工业信息安全的神秘武器——德迅卫士（主机安全）

前言：

服务器作为承载公司业务及内部运转的底层平台，其稳定、安全地运行是公司的正常发展的前提保障。由于主机上运行着各种各样的业务，会存在着各类漏洞及安全问题。攻击者以此为目标，通过对服务器的攻击来获利，给公司发展造成严重的危害和损失。

因此，保证核心主机上关键业务的安全和高可靠性变得尤为重要，对于主机操作系统层面的安全问题（包含漏洞及高危配置项）急需解决。

有关主机安全卫士的法律法规及要求

一、《信息安全技术网络安全等级保护基本要求》

安全计算环境-身份鉴别：

1.应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

2.应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

安全计算环境-入侵防范：

1.应遵循最小安装的原则，仅安装需要的组件和应用主机加固程序；

2.应关闭不需要的系统服务、默认共享和高危端口；

工业控制系统扩展要求：

应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的应通过相关的外设管理技术措施实施严格的监控管理。

二、《工业控制系统信息安全防护指南》：

安全软件选择与管理：在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

主机加固：生产控制大区主机操作系统应当进行安全加固。加固方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。关键控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。

工业控制系统安全防护内容和要求：

1.所有工业控制系统的过程监控设备操作系统应采用最小化系统安装原则，只安装与自身业务相关的操作系统组件及应用软件。

2.企业应加强USB端口管理，限制光驱使用，关闭或限制使用交换机、路由器等网络设备的不必要功能、端口、协议和服务。

为什么选择德迅卫士

在工控主机安全卫士这类产品问世前，针对工控系统主机普遍采用的安全防护手段就是安装防病毒软件，来阻止机器上的恶意软件运行和传播。常见于国外的工业自动化厂商，在自家控制系统出厂时就搭配了防病毒软件一同交付。但毫无疑问的是，这些防病毒软件的病毒库会在交付到用户现场的那一刻就很难再更新了。

说到底，防病毒软件是一种基于黑名单的查杀方式，“黑名单”是指“坏的”、“不被允许的”，即只有在恶意软件被加入黑名单时才会被阻止运行，黑名单之外的软件和行为被认为都是正常、可信的。

但是，防病毒软件的特征库更新是必然晚于恶意软件的发现的，具有天然的滞后性，并不能对付未知的、新的恶意程序的攻击，如0Day攻击，APT攻击等。并且其对来自操作人员的行为攻击完全无能为力。

不同于用于IT网络中使用的PC环境，工业主机有其独特的特点：

1.网络封闭

工业主机直接的接入企业的工业控制网络，很少能连接到互联网，在规避了大量接入外网风险的同时，也使系统管理员放松了应对网络攻击的警惕。

2.信息资产价值更大

工业主机存储的信息包含大量企业的流程、工艺、运行记录等机密数据，相较办公数据其价值更大，一旦丢失泄露对企业造成的风险、危害也更大。

3.使用的软件和协议有其专业性

工程师站和操作员站其运行的是专业的DCS、SCADA系统软件如WinCC等，可以实时监控系统运行的状态并及时调整其运行，下层连接的PLC、阀门、仪表等设备运行的是ModBus、OPC、IEC101/104等工控专业协议，传统防病毒软件、终端管理软件对其行为分析完全无能为力。

4.移动存储介质使用风险更大

工业主机由于其封闭性，更普遍使用U盘、移动硬盘等移动存储设备传递数据，但是由于系统漏洞多、升级慢，其遭受攻击的可能性更大，如Stuxnet震网病毒即通过此种途径传播，一旦病毒入侵，就会在内网迅速复制传播，感染整个网络。

基于上述工业主机独有的一些特点，德迅卫士应运而生。

德迅卫士采用自适应安全架构，有效解决传统专注防御手段的被动处境，为系统添加强大的实时监控和响应能力，帮助企业有效预测风险，精准感知威胁，提升响应效率，保障企业安全的最后一公里。