产线工控设备安全经验分享

news2024/11/16 17:35:29

 工控设备安全现状

工业控制系统是支撑国民经济的重要设施,是工业领域的神经中枢。现在工业控制系统已经广泛应用于电力、通信、化工、交通、航天等工业领域,支撑起国计民生的关键基础设施。

随着传统的工业转型,数字化、网络化和智能化的工业控制系统逐渐接入互联网,病毒、木马、蠕虫、僵尸网络等常见威胁也威胁到工业控制系统的安全。近几年,勒索病毒的出现,在企业损失大量数据的情形下,也对企业造成了不可估量的经济损失。

目前,企业会在工业控制系统的外围建立防火墙、入侵检测系统、入侵防御系统等技术控制手段,同时也会采用不必要的设备不连接网络;需要更新设备图纸资料时,中间传输设备多层管控,包括设置专用设备、设备病毒扫描查杀等行政控制手段。多种控制方式之下,狡猾的攻击者仍旧能够绕过重重防护措施,攻击工控机和机台,侵害企业利益。

工控设备安全需求

针对专用的生产设备,企业为了使业务持续运行,更多的选择外围的控制措施,对于工控机和机台等终端设备,反而不会进行保护。

首先,专用设备的系统不同于普通的操作系统,无法安装常规的杀毒软件。

其次,杀毒软件可能会影响到系统内业务系统的正常运行,针对不联网的设备,杀毒软件的病毒库也无法做到实时更新,无法应对新型病毒。

再者,生产设备上业务系统的更新,尤其是供应商的远程更新,也存在有一定的风险。供应商通过网络连接到企业内部网络,该网络通道不仅仅可供供应商连接,攻击者也会通过该网络通道进行攻击。脆弱的工控机和机台设备直接暴露在网络上,安全难以保障。

解决方案

针对工业控制系统的终端安全防护,深信达推出CBS赛博锁工控安全防护系统。

深信达CBS赛博锁工控安全防护系统是从保护数据角度出发,通过对操作系统镜像快照,从镜像快照中提取工作场景、业务数据访问行为、业务场景等,建立安全容器,对主机操作系统和业务程序进行签名加固,对数据的访问进行验证审计,杜绝非法数据使用,以不变应万变的白名单模式,对操作系统和数据进行保护,杜绝勒索病毒以及其他病毒、黑客的攻击行为。

​CBS赛博锁工控安全防护模块示意图

CBS赛博锁主机加固解决方案颠覆了传统安全防御理念。即使在丢失了系统管理员权限后,仍能进行有效防御,确保数据及业务系统的安全,从而实现最后一米的防御机制。

CBS赛博锁主机加固系统分为管理控制中心,服务器加固模块(CBS-S),员工终端和产线设备终端加固模块(CBS-C)三部分。系统架构图如下:

​CBS赛博锁系统架构图

管理控制中心对整个系统的防护策略进行管理,并可实时查看各防范引擎的日志和风险追朔。

CBS-S是针对业务服务器进行加固的模块,对业务服务器进行最后一米安全防护,保证服务器不被病毒和黑客骚扰。

CBS-C是根据员工终端和产线主机的特性,分别进行针对性病毒防入侵和数据保护加固。

产品介绍

CBS-S服务器加固

CBS-S服务器主机加固模块主要是通过系统加固快照技术,智能提取业务场景和相关特征,建立安全容器,容器内实现程序可信、场景白名单、文件保护、数据库保护四个防御模型,并通过灵活的策略调配,实现安全防护。各功能模块既能相互独立使用,也可以结合起来实现多层的安全防护。

1)可信系统

通过独有的内核级签名校验技术, 对操作系统内核以及系统应用做签名认证,实现未经签名的进程或签名不一致的进程(伪造进程)无法运行,杜绝病毒,木马的运行,确保OS层安全。

2)场景白名单

用于限制进程的启动。通过白名单机制限制当前场景下允许执行的进程。

使用场景: 在已稳定运行且安全的业务服务器上,可以通过该机制配置白名单策略(只放业务逻辑用到的进程),从而将服务器及数据被破坏的风险降至最低。

3)文件防护

根据最小化权限原理设计,对磁盘卷、目录、文件逐次进行深层防护,只允许指定的应用程序读/写指定的文件,确保文件层安全,如果发现数据文件变更行为立即进行拦截并向管理控制中心报警。

4)数据库防护

对数据库进行三个维度的防护:

首先对数据库存储文件进行访问控制保护,只允许数据库服务程序访问数据库实体文件;其次,对数据库服务监听的端口进行保护,只允许业务应用才能连接该端口,禁止非信任程序连接该端口;最后,对连接数据库的业务SQL语句进行解析过滤,拦截风险SQL语句。

