360网神工业主机安全防护系统产品白皮书
一. 引言
近年来,随着工业4.0及两化深度融合战略的持续推进,以及物联网等新兴技术在工业领域的应用,工业控制系统安全也倍受政府和企业关注。
其中,工业主机是工业控制系统安全的关键环节,工业信息安全建设也需要从主机防护开始。工业主机相对普通的IT系统主机和终端,在安全防护方面存在以下特点:
1. 工业主机生命周期长,硬件资源受限
在很多细分工业行业,工业主机在投运后会运行很多年,硬件资源受限,往往不能安装杀毒软件。
2. 工业主机不会随意增加应用软件
工业主机投运后,安装在主机上的软件不会随意升级或增加新的软件、插件。 3. 病毒库不能定期升级
杀毒软件防病毒库需要定期升级或进行在线云查杀。而工控系统不允许在运行期间进行系统升级,也不允许在线云查杀。在工控系统中的防病毒库如果三个月不升级,防病毒效果会大大降低。
4. 普通杀毒软件误杀关键进程
目前非工控专用杀毒软件没做过与工业软件的兼容性测试,在国内外都发生过非工控专用杀毒软件误杀工业软件进程,造成工控系统运行异常的事件。误杀进程在工业控制系统中是致命的。
5. 查毒、杀毒造成工业软件处理延时
杀毒软件一般会使用本地引擎或云端病毒库对工业主机进行病毒查杀,可能会对造成工业软件的处理延时。
6. 移动存储介质使用风险
工业主机大多在封闭环境中,普遍使用U盘、移动硬盘等移动存储设备传递数据,容易造成病毒通过移动存储介质进行传播。
针对以上工业主机特殊性和安全性,奇安信推出的一款工控环境专用的终端安全产品:360网神工业主机安全防护系统。
@2019 奇安信集团 -1- 密级:完全公开
360网神工业主机安全防护系统产品白皮书
二. 工业主机安全防护系统产品介绍
2.1 产品概述
360网神工业主机安全防护系统是奇安信全新推出的一款工控环境专用的软件产品,通过在工控上位机和服务器上安装进行入口拦截、运行拦截、扩散拦截关卡式病毒拦截技术以及基于智能匹配的白名单技术和基于ID的USB移动存储管控的工业主机安全防护系统,能够防范恶意程序的运行、非法外设接入、全面集中管理和终端安全风险管理等,实现对工业主机全面的安全防护。
360网神工业主机安全防护系统产品包含单机版和网络版,单机版针对隔离情况下孤立的工业主机进行安全防护,网络版针对联网情况下工业主机进行安全防护和集中安全风险分析和配置管理。
2.2 设计理念
?
立体防护
360网神工业主机安全防护系统以轻量级“白名单”的技术方式,全方位地保护主机的资源使用。根据白名单策略,工业主机安全防护系统会禁止非法进程的运行,并通过基于单个ID的USB移动存储外设管控,禁止非法USB设备的接入以及合法USB设备的权限管控,从而切断病毒和木马的传播与破坏路径。
?
统一管控
360网神工业主机安全防护系统网络版包括控制中心和终端(客户端)两部分。管理员可以通过控制中心直接对网内所有工业主机上终端进行终端安全策略管理、配置下发等,实现统一管控和安全风险分析。
?
节约成本
360网神工业主机安全防护系统针对用户可能存在的工业设备搬迁、工业更替等引起安全防护软件授权无法替换使用的情况,创新提出授权回收机制,可以保证购买点数在设备替换等情况下不会丢失和额外增加投资成本,从而节约用户成本。
@2019 奇安信集团 -2- 密级:完全公开
360网神工业主机安全防护系统产品白皮书
2.3 产品架构
?
白名单架构
360网神工业主机安全防护系统产品中,智能机器匹配白名单生成技术通过全盘自动扫描可以将系统中可执行文件形成唯一的特征码,特征码不依赖文件名称、文件路径或扩展名,而是依赖于可执行文件本身的数据特征,只要可执行文件变化,特征码就变化。
当扫描完成后可以进行一键切换工作模式进行白名单部署,当工作模式处于告警模式下,异常程序执行被保护的可执行程序时会进行实时告警但不阻断,当处于防护模式时会进行告警同时进行阻断,异常程序无法运行。
同时部署完成后,当需要进行白名单软件更新时可以进行追加目录或追加文件进行白名单放行,也可设置信任目录或信任文件进行完全信任和放行。
当运行中白名单进行更新后需要进行应用生效使得当前库中白名单进行更新生效。
白名单可以扫描生成也可以进行导入生成,并可以将当前最新的白名单库进行导出和查询等。
图1 360网神工业主机安全防护系统白名单架构
?
