不给病毒可乘之机

作者:Ingo Hilgenkamp 文章来源:Phoenix Contact公司技术市场部 发布时间:2013-06-06

继Stuxnet、Duqu和Conficker等木马病毒出现之后,过程控制和流程工艺技术领域急需工业自动化设备的安全保护解决方案,能够在无需升级的条件下不出现误报警,能够抵御恶意软件侵入。传统的病毒防护方法在基于计算机技术的工业自动化控制系统中很难实施或者根本不起作用。本文介绍的解决方案将告诉您如何抵御自身不断更新的病毒、蠕虫和木马。

源于办公室环境的系统安全保护方案在工业生产中很少或者几乎找不到。工业生产控制系统所需要的安全保护解决方案一方面要能够保证正常的生产,另一方面还需要准确、有效地保护生产过程中的用户数据。一个配置合理、系统安装在每一个通信节点中的硬件防火墙,已经成为了目前每一个局域网必备的安全保护工具。这里的安全防护系统不仅仅是在单独系统中集成、按照用户的要求有选择而工作的防火墙,或者只是能够自动屏蔽恶意软件的攻击、在生产和使用过程中没有功能错误和误报警的解决方案。

这里所指的安全防护系统是一种专用系统,尤其是在黑客攻击时能够利用自己的资源反击黑客攻击的安全保护系统。它保证了不间断的通信,能够预防误报警或者机床、设备的停机。

根据防火墙配置的调节机制,防火墙的作用决定于是否允许某一数据包通过防火墙。其调节机制的基础是发送设备、接收设备的媒体存取控制(MAC)地址以及IP地址、端口或者传输协议。Phoenix Contact公司研发生产的FLM Guard系列防火墙能为每个控制过程设置一定的带宽,对网间控制报文协议(ICMP)的数据包数量或者地址解析协议请求ARP加以限制。

但是,恶意软件,例如病毒、蠕虫和木马不能通过防火墙的进行传播。恶意软件往往通过隐藏在通用互联网文件系统(CIFS)、服务器信息块(SMB)中进行传播。在这类通信协议的基础上,通信数据不可能得到有效的过滤。因为数据通信以模块的方式按照复杂的方式进行。而且数据一旦发出去就不能阻止病毒的扩散和蔓延,因为几乎所有的Windows环境下的系统使用的都是这种通信协议。机床和设备之间的通信通过它们之间的通信协议和端口来完成,不可能被防火墙阻断,不会留下被恶意软件攻击的隐患。

动态监控

在自动化早期时代出现的Wurms Stuxnet蠕虫和类似的恶意软件大大提高了生产领域中Windows平台自动化控制系统的动态安全保护水平。利用通用互联网文件系统(CIFS)的完好性监测(CIM)使得FLM Guard RS4000工业自动化系统安全保护装置成为工业界可信度很高的病毒防护设备。CIM动态监控设备像病毒扫描仪一样工作,无需调用病毒库或者病毒库数据升级就能识别出安装了Windows系统的工业控制器、操作系统和受到了恶意软件攻击的计算机。FLM Guard系统能够对系统中的所有数据进行扫描。这一设备能够识别出伪装为*.dll, *.bat 或者*.com的有害数据。

同时使用防火墙和CIM动态监控是保护系统安全的最佳组合,能够起到很好的系统安全保护作用,它所保护的系统包括:

已经过时的老式操作系统、微软公司已经不再提供安全补丁的系统;例如:Windows 2000以及更老的版本。

虽然在供货状态时经过了生产厂家或者主管当局认证许可,但在软件改动后,例如操作系统升级之后失去了生产厂家三包服务保障、失去了主管当局的认证许可的软件系统。

在时间要求严格的工业领域中不可能配备病毒扫描设备的实时监控系统。

由于没有上网能力而无法升级病毒库数据的系统;或者有意未配备防病毒软件和/或IDS/IPS(入侵检验系统/入侵防护系统)的系统;因为一旦防护系统出现错误报警整套设备都将停止运行。

设备的运营商没有安装防病毒软件和/或IDS/IPS(入侵检验系统/入侵防护系统)的专业知识和理念,从而对自动化控制系统带来了不利的影响。

由于资源有限而无法扩大对流程工艺进行控制的情况。


图2 CIM动态监控(CIFS完好性监测)的原理

即时检测

FLM Guard系列防火墙完全放弃数据传输过程中的扫描和恶意软件标识符的比较,能够避免发出错误的报警,防止数据传输的中断,从而避免了设备的停机。若经常进行病毒库升级,则往往会产生很高的管理费用,同时可能会对自动化系统的稳定性带来影响。传统的病毒扫描和病毒代码比较往往以恶意软件入侵为前提。但是Stuxnet等蠕虫病毒可以潜伏一年半不发作,并能继续传播、感染其他系统。利用CIFS完好性的动态监控可以及时发现病毒、蠕虫和木马篡改的数据,明显早于恶意软件代码扫描。

除了识别病毒之外,CIM动态监控还有其他全新的应用,例如确定是否有用户对系统进行改动。有些系统供应商对其用户提出了很高的保修费用要求。自动化控制系统中出现的问题有很多不是因为系统的缺陷而产生的问题,而是由于用户后来安装软件、驱动程序或者类似操作而出现的问题。CIM动态监控也能查出这类的变动,帮助您轻松的解决问题。

小结

Phoenix Contact公司新的RS4000自动化系统和性能可靠的FLM Guard防火墙能够提高机床和设备的安全保护水平,且不会对已有系统产生影响。结合RS4000和CIFS完好性的CIM动态监控,用户可以及时发现自动化系统中的任何变动。这样,能够保证用户可以安全可靠地使用自动化系统。FLM Guard系列的防火墙产品可以为用户提供简单、经济、可靠的系统安全解决方案。

0
-1
收藏
/
正在提交,请稍候…