CBS-S服务器加固的使用场景:

对于Web服务器,可以将网页所在的敏感数据所在目录保护起来,只放开对应的web服务进程访问,即使黑客登陆到服务器上也无法访问或修改敏感数据。同时对网页数据文件开启监控,进一步防止被篡改的可能性。如果网页是动态的,需要对数据库进行读写保护,实现网页防篡改功能。

对于文件服务器,通过策略设定,对于指定格式的文件(如.docx、.pptx等文档格式文件、dwg等图纸格式文件)进行进程访问验证控制,只允许合法的安全进程访问,禁止陌生的不安全进程使用。这样即使主机有病毒木马,数据一样安全,可以有效杜绝勒索病毒篡改数据、加密文件等行为。

CBS-C终端加固

CBS-C是针对员工办公终端和产线管理电脑特点而设计的加固模块,利用快照技术建立安全容器,通过容器内的程序可信和文件保护两个功能模块实现数据安全。

1)程序可信

对操作系统进行加固,只允许安全信任的程序运行。通过独有的内核级签名校验技术, 对操作系统内核以及系统应用做签名认证,实现未经签名的进程和可执行模块一律不能运行或加载,从根源上杜绝病毒,木马的运行,确保操作系统和程序安全。

2)文件保护

通过内核级驱动程序,对指定格式的文件,如docx、pptx、pdf,dwg,产线执行命令文本等,进行绑定可信进程保护,在不影响上述文件正常使用前提下,杜绝非法程序访问这些数据,彻底实现勒索病毒防范。

程序可信和文件保护搭配后,实现二层防护:第一层,不让病毒进来,即使进来也无法运行。第二层,即使能运行,也无法篡改数据,数据是安全的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/187079.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

机器学习算法竞赛实战--3,数据探索

数据挖掘是竞赛的核心模块之一,贯彻竞赛始终也是很多竞赛胜利的关键那么数据探索又是什么呢?可以解决哪些问题?首先应该明确3点,即如何确保自己准备好竞赛使用的算法模型如何为数据集选择最合适的算法如何定义可用于算法模型的特征…

安装DevStack稳定版本zed

STEP1: 创建stack用户(一定要!) sudo useradd -s /bin/bash -d /opt/stack -m stack sudo chmod x /opt/stack echo "stack ALL(ALL) NOPASSWD: ALL" | sudo tee /etc/sudoers.d/stack sudo -u stack -i //用stack用户登陆 STEP2: git clone devsta…

SAP中物料价格改变导致的库存价值变动业务分析

基于审计的需求要看看物料在标准成本价格变更前后的库存成本变化情况。找了下资料,需要用到 CKMPCSEARCH这个事务,相当于是一个用于价格修改凭证查询的事务。但试了一下在本公司的系统中并没有从搜索到其菜单位置。 尝试直接输入Tcode后,是可…

CSRF 伪造跨域请求

文章目录一、什么是伪造跨域请求二、攻击方式三、防御措施1、检查Referer字段2、添加校验token一、什么是伪造跨域请求 伪造跨域请求(英语:Cross-site request forgery),通常缩写为 CSRF, 是一种挟制用户在当前已登录…

IntelliJ IDEA 2021.2(Community Edition)安装阿里编码规约插件,亲测有效

1.背景阿里巴巴java开发手册不断完善并出了很多版本到目前2023年1月截止,已经出了黄山版,在文章最后有参考资料可根据需要下载;随着企业对项目质量的要求,对开发代码也有了更高的要求和规范,借助阿里巴巴编码规约插件&…

redis geo 没有迁移手工插入数据

1、docker ps |grep redis2、docker exec -it qinghai-sc-xining-redis-single/eadd4cc4eefe bin\sh --进入redis容器[rootlocalhost ~]# [rootlocalhost ~]# [rootlocalhost ~]# [rootlocalhost ~]# docker ps|grep rediseadd4cc4eefe redis "docker-entrypoint.s…"…

python 气体扩散,在 Python中用数值模拟研究气体扩散

在 Python 中,可以使用数值模拟来研究气体扩散。 模拟气体扩散需要解决两个问题:流体动力学方程(如 Navier-Stokes 方程)和扩散方程。 文章目录Python 代码模拟气体扩散计算并显示气体浓度的均值和标准差研究气体扩展的高级方法Py…

