杨绍波  瑞星终端安全技术总监

摘要：本文以作者自身工作实践为例，探讨了工控网络的终端安全实践，并提出了两大问题，IT方面的经验或者技术手段有没有可能放到OT上面去？还是说因为目前发展阶段不够成熟没用上去；主机安全协议难。

大家都一直讨论说网络层面，但其实从IT角度包括近几年对OT角度的理解，终端的安全白名单方式做主机安全，做的所谓主机安全，往往把终端的概念相对是忽略的，或者说不够重视，这也是为什么我今天可疑的来谈终端安全，因为我们公司肯定不只是做终端安全，另外大家感受一下终端安全到底有新思路，到底有没有价值？我先抛一个IT行业的理念，安全是非绝对的，所以不管前面架多少道墙最终都可以进来，被加密被其他的方式进来，但最终总得干坏事，就要落到终端上就要回归本质，其实在IT领域有一个理念，最终在终端的最后一道防线能够发现真正的本质在哪里，所以终端是非常重要的。

第二个关于国内的情况我们收集一些信息和我们接触的情况，中国现在是全球网络攻击的最大受害国，换言之今天不管是作为安全专家还是爱好者还是各个部委的领导去引导整个体系的发展来说，对于咱们每一个人来说责任都是任重而道远的。自2011年以来网络攻击增长15倍，其中30%是针对国家的基础设施，这也是提醒我们的警钟让我们更注意。怎么样的东西做安全会有价值？说瑞星你是为了给自己说好话，我拿了第三方也是全球的分析报告分享一下。这个报告叫做全球工业控制系统网络安全的状况，首先它的采样，已经采集了21个国家的数据还是有一定的代表性，另外还有访谈和调查有359次的访谈，其中有三分之二是中型以上的组织，尤其是中国人口或者工业整体的体量还是比较大的，我觉得也是更接近于现实。它所接触的人并不是不懂的人或者是占在边缘上的人也不是，有一半是最终责任人，我相信他应该是很关注这个事情的。

整个的文章不能说研究的非常透彻，我分享两个类型的数据，第一个认知的安全和实际安全的威胁，到底哪一些威胁在工控网络安全怎么样，做完所有的东西也解决不了所有的安全问题，我现在做的安全解决方案觉得是现实的问题还得面对，这个不是我编造的数据。普通认知恶意软件简单回顾一下，之前出现的很多事件，最终被抓出来的还是病毒最终造成破坏，所以说恶意软件就会有防火墙中间的管理手段等等协议的分析，但是恶意软件发现是最终干坏事的本体。第二个是第三方威胁，第三个外部的蓄意破坏。实际情况下最终统计出来第一名确实是恶意软件能够占到53%，第二名是APT，APT最终来说也是回归到最终落地。第三个内部的人为错误，这个我觉得对于我们的触发也是比较大的，之前提出人的思想包括之前的专家也提过最终要有人好好的操作，同样的道理操作不好人犯错占的比重也很大。

哪一些手段是有效的？之前大家的感受实际过程当中哪一些是对我们的工控安全是相对有效的措施？左边是大家曾经认知右边是实际的，实际终端的防恶意软件占最大的比重67%，当然像咱们国内来说普遍性接受的是类似于白名单的方式，这个我也非常的了解这种机制。其二很多人说为什么不敢用带引擎类的防病毒，当然带引擎类会有另外一种形式存在，包括前天也有一家公司来和我做交流，说不敢用我们升不了级，他说我是内网环境不能升级杀毒软件用不上，我一度的怀疑是不是没有引擎的公司也是尝试在传播这个概念？瑞星以做IT为主，80%是内网用户，我们做党政军包括中办国办他们会连互联网吗？难道他们都不升级了吗？不是的。上一次也简单的谈过这个问题，升级不是问题，包括打补丁也不问题。但是我们已经做了20多年，我最近也接触了很多现实细节的东西更重要或者是一些差异性。第二个安全意识的培训特别的有效，我曾经个人的理解我认为这个是放第一的，包括为什么国家要出台政策标准，迫使人也要对这个问题特别的重视，人不重视什么东西都很难做下来，实际比终端占的比重没有小太多，国家是有政策的，不管是网络安全法还是等保，人员本身的意识和安全能力的提升非常的重要，这一点对公共领域来说比IT领域差太多，IT领域往往是人不够，很多人有意识但是不够，这个我不说具体的单位名称，其中有一个单位就说我覆盖全国也有几百万台的终端，我到一个市级单位的级别上一个人干IT运维还得干其他的业务，你觉得我干的过来吗？但是回头说工控领域不仅仅是没人的问题，更多是没有这方面的意识。第三个入侵检测防御也不细解释，给大家感受一下。所以这排前三名的终端安全意识跟防御，我认为安全意识是第一重要的，有了这个意识后面的东西才能更好的落地下来。

