产线工控设备安全现状分析

news2024/12/22 14:48:13

工控设备安全现状

工业控制系统是支撑国民经济的重要设施,是工业领域的神经中枢。现在工业控制系统已经广泛应用于电力、通信、化工、交通、航天等工业领域,支撑起国计民生的关键基础设施。

随着传统的工业转型,数字化、网络化和智能化的工业控制系统逐渐接入互联网,病毒、木马、蠕虫、僵尸网络等常见威胁也威胁到工业控制系统的安全。近几年,勒索病毒的出现,在企业损失大量数据的情形下,也对企业造成了不可估量的经济损失。

目前,企业会在工业控制系统的外围建立防火墙、入侵检测系统、入侵防御系统等技术控制手段,同时也会采用不必要的设备不连接网络;需要更新设备图纸资料时,中间传输设备多层管控,包括设置专用设备、设备病毒扫描查杀等行政控制手段。多种控制方式之下,狡猾的攻击者仍旧能够绕过重重防护措施,攻击工控机和机台,侵害企业利益。

工控设备安全需求

针对专用的生产设备,企业为了使业务持续运行,更多的选择外围的控制措施,对于工控机和机台等终端设备,反而不会进行保护。

首先,专用设备的系统不同于普通的操作系统,无法安装常规的杀毒软件。

其次,杀毒软件可能会影响到系统内业务系统的正常运行,针对不联网的设备,杀毒软件的病毒库也无法做到实时更新,无法应对新型病毒。

再者,生产设备上业务系统的更新,尤其是供应商的远程更新,也存在有一定的风险。供应商通过网络连接到企业内部网络,该网络通道不仅仅可供供应商连接,攻击者也会通过该网络通道进行攻击。脆弱的工控机和机台设备直接暴露在网络上,安全难以保障。

解决方案

针对工业控制系统的终端安全防护,深信达推出CBS赛博锁工控安全防护系统。

深信达CBS赛博锁工控安全防护系统是从保护数据角度出发,通过对操作系统镜像快照,从镜像快照中提取工作场景、业务数据访问行为、业务场景等,建立安全容器,对主机操作系统和业务程序进行签名加固,对数据的访问进行验证审计,杜绝非法数据使用,以不变应万变的白名单模式,对操作系统和数据进行保护,杜绝勒索病毒以及其他病毒、黑客的攻击行为。

​CBS赛博锁工控安全防护模块示意图

CBS赛博锁主机加固解决方案颠覆了传统安全防御理念。即使在丢失了系统管理员权限后,仍能进行有效防御,确保数据及业务系统的安全,从而实现最后一米的防御机制。

CBS赛博锁主机加固系统分为管理控制中心,服务器加固模块(CBS-S),员工终端和产线设备终端加固模块(CBS-C)三部分。系统架构图如下:

​CBS赛博锁系统架构图

管理控制中心对整个系统的防护策略进行管理,并可实时查看各防范引擎的日志和风险追朔。

CBS-S是针对业务服务器进行加固的模块,对业务服务器进行最后一米安全防护,保证服务器不被病毒和黑客骚扰。

CBS-C是根据员工终端和产线主机的特性,分别进行针对性病毒防入侵和数据保护加固。

产品介绍

CBS-S服务器加固

CBS-S服务器主机加固模块主要是通过系统加固快照技术,智能提取业务场景和相关特征,建立安全容器,容器内实现程序可信、场景白名单、文件保护、数据库保护四个防御模型,并通过灵活的策略调配,实现安全防护。各功能模块既能相互独立使用,也可以结合起来实现多层的安全防护。

1)可信系统

通过独有的内核级签名校验技术, 对操作系统内核以及系统应用做签名认证,实现未经签名的进程或签名不一致的进程(伪造进程)无法运行,杜绝病毒,木马的运行,确保OS层安全。

2)场景白名单

用于限制进程的启动。通过白名单机制限制当前场景下允许执行的进程。

使用场景: 在已稳定运行且安全的业务服务器上,可以通过该机制配置白名单策略(只放业务逻辑用到的进程),从而将服务器及数据被破坏的风险降至最低。

3)文件防护

根据最小化权限原理设计,对磁盘卷、目录、文件逐次进行深层防护,只允许指定的应用程序读/写指定的文件,确保文件层安全,如果发现数据文件变更行为立即进行拦截并向管理控制中心报警。

4)数据库防护

对数据库进行三个维度的防护:

