《威努特工控安全---浅谈工控网络如何防范U盘病毒》由会员分享,可在线阅读,更多相关《威努特工控安全---浅谈工控网络如何防范U盘病毒(7页珍藏版)》请在金锄头文库上搜索。
1、浅谈工控网络如何防范浅谈工控网络如何防范 U 盘病毒盘病毒1工控网络安全现状工控网络安全现状在工控网络病毒越来越引起人们的的关注,工控网络常见的病毒来源包括系统或工控软件自带病毒、下载携带病毒第三方程序、用户使用了带病毒的 U 盘,由于工控网络相对隔离,所以 U 盘等移动存储介质使用的越来越广泛,它已经成为木马、病毒等传播的主要途径之一。通过 U 盘传播病毒的案例非常多,在工业控制系统中最知名的攻击“震网”蠕虫就是通过 U 盘侵入控制网络,更改 PLC 中的程序和数据,然后对伊朗的核设施造成了严重的破坏。本文将详细介绍 U 盘病毒是如何在工控网络传播以及如何对它进行防范的。2U 盘病毒传播方式
2、盘病毒传播方式所说的 U 盘病毒,并不是单指某一种病毒,也不是说只是通过 U 盘传播的病毒,而是泛指所有通过 U 盘介质进行传播的病毒。目前 U 盘病毒传播的方式主要有以下几种:1)通过 autorun.inf 文件进行传播的,这是 U 盘病毒传播最普遍的方式;2)伪装成其他的文件,病毒把 U 盘下所有文件夹隐藏,并把自己复制成与原文件夹名称相同的具有文件夹图标的文件,当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹;3)通过可执行文件感染传播,是一种传统但非常有效的传播手段。3U 盘病毒传播防范技术盘病毒传播防范技术3.1 传统的防范方法传统的防范方法一般的情况下通过修改操作系统相关安全
3、配置来达到 U 盘病毒的基本防范能力,同时增加专业的病毒软件可以达到 U 盘病毒防范功能,操作系统本身提供以下途径进行 U 盘病毒防护。1)关闭自动播放功能,关闭 windows 系统的 U 盘自动运行功能,U 盘插入到电脑后就不会自动运行从而防止防毒入侵;2)修改注册表让 U 盘病毒禁止双击盘符自动运行;3)打开 U 盘时请选择右键打开,使用 U 盘的时候通过右键单击 U 盘盘符选择“打开”命令或者通过“资源管理器”窗口进入,因为双击实际上是立刻激活了病毒,这样做可以避免中毒;4)创建 Autorun.inf 文件夹。在所有磁盘中创建名为“Autorun.inf”的文件夹,如果有病毒要侵入时
4、,这样病毒就无法自动创建再创建同名的 Autorun.inf 文件了,即使你双击盘符也不会运行病毒,从而控制了 U 盘病毒的传播;3.2 终端防护软件和安全终端防护软件和安全 U 盘结合盘结合iPC-3.iPC-3安全区普通区内部网络安全U盘外部主机安全U盘禁用权限 的内部主机安全U盘只读权限 的内部主机安全U盘读写权限 的内部主机配置U盘访问策略普通U盘外部网络管理中心不携带病毒可能携带病毒终端防护软件管理中心是集中策略和日志查看中心,终端防护软件是采用白名单方式的终端防护软件被安装在内网主机上。管理中心可以设置主机的 U 盘访问策略(访问策略一般包括禁用、只读、读写)和查看 U 盘访问的日
5、志;终端防护软件控制连接到主机的普通 U 盘和安全 U盘读写权限。一般情况下不允许普通 U 盘在安装终端防护软件的主机使用,限制安全 U 盘只能在安装终端防护软件的机器使用且控制主机按照访问策略读写 U 盘,同时在 U 盘使用过程实时记录 U 盘违规访问日志。1)对于安全 U 盘,终端防护软件默认允许其使用。安全 U 盘分为普通分区和安全分区,不同使用环境配置不同的分区。安全分区仅在安装有工控终端防护软件产品的主机上可以使用,同时开放相应访问策略后才可看到和正常使用,实现“专区专用”。同时对安全分区进行加密,采用高强度商密算法,有效防止暴力破解导致的数据泄露。安全分区主要用于内网与内网之间传输
6、安全级别较高的数据,保障数据的安全性,也保证数据不会在外网泄露。普通分区在未安装工控终端防护软件产品的计算机上可读取,在安装工控终端防护软件的主机上可以写数据,主要用来向外传输安全级别较低的数据; 2)对于普通 U 盘,为了保护内网主机安全,不允许普通 U 盘在安装终端防护软件的系统上使用,以保证受保护的主机不感染病毒。3.3 终端防护软件和终端防护软件和 U 盘白名单结合盘白名单结合iPC-3iPC-3iPC-3.iPC-3内部网络U盘白名单禁用权 限的内部主机U盘白名单只读权 限的内部主机U盘白名单读写权 限的内部主机配置U盘访问策略外部网络外部主机终端防护软件管理中心U U盘盘白白名名单