有意识国家出台什么政策，之前邹主任也提到这个问题我也不细说了。另外等保2.0邹主任比较规范的解释，我谈谈怎么样理解这个事情，首先提了五大方面，我把它小的归纳一些哪一些东西是可能做的，实际上抽取一些新的，比如说刚刚提到的垃圾邮件刻意不去点，在工控领域用邮件的还是偏少一些，边界防护访问控制入侵防范恶意代码防范可信认证安全审计，我当时也看完可信认证现在目前最难操作的确实是可信认证，现在确实有一些单位从软件的识别，以前叫证书现在所有人运行要求用什么样的可信机制，但是网络层面怎么样是有一些困难的，再一个就是安全审计和可行性验证还有数据保护，包括数据完整性以及加密什么的。再一个还有关键信息隐藏不要求网络里面不能看到机器的信息，还是要分区过滤要求把这些区进行保护，我就说垄断的稍微提取一下可能认为也是干货。

从我工作的角度或者我考虑的角度怎么样考虑这个事的？实际上给大家分享的。其实这个东西本身是在IT领域里面比较成熟，我现在的这些考虑都是综合的环境下我认为是有价值的，大家觉得现在有一些抵触，但是最终还是会慢慢完善健全起来的，第二个防病毒恶意代码防范，我们认为的干货点里面，还有放火墙，以前传统大概的边界认为网络与网络之间或者机器与机器之间建立边界，最终包括我们给国家大的部级单位，重新定义的网络边界防护是要从终端做的，而不是以前靠纯粹的网络层怎么划分都可以，最终回归本质是加密的网络或者怎么样。不落地到端上有可能识别不到一些真实的东西来，哪怕是IT领域对于加密传输等等不到端内不可以做不太好或者功能有很大的缺失，再一个漏洞补丁，它对应也是入镜防范也有关系的，再一个行为审计里面包括了访问控制和安全审计，再一个资产管理它其实包括的是身份界别和安全审计，它包括对应到等保2.0提到的东西。其中还提到我们要管理，管理第一个要有集中管控三权分立，集中管控前面分操作管理安全管理审计管理，其实在国家的之前等级保护约定其实就是三权分离对各自也有一些相对概括的定义，还有网络的支持，这种网络我们对它IPV4、IPV6更复杂包括其他的动态，这些现在我们的产品里面或者是现在设想发明里面是全部都是支持的。再一个工程模块化，咱们也是按需选用实际的环境来考虑的，而且能够远程的动态装卸。

一个国家也一直在提国产管控，这里有必要给引擎来说一说。第一个我们的引擎现在不光是我们自己用，我不介意的说现在也有做纯工控安全的一些公司，其实他们最终也来用我们的引擎，后来还有工具箱模式，外面的审计模式拿一个U盘提什么等保检查箱最终还是要用引擎，他们现在找到我们瑞星，瑞星的引擎到底怎么样？可能有一些不太了解我们也总结一下全面先进、高效强悍。全面什么意思？我们的识别能力各平台包括现在的国产平台，包括展台外面有做国产的机器，我们全部支持。

第二个我们的技术体系很先进，我们在几年前就用到人工智能的技术来进行识别，平台支持主流通用国产的都可以，技术方向已经用人工智能化云化检测文件混合都可以，再一个运营模式刚刚南开的教授也讲到我们做无人化，我们的运营已经早就做到了95%以上是无人化的运营，高效就是自动无休因为有先进能够达到高效，还有普遍的认为防病毒引擎指的是拦截已知威胁，其实不是的，在N年前马上就有动态启发等等，本身就能做很多的未知威胁的识别，再加上现在有一些新的行为检测靠动态的检测其实也能处理很多未知的威胁检测，像APP就得靠这种。再一个强悍，识别能力我们是比较自信说我们是全球领先国内最强，怎么证明？这也是前不久5月份做新品发布会做的图，而且当时技术人员说我们是不是不能打其他的友商的名字，最后决定我们就打出来，我们敢对这个事情负责任，不是我们的数据是我们从第三方平台拿的数据，瑞星在全球来说我们排的比较靠前，这个我们排第三，在国内排第一。第二名第二名怎么样，之前关注我们公司的信息很早看到这个图，今天再次分享一下，正因为我们有这样的成绩，前面的能力也好，最终达到强悍，所以不管是我们行业还是工控还是做系统后台的服务器他们都来找到我们，所以我们有能力不光服务好我们的用户，我们帮助我们的朋友怎么样来一起把这个行业建设做的更好。

正因为前面更多是一些理念概念性的东西，具体我们能做什么样的东西？其实很多我们已经提出了好几大模块，稍微提到我认为比较特别一点的，但是可能偏技术性有一些不太感兴趣，比如说常规的就不提了，换言之病毒的扫描检测不仅仅是拿一个引擎去扫就OK的，我们有很多新的技术，不是单一的平台检测匹配。特别的技术比如说变频查杀这个也是很有用的，大家担心我们的东西对它的资源占有很高，如果有时间分享一下前天和人家交流的特别敏感，包括绿色杀毒装不了怎么办，我们做成绿色盘去厂家使用，甚至有厂家想买我们的U盘杀毒不卖给他，因为发现有一些机器不能装的，但是他又要想发现，我们的产品带了随便做出来不用买，他们就说你们能不能卖我几个，再一个防勒索特别的重要，我们有更好的防勒索的方案。