首先对数据库存储文件进行访问控制保护,只允许数据库服务程序访问数据库实体文件;其次,对数据库服务监听的端口进行保护,只允许业务应用才能连接该端口,禁止非信任程序连接该端口;最后,对连接数据库的业务SQL语句进行解析过滤,拦截风险SQL语句。

CBS-S服务器加固的使用场景:

对于Web服务器,可以将网页所在的敏感数据所在目录保护起来,只放开对应的web服务进程访问,即使黑客登陆到服务器上也无法访问或修改敏感数据。同时对网页数据文件开启监控,进一步防止被篡改的可能性。如果网页是动态的,需要对数据库进行读写保护,实现网页防篡改功能。

对于文件服务器,通过策略设定,对于指定格式的文件(如.docx、.pptx等文档格式文件、dwg等图纸格式文件)进行进程访问验证控制,只允许合法的安全进程访问,禁止陌生的不安全进程使用。这样即使主机有病毒木马,数据一样安全,可以有效杜绝勒索病毒篡改数据、加密文件等行为。

CBS-C终端加固

CBS-C是针对员工办公终端和产线管理电脑特点而设计的加固模块,利用快照技术建立安全容器,通过容器内的程序可信和文件保护两个功能模块实现数据安全。

1)程序可信

对操作系统进行加固,只允许安全信任的程序运行。通过独有的内核级签名校验技术, 对操作系统内核以及系统应用做签名认证,实现未经签名的进程和可执行模块一律不能运行或加载,从根源上杜绝病毒,木马的运行,确保操作系统和程序安全。

2)文件保护

通过内核级驱动程序,对指定格式的文件,如docx、pptx、pdf,dwg,产线执行命令文本等,进行绑定可信进程保护,在不影响上述文件正常使用前提下,杜绝非法程序访问这些数据,彻底实现勒索病毒防范。

程序可信和文件保护搭配后,实现二层防护:第一层,不让病毒进来,即使进来也无法运行。第二层,即使能运行,也无法篡改数据,数据是安全的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/139007.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

IB课程为什么深受国际学生的喜爱?

凯恩斯是一个被大自然包围的城市。由于得天独厚的地理位置,在凯恩斯随时都可以让你感受到与自然融为一体的亲近与惬意。此外,安全性高也是一大优势,昆士兰当地人对国际学生非常热情友好,在你需要帮助的时候,从来不会感…

C++跨平台(支持LINUX,WIN32,Solaris,MacOS,FreeBSD)的网络通信库及服务器编程框架源码

C跨平台(支持LINUX,WIN32,Solaris,MacOS,FreeBSD)的网络通信库及服务器编程框架源码 完整代码下载地址:跨平台的网络通信库及服务器编程框架源码 一、描述 1.1、库组成1.2、功能模块组成 1.2.1…

linux配置xrdp

源码 https://github.com/neutrinolabs/xrdp.git xrdp需要安装openssl-devel, pam-devel, libX11-devel, libXfixes-devel, libXrandr-devel ./bootstrap //git submodule下载,需要安装nasm,autoconf生成configure ./configure && make -j4 &a…

区块链与智慧城市

智慧城市的概念涵盖了城市领域的硬件、软件、管理、计算、数据分析等服务的集成。概括地说,就是利用信息通信技术(ICT)对城市运行各个环节的关键信息进行感知、整合、存储、处理、分析、预测和响应,从而提供智能响应和辅助决策。满…

工业建筑的应急照明系统的设计原则及常见电气设计问题与解决方案

【摘要】:文章根据《消防应急照明和疏散指示系统技术标准》(GB513O9-2018),介绍了工业建筑的应急照明系统的设计原则及常见电气设计问题与解决方案。 【关键词】:工业建筑;消防;应急照明;疏散标志;系统设计;安科瑞 李…

p2机器学习基本概念简介

2. 第 1 讲:机器学习基本概念简介上_哔哩哔哩_bilibili 机器学习找一个合适的函数: 随着找的函数不同,机器学习就有了不同的类别,下面了解一些专有名词: Regression:假设找的函数输出是一个数值&#xff…

学习笔记4:数据的存储

目录 一. 整形家族数据在内存中的存储 1.整形数据的原码,反码和补码 2.数据的大小端存储 3.相关练习 1.编写一个函数用于判断当前机器是大端存储类型还是小端存储类型 2.阅读代码判断程序输出内容 3.阅读代码判断程序输出内容 4.阅读代码判断程序输出内容 5.附头文…

