工業互聯網，是人、機、物全面互聯的新型網絡基礎設施，被稱為“工業經濟轉型升級的關鍵依托”。安全作為工業互聯網發展的核心要素之一，如“神經末梢”一般滲透在工業流程的各個環節。如今，針對工業領域的網絡攻擊呈高發態勢，工業主機已成為安全事件的落腳點，做好工業主機的安全防護和控制是保障工業互聯網安全的核心。在工業主機安全領域，白名單機制作為主要的安全防護手段，可有效抵御勒索病毒、木馬等各類源自黑暗面的安全威脅。天融信以“白”除“黑”，全方位守護工業主機安全。

一、如何為工業主機建立“外設屏障”？

案例解析：U盤病毒，顧名思義就是通過U盤傳播的病毒。自從發現U盤的autorun.inf漏洞之后，U盤病毒的數量與日俱增。U盤病毒并不是只存在于U盤上，中毒主機的每個分區下面同樣有U盤病毒，主機和U盤交叉傳播。隨意在工業現場主機上插來源不明的USB設備，就會有主機失陷的可能。

解決措施：

1、建議通過管理和技術性控制措施，嚴格把控工業現場操作員、工程師站及服務器對移動存儲設備的使用，并定期檢查；

2、安裝工控主機衛士軟件并建立硬件白名單，對U盤管控功能進行防護，對未知U盤的接入進行告警和封堵；

3、對在硬件白名單中的U盤進行細粒度管控，默認設備為可讀狀態，避免被非法人員惡意導入木馬病毒及修改相關操作指令帶來的安全風險。

二、如何為工業主機擦干“被勒索的眼淚”？

案例解析：勒索病毒通過利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。當勒索病毒盯上了工業領域，工業主機將出現藍屏、不斷重啟、生產文件被加密等現象，嚴重影響工業企業的正常生產。

解決措施：在工業控制系統的主機上部署工控主機衛士，通過掃描、學習及人工校驗的方式建立程序白名單，阻止白名單外的程序啟動或加載，防范惡意程序與不合規程序運行，確保工業主機處于穩定運行狀態，避免因勒索病毒、木馬或非法應用造成的停機，保障生產業務連續可靠運行。

三、如何為工業主機指定“配置對象”？

案例解析：工業企業的生產機臺每年都會更新，不法分子常常會通過機器植入病毒，防護疏忽的企業會直接把機臺接入網絡中，一旦潛伏的病毒或未知漏洞被喚醒利用，會在整個網絡中迅速擴散，給工業企業帶來不可估量的損失。

解決措施：在工業控制系統的主機上部署工控主機衛士，開啟網絡白名單監控。只允許白名單中安全可信的程序與指定主機IP通訊，白名單之外的網絡連接全阻斷。即使有主機被感染病毒，也無法擴散傳播，防止工業主機被攻擊和被感染。

四、如何為工業主機減輕“壓力”？

案例解析：工業控制系統的使用生命周期較長，生產環境中存在大量長期服役的設備。雖然隨著業務的增長會添加新設備、新系統，但是大多工業產線依然存在嵌入式低配老舊系統，找到一款全適用的工業主機防護軟件成為了首要命題。

解決措施：在工業控制系統的主機上部署工控主機衛士，主機衛士有別于反病毒軟件不依賴急劇增長的特征庫，根據工業生產的具體生產環境建立可信白名單，對系統資源占用量小，亦適用于工控環境中老舊設備，是一款真正適用于工業場景的防護軟件。

天融信工控主機衛士是一款專門為工業主機打造的安全防護類軟件，系統采用白名單的安全機制，全面掃描工業主機的可執行文件，建立安全白名單基線，禁止非法文件加載及執行，防范病毒木馬感染；保護關鍵目錄及注冊表，實現業務應用與操作系統的安全加固；細粒度管理主機外設及移動存儲權限，阻斷病毒傳播途徑，從而對工業上位機及服務器實現全方位的安全防護，保障客戶業務連續穩定運行。