大跌超18%，微软跌超2%。

本次事件中的中国企业受到的影响较小，归功于今年来在网络产品和安全产品的技术自主可控选择上做了较大的努力。针对此事件，我们在加强主机安全层面的防护时，应如何落实与保障——特别是在那些直接关系到国家经济命脉与民众生活的工业领域，显得尤为重要。

工业主机作为控制、监测和管理生产过程的核心设备，其安全性直接影响到生产系统的稳定性。一旦工业主机受到恶意攻击或者病毒感染，可能导致生产过程中断，造成严重的生产损失。

根据在公安部的计算机信息系统安全专用产品销售许可服务平台和网络安全专用产品安全检测服务平台查询目前市场针对主机防护产品的品类包括：文件加载执行控制、USB移动存储介质管理系统、主机安全加固、主机文件监测等。

图1&2：工业主机防护产品销售许可及网络安全专业产品检测品类示意

结合工业现场的防护需求角度出发，一般针对工业主机安全的防护主要集中在病毒防护、外设接口管控（重点在移动介质管控）和操作系统安全加固等维度开展工作，针对主机防护的产品（不局限于一款产品），建议从产品兼容性、产品功能性和产品便利性等几个维度评估：

1

产品兼容性

1.1

操作系统兼容性

工业现场设备的使用周期一般15年左右，工业主机的更新换代周期同样比较长；结合现场生产线的升级或者扩容的场景下，导致工业现场的主机操作系统版本较为复杂，所以在主机防护产品的选择上，特别是一些防护软件可能会和底层驱动有相应的交互，需要考虑操作系统的兼容性。

在工业用户的操作系统选择上，智能制造企业用户现场的工程师站、操作员站和服务器等工控主机一般采用Windows操作系统，在一些现场可能还会存在Windows XP、Windows NT4.0这些版本的操作系统；电力企业用户的生产控制大区上位机和服务器正在逐步完成麒麟、凝思等国产化操作系统的替换。

关于操作系统的适配性维度，用户可以明确各操作系统的详细版本号，防止出现因软件不兼容而导致安装失败或者蓝屏的情况。其中Windows要关注到build版本号，如：Windows 7 SP1 build 7601（通过Windows系统信息界面查询具体版本号），Linux系统要关注到内核版本号，如：凝思 Rocky6.0.80 64位4.9.0-0.bpo.1-linx-security-amd64（通过uname -r命令查询内核版本信息）。

图3：麒麟内核版本查询结果示意图

1.2

系统资源需求

因为工业系统的生命周期较长，且不会轻易升级，因此工控主机配置老旧的情况普遍存在。基于现场的业务环境，主机防护软件对系统的CPU和内存等资源的占有率要尽可能的低，优先保障业务软件的运行。这一需求也使得传统的杀毒软件和EDR等基于特征库或者系统资源占有率较高的主机防护软件不太适用工业现场。 

1.3

行业适用性

对于软件部署类的主机安全防护产品，还需要关注行业的适用性和特殊性，比如电力行业对于主机安全防护产品有病毒防范、主机加固和移动介质管控等明确的需求，同样是否与自动化厂商开展过兼容性测试或者是否在同类型的现场有应用案例，因此验证主机安全防护产品部署到生产网络中不会产生影响。智能制造行业对于主机安全防护产品除了基础的病毒防范和移动介质管控，对于运维的便利性也是重点关注项。

和工业防火墙类似，针对特定的行业或者特殊应用场景，需要在某些功能上与行业或者现场保持一定的兼容性，比如：电力行业中在涉网测的部署工业主机防护产品是否可以对接网络安全监测装置（国网要求）或者态势感知采集装置（南网要求），是否有电力行业权威检测机构出具的检测报告，或者企业集团侧有安全运营平台，是否支持第三方的对接等。

2

安全功能性

从网络安全等级保护中安全计算环境的要求，结合工业现场主机侧安全防护的需求，用户可以从病毒防护能力、外设管控能力和主机加固能力三个常规维度去评估。

（备注说明：对于安全防护功能的要求对于防护级别要求较高的行业用户未一一列出，如：强制访问功能，本文侧重于通用防护功能的描述。）

图4：等保2.0下的安全计算环境第三级的技术要求

2.1

病毒防护能力

对病毒的防护能力是检验主机防护产品的重要指标之一，特别是针对已知和未知病毒的防范，比如勒索病毒及其变种病毒，是目前智能制造行业的重点受灾区。对于病毒防护技术一般工业现场以白名单技术防护功能为主，黑名单技术检测功能为辅。如采用黑名单技术为主的防护产品，定期进行病毒库升级和查杀，防止勒索软件等恶意软件传播。