5G NR标准 第13章 重传协议

第13章 重传协议 通过无线信道的传输容易出错,例如,由于接收信号质量的变化。 在某种程度上,这种变化可以通过第 14 章中讨论的链路适配来抵消。但是,接收机噪声和不可预测的干扰变化无法抵消。 因此,几乎所有无线通…

数字化时代,聊一聊企业的信息化整合

现如今,企业搭建的OA、ERP、CRM、HR、BI 以及财务软件等软件系统,其数据格式、数据库类别、操作系统、应用系统等不尽相同,位置分散相互独立,甚至有的企业在同一个系统下的财务、办公、销售、生产等系统也各自独立,相互…

蓝牙资讯|消息称苹果正开发 AirPods Lite 耳机

据 9to5Mac 报道,苹果目前正销售四种不同型号的 AirPods,包括第二代 AirPods 到定位更高端的 AirPods Max。虽然 AirPods 已成为非常受欢迎的耳机,但其并不便宜。 据海通国际分析师 Jeff Pu 爆料,苹果目前正在研发新的“AirPods…

SAP入门技术分享二:数据类型

数据类型1.概要2.数据类型的种类(1)ABAP基本数据类型(2)局部数据类型(3)全局数据类型3.DATA语句(1)TYPE type(2)LIKE num(3)VALUE int…

智能车|ROS主控与STM32建立通信软硬件全方位讲解

智能车|ROS主控与STM32建立通信软硬件全方位讲解前言智能车控制器功能通信内容硬件连接软件设置更新电平转换芯片的serial创建设备别名使用设备别名ROS与STM32串口通信代码ROS主控读取stm32发送的数据ROS主控向stm32发送数据前言 通常复杂的机器人会存在多个控制器,…

吴恩达《机器学习》——神经网络与反向传播

神经网络与反向传播1. 神经网络1.1 神经网络的前馈传播1.2 利用反向传播求梯度1.2.1 正则化梯度2. 目标函数(损失函数)2.1 PyTorch官方文档版本2.2 吴恩达讲解版本2.3 两种版本的区别在哪?2.4 正则化目标函数3. Python实现3.1 梯度校验3.2 封…

hcie-路由引入与控制

关于本实验:本实验主要介绍了路由选择工具ACL和IP-Prefix的配置,路由引入的配置以及路由策略的配置方法及注意事项。 实验目的:掌握路由选择工具的配置方法,路由策略与策略路由的配置与注意事项。 实验组网介绍: 实验…

美颜sdk人脸美妆代码分析、算法流程

美颜sdk人像美妆是非常重要的一个功能,目前深受广大用户喜爱,本篇文章小编将为大家讲解一下美颜sdk人像美妆功能的代码以及算法实现流程。 1、人像美妆算法流程 首先进行妆容模板制作,主要由Photoshop等编辑软件制作,最终由设计…

解微信弹性布局--简单搭建一个页面

Flex布局简介布局的传统解决方案,基于盒状模型,依赖 display属性 position属性 float属性什么是flex布局?Flex是Flexible Box的缩写,意为”弹性布局”,用来为盒状模型提供最大的灵活性。任何一个容器都可以指定为Fle…

SpringBoot连接MySQL报错CommunicationsException: Communications link failure

情况说明 一个定时任务查询数据进行汇总,查询时间大约在20-30秒,应用链接报错。 CommunicationsException: Communications link failureThe last packet successfully received from the server was 10,026 milliseconds ago. 环境 MySQL8.0 mysql…

Java Eclipse如何调试代码

下面通过一个简单的例子来了解一下 Eclipse 调试程序的方法。上述代码完成的主要功能是如果 i 值满足小于或等于 5 的条件,就一直执行输出语句。可以看到 for 关键字后面的小括号中有三个表达式,第一个表达式int i0的作用是定义一个 int 类型的变量并赋初…

193:vue+openlayers 多边形的绘制,编辑feature,删除所选feature和清空功能

第193个 点击查看专栏目录 本示例的目的是介绍如何在vue+openlayer中使用select来选择feature元素,选中的元素可以编辑,也可以删除,同时可以删除整个图层的source内容。 直接复制下面的 vue+openlayers源代码,操作2分钟即可运行实现效果; 注意如果OpenStreetMap无法加载,…

IOS技术分享| IOS快对讲调度场景实现

前言 “快对讲” 是基于 anyRTC 音视频技术 对讲业务的产品,为客户提供专业对讲、多媒体对讲和可视化调度功能。 主要功能包含: 频道与会话多频道对讲、监听、锁定、强拆音视频单人、多人呼叫、呼叫调度台图片、视频上报视频回传、监看位置回传即时消息…