工業(yè)互聯(lián)網(wǎng)，是人、機、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施，被稱為“工業(yè)經(jīng)濟轉(zhuǎn)型升級的關(guān)鍵依托”。安全作為工業(yè)互聯(lián)網(wǎng)發(fā)展的核心要素之一，如“神經(jīng)末梢”一般滲透在工業(yè)流程的各個環(huán)節(jié)。如今，針對工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊呈高發(fā)態(tài)勢，工業(yè)主機已成為安全事件的落腳點，做好工業(yè)主機的安全防護和控制是保障工業(yè)互聯(lián)網(wǎng)安全的核心。在工業(yè)主機安全領(lǐng)域，白名單機制作為主要的安全防護手段，可有效抵御勒索病毒、木馬等各類源自黑暗面的安全威脅。天融信以“白”除“黑”，全方位守護工業(yè)主機安全。

一、如何為工業(yè)主機建立“外設(shè)屏障”？

案例解析：U盤病毒，顧名思義就是通過U盤傳播的病毒。自從發(fā)現(xiàn)U盤的autorun.inf漏洞之后，U盤病毒的數(shù)量與日俱增。U盤病毒并不是只存在于U盤上，中毒主機的每個分區(qū)下面同樣有U盤病毒，主機和U盤交叉?zhèn)鞑ァｋS意在工業(yè)現(xiàn)場主機上插來源不明的USB設(shè)備，就會有主機失陷的可能。

解決措施：

1、建議通過管理和技術(shù)性控制措施，嚴(yán)格把控工業(yè)現(xiàn)場操作員、工程師站及服務(wù)器對移動存儲設(shè)備的使用，并定期檢查；

2、安裝工控主機衛(wèi)士軟件并建立硬件白名單，對U盤管控功能進行防護，對未知U盤的接入進行告警和封堵；

3、對在硬件白名單中的U盤進行細(xì)粒度管控，默認(rèn)設(shè)備為可讀狀態(tài)，避免被非法人員惡意導(dǎo)入木馬病毒及修改相關(guān)操作指令帶來的安全風(fēng)險。

二、如何為工業(yè)主機擦干“被勒索的眼淚”？

案例解析：勒索病毒通過利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。當(dāng)勒索病毒盯上了工業(yè)領(lǐng)域，工業(yè)主機將出現(xiàn)藍屏、不斷重啟、生產(chǎn)文件被加密等現(xiàn)象，嚴(yán)重影響工業(yè)企業(yè)的正常生產(chǎn)。

解決措施：在工業(yè)控制系統(tǒng)的主機上部署工控主機衛(wèi)士，通過掃描、學(xué)習(xí)及人工校驗的方式建立程序白名單，阻止白名單外的程序啟動或加載，防范惡意程序與不合規(guī)程序運行，確保工業(yè)主機處于穩(wěn)定運行狀態(tài)，避免因勒索病毒、木馬或非法應(yīng)用造成的停機，保障生產(chǎn)業(yè)務(wù)連續(xù)可靠運行。

三、如何為工業(yè)主機指定“配置對象”？

案例解析：工業(yè)企業(yè)的生產(chǎn)機臺每年都會更新，不法分子常常會通過機器植入病毒，防護疏忽的企業(yè)會直接把機臺接入網(wǎng)絡(luò)中，一旦潛伏的病毒或未知漏洞被喚醒利用，會在整個網(wǎng)絡(luò)中迅速擴散，給工業(yè)企業(yè)帶來不可估量的損失。

解決措施：在工業(yè)控制系統(tǒng)的主機上部署工控主機衛(wèi)士，開啟網(wǎng)絡(luò)白名單監(jiān)控。只允許白名單中安全可信的程序與指定主機IP通訊，白名單之外的網(wǎng)絡(luò)連接全阻斷。即使有主機被感染病毒，也無法擴散傳播，防止工業(yè)主機被攻擊和被感染。

四、如何為工業(yè)主機減輕“壓力”？

案例解析：工業(yè)控制系統(tǒng)的使用生命周期較長，生產(chǎn)環(huán)境中存在大量長期服役的設(shè)備。雖然隨著業(yè)務(wù)的增長會添加新設(shè)備、新系統(tǒng)，但是大多工業(yè)產(chǎn)線依然存在嵌入式低配老舊系統(tǒng)，找到一款全適用的工業(yè)主機防護軟件成為了首要命題。

解決措施：在工業(yè)控制系統(tǒng)的主機上部署工控主機衛(wèi)士，主機衛(wèi)士有別于反病毒軟件不依賴急劇增長的特征庫，根據(jù)工業(yè)生產(chǎn)的具體生產(chǎn)環(huán)境建立可信白名單，對系統(tǒng)資源占用量小，亦適用于工控環(huán)境中老舊設(shè)備，是一款真正適用于工業(yè)場景的防護軟件。

天融信工控主機衛(wèi)士是一款專門為工業(yè)主機打造的安全防護類軟件，系統(tǒng)采用白名單的安全機制，全面掃描工業(yè)主機的可執(zhí)行文件，建立安全白名單基線，禁止非法文件加載及執(zhí)行，防范病毒木馬感染；保護關(guān)鍵目錄及注冊表，實現(xiàn)業(yè)務(wù)應(yīng)用與操作系統(tǒng)的安全加固；細(xì)粒度管理主機外設(shè)及移動存儲權(quán)限，阻斷病毒傳播途徑，從而對工業(yè)上位機及服務(wù)器實現(xiàn)全方位的安全防護，保障客戶業(yè)務(wù)連續(xù)穩(wěn)定運行。