@
2年前 提问
1个回答

工控安全白名单技术四种类型是什么

delay
2年前

工控安全白名单技术四种类型如下:

  • 应用程序白名单技术:应用程序白名单是用来防止未认证应用程序运行的一种措施。传统的病毒查杀往往是以“黑名单模式”工作,把恶意软件隔离或清除,这种方式很明显永远都只能防御已知的威胁和病毒,而AWL的理念是“白名单”模式,只有允许的应用程序才能被运行。在特定的应用场景下,需要针对场景中为了实现业务系统的正常运转所需要的所有软件和应用程序进行统计,然后对其进行充分的代码审计、安全测试和分析,并结合完整性检查方法的应用,一般为散列法,确保该应用程序是已认证安全通过的。

  • 用户白名单技术:对于一些潜在威胁的发现,针对一般用户活动和管理员行为的分析其实是非常有必要的,大量的渗透攻击都是在拿到一定权限的用户或者管理员账户之后进行下一步的,例如,将管理员账户直接用于恶意攻击,或者用于为其他恶意账户提升权限,使其得到与管理员一样的权限等。通过针对用户身份以及用户权限的白名单管理,就可以在系统之外多一个权限管理措施,其自身的规则强度与系统自身的用户权限是同级或者更高的。用户白名单的技术措施独立于系统自身的用户管理措施,但不同于结构安全中的基本访问控制功能,其自身还针对用户所拥有的权限进行白名单管理,实现了部分审计控制功能的自动化。

  • 资产白名单技术:有很大一部分针对工业控制系统的攻击或者误伤行为都是由于在系统网络中非法接入了其他设备。如果借助于已经比较成熟的自动化网络扫描工具,就能快速得到工业控制系统中的已知资产清单,当然这个过程也完全可以手工实现。而这份清单在得到确认之后,就可以用于记录合法设备的白名单。在结构安全中比较强调基于边界的各种安全策略,而资产白名单技术则将此边界直接放到了每一个设备上。此时,如果有一个恶意设备或者地址接入工业控制系统,那么基于资产白名单技术、通过以前的结构安全方法仍然可以快速发现这个威胁源,将可能的未知新型威胁检测出来,并采取相应的措施。

  • 行为白名单技术:如同资产白名单一样,应用程序的每一个行为都可以被记录为白名单;同资产白名单一样,行为白名单也需要先进行明确的定义,从而将应用程序的正常业务行为和其他恶意或者无关行为区分开。根据工业控制网络协议的自身性质,大多数的应用程序行为可以直接通过监控这些协议和解码来确定,其中解码还能确定应用程序的潜在功能代码和被执行指令。也正是因为这个特性,针对使用工控协议的工控业务存在一些内嵌的行为白名单特性。所以在进行行为白名单定义的时候,针对没有使用工控协议的企业应用程序和SCADA应用程序需要区分对待。