工业控制系统病毒防范探讨
北京威努特技术有限公司
目录/CONTENTS
工业控制系统病毒防护现状01
威努特工控网络病毒治理实践02
01
工业控制系统病毒防护现状
工控安全事件频发，工控安全需求强烈
2016年中国工控系统领域的安全事件呈暴涨趋势，相比于2015年增长了2,213%。

平均每件安全事件对中国企业造成的损失达263万美元
中国工控安全事件呈暴涨趋势
随着《网络安全法》的出台实施，以及工业企业在信息安全上的刚性需求，工控安全市场需求年增速超过50%。

工控安全需求逐年保持高增长
⏹
一是越来越多的工业控制系统及设备暴露于互联网，极易被黑客探测发现。

⏹二是工控安全漏洞层出不穷，制造、能源、交通等重要领域首当其冲。

⏹三是大规模、高强度工业信息安全事件频发，工业领域成为网络攻击“重灾区”。

三大风险
一项短⏹我国工业网络安全保障能力相对薄弱
工控安全事件大多伴随恶意程序身影
2010年：Stuxnet 奇袭伊朗核设施2015年、2016年：BlackEnergy 、Industroyer 两次制造乌克兰断电
2017年：WannaCry 影响全球
2014年：Havex 袭击北美电力设备
2012年：Flame 席卷中东工业设施2011年：Conficker 感染国内某石化（CrossOverRide ）
常规病毒感染成为工控网络最常见问题
＞20%基于威努特超过100例工控现场的调研结果显示,超过2成的工控网络存在带毒运行的问题，给工控网络长期稳定运行带来安全隐患。

超过2成工控网络“带病”运行
警惕！新型PLC蠕虫病毒PLC-Blaster
该病毒可以不借助上位PC机，仅通过
PLC之间进行互相传播。

该病毒的实现思
路，适用于多个厂家的PLC设备，并且可
以在一定规则范围内相互进行传播。

PLC-Blaster研究人员：
“我们游离内核之外的攻击形式，其运行负荷低
于1%，这就意味着，即使那些实时监控PLC功
耗情况的系统也无计可施，无法检测出我们的
攻击手段。

”
防病毒软件安装情况
与工业控制系统应用软件不兼容，导致工控系统运行错误近70%的工业主机未安装防病毒软件
超过90%防病毒软件病毒库更新不及时
≈70%
＞90%
工控网络不联网，缺少实时更新条件工业主机配置较低，可能引起工业主机运行缓慢
自动化厂商排斥，业主用户担心
存在误杀问题，引发应用软件异常面对特种木马、0day 利用，功能失效
工控网络对病毒防范提出新要求
可用性完整性保密性
32113
2传统信息网
工控网络
稳定！！！
⏹包括病毒库升级、补丁升级的一切带来变化的行为在工控网络都难以接受，即黑名单机制不适用于工控网络
⏹由于工控网络业务行为相对清晰，允许通过技术语言描述业务行为的轮廓边界，即白名单（流量、访问、应用程序白
名单）
02
威努特工控网络病毒治理实践
建立工控边界病毒隔离“白环境”
边界隔离措施
合法流量异常流量
生产监测/办公网
生产控制/生产网建立生产监控层与生产控制层（或办公网与生产网）的合法流量模型，梳理边界流量白名单，只放行业务相关流量，所有异常流量均阻断，避免传统防病毒网关或IPS 需要频繁升级特征库的窘境。

✓访问控制✓工控协议合规性验证✓协议点值、阈值控制
建立工控网络通信病毒检测“白环境”
建立网络访问通信模型，梳
理网络访问关系，对网络异
常流量进行告警，通过可视
化手段发现木马、蠕虫等恶
意网络扫描、探测行为。

如：WannaCry频繁主动探测
445端口
建立工控主机病毒免疫“白环境”☐缓冲区溢出、0day 漏洞利用等攻击方式，传统杀毒软件存在短板✓白名单可以抵御高级内存注入攻击，识别内存违规、可疑进程并发出警报☐工业控制网络绝对不允许接入互联网，传统安全解决方案难以及时更新、打补丁✓白名单库部署后仅需根据业务系统变化作少量变更，不需联网获取数据☐杀毒软件或将业务软件误识为病毒而删除✓业务、进程均位于白名单内，不会被隔离
删除，并可保持系统以最佳性能运行可执行禁止执行。