WannaCry“永恒之藍(lán)“—力控華康護(hù)航工控安全之隔離篇
一、WannaCry 新進(jìn)展
全球肆掠的勒索軟件“想哭”(WannaCry)源自黑客組織“影子經(jīng)紀(jì)人”外泄的黑客工具,其攻擊對(duì)我國(guó)很多行業(yè)網(wǎng)絡(luò)也造成極大影響,包括教育、石油、交通、公安等。此組織日前再度發(fā)出警告稱,將在6月披露更多竊自美國(guó)國(guó)家安全局的黑客工具, 瞄準(zhǔn)Windows 10、路由器、瀏覽器甚至是手機(jī),這意味著全球可能面臨新的網(wǎng)絡(luò)安全威脅。
在過(guò)去,我們一些關(guān)鍵的基礎(chǔ)設(shè)施與部門(mén)一直寄希望于內(nèi)外網(wǎng)分離的部署與管理方式,對(duì)于建設(shè)信息安全防護(hù)的重視度不足,近期發(fā)生的種種攻擊事件告訴我們這種想法已不能滿足工控安全的新發(fā)展形勢(shì),所謂“魔高一尺,道高一丈”,只有我們自己足夠認(rèn)識(shí)工控安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全的重要性,才能堅(jiān)定的構(gòu)建工控安全隔離壁壘。
二、PSL隔離網(wǎng)關(guān)讓工業(yè)通信“去偽存真”
大家都知道本次WannaCry事件猶如網(wǎng)絡(luò)安全界的一顆“核彈”,其影響范圍之廣大家有目共睹,最近幾日我們也密切跟蹤本次事件的發(fā)展并提供給用戶第一時(shí)間的支持,從中有些行業(yè)用戶提問(wèn):“為什么部署了PSL網(wǎng)關(guān)就不會(huì)受到影響呢?”;當(dāng)然有些用戶也為前幾年的節(jié)省經(jīng)費(fèi)沒(méi)有采納我們的安全設(shè)計(jì)方案而后悔不已,下面小編來(lái)給大家做一個(gè)解釋說(shuō)明,為什么PSL隔離網(wǎng)關(guān)能夠讓工業(yè)通信“去偽存真”。
首先我們來(lái)回顧2009年力控華康成立之初,公司董事長(zhǎng)馬總就以其對(duì)工控行業(yè)的深厚理解以及對(duì)工控安全的憂患意識(shí)非常有遠(yuǎn)見(jiàn)的提出了:“工業(yè)生產(chǎn)中,控制網(wǎng)絡(luò)一旦受到了惡意攻擊,感染了病毒、蠕蟲(chóng),很可能導(dǎo)致整個(gè)控制網(wǎng)絡(luò)癱瘓,網(wǎng)絡(luò)中的主機(jī)崩潰,輕則影響工業(yè)生產(chǎn),重則造成重大安全事故,后果不堪設(shè)想?!?/p>
近9年的發(fā)展,力控華康從始至終踐行“專注”鑄就“專業(yè)”,PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)也經(jīng)歷多次產(chǎn)品升級(jí)換代并廣泛服務(wù)于工控行業(yè)用戶,從目到WannaCry影響的客戶反饋來(lái)看,還沒(méi)有一例是部署了PSL隔離網(wǎng)關(guān)而被攻擊受害的。為什么能夠有效阻斷包括“永恒之藍(lán)”在內(nèi)的病毒、蠕蟲(chóng)由信息網(wǎng)絡(luò)向控制網(wǎng)絡(luò)傳播?這要從硬件和軟件兩方面來(lái)講解:
硬件上,PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)的硬件架構(gòu)為獨(dú)立雙主機(jī)架構(gòu),分別接入到控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò),雙主機(jī)之間通過(guò)專用硬件隔離卡通訊,從物理層上斷開(kāi)了控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的直接網(wǎng)絡(luò)連接;