勒索扫描功能也是比较完善的，其中提一点同样的内网环境我们依然能够帮助大家比较快速高效把补丁打下去，这个问题不要因为是内网环境就觉得是不可行的，包括验证组我可以先验证一下再全网实施推广怎么样。放火墙的功能本身做的边界入侵防御等等，本身我们做了九大类的上网防护联网防护还做了管理类的功能，其中具体的比如说做行为控制规则，这个就能做到访问工作边界的管理，以及自定义黑白名单等等。网络准入本身的端内发现它已经达到了一定的危险级别，我们就让这个端不能够去联网，刚刚提的之前怎么样？我们控制在一个小的网络范围里面，但其实在网络范围里面还能够传染的，我们能够做到终端级别，这个终端达到什么样的威胁让它感染不上。再一个审计可能有一些不同行业环境，有一些重视有一些不是很重视，如果是U盘口或者是操作站其实还是挺重要的，我们在外设的管控上面和U盘的管控或者是非法网络上面我们现在做的也是非常深入，已经有很多的用户在使用我们这种功能，这个是把U盘的准入使用记录准入的分组智能设备识别已经做的是很好了。

资产管理要能够探测资产信息，本身装的软件情况，以及机器本身的性能情况，包括后续的分发等等，资产管理功能也是在里面有的。另外一个刚刚我提了一句，我觉得从长远来看我认为工控领域很多东西还是要国产化的，至少我们目前的国产化领域上首先是非国产化通用的操作系统，再一个国产的平台芯片上面龙芯、兆芯全都支持，另外有的厂担心设备，瑞星不管从引擎层到产品层全都是支持的，操作系统什么中标麒麟等等我都全部支持的，再还有国产数据库不是每一个系统都会关心，但是我们也是全支持什么达梦、神通、南大通用，国家是强制规定一定不允许使用别的，我们都把路走开了。

集中管控是怎么考虑的？第一个我特别提出来就是可运维，以前的东西放到那里不太可运维，最终什么效果也不好，怎么做到可运维可管理，点比较多第一个分区，可运维要做到自动化，人不够，人的意识形态没上升，我能做到自动化的运维。再一个安全检测要加白名单模式，白名单模式是有效的，但是它对于一些新进来的东西更新也比较麻烦，或者进来的东西难道就不带威胁吗？我们用这个业务系统一个新版本进来了，新版本是不是就能说已经带病毒进来了，我觉得你们很多人比我的感受跟深，至少我碰到好几个用户，我们没办法，我们开发就带病毒，分发给用户就是带病毒进去的，难道我们就没有办法吗？加入白名单我们就认为它是白了？我认为白名单模式是很有必要的，但是在它的前面还是要经过安全检测的，这里面话题可以很多，后面会把分区检测给大家试一下，我构思的也会把以后的体系怎么样来建设。在入侵防御防控再一个EDR，其实EDR不只是在IT领域OT领域上也是有效的。再就是情报支持数据分析未知发现，这个大家可能会听过安全大脑的概念，这个东西会比态势感知再往前一步的东西，大家以后可以会慢慢的感受到，我今天说的情报就是数据分析，安全大脑下一步的概念东西会相关联，这个终端防控体系怎么样的分层，他们是管理体系本身也奥进行一级二级，这里不非常的细讲了，之前看过架构的体系。所以怎么样做出服务器怎么做处理，中间再加放火墙怎么样，但是本身要分级管理的，其中有一个带宽只有两兆大小业务系统已经用了90%，你们上其他的系统我要过等保4.0我必须上，我上了之后本身要采集日志，采集日志可能业务就不行了，怎么办？物理层面规划层面包括限速上面我们确实都已经有所考虑的，两兆带宽还是单台机器是一个环线上面N台机器可以共享两兆带宽。最后分享一下这个图分区管理可运维自动化。

这个我认为做终端做安全不是终端也是可参考可借鉴可探讨，第一个分区，这个区不是指用户的业务区，甚至是我们作为安全体系来说分为三大区域，第一个导入学习区，第二个叫测试观察区，第三个叫生产运营区，我们要进任何新的东西任何体系进行首先要进入学习区或者我要检测先跑一遍，我再看怎么样，再一个就是我们要看录完这个东西是不是真的能够跑的怎么样，所以这个是观察区要测试，然后再自动到生产运营区这个东西最好是不用人工参与，但是适当的人工参与是要的。这个设备和安全产品放在那不动就自动的把它运转起来的，所以这个是分区可维护自动化的概念，我们瑞星体系也会按照这个思路和模式去做。