久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

2017年5月12日晚20時左右，全球爆發(fā)大規(guī)模WannaCry勒索病毒感染事件，國內(nèi)眾多安全廠家積極響應(yīng)，分析報告無數(shù)，各家的應(yīng)對方案也接踵而來，但是事后諸葛亮的辦法并不能給人們以更多信心，有哪款產(chǎn)品事前可以預(yù)防此類病毒？面對如此疑問，各家都保持沉默，不禁讓人相當(dāng)?shù)谋^。但是好消息傳來，工控安全專業(yè)公司威努特日前發(fā)消息稱，其在某油田現(xiàn)場部署的工控主機衛(wèi)士安全軟件，在WannaCry勒索病毒被發(fā)現(xiàn)前即已成功攔截WannaCry運行，保護了客戶主機。

事件發(fā)生在某油田第二采氣廠，2016年曾部署威努特公司工控安全防護產(chǎn)品，其官網(wǎng)有案例可查http://www.winicssec.com/Index/show/catid/17/id/122.html。

發(fā)現(xiàn)WannaCry的電腦位于油田采氣廠調(diào)度中心，中心有兩臺配置完全一樣的計算機，每臺計算機都安裝兩張網(wǎng)卡，一張與采氣廠控制網(wǎng)絡(luò)、服務(wù)器通信，另外一張與西安總部通信，總部辦公網(wǎng)有多臺計算機感染W(wǎng)annaCry病毒。兩臺計算機都安裝有霍尼韋爾的EPKS組態(tài)軟件，其中一臺計算機（計算機B）沒有安裝工控主機衛(wèi)士軟件，感染了WannaCry病毒，文檔文件以及圖像文件無法正常使用，文件的擴展名也被修改成”.wncry”,同時系統(tǒng)桌面出現(xiàn)勒索信息，如圖1；

另一臺計算機（計算機A）安裝工控主機衛(wèi)士軟件，并未被病毒感染，病毒文件被工控主機衛(wèi)士阻止并產(chǎn)生應(yīng)用程序告警日志，如圖2所示。

圖1 現(xiàn)場WannaCry病毒感染情況

圖2 工控主機衛(wèi)士阻止記錄和告警日志

兩臺主機對比如下表所示。病毒是通過和總部的信息網(wǎng)連接被感染的，由于工控網(wǎng)和信息網(wǎng)連接在同一臺主機的兩張網(wǎng)卡上，網(wǎng)卡隔離不但沒有起到安全隔離作用，反而成了攻擊的跳板。幸運的是，調(diào)度中心的主用計算機安裝了工控主機衛(wèi)士，阻止了病毒的執(zhí)行，并進一步阻止了病毒向控制網(wǎng)的擴散，避免了損失的擴大化。

表1 調(diào)度中心計算機對比表

在病毒爆發(fā)不久，曾有網(wǎng)友在國內(nèi)知名安全論壇卡飯論壇上發(fā)布了對國內(nèi)外數(shù)十款殺毒軟件的啟發(fā)測試，結(jié)果表明在新病毒出現(xiàn)到殺軟入庫之間的這段空檔期里，這些殺軟全部都不能很好地保護我們的電腦。在掃描測試中，最高的查殺率也不過四分之一，這種比例與面對舊威脅時90％以上的比率形成了鮮明對比。

工控主機衛(wèi)士卻能在工業(yè)現(xiàn)場生效，根本原因是其采用了與殺軟“黑名單”查殺模式完全不同的“白名單”主動防御模式。2016年，工信部在發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》中的第一條：安全軟件的選擇與管理中，明確提出“在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行”，將白名單軟件放在了和防病毒軟件同等的位置。所謂“白”是指好的、可信的，即只有可信任的設(shè)備、軟件和數(shù)據(jù)，才允許在工控網(wǎng)絡(luò)內(nèi)部流通，其他惡意的、不明確的或者規(guī)定不允許的東西都不允許流通使用。這有別于“黑名單“的處理方式，即通過建立病毒庫、逐條匹配查殺，只有設(shè)備、軟件和數(shù)據(jù)被識別為“黑的”，才會被阻止運行。

防護理念的不同決定了效果的不同。不管WannaCry利用了什么漏洞，使用了多么先進的攻擊手法，但是工控主機衛(wèi)士還是能將之拒之門外。無論其將來出現(xiàn)多少變種，經(jīng)過多么強大的升級也依然無法對被工控主機衛(wèi)士保護的主機造成威脅。如果我國的工業(yè)主機都能部署工控主機衛(wèi)士的安全防護，其抵御安全威脅的能力無疑將提高數(shù)個級別。