集中管理架构
360网神工业主机安全防护系统(网络版)集中管理包括安全控制中心和终端客户端两部分。 ?
控制中心
安全控制中心是360网神工业主机安全防护系统集中管理的核心,部署在服务器端,主要包括安全策略管控和安全日志收集告警等功能。
安全控制中心采用B/S架构,管理员可以随时随地的通过浏览器打开访问,对终端进行管理
@2019 奇安信集团 -3- 密级:完全公开
360网神工业主机安全防护系统产品白皮书
和控制。主要有分组管理、策略制定下发、统一白名单扫描(及定时扫描)、终端软硬件资产管理等。安全此外安全控制中心还提供了系统运维的基础服务,如:终端升级服务、数据服务、通讯服务等。
安全日志收集告警,通过管控中心,管理员可以了解全网终端的告警信息,通过日志分析,掌握全网威胁状况。
?
终端客户端
客户端部署在需要被保护的工业主机或服务器上,执行最终的白名单扫描和防护、外设管控、等安全防护操作。并与安全控制中心通信,提供控制中心管理所需的相关安全告警信息。
图2 360网神工业主机安全防护系统网络版架构
2.4 产品优势
360网神工业主机安全防护系统的核心价值在于对工业主机安全的防护与管理。在工业安全领域,工业主机安全防护系统已为汽车制造、半导体、烟草、轨交、电厂等众多客户提供了安全防护及工业主机的安全管理。 ?
软硬件适配能力强
支持WinXP、WinSever2008等老旧操作系统以及企业版、专业版等各类系统版本,硬件资源仅需256M内存、400M可用硬盘空间,适配100多种工业软件。 ?
“永恒之蓝”勒索病毒克星
@2019 奇安信集团 -4- 密级:完全公开
360网神工业主机安全防护系统产品白皮书
系统内置独创“永恒之蓝”漏洞网络防御引擎和专杀工具,可以对“永恒之蓝”及其变种网络攻击实时拦截。利用“漏洞利用分析-流量解析对比-可疑攻击阻断”等技术,无需为主机打补丁、关端口,即可进行“永恒之蓝”勒索病毒的预判与防御。 ?
集中管理、灵活部署
系统具备强大集中管理能力,单个控制中心可并发管理6000多个主机客户端,可基于用户组织架构进行安全风险管理。同时,针对每个客户端可进行灵活的模块配置、权限配置、页面配置、扫描时间配置,满足工业主机现场定制化安全策略需求。
2.5 主要功能
1. 白名单管控
360网神工业主机安全防护系统扫描工业主机的进程,对经过确认的可执行程序生成一个唯一的特征码,特征码集合起来形成特征库,即白名单。只有白名单内的软件才可以运行,其它进程都被阻止,以此防止病毒、木马、违规软件的攻击。 2. 关卡式病毒拦截
360网神工业主机安全防护系统从“病毒入口-病毒运行-病毒扩散”三个环节层层设防,步步拦截,进行白进程准入、U盘管控、已有病毒防扩散等安全管理,做到病毒进不来、启不动、扩散不了,实现主机安全无死角病毒防护。 3. USB移动存储管控
360网神工业主机安全防护系统可针对主机插入的USB移动存储进行权限管控,通过针对USB移动存储的硬件ID进行识别和匹配,对所允许的外设进行权限管控(读和读写),对不允许的外设进行禁用。从而,避免工业主机通过USB移动存储进行病毒传播和非法外设进行文件读取。 4. 控制中心软件化和集中运维管理
360网神工业主机安全防护系统控制中心采用软件化方式可以安装在客户的服务器以及虚拟机上,通过控制中心对工业主机终端进行集中策略配置、安全风险管控、终端版本推送、授权管理、以及终端单点维护和功能定制化。 5. 符合工业特点的主机安全防护
360网神工业主机安全防护系统控制中心针对工业主机,可以根据工业软件运行需要进行白名
@2019 奇安信集团 -5- 密级:完全公开
工业主机安全防护系统产品白皮书
