8月7日，已經(jīng)是臺積電生產(chǎn)網(wǎng)絡(luò )及管理總部遭受大面積中毒的第5天，網(wǎng)絡(luò )安全企業(yè)、媒體都在積極反饋、出謀劃策。但根據媒體廣泛報道來(lái)看，作為承擔全球近六成芯片代工業(yè)務(wù)的高科技公司，其網(wǎng)絡(luò )安全建設絕無(wú)可能是一張白紙，甚至在5個(gè)多月前還有主管防黑客工作在臺積電任職22年的資深副總經(jīng)理左大川，他主導的安全體系Defense in Depth類(lèi)似我們常常提到的縱深防御，臺積電內部還開(kāi)發(fā)過(guò)一套軟件，只要黑客一有動(dòng)作，就很快被抓到。但！這次還是在臺灣北、中、南三處重要生產(chǎn)基地同步遭受病毒入侵，導致部分廠(chǎng)區生產(chǎn)停擺。

從臺積電遭遇病毒的過(guò)程來(lái)看，第一沒(méi)有抵擋病毒的入侵；第二沒(méi)有監測出病毒的傳播的范圍，第三沒(méi)有阻止第二時(shí)間病毒的蔓延。

||讓人不禁唏噓，整個(gè)生產(chǎn)網(wǎng)絡(luò )還是非常脆弱的。對！非常脆弱！工控安全一個(gè)必須要接受的事實(shí)就是要在生產(chǎn)網(wǎng)絡(luò )脆弱性得不到根本改善的前提下開(kāi)展安全建設且要有相當安全防御能力||

筆者在此不做全面討論，僅針對工業(yè)主機安全防護展開(kāi)探討。在臺積電事件中，有一點(diǎn)不難推論即其工業(yè)主機存在遠程溢出漏洞，安全措施缺失或失效。對于工業(yè)企業(yè)用戶(hù)而言，工業(yè)主機長(cháng)時(shí)間存在系統漏洞是現狀也是預期，這就是我們必須要接受的事實(shí)。如何應對此問(wèn)題，筆者提出“ABC”工業(yè)主機安全防護理念

1、 AWL（Application White List）應用程序（文件級）白名單技術(shù)

2、 Before and After 存儲介質(zhì)使用前、使用后殺毒

3、 Configuration Management主機配置安全管理

AWL（Application White List）

經(jīng)過(guò)近幾年工控安全產(chǎn)業(yè)實(shí)踐，基于應用程序啟動(dòng)控制的“白名單”技術(shù)由于其資源占用小、兼容性好、可抵御“0day”，尤其是不存在升級且規避了殺毒軟件誤殺的問(wèn)題已經(jīng)被廣泛接受和應用。但其實(shí)AWL也存在“庫”的問(wèn)題，即支持的PE（Portable Executable）文件種類(lèi)。當前惡意程序越來(lái)越多的通過(guò)“腳本”、“宏”、“遠程溢出”等方式感染，市面大多AWL產(chǎn)品還停留在針對exe、bat、dll文件甚至進(jìn)程級的控制，面對越來(lái)越高級的病毒傳播方式顯得束手無(wú)策，自身都漏洞百出?？疾煲豢預WL產(chǎn)品是要特別注意以下三點(diǎn)：

1、 AWL產(chǎn)品支持的PE文件類(lèi)型種類(lèi)是否豐富

2、 AWL產(chǎn)品自身強壯性是否可靠

3、 AWL產(chǎn)品工程實(shí)施是否具備可行性

Before and After

毫無(wú)疑問(wèn)，U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲介質(zhì)是工控網(wǎng)絡(luò )病毒引入的最主要途徑，AWL作為最后一道防線(xiàn)解決惡意程序執行問(wèn)題，而B(niǎo)efore and After要解決工業(yè)主機物理接觸引入病毒問(wèn)題。這里的“一前一后”要求移動(dòng)存儲介質(zhì)使用前使用后都要進(jìn)行一次完整的病毒查殺動(dòng)作，確保存儲介質(zhì)不攜毒。但要注意，配合這個(gè)管理動(dòng)作需要一臺安裝防病毒軟件的“中間機”，對“中間機”要求一不聯(lián)網(wǎng)（包括互聯(lián)網(wǎng)）、二要持續更新、三要有自身安全防護。經(jīng)過(guò)實(shí)踐表明在存儲介質(zhì)使用過(guò)程中完成一次B&A，移動(dòng)存儲介質(zhì)攜毒現象幾乎可以降低為零。

Configuration Management

B&A解決了物理接觸引入病毒問(wèn)題，而配置管理要重點(diǎn)解決工業(yè)主機作為網(wǎng)絡(luò )中一個(gè)節點(diǎn)面臨網(wǎng)絡(luò )威脅的問(wèn)題，包括本次事件以及2017年WannaCry在內，都指向了一個(gè)基本問(wèn)題即操作系統基本安全配置缺失門(mén)戶(hù)大開(kāi)，給惡意程序的入侵蔓延提供了“沃土”。安全配置換一個(gè)說(shuō)法其實(shí)就是最小化的問(wèn)題，僅提供工業(yè)主機承擔生產(chǎn)業(yè)務(wù)的最小化環(huán)境，關(guān)閉或刪除不需要的端口、服務(wù)、程序等一切資源。這里的安全配置可以是手工完成，當然對于臺積電這樣體量的生產(chǎn)型企業(yè)最好有一套可集中管理、統一策略的主機配置核查管理系統，集中統一提高工業(yè)主機的自身強壯性。

以上探討的“ABC”也同時(shí)映射了工業(yè)主機面臨的3個(gè)主要問(wèn)題：

主要問(wèn)題1：非法及惡意程序運行

主要問(wèn)題2：存儲介質(zhì)引入病毒

主要問(wèn)題3：網(wǎng)絡(luò )入侵

面對這三個(gè)問(wèn)題，筆者建議實(shí)施或分步實(shí)施“ABC”，“ABC”理念適用同時(shí)適應工控網(wǎng)絡(luò )的特殊性和獨有特點(diǎn)，具備如下優(yōu)勢：

1、 “無(wú)痛”實(shí)施，無(wú)需主機打補丁堵漏洞

2、 可防御“0day”攻擊

3、 規范行為，“抹平”人員安全技術(shù)能力和意識的差距

最后，筆者還是想給工業(yè)企業(yè)用戶(hù)幾點(diǎn)建議：

① 梳理生產(chǎn)網(wǎng)絡(luò )邊界。不少企業(yè)遭到攻擊后檢查發(fā)現，網(wǎng)絡(luò )邊界存在多條自己都不知道的“官道”。

② 不要過(guò)分相信運營(yíng)商網(wǎng)絡(luò )。集團型企業(yè)租用運營(yíng)商線(xiàn)路搭建協(xié)同生產(chǎn)網(wǎng)絡(luò )，而運營(yíng)商擁有的安全監測和防護能力并不充分，根據誰(shuí)使用誰(shuí)負責的原則，企業(yè)還是要和運營(yíng)商共同打造安全的基礎設施。

③ 提升災難恢復能力。逐步建立和提高災難恢復能力，從數據級開(kāi)始，慢慢上升到應用級甚至業(yè)務(wù)級。

④ 提高安全危機意識。類(lèi)似于臺積電這樣的企業(yè)，安全問(wèn)題幾乎是信息化智能化進(jìn)程中配套的產(chǎn)物，所以生產(chǎn)越是“聰明”安全風(fēng)險意識就應當越高，這條提給企業(yè)負責人。

⑤ 其他關(guān)于縱深防御、安全監測就不多做贅述了。