事件说明
据台湾中时电子报报道,8月3日晚间接近午夜时分,突然传出台积电位于台中科学园区的Fab 15厂,以及台南科学园区的Fab 14厂的工业主机电脑遭病毒入侵且生产线全数停摆的消息。事后,台积电也对外证实:部分生产设备受到病毒感染,非如外传之遭受黑客攻击,目前已经找到解决方案,受影响生产设备正逐步恢复生产。
在本次中毒事件导致下面情况发生:
1)工业主机关键软体需要重灌
2)需要对工控网络安全重新安全评估与检查
3)客户订单受影响或者可能暂时停牌
本次病毒事件的核心是工业主机遭受计算机病毒感染,尽管可以通过系统及软件重装修复被感染的控制网络的主要终端,但由于病毒的未知性会导致(主要)生产线停摆,在生产恢复之前需要对生产线控制终端,如工程师站、操作站等进行安全检查与评估,所需时间周期不确定性,导致影响大客户订单、暂停停牌。由此可见,工业控制生产网基础设备安全,尤其是生产网终端安全至关重要。
事件分析
在工控网络安全事件统计中,65%以上的安全事件来自人为因素,且均为终端安全事件,工控网络终端安全在整个安全防护当中的重要性可见一斑。传统的工控网络安全往往更多关注的是工业防火墙、IPS等一些边界安全,以及网络流控与分析等等,这些都是解决网络出口处网关型的网络安全防护。但是工业生产线真正重要的资源是存放在服务器或本地的工业终端上的,当黑客与未知威胁在发动攻击的时候,这些重要的工业控制终端往往首当其冲,控制系统受到的打击也将会是致命性的。
综上所述,传统的防护思路造成了目前的重边界、轻终端的结果,而基于可信的终端安全防御体系成为工控网络安全最坚固的防线。
解决方案
工业控制系统应用有其专有的特殊性,通用的杀毒软件无法有效地对各控制系统(DCS/SCADA/PLC/SIS等)的操作站、工程师站等终端的软件进程进行有效识别和管理,难以采用传统的安全产品进行防护。需要对工控软件进程进行可信度量并对度量信息进行加密运算和存储,以此解决工控系统终端病毒感染、恶意代码进程启动、操作系统内核漏洞、USB误用滥用等安全隐患,尤其是需要可信计算进程度量信息清单,并提交到服务器端进行授权生成白名单,基于白名单模式,实时管理监控系统中的可信进程,杜绝未知恶意程序启动,实现主动防御,为工控网络安全提供安全运行保障。
海天炜业可信计算平台“InTrust可信芯片工控网络安全平台”,在去年的“Wannacry”事件中,对工业控制网络抑制与主动防御病毒的发作、保护工业网路主机终端的运行安全等起到了积极地作用,真正实现了“终端发现、软件发现、漏洞管理、安全配置管理、日志管理,以及危险检测和响应”。其原理与应用价值如下:
1)控制网络工程师站/操作员站的可信计算加固,解决操作站容易感染已知和未知病毒、木马、蠕虫等的问题;
2)USB接口外部存储设备的安全管控;
3)控制网络重要数据库服务器安全加固;
4)控制网络生产服务器安全加固;
5)其它应用节点的安全加固。
6)通过限定BAT/VBS脚本拷贝及执行,防止恶意代码通过脚本的执行与扩散。
7)通过设置保护目录,实现应用程序和操作系统完整性保护,有效防止漏洞、后门、缓冲区溢出等攻击方法。
8)通过授权机制,在无需更改白名单的前提下,可临时对应用程序、脚本文件、USB外设进行可信授权,减少维护成本。
9)对主机上的违规操作进行监控,监测进程的运行状态、监测主机接口(如USB、光驱)及操作,并记录详细的日志,方便事后的审计和追查。
结语:
构建工业网络终端的安全防御体系,不仅仅是终端防病毒系统,更是需要提供一套安全防护机制和安全管理的理念。工控网络安全是一个大系统概念,并不是在工业主机终端安装了杀毒软件、外设管控、漏洞补丁管理就可高枕无忧,需要有一定的安全策略配置,更需要真正可信的终端计算环境。
关于海天炜业
作为国内早一批专业开展工控网络安全业务的企业,海天炜业近十年来,一直致力于我国工控行业网络安全环境的维护与改进。公司参与了4项国家标准和6项行业标准的制定,是工业控制系统信息安全技术国家工程实验室理事单位,建立了国内规模领先、设备先进、配套完善的工控网络安全实验室。2014年4月,海天炜业推出了具有完全自主知识产权的Guard系列工业防火墙;随着研发成果的不断转化,公司已拥有自主知识产权的防火墙、可信计算、审计、信息安全管理平台等全系列安全产品,并连续多年为石油、石化、化工、电力、煤化工、冶金、烟草、环保等行业提供完善的“全厂工控系统安全一站式服务”,有效地保障了我国工业行业控制系统网络的安全运行。
声明:该文观点仅代表作者本人,权责归原作者所有,本站系信息发布平台,仅提供信息存储空间服务,如有侵权或违规内容请及时与我方联系,我们将及时进行处理。
暂无评论
要发表评论,您必须先 登录