一、工控網(wǎng)絡(luò)安全現(xiàn)狀

在工控網(wǎng)絡(luò)病毒越來越引起人們的的關(guān)注，工控網(wǎng)絡(luò)常見的病毒來源包括系統(tǒng)或工控軟件自帶病毒、下載攜帶病毒第三方程序、用戶使用了帶病毒的U盤，由于工控網(wǎng)絡(luò)相對隔離，所以U盤等移動存儲介質(zhì)使用的越來越廣泛，它已經(jīng)成為木馬、病毒等傳播的主要途徑之一。通過U盤傳播病毒的案例非常多，在工業(yè)控制系統(tǒng)中最知名的攻擊“震網(wǎng)”蠕蟲就是通過U盤侵入控制網(wǎng)絡(luò)，更改PLC中的程序和數(shù)據(jù)，然后對伊朗的核設(shè)施造成了嚴(yán)重的破壞。本文將詳細(xì)介紹U盤病毒是如何在工控網(wǎng)絡(luò)傳播以及如何對它進(jìn)行防范的。

二、U盤病毒傳播方式

所說的U盤病毒，并不是單指某一種病毒，也不是說只是通過U盤傳播的病毒，而是泛指所有通過U盤介質(zhì)進(jìn)行傳播的病毒。目前U盤病毒傳播的方式主要有以下幾種：

1）通過autorun.inf文件進(jìn)行傳播的，這U盤病毒傳播最普遍的方式；

2）偽裝成其他的文件，病毒把U盤下所有文件夾隱藏，并把自己復(fù)制成與原文件夾名稱相同的具有文件夾圖標(biāo)的文件，當(dāng)你點擊時病毒會執(zhí)行自身并且打開隱藏的該名稱的文件夾；

3）通過可執(zhí)行文件感染傳播，是一種傳統(tǒng)但非常有效的傳播手段。

三、U盤病毒傳播防范技術(shù)

3.1 傳統(tǒng)的防范方法

一般的情況下通過修改操作系統(tǒng)相關(guān)安全配置來達(dá)到U盤病毒的基本防范能力，同時增加專業(yè)的病毒軟件可以達(dá)到U盤病毒防范功能，操作系統(tǒng)本身提供以下途徑進(jìn)行U盤病毒防護(hù)。

1）關(guān)閉自動化播放功能，關(guān)閉windows系統(tǒng)的U盤自動運行功能，U盤插入到電腦后就不會自動運行從而防止防毒入侵；

2）修改注冊表讓U盤病毒禁止雙機(jī)盤符自動運行；

3）打開U盤時請選擇右鍵打開，使用U盤的時候通過右鍵單擊U盤盤符選擇“打開”命令或者通過“資源管理器”窗口進(jìn)入，因為雙擊實際上是立刻激活了病毒，這樣做可以避免中毒；

4）創(chuàng)建Autorun.inf文件夾。在所有磁盤中創(chuàng)建名為“Autorun.inf”的文件夾，如果有病毒要侵入時，這樣病毒就無法自動創(chuàng)建再創(chuàng)建同名的Autorun.inf文件了，即使你雙擊盤符也不會運行病毒，從而控制了U盤病毒的傳播；

3.2 終端防護(hù)軟件和安全U盤結(jié)合

管理中心是集中策略和日志查看中心，終端防護(hù)軟件是采用白名單方式的終端防護(hù)軟件被安裝在內(nèi)網(wǎng)主機(jī)上。管理中心可以設(shè)置主機(jī)的U盤訪問策略（訪問策略一般包括禁用、只讀、讀寫）和查看U盤訪問的日志；終端防護(hù)軟件控制連接到主機(jī)的普通U盤和安全U盤讀寫權(quán)限。一般情況下不允許普通U盤在安裝終端防護(hù)軟件的主機(jī)使用，限制安全U盤只能在安裝終端防護(hù)軟件的機(jī)器使用且控制主機(jī)按照訪問策略讀寫U盤，同時在U盤使用過程實時記錄U盤違規(guī)訪問日志。

1）對于安全U盤，終端防護(hù)軟件默認(rèn)允許其使用。安全U盤分為普通分區(qū)和安全分區(qū)，不同使用環(huán)境配置不同的分區(qū)。

安全分區(qū)僅在安裝有工控終端防護(hù)軟件產(chǎn)品的主機(jī)上可以使用，同時開放相應(yīng)訪問策略后才可看到和正常使用，實現(xiàn)“專區(qū)專用”。同時對安全分區(qū)進(jìn)行加密，采用高強(qiáng)度商密算法，有效防止暴力破解導(dǎo)致的數(shù)據(jù)泄露。安全分區(qū)主要用于內(nèi)網(wǎng)與內(nèi)網(wǎng)之間傳輸安全級別較高的數(shù)據(jù)，保障數(shù)據(jù)的安全性，也保證數(shù)據(jù)不會在外網(wǎng)泄露。

普通分區(qū)在未安裝工控終端防護(hù)軟件產(chǎn)品的計算機(jī)上可讀取，在安裝工控終端防護(hù)軟件的主機(jī)上可以寫數(shù)據(jù)，主要用來向外傳輸安全級別較低的數(shù)據(jù)；

2）對于普通U盤，為了保護(hù)內(nèi)網(wǎng)主機(jī)安全，不允許普通U盤在安裝終端防護(hù)軟件的系統(tǒng)上使用，以保證受保護(hù)的主機(jī)不感染病毒。

