一、工控网络安全现状
在工控网络病毒越来越引起人们的的关注,工控网络常见的病毒来源包括系统或工控软件自带病毒、下载携带病毒第三方程序、用户使用了带病毒的U盘,由于工控网络相对隔离,所以U盘等移动存储介质使用的越来越广泛,它已经成为木马、病毒等传播的主要途径之一。通过U盘传播病毒的案例非常多,在工业控制系统中最知名的攻击“震网”蠕虫就是通过U盘侵入控制网络,更改PLC中的程序和数据,然后对伊朗的核设施造成了严重的破坏。本文将详细介绍U盘病毒是如何在工控网络传播以及如何对它进行防范的。
二、U盘病毒传播方式
所说的U盘病毒,并不是单指某一种病毒,也不是说只是通过U盘传播的病毒,而是泛指所有通过U盘介质进行传播的病毒。目前U盘病毒传播的方式主要有以下几种:
1)通过autorun.inf文件进行传播的,这U盘病毒传播最普遍的方式;
2)伪装成其他的文件,病毒把U盘下所有文件夹隐藏,并把自己复制成与原文件夹名称相同的具有文件夹图标的文件,当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹;
3)通过可执行文件感染传播,是一种传统但非常有效的传播手段。
三、U盘病毒传播防范技术
3.1 传统的防范方法
一般的情况下通过修改操作系统相关安全配置来达到U盘病毒的基本防范能力,同时增加专业的病毒软件可以达到U盘病毒防范功能,操作系统本身提供以下途径进行U盘病毒防护。
1)关闭自动化播放功能,关闭windows系统的U盘自动运行功能,U盘插入到电脑后就不会自动运行从而防止防毒入侵;
2)修改注册表让U盘病毒禁止双机盘符自动运行;
3)打开U盘时请选择右键打开,使用U盘的时候通过右键单击U盘盘符选择“打开”命令或者通过“资源管理器”窗口进入,因为双击实际上是立刻激活了病毒,这样做可以避免中毒;
4)创建Autorun.inf文件夹。在所有磁盘中创建名为“Autorun.inf”的文件夹,如果有病毒要侵入时,这样病毒就无法自动创建再创建同名的Autorun.inf文件了,即使你双击盘符也不会运行病毒,从而控制了U盘病毒的传播;
3.2 终端防护软件和安全U盘结合
管理中心是集中策略和日志查看中心,终端防护软件是采用白名单方式的终端防护软件被安装在内网主机上。管理中心可以设置主机的U盘访问策略(访问策略一般包括禁用、只读、读写)和查看U盘访问的日志;终端防护软件控制连接到主机的普通U盘和安全U盘读写权限。一般情况下不允许普通U盘在安装终端防护软件的主机使用,限制安全U盘只能在安装终端防护软件的机器使用且控制主机按照访问策略读写U盘,同时在U盘使用过程实时记录U盘违规访问日志。
1)对于安全U盘,终端防护软件默认允许其使用。安全U盘分为普通分区和安全分区,不同使用环境配置不同的分区。
安全分区仅在安装有工控终端防护软件产品的主机上可以使用,同时开放相应访问策略后才可看到和正常使用,实现“专区专用”。同时对安全分区进行加密,采用高强度商密算法,有效防止暴力破解导致的数据泄露。安全分区主要用于内网与内网之间传输安全级别较高的数据,保障数据的安全性,也保证数据不会在外网泄露。
普通分区在未安装工控终端防护软件产品的计算机上可读取,在安装工控终端防护软件的主机上可以写数据,主要用来向外传输安全级别较低的数据;
2)对于普通U盘,为了保护内网主机安全,不允许普通U盘在安装终端防护软件的系统上使用,以保证受保护的主机不感染病毒。