2017年5月12日晚20時(shí)左右，全球爆發(fā)大規模WannaCry勒索病毒感染事件，國內眾多安全廠(chǎng)家積極響應，分析報告無(wú)數，各家的應對方案也接踵而來(lái)，但是事后諸葛亮的辦法并不能給人們以更多信心，有哪款產(chǎn)品事前可以預防此類(lèi)病毒？面對如此疑問(wèn)，各家都保持沉默，不禁讓人相當的悲觀(guān)。但是好消息傳來(lái)，工控安全專(zhuān)業(yè)公司威努特日前發(fā)消息稱(chēng)，其在某油田現場(chǎng)部署的工控主機衛士安全軟件，在WannaCry勒索病毒被發(fā)現前即已成功攔截WannaCry運行，保護了客戶(hù)主機。

事件發(fā)生在某油田第二采氣廠(chǎng)，2016年曾部署威努特公司工控安全防護產(chǎn)品，其官網(wǎng)有案例可查http://www.winicssec.com/Index/show/catid/17/id/122.html。

發(fā)現WannaCry的電腦位于油田采氣廠(chǎng)調度中心，中心有兩臺配置完全一樣的計算機，每臺計算機都安裝兩張網(wǎng)卡，一張與采氣廠(chǎng)控制網(wǎng)絡(luò )、服務(wù)器通信，另外一張與西安總部通信，總部辦公網(wǎng)有多臺計算機感染W(wǎng)annaCry病毒。兩臺計算機都安裝有霍尼韋爾的EPKS組態(tài)軟件，其中一臺計算機（計算機B）沒(méi)有安裝工控主機衛士軟件，感染了WannaCry病毒，文檔文件以及圖像文件無(wú)法正常使用，文件的擴展名也被修改成”.wncry”,同時(shí)系統桌面出現勒索信息，如圖1；

另一臺計算機（計算機A）安裝工控主機衛士軟件，并未被病毒感染，病毒文件被工控主機衛士阻止并產(chǎn)生應用程序告警日志，如圖2所示。

圖1 現場(chǎng)WannaCry病毒感染情況

圖2 工控主機衛士阻止記錄和告警日志

兩臺主機對比如下表所示。病毒是通過(guò)和總部的信息網(wǎng)連接被感染的，由于工控網(wǎng)和信息網(wǎng)連接在同一臺主機的兩張網(wǎng)卡上，網(wǎng)卡隔離不但沒(méi)有起到安全隔離作用，反而成了攻擊的跳板。幸運的是，調度中心的主用計算機安裝了工控主機衛士，阻止了病毒的執行，并進(jìn)一步阻止了病毒向控制網(wǎng)的擴散，避免了損失的擴大化。

表1 調度中心計算機對比表

在病毒爆發(fā)不久，曾有網(wǎng)友在國內知名安全論壇卡飯論壇上發(fā)布了對國內外數十款殺毒軟件的啟發(fā)測試，結果表明在新病毒出現到殺軟入庫之間的這段空檔期里，這些殺軟全部都不能很好地保護我們的電腦。在掃描測試中，最高的查殺率也不過(guò)四分之一，這種比例與面對舊威脅時(shí)90％以上的比率形成了鮮明對比。

工控主機衛士卻能在工業(yè)現場(chǎng)生效，根本原因是其采用了與殺軟“黑名單”查殺模式完全不同的“白名單”主動(dòng)防御模式。2016年，工信部在發(fā)布的《工業(yè)控制系統信息安全防護指南》中的第一條：安全軟件的選擇與管理中，明確提出“在工業(yè)主機上采用經(jīng)過(guò)離線(xiàn)環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權和安全評估的軟件運行”，將白名單軟件放在了和防病毒軟件同等的位置。所謂“白”是指好的、可信的，即只有可信任的設備、軟件和數據，才允許在工控網(wǎng)絡(luò )內部流通，其他惡意的、不明確的或者規定不允許的東西都不允許流通使用。這有別于“黑名單“的處理方式，即通過(guò)建立病毒庫、逐條匹配查殺，只有設備、軟件和數據被識別為“黑的”，才會(huì )被阻止運行。

防護理念的不同決定了效果的不同。不管WannaCry利用了什么漏洞，使用了多么先進(jìn)的攻擊手法，但是工控主機衛士還是能將之拒之門(mén)外。無(wú)論其將來(lái)出現多少變種，經(jīng)過(guò)多么強大的升級也依然無(wú)法對被工控主機衛士保護的主機造成威脅。如果我國的工業(yè)主機都能部署工控主機衛士的安全防護，其抵御安全威脅的能力無(wú)疑將提高數個(gè)級別。