工业主机白名单产品核心技术和发展趋势分析

主机层安全防护措施缺失，就会给病毒、黑客入侵主机的机会。如何做好主动防御，保障工业主机、服务器主机本身的安全，成为亟待解决的问题。因此，市场上迫切需要一款专门针对主机的、功能精准而实用的防护类软件。本文主要是通过对比国内外防护类软件产品，例如McAfee和Bit9产品，并经过了多年的现场实施，总结出了工业主机白名单产品的核心技术和未来的发展趋势。

随着工业4.0和两化融合时代的到来，使得更多的工业设备暴露在互联网之中，从而导致工控主机安全问题日益严重。作为工控系统重要组成部分的工作站和服务器在工控网络中的重要性，决定了它们面临巨大的安全风险和威胁。工作站和服务器面临威胁的特点如下：

网络隔离，疏于网络防范。工程师站不连接到互联网，网络独立。这样虽然规避了来自外网恶意攻击的风险，但是也使系统管理员放松了应对网络攻击的警惕。

核心资产，受攻击影响大。工作站、服务器存储的数据价值巨大，一旦遭受攻击，影响、损失都很大。

软件环境专业，传统安全系统作用有限。工作站、服务器的计算环境是专业的，传统病毒查杀软件对之作用有限，相反，还有可能破坏计算环境的完整性。

管理不够严格，外来入侵事件随时发生。如移动存储介质的使用，给很多攻击带来了机会。

大量安全事件证明，工作站和服务器是一个脆弱的攻击入口，类似震网、havex、勒索病毒的安全事件影响深远。

因此，针对广泛分布于工控网络的工作站、服务器等设备，我们推出了基于白名单主动防御技术的工控终端安全防护产品——工业主机加固产品。

产品概述

工业主机加固产品是针对工作站、服务器等工业主机进行安全加固的软件产品，通过机器智能学习引擎将白名单技术用于工控主机行为的分析判断，通过大数据采集和分析，智能学习模块自动生成的工业控制软件正常行为模式的白名单，与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征，工业主机加固产品将会对此行为进行阻断或告警，以此避免工业控制网络受到0-day漏洞威胁，同时还可以有效地阻止操作人员异常操作带来的危害。工业主机加固防护产品适用于各行业主机操作系统中，拥有优良的用户体验效果和兼容性，管理强度深入到硬件驱动层，有力地保护了工控现场主机系统的安全。

产品包括单机版和集中管理版两种版本，其中集中管理版可以对分布安装的工业主机加固执行统一的管理，包括统一进行策略下发、定时备份配置文件、日志管理、白名单部署、全网设备状态操控，同时还支持客户端程序自行设置个性化管理策略，实现“个性化管理”与“集中管理”完美结合等。

目前，工业主机加固产品运用于各行业主机操作系统中，其优良的用户体验效果和兼容性让工业主机加固在众多工控企业中得到广泛使用，管理强度深入到硬件驱动层，有力地保护了工业主机、服务器系统的安全。

产品架构

工业主机加固产品主要由两部分组件组成。

工业主机加固客户端

采用白名单技术，可独立安装在工控主机上的客户端软件，能监控分析应用程序，生成白名单文件，控制恶意程序的执行，全方位保护主机的资源使用。

统一安全管理平台

统一管理、监测和保护工业主机加固客户端的硬件平台产品。实现主机加固客户端策略统一执行、终端状况实时查看、终端故障及时定位；统一收集单独客户端的审计信息，并进行大数据分析，统一管理企业消息推送。

工业主机加固系统架构如上图所示，采用白名单技术，通过统一安全监管平台共同构建了完善的安全解决方案，为工业控制网络构建安全、可信任的终端安全防护系统。

工业主机白名单产品核心技术和发展趋势预测

根据对现有国内外相关产品的理解，以及结合自己多年现场实施经验作出的如下预测。

Windows系统白名单产品核心技术

最先启动安全防护。开机启动过程中，除了极少数的windows驱动程序外，工控白名单产品需要做到最先启动起来，并使防护功能生效。这样可以保证不会有病毒程序能躲避工控白名单的防护。

最可信的环境建立。要建立最可信的白环境，必须要建立白名单可信度分析模型；通过如下几种方法进行分析匹配白名单文件（包括程序白名单、脚本白名单文件）。

·要自带一些白名单库；

·证书白名单；

·黑名单病毒库。

最强大的抗网络攻击能力。要能抗网络攻击，必须要能抵御白名单内的程序存在的漏洞攻击和来自网络的攻击手段。

·白名单内的程序抗攻击能力，例如缓冲区溢出漏洞攻击。

·主机本身抗网络攻击能力，抗DDoS攻击和网络流量管控。

最安全的白名单程序更新升级。白名单程序更新升级包括操作系统本身升级和常用应用程序（例如：工业现场的组态软件WinCC等）的白名单升级。升级过程中要求做到不会放行被阻止的病毒程序。

最全面的外设控制。外设控制主要包括USB存储设备的外设控制和非USB存储设备的外设控制。

·USB存储设备：包括普通U盘、移动硬盘和MTP设备；可以实现读、写以及拷入文件的方向性、操作过程审计等功能；

·非USB存储设备：类似于UBO实现的功能。

Linux系统工控白名单产品

支持linux系统的工控白名单产品，主要包括32位、64位linux系统等。

免软件安装的硬件白名单产品

通过在现场操作员站、工程师站等电脑的PCI或PCI-E插槽上安装硬件白名单产品。

完善的集中管理功能

不仅管理产品自身，还能管理PC主机情况（例如CPU、内存、运行状态等），还可以对流量和攻击行为等进行检测展示，还作为工业网络入口收集一些信息为后续大数据分析提供支撑等。

结语

完善的主机加固产品，不仅可以全方位保证系统的安全，提供高效的安全管控能力，而且可以充分满足企业与用户的使用需求。本文总结的关于主机白名单产品核心技术和发展趋势，希望能为后续的产品开发提供方向性指导。