3.3終端防護(hù)軟件和U盤白名單結(jié)合

這個方案的管理中心和終端防護(hù)軟件功能同“終端防護(hù)軟件和安全U盤結(jié)合”方案功能一致，只是為了降低成本，普通U盤在管理中心注冊之后變成U盤白名單，安裝終端防護(hù)軟件的主機(jī)允許其按照訪問策略讀寫白名單U盤，而不允許訪問于非白名單的U盤，同時在U盤使用過程實時記錄U盤違規(guī)訪問日志。

3.4 安全擺渡機(jī)

通過擺渡機(jī)進(jìn)行單向的數(shù)據(jù)傳遞，對病毒進(jìn)行阻隔。將外網(wǎng)的數(shù)據(jù)通過U盤拷貝到不連內(nèi)外網(wǎng)的擺渡機(jī)上，對其進(jìn)行清除竊密程序和查殺病毒后，再用另外的優(yōu)盤拷貝到內(nèi)網(wǎng)計算機(jī)上，同時可以記錄所有擺渡事件的記錄并進(jìn)行U盤的認(rèn)證和登記。該方案必須滿足有以下幾個要求：

1）人工把普通U盤區(qū)分為內(nèi)網(wǎng)或外網(wǎng)U盤；

2）內(nèi)外網(wǎng)U盤不得同時插入中間機(jī)，以防交又感染；

3）U盤插入中間機(jī)后必須先經(jīng)過殺毒處理；

4）只能從外網(wǎng)到內(nèi)網(wǎng)交換信息，而不能反向操作。

3.5 USB口隔離硬件

安全擺渡機(jī)通過主機(jī)軟件來實現(xiàn)U盤與U盤之間的安全數(shù)據(jù)交換，為了能夠更加安全簡潔地完成交換功能，還可以在U盤和主機(jī)的USB口之間增加硬件介質(zhì)實現(xiàn)物理隔離。在部署USB口隔離硬件的時候，工控網(wǎng)絡(luò)內(nèi)部主機(jī)上除USB口隔離硬件連接使用的USB接口外的其他USB口采用物理方式封閉，然后把原來連接在主機(jī)USB扣上所有硬件（如鼠標(biāo)、鍵盤燈）連接到U盤隔離專用硬件上。

USB口隔離硬件通過專有硬件在U盤與計算機(jī)之間形成物理隔離區(qū)，USB口隔離硬件對U盤的數(shù)據(jù)文件進(jìn)行預(yù)讀處理，阻擋惡意文件的拷貝并通過病毒軟件進(jìn)行文件過濾，從而保障USB數(shù)據(jù)的安全可靠的讀寫。

3.6 方案對比

企業(yè)要求內(nèi)外網(wǎng)絡(luò)隔離，外網(wǎng)的數(shù)據(jù)不允許帶入內(nèi)網(wǎng)和且不允許操作系統(tǒng)和軟件隨意升級，從工控網(wǎng)絡(luò)這種應(yīng)用場景來看，“終端防護(hù)軟件和安全U盤結(jié)合”和“終端防護(hù)軟件和U盤白名單結(jié)合”的安全解決方案可以基本解決問題。

1）“終端防護(hù)軟件和U盤白名單結(jié)合”解決方案為了防止外網(wǎng)病毒向內(nèi)網(wǎng)的傳播需要通過制度來限制白名單U盤在外網(wǎng)使用，存在很大的不可控的人為風(fēng)險。

2）“終端防護(hù)軟件和安全U盤結(jié)合”解決主機(jī)安全的同時，再增加少量的成本的情況下解決客戶安全需求

a）對外只提供普通U分區(qū)的只讀功能可以防止外網(wǎng)通過U盤把病毒傳播到內(nèi)網(wǎng)；

b）限制內(nèi)部主機(jī)使用安全分區(qū)傳輸可以防止U盤病毒在內(nèi)部網(wǎng)絡(luò)交叉感染；

c）把重要資料加密并放在安全專區(qū)且對外網(wǎng)不可見可以防止內(nèi)網(wǎng)重要資料泄露；

d）把一些安全級別較低的資料放在普通分區(qū)可以滿足外網(wǎng)讀取內(nèi)網(wǎng)的資料。

因此，“終端防護(hù)軟件和安全U盤結(jié)合”的方案從目前來看是工控企業(yè)最好的選擇。對于特殊客戶需要從外網(wǎng)把數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，只需要額外增加安全擺渡機(jī)來解決外網(wǎng)數(shù)據(jù)到內(nèi)網(wǎng)的安全性。

四、U盤的使用和管理規(guī)范

除了從技術(shù)上解決了U盤病毒傳輸渠道，同時需要從企業(yè)制度和管理上杜絕安全U盤的使用習(xí)慣。

一是加強(qiáng)密安全意識培訓(xùn)，提高安全意識，做好工作U盤的保管和使用工作。

二是加強(qiáng)對U盤的管理。做到專盤專用，專人保管。日常工作中，存儲重要或涉密文件的安全U盤（或內(nèi)網(wǎng)U盤）與一般用途的普通U盤（或外網(wǎng)U盤）要嚴(yán)格區(qū)分，嚴(yán)格限制其使用范圍，不得用于與其他計算機(jī)頻繁交換文件，尤其要避免在互聯(lián)網(wǎng)計算機(jī)上使用。