威努特工控安全-大话工控安全白环境v5

大话工控安全“白环境”编者按：本文的目的是尽量通俗的让那些对工控安全感兴趣，但对如何做安全防护却不甚了解的读者理解工控安全的技术特点。工控安全这个安全的细分领域现如今也是流派纷呈、百家争鸣、欣欣向荣的景象。概括来讲，厂商可以分成三个大类：自动化背景的厂商、传统IT安全厂商和专业工控安全厂商（对这部分详情感兴趣的读者可以参考我司公众号上的相关文章，这里不再细表）。北京威努特技术有限公司属于第三种类型-专业工控安全厂商，因为专业，所以专注，因为专注，所以创新。小威在客户现场经常会被人问到如下一些问题：我们的方案是如何设计定的？产品是如何工作的？防护的效果是怎么样的？小威是一个专业的技术人员，于是乎会不厌其烦、滔滔不绝的给客户讲方案、讲技术„„，但面对的听众其技术基础不尽相同，琴瑟和鸣的情况也有，但曲高和寡的情形更多。今天我们就大话一下小威公司在业界首创的工控安全“白环境”解决方案。开讲之前，上个图先，正所谓有图有真相。■核心技术理念：■■核心技术理念：■白名单机制■工业协议深度解析■纵深防御■实时监控审计■统一平台营理段安全U魂崖监的审计骞可信网关@工业控制系统的安全问题有别于传统IT网络安全问题，因此在技术理念和产品实现上也完全不同。威努特创新性的提出了建立工控系统的可信任网络白环境和工控软件白名单理念，为客户构筑工控系统“安全白环境”整体防护体系，保护国家基础工业设施安全。只有可信任的设备，才能接入控制网络；只有可信任的消息，才能在网络上传输；只有可信任的软件，才允许被执行。我们的防护理念:从“黑”到“白”,从“被动防御”到“主动防护”。

理念过于技术化，大家会表示看不懂，那么让我们一一解惑。这是如何做到的呢?网络分层、区域隔离,只有可信任的主机间才能通信,主机上只有可信任的软件才能运行,只有可信任软件发送的工控消息才能在监控网与控制网传输。何为可信任的主机?经过技术检测及处理过并安装了可信卫士的主机。何为可信任的软件?经过技术鉴定完整可用的业务相关软件（存在于可信卫士白名单中的软件）。什么样的工控消息是可信任的?由可信任的业务软件发出的到另一台可信设备之间的且额定参数在合理区间的数据消息。以上基础的白环境中需要使用两个基础产品:可信网关、可信卫士。下面我们来简要的说下，它们是如何工作的。由语言余坑化的外电先说可信网关的产品架构：它采用专用多核硬件平台，主处理器为专用MIPS由语言余坑化的外电先说可信网关的产品架构：它采用专用多核硬件平台，主处理器为专用MIPS架构，自主设计开发的威努特智能工控安全操作系统集设备智能调度、工控协议解析、内容检测审计于一体，极大提高了底层硬件的安全性、工控协议解析处理速度。,就是阿美的盛构图了FWI工控协议管控I月名单I日志审计,就是阿美的盛构图了FWI工控协议管控I月名单I日志审计专用多核工控便件平台驱动适配层IICSfqST智能调度、工控协说解析、内容检泅）察统管理【P/MAC绑定\TN可信网关的架构看完了，再来介绍下功能，比如防火墙的功能大家都知道，但是它是怎么实现的呢？五元组+DPI五元组是通信术语。通常是指源IP地址，源端口，目的IP地址，目的端口和传输层协议;DPI是通信术语，这里指工控协议的深度解析；话说有个土匪A，要到城里搞事情，在进城时被抓捕了，因为他说自己是从A处来，要到金库去兑换外币，而A是个匪山，源就不被信任且金库不兑换外币（五元组不符）；第二天土匪B来了，他说自他说自己是从邻市来的，要到金库去检修损坏的设备，也被抓捕了，因为检查工具包的时候发现了不和谐器具而不是检修工具（DPI解析，协议不符合）;五元组+DPI实现了网络访问和工控协议的管控，那这样是不是万事大吉了呢？NO！第三天有个“聪明”的土匪C，化妆成了李铁柱（金库员工）想进城到金库搞事情，依然抓捕了！土匪想不明白，自己绕过了五元组、绕过了DPI的协议识别，怎么还是被发现了呢？！原来警察（可信网关）对金库的每位员工的身份（值域）、工作内容（控制指令）等细节立了白名单库（可信安全通信模型）。保安保安，让你出场了…, 头巾是铁枝的衣服是铁柱的FA少?棒子是铁柱的/ 推孑是铁枝的植手是铁柱的走婆和铁柱一样脸和铁柱一样黑浓密的络腮胡

体狂保妾，揍他…体狂保妾，揍他…铁柱是位优秀的员工，但她是位女士~~土匪却是男性！这就是白名单思想~在工业网环境中相比信息网要“单纯”很多，可信安全通信模型其威力强大有着得天独厚的优势，如该技术可以抵御0Day恶意软件和有针对性的攻击等。可信网关使用以上技术打出一套组合拳，去解决现今工控行业遇见的安全问题以及隐患，如：防止非法的对工控系统的指令操作；防止非法身份的用户对工控系统的访问；防止非法时间段对工控系统的操作；防止非法协议进入工控系统。砰我就再讲讲工拽主机卫士~砰我就再讲讲工拽主机卫士~工技主机卫士是怎么囱事？威努特工控主机卫士具有完全自主的知识产权，能够帮助涉密单位、关系国计民生的大型工控企业对工控系统工作站、服务器进行安全防护和安全加固，杜绝安全后门隐患，使用先进的白名单防护技术，能够有效抵御病毒、木马、恶意软件、零日攻击对工控网络工作站、服务器的攻击与破坏行为，真正帮助企业发现工控网络攻击，解决安全问题，使企业的安全投入物有所值。工控主机卫士是运行在主机操作系统上的白名单思想的安全防护软件，工控主机卫士的白名单和可信网关的白名单名字一样但意义不同！！（此处重点理解~）首先，主机在安装工控主机卫士之前我们会进行技术检测，确保主机就当前情况下是安全的，业务软件是完整可用的（想知道怎么做的吗？欢迎技术交流~）。其次，安装我们的工控主机卫士到主机上，简单配置后开启安全防护。我们的可信卫士内置白名单廿$｝目前的操作系统及工控组态软件大部分文件已经被我们收录，如果现场主机上的组态软件没有被收录可信卫士也有手动追加白名单的功能。在开启防护后，没有在白名单内的可执行程序（PE类、脚本语言类）将不允许执行（来我们这交流啊！我们当面告诉你~）。再次，工控主机卫士还可以对操作系统完整性、进程完整性进行检测，也对移动存储等外设设备进行控制（工控主机卫士还有很多功能，再次欢迎技术交流~）。

组态软件完整性我负责外设按电组态软件完整性我负责外设按电随着工业4.0及两化融合的趋势到来，传统的工业控制系统网络安全（简称工控安全）问题已成为企业及国家安全面临的严峻挑战，受到越来越多的企业及政府关注。针对广泛分布于工控网络的工作站、服务器等设