7、单非非U U盘盘白白名名单单这个方案的管理中心和终端防护软件功能同“终端防护软件和安全 U 盘结合”方案功 能一致,只是为了降低成本,普通 U 盘在管理中心注册之后变成 U 盘白名单,安装终端防 护软件的主机允许其按照访问策略读写白名单 U 盘,而不允许访问于非白名单的 U 盘,同时在 U 盘使用过程实时记录 U 盘违规访问日志。3.4 安全摆渡机安全摆渡机iPC-3iPC-3iPC-3.iPC-3内部网络内部主机外部网络外部主机.摆渡机摆渡区外部U盘内部U盘通过摆渡机进行单向的数据传递,对病毒进行阻隔。将外网的数据通过 U 盘拷贝到不 连内外网的摆渡机上,对其进行清除窃密程序和查杀病毒后,再
8、用另外的优盘拷贝到内网 计算机上,同时可以记录所有摆渡事件的记录并进行 U 盘的认证和登记。该方案必须满足 有以下几个要求: 1)人工把普通 U 盘区分为内网或外网 U 盘; 2)内外网 U 盘不得同时插入中间机,以防交又感染; 3)U 盘插入中间机后必须先经过杀毒处理; 4)只能从外网到内网交换信息,而不能反向操作。3.5 USB 口隔离硬件口隔离硬件iPC-3U盘隔离硬件内部主机普通U盘鼠标键盘安全摆渡机通过主机软件来实现 U 盘与 U 盘之间的安全数据交换,为了能够更加安全 简洁地完成交换功能,还可以在 U 盘和主机的 USB 口之间增加硬件介质实现物理隔离。在 部署 USB 口隔离硬件
9、的时候,工控网络内部主机上除 USB 口隔离硬件连接使用的 USB 接口 外的其他 USB 口采用物理方式封闭,然后把原来连接在主机 USB 扣上所有硬件(如鼠标、 键盘灯)连接到 U 盘隔离专用硬件上。 USB 口隔离硬件通过专有硬件在 U 盘与计算机之间形成物理隔离区,USB 口隔离硬件 对 U 盘的数据文件进行预读处理,阻挡恶意文件的拷贝并通过病毒软件进行文件过滤,从 而保障 USB 数据的安全可靠的读写。3.6 方案对比方案对比方案方案功能功能成本成本部署部署备注备注传统的防范 方法防止本机 U 盘病毒感染低复杂需要实时升级病毒软件终端防护软 件和安全 U 盘结合1、防止内网之间 U
10、盘病毒传 播 2、防止外网到内网 U 盘病毒 传播 3、统一管理 U 盘防护控制策 略 4、记录 U 盘访问日志记录中简单没有提供外网数据向内网 传输功能终端防护软 件和 U 盘 白名单结合1、防止内网之间 U 盘病毒传 播 2、统一管理 U 盘防护控制策 略 3、记录 U 盘访问日志记录中简单需要制度来约束 U 盘的使 用范围以防 U 盘在外网感 染病毒安全摆渡机1、防止外网到内网 U 盘病毒 传播 2、记录 U 盘访问日志记录 3、统一管理 U 盘防护控制策 略较高简单1、摆渡机上传输操作太 复杂 2、摆渡机自身安全也面 临考验。USB 口隔离 硬件1、防止内网之间 U 盘病毒传 播 2、
11、防止外网到内网 U 盘病毒 传播 3、记录 U 盘访问日志记录 4、统一管理 U 盘防护控制策 略高复杂1、管理和维护成本较高 2、硬件内病毒软件实时 升级困难企业要求内外网络隔离,外网的数据不允许带入内网和且不允许操作系统和软件随意升级,从工控网络这种应用场景来看,“终端防护软件和安全 U 盘结合”和“终端防护软件和 U 盘白名单结合”的安全解决方案可以基本解决问题。1) “终端防护软件和 U 盘白名单结合”解决方案为了防止外网病毒向内网的传播需要通过制度来限制白名单 U 盘在外网使用,存在很大的不可控的人为风险。2) “终端防护软件和安全 U 盘结合”解决主机安全的同时,再增加少量的成本的
12、情况下解决客户安全需求a)对外只提供普通 U 分区的只读功能可以防止外网通过 U 盘把病毒传播到内网;b)限制内部主机使用安全分区传输可以防止 U 盘病毒在内部网络交叉感染;c)把重要资料加密并放在安全专区且对外网不可见可以防止内网重要资料泄露;d)把一些安全级别较低的资料放在普通分区可以满足外网读取内网的资料。因此,“终端防护软件和安全 U 盘结合”的方案从目前来看是工控企业最好的选择。对于特殊客户需要从外网把数据传输到内网,只需要额外增加安全摆渡机来解决外网数据到内网的安全性。4U 盘的使用和管理规范盘的使用和管理规范除了从技术上解决了 U 盘病毒传输渠道,同时需要从企业制度和管理上杜绝安全 U 盘的使用习惯。一是加强密安全意识培训,提高安全意识,做好工作 U 盘的保管和使用工作。 二是加强对 U 盘的管理。做到专盘专用,专人保管。日常工作中,存储重要或涉密文件的安全 U 盘(或内网 U 盘)与一般用途的普通 U 盘(或外网 U 盘)要严格区分,严格限制其使用范围,不得用于与其他计算机频繁交换文件,尤其要避免在互联网计算机上使用。