针对白名单技术为主的防护产品，只允许部署运行经企业授权和安全评估的应用软件。市场上白名单防护软件在公安部的检测品类中一般为“文件加载执行控制”（目前在许可证有效期内有66款）。

白名单技术在应用过程中需要关注其全面性和可用性。全面性是指能够覆盖操作系统及其承载的业务全覆盖，常见的是应用程序白名单、脚本白名单和进程白名单，各类白名单支持的对象不同，相应控制颗粒度也不同；可用性是指在白名单在建立和更新不同阶段都要保证白名单不被污染，避免恶意程序被加入到白名单库中，可用性层面各厂商在实现上方法不一，如建立前先开展病毒查杀，更新时通过校验hash值等。总而言之，可用性维度的衡量标准是如何建立无污染的白名单库以及在后续白名单库更新过程中的安全。

图5：主机防护软件的白名单技术及更新机制

2.2

外设管控能力

在工业场景下，移动介质以体积小巧、便于携带、存储容量大，即插即用等优点而成为常用的数据备份和传输工具。然而移动介质在为企业带来极大便利的同时，也为病毒寄生和繁衍提供了天然的温床，众多企业并未注重移动介质的安全性和隐私性，也没有对移动介质进行病毒查杀，因此发生了许多因移动介质导致的安全事件。

目前移动介质管控的常用的包括：传统物理封堵或自建杀毒主机的方式、介质管控软件；硬件摆渡等方式。

传统封堵USB接口和采用加固机箱的方式，无法兼顾业务和安全管理要求严重拉低企业生产效率；自建杀毒主机安全性无法保证，更新不及时导致杀毒失效，杀毒过程无审计记录；所以上述移动管控措施已经无法满足现在的使用及运维场景。

图6：物理封堵及自建杀毒主机等外设管控措施

通过介质管控软件+安全U盘的方式是目前主流的解决方案之一，比如介质管控软件通过采用注册U盘的方式来实现对普通U盘和配套安全U盘更精细化的管控，分别针对单个U盘实现“只读、读写、执行”的及组合的权限控制。在经过主机卫士的注册后可对每一个U盘权限单独控制。介质管控软件配套安全U盘保障数据交换的安全,只有经过认证的特定USB设备才可以在特定的主机上运行，可配置禁止USB存储设备自动执行，防止恶意程序利用漏洞自动运行。

图7：通过移动介质管控软件+安全U盘的外设管控方案

另外在某些无法安装软件的场景中，一般采用硬件隔离的方式对移动介质进行管控，在移动介质与内部主机之间增加隔离产品实现物理隔离，同时通过隔离产品的管理软件，实现不同U盘的访问策略和读写权限。在部署隔离产品时，内部主机上除隔离产品连接使用的USB接口外的其他USB口采用物理隔离方式封闭，鼠标、键盘等其余外设设备皆连接在隔离产品上。通过专有隔离硬件在移动介质与计算机之间形成物理隔离区，实现对移动介质中的数据文件进行预读处理，阻挡恶意文件的拷贝并进行文件过滤，从而保障移动介质的数据的安全可靠的读写。

图8：通过硬件隔离的外设管控方式

针对外设管控的核心目标是保证数据安全传输的前提下，对移动介质注册、授权、安全写入、病毒查杀、杀毒验证、策略读写等全流程管控。另外主机防护产品针对其他外设应该也具备管控能力，包括不限于：光驱控制、无线网卡控制、蓝牙设备控制、串口设备控制、并口设备控制等。

2.3

主机加固能力

早期现场的工业主机一般在投运前并未对操作系统进行安全加固，为确保系统在安全性方面达到一定的基本要求。制定和实施操作系统安全基线加固是保护系统免受各种安全威胁的重要措施之一。

现场可按照等保标准级、自定义标准及行业标准（如电力行业有比较明确的主机加固标准规范）等进行操作系统安全加固配置管理，包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户、开启系统和账户审核、关闭默认共享、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。

图9：通过安全加固措施提升操作系统的安全基线

3

运维便利性

选择一款符合现场的主机防护产品除了安全功能强大外，运维的便利性同样重要。

3.1

集中管控

工业主机防护产品部署的位置相对分散，特别是在类似于城市燃气/水务、油气管网的SCADA系统、智能制造企业各车间的工业主机部署场景，需要有管理中心对所有的主机防护产品进行集中管控，因此主机防护产品在管理层面需要支持自管理和集中管理等模式。