Word控件Spire.Doc 【Table】教程(7): 如何在C#中用表格替换word文档中的文本

Spire.Doc for .NET 是一款专门对 Word 文档进行操作的 .NET 类库。在于帮助开发人员无需安装 Microsoft Word情况下,轻松快捷高效地创建、编辑、转换和打印 Microsoft Word 文档。拥有近10年专业开发经验Spire系列办公文档开发工具,专注于创建、编辑、转…

【金三银四系列】之Java基础面试(2023版)

Java基础面试题 一: Java基础 1: 简单说说Java中对象如何拷贝? 一、浅拷贝clone()如果对象中的所有数据域都是数值或者基本类型,使用clone()即可满足需求,如:Person p new Person();Person…

30天自制操作系统(Mac版)读书笔记(day9)

day7和day8都是鼠标和32位的操作,看起来都是理论,先略过。 检测内存块数量 使用中断去检测内存,把这个当成一个函数调用吧。这里面di寄存器给的地址就是结果存在的内存位置。 ComputeMemory:mov ebx, 0mov di, MemChkBuf .loop:mov e…

linux安装vnc服务

1、 如操作系统是最小化安装,那么需要安装GNOME桌面,安装参考:https://blog.csdn.net/carefree2005/article/details/119417234 2、 安装vnc-server yum -y install tigervnc-server3、 复制配置文件模板,将无关的内容清除 cat…

图灵 | 计算机器与智能

【“计算机器与智能”选自《Mind》,no.2236(1950.10),P433-460。牛津大学出版社允许重印。刘西瑞、王汉琦 翻译】1. 模仿游戏我建议来考虑这个问题 :“机器能够思维吗?” 这可以从定义 “机 器” 和 “思维…

Docker数据目录迁移

背景在CentOS中安装了Docker,默认Docker Root目录是/var/lib/docker。但是该目录磁盘空间很有限,后期很容易导致系统盘满了,所以考虑迁移到更大磁盘目录下,比如下面的/fsc目录下。解决在Docker官方文档https://docs.docker.com/co…

excel查找定位:INDEX函数——精确制导导弹

一、认识INDEX函数Index函数:在给定的单元格区域中,返回特定行列交叉处单元格的值或引用。函数结构:index(单元格区域,行号,列号)区域,行号,列号,很像通过坐标瞄准打靶呀。就像下面动…

高阶数据结构之AVL树

文章目录回顾二叉搜索树AVL树在AVL树中插入新节点AVL树中的各种旋转右单旋左单旋左右双旋右左双旋验证是否是AVL树验证是否是二叉搜索树验证是否是平衡树总结AVL树回顾二叉搜索树 二叉搜索树的一些特点回顾: (1)每一个节点左树上所有节点的值都是…

vue多实例的骚操作,主要用于解决组件全局弹窗面板的问题。。。

1.问题背景 主要是自己写了一个组件库&#xff0c;其中涉及到弹出面板的组件遇到兼容性问题。 举个例子&#xff0c; 日期选择组件例如 DaterPicker组件 大概的代码如下&#xff08;省略了细节实现&#xff09; <template> <label>日期</label> <input …

一文详解PHP用流方式实现下载文件(附代码示例)

一淘模板给大家带来了关于PHP的相关知识&#xff0c;其中主要介绍了在PHP中怎么使用流方式来实现下载文件的&#xff0c;下面一起来看一下&#xff0c;希望对大家有帮助。 PHP 中使用流方式下载文件 在 PHP 中&#xff0c;可以使用 fopen() 函数打开一个远程文件&#xff0c;并…

Unity使用本地UPM包的实现方式

实现1&#xff1a;项目根路径实现优点&#xff1a;1.不必有额外操作2.本地包随项目版控&#xff0c;不会丢失包产生错误3.按需升级包缺点&#xff1a;1.包的修改随项目版控&#xff0c;增加日志冗余2.不利于包全局管理建议使用场景多人合作&#xff0c;开发底子较弱的团队。实现…

今年春节,全国物流很稳!

我叫张雄伟&#xff0c;是腾讯安全的一位交付工程师。我和团队的主要工作&#xff0c;是物流行业重点客户的安全防御项目管理工作。近两年&#xff0c;我们开始向顺丰、极兔等多家大型物流公司提供安全产品与服务。在双十一、618等全民购物节、春节等电商旺季&#xff0c;我们和…

百华鞋业开工大吉|起航新征程,扬帆再出发

爆竹声声迎鸿运&#xff0c;开工大吉启新程。2023年农历正月初六&#xff0c;山东百华鞋业有限公司迎来节后开工吉日。百华的家人们迅速集结工作岗位&#xff0c;以饱满的精神状态&#xff0c;按下工作复位键&#xff0c;俯身蹬地冲起跑&#xff0c;努力奋斗再出发&#xff01;…