軟件上,通過(guò)隔離卡傳遞的數(shù)據(jù)受到嚴(yán)格限制,只有隔離網(wǎng)關(guān)已配置的特定工業(yè)應(yīng)用數(shù)據(jù),才會(huì)通過(guò)隔離通訊卡交換,同時(shí)雙機(jī)之間通信協(xié)議采用專有加密算法實(shí)現(xiàn)數(shù)據(jù)加、解密處理,保證傳輸數(shù)據(jù)的安全性,即便隔離網(wǎng)關(guān)的信息網(wǎng)絡(luò)一端被攻破,由于無(wú)法滿足加密驗(yàn)證,也不能通過(guò)隔離卡將病毒傳遞到控制網(wǎng)絡(luò),攻擊沒(méi)有了載體,這樣便保證了控制網(wǎng)絡(luò)的安全。
三、WannaCry 防護(hù)說(shuō)明
WannaCry勒索病毒如果想通過(guò)隔離網(wǎng)關(guān)由信息網(wǎng)絡(luò)向控制網(wǎng)絡(luò)傳播,首先隔離網(wǎng)關(guān)的內(nèi)建規(guī)則會(huì)起到第一層攔截作用(不符合規(guī)則的一概被過(guò)濾掉,由于被利用端口沒(méi)開(kāi)放所以這個(gè)階段就過(guò)不去);假設(shè)最惡劣情況下黑客附加其他手段將隔離網(wǎng)關(guān)信息側(cè)攻破,向控制網(wǎng)絡(luò)側(cè)傳播病毒,唯一的途徑就是通過(guò)隔離卡,因?yàn)楦綦x卡兩側(cè)不是網(wǎng)絡(luò)雙向連通的,因此隔離網(wǎng)關(guān)兩側(cè)不能建立TCP鏈接,所以無(wú)法使用TCP 445端口漏洞;另外我們?cè)偌偃缭谛畔?cè)向隔離卡單向發(fā)送數(shù)據(jù),通過(guò)隔離卡傳到控制側(cè),但無(wú)法通過(guò)加密算法解密驗(yàn)證(攻擊者不知道我們的調(diào)度及協(xié)議規(guī)格),所以在內(nèi)存中就會(huì)被丟棄,因?yàn)椴荒軓膬?nèi)存寫(xiě)到磁盤(pán)而形成病毒文件,所以說(shuō)想通過(guò)PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)操作控制網(wǎng)絡(luò),或者向控制網(wǎng)絡(luò)傳播病毒可謂難上加難。
四、總結(jié)與深思
WannaCry席卷全球,中國(guó)近3萬(wàn)家機(jī)構(gòu)受到影響,本次應(yīng)急響應(yīng)也說(shuō)明工控安全刻不容緩,伴隨著國(guó)家《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的正式發(fā)布(其中工業(yè)隔離產(chǎn)品是重點(diǎn)安全防護(hù)硬件之一),各行業(yè)標(biāo)準(zhǔn)也緊隨指南制定當(dāng)中,本次WannaCry事件再一次給工控行業(yè)信息安全拉響警報(bào),重視并理解《指南》要求,盡快“亡羊補(bǔ)牢,未為晚矣”。
力控華康致力于工業(yè)安全防護(hù)與研究,在工業(yè)現(xiàn)場(chǎng)已經(jīng)安裝了數(shù)千套PSL工業(yè)隔離防護(hù)網(wǎng)關(guān)以及ISG工業(yè)防火墻,在這場(chǎng)網(wǎng)絡(luò)攻擊事件中,確保用戶的DCS、PLC等控制系統(tǒng)和實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)免受攻擊,有力保障了工業(yè)生產(chǎn)的正常進(jìn)行和工業(yè)控制系統(tǒng)的安全運(yùn)行。力控華康也將繼續(xù)以“專注”所以“專業(yè)”服務(wù)于工控安全事業(yè)。
提交
新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)安全解決方案
魯西化工信息安全解決方案
WannaCry勒索蠕蟲(chóng)-力控華康護(hù)航工控安全
力控華康護(hù)航工業(yè)控制系統(tǒng)安全
力控華康中海油透平數(shù)據(jù)遠(yuǎn)傳項(xiàng)目