3.2

智能化运维

制造型企业生产通常是7*24小时，各个车间的物理位置分散，因此业务软件升级运维不停机的需求是基础，这就导致运维难度大、效率低的问题。

业务软件升级的过程如何安全保障，目前通用的实现方法类似于手机应用市场APP，实现安装卸载追踪、非白名单告警加白等应用更新机制，提升运维的便捷性和安全性。这种解决方案需要加入动态评估的机制，持续验证升级文件的安全性。

4

威努特工控主机卫士

结合国外工业主机安全趋势、国内企业普遍的安全需求、工业主机安全市场完全空白等情况分析研判，“应用管控”技术能够满足工业企业用户病毒防范需求，同时又契合工业自动化系统业务特点，以“应用管控”为核心的工控主机卫士，必将在工控安全市场中占得重要地位。为此，威努特率先投入技术力量开展研究，在2015年推出了国内第一款工业主机卫士产品。

图10：威努特推出国内首款工业主机安全产品

工控主机卫士作为威努特主机安全产品线中的拳头产品，基于现场的使用需求并按照国家网络安全最高检测标准不断进行技术打磨，在赛迪顾问股份有限公司编制的《中国工控安全市场研究报告(2023)》中，威努特的工控主机安全产品在2022年中国工控主机安全市场中，排名位居市场地位第1名、发展能力第1名。威努特的工控主机卫士在技术方面到底做了哪些创新和积累工作？

4.1

产品兼容性

威努特工控主机卫士拥有应用程序白名单、主机安全加固双类别证书的工业安全软件，是国内首个获得CCRC IT产品信息安全认证证书的工业白名单产品，同时获得中国电科院针对电力行业需求开展测试的检测报告及其他国家权威部门开展的工业白名单产品检测报告；

在操作系统兼容性层面，已适配近70个Linux&Unix发行版本，32个Windows build版本，完美兼容银河麒麟、中标麒麟，统信桌面版和服务器版，凝思，麒麟信安等国产操作系统，进一步验证与现场良好兼容性。

图11：威努特工控主机卫士部分资质示意图

4.2

安全功能性

在安全能力层面，威努特工控主机卫士通过“两个中心、四重锁定” 构建工业主机安全运行最小化环境。

**● 应用锁定：**采用“白名单”防护机制，锁定工业主机上应用程序的运行，阻止任何白名单外的程序运行，避免恶意代码、非法程序的运行，最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。

**● 系统锁定：**通过安全基线管理和强制访问控制功能，锁定工业主机运行环境和资源，确保工业主机上的设置符合安全基线策略要求，并按照设定的主客体制定读写访问控制策略进行访问。

**● 网络锁定：**锁定工业主机的网络访问环境，只允许工业主机和特定的服务器之间进行通信，控制恶意代码的在网络内部的传播、扩散。

**● 外设锁定：**锁定外接输入设备的使用，只有经过认证的安全可信的USB设备且经过病毒查杀才可以在工业主机上运行，防止通过U盘等外接输入设备引入恶意程序，导致感染病毒和泄露敏感数据。

**● 管理中心和监测中心：**通过管理中心实现对网络中部署客户端的状态监测、集中管理，统一策略配置，通过安全日志中心可以实现对安全事件和实时告警的统一收集和分析，动态评估工业主机的安全状态和风险级别。

图12：“四重锁定、两个中心” 计算环境安全的基石

4.3

运维便利性

威努特工控主机卫士除了支持自管理和集中管理功能外，在运维便利性和安全性方面也进行了深度研究，例如：通过文件信誉引擎彻底解决程序白名单应用困境,从安全威胁和业务需求2个角度评估应用等级，安全威胁角度评估应用安全性，业务需求角度评估应用必要性，彻底解决当前程序白名单产品普遍存在的有效性和易用性问题。

图13：基于多维度文件信誉评估技术

5

选型小结

工业企业用户在工业主机安全防护产品的选择上需要综合考虑相关因素，除了在产品兼容性、安全功能性和运维便利性等技术维度外，对于产品的售后技术服务支持、价格等因素仍需同步考虑。

写在最后，威努特欢迎和不同行业的工业企业用户探讨交流工业主机安全防护产品在技术发展中的使用需求和发展规划。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121