工控机防病毒的一些经验分享

智慧互联、物联网的飞速发展为黑客的存在提供了沃土，网络安全成为当今互联网、物联网关注的一大主题。黑客的入侵方法、路径、行为多种多样，其破坏力也越来越大。关于黑客的方法，基本上都是分二个阶段，第一阶段是如何侵入，第二个阶段是进行破坏。下面我们首先对一些黑客们常用的入侵方法进行归类分析：

1、通过操作系统漏洞入侵

目前不论是服务器、还是智能终端，都有操作系统。目前常见的服务器端操作系统是linux、UNIX和Windows，智能终端有windows、linux、安卓、苹果等，这些系统，一定存在一些系统漏洞，比如不久前流行的勒索病毒，是利用Windows的文件共享端口漏洞。这种操作系统自身的漏洞非常多，已知的、未知的，不管什么操作系统，漏洞一定存在，无论如何打补丁，漏洞肯定还会有。

2、业务系统应用漏洞入侵

业务系统的应用级漏洞一般有2种情况，一个是业务平台的先天不足，另一个是后天人为缺陷。

先说业务平台的先天不足，以围绕IIS搭建的带有数据库的CRM为例，IIS自身就有可能存在客户可利用的安全漏洞，黑客有可能通过漏洞，控制服务器的目录文件甚至提升权限，这个就很难防，目前只能被动的通过补丁提高安全性。

3、口令入侵

口令是一些业务应用的第一道防线，通过ID和口令，可以验证用户身份、权限等。口令入侵是指黑客以口令为攻击目标，破解合法用户的口令，或避开口令验证过程，冒充合法用户潜入目标网络系统，夺取目标系统控制权的过程。口令攻击是黑客实施网络攻击的最基本、最重要、最有效的方法之一。获得口令的方法多种多样，有的是利用网络抓包获得，有的是利用键盘记录获得，有的是通过钓鱼站点获得，还有的是弱口令尝试获得。黑客常用的是通过系统漏洞直接获得密码，即使是密码用MD5等非对称加密方法处理过，也很容易通过工具计算出来。

4、通过病毒或木马入侵

通过让目标系统运行某些特定的程序，植入木马进行入侵。常见的有邮件病毒木马传播，文档图片伪造、钓鱼网站、网页挂马等。由于写病毒的成本低，导致病毒木马层出不穷，杀不胜杀，防不胜防。即使安装了杀毒软件，也会有漏网之鱼。

当然还有其他很多很多入侵方法，这些入侵方法的学习成本非常低，很多方法都可以从网就可以免费学到。根据调查，黑客年龄成年轻化趋势，并且低学历比例很大。这些人一旦根据学到的黑客知识入侵成功，由于其判断力和预估力较弱，更容易造成较大破坏。

当然黑客成功入侵后的行为，从可执行程序的角度，基本上有以下二种：

第一种：植入木马病毒或远程控制软件，对目标机器进行控制、攻击或待日后时机成熟再进行攻击破坏，目前很多”肉鸡“都是中毒时没什么特别表现，只是等接受指令之后在进行统一动作。植入的木马病毒一般都需要和系统一起启动。甚至通过木马病毒获得目标机器上的敏感数据。

第二种：编写脚本或命令进行攻击，即利用业务系统自身携带的程序，通过编写脚本进行数据获得，修改等。有的是控制数据存储区域的数据文件，甚至有的直接操作数据库进行数据篡改、更新、获得。

常用的勒索病毒防范方法

最常用的方法就是给操作系统打补丁，部署杀毒软件，部署防火墙，做数据备份。对于已知病毒，效果非常明显，基本上可以起到立竿见影的效果；但对于未知病毒，这些传统方法就显得有些力不从心，不知道勒索病毒还会趁哪个漏洞渗透进来。目前具体的防范措施有：

1、.数据备份和恢复：可靠的数据备份可以将勒索软件带来的损失最小化，但同时也要对这些数据备份进行安全防护，避免被感染和损坏。

2、小心使用不明来源的文件，陌生邮件及附件也需谨慎打开。

3、安装安全防护软件并保持防护开启状态。

4、及时安装Windows漏洞补丁！

5、同时，也请确保一些常用的软件保持最新版本，特别是Java，Flash和Adobe Reader等程序，其旧版本经常包含可被恶意软件作者或传播者利用的安全漏洞。

6、为电脑设置较强的密码——尤其是开启远程桌面的电脑。并且不要在多个站点重复使用相同的密码。

7、安全意识培训：对员工和广大计算机用户进行持续的安全教育培训是十分必要的，应当让用户了解勒索软件的传播方式，如社交媒体、社会工程学、不可信网站、不可信下载源、垃圾邮件和钓鱼邮件等。通过案例教育使用户具备一定的风险识别能力和意识。

2．仍存在的安全隐患

虽然做了很多防范措施，业务服务器、员工终端电脑、产线管理控制台等，仍然面临很多病毒入侵风险，例如：

备份过的数据也有可能遭到勒索病毒的加密；

网络隔离环境内的操作系统无法及时打补丁，导致病毒容易趁虚而入；

杀毒软件病毒库更新不及时，无法发现病毒；

U盘随意拷贝数据带入病毒。

深信达公司作为国内专业的数据安全厂家，对勒索病毒的种类和行为进行了分析。目前出现的勒索病毒种类繁多(如下图)，新的勒索病毒还在不断涌现中，而跟在勒索病毒后面，追着防范的方法必然非常被动。

通过对勒索病毒行为进行分析，总结出这些病毒木马的最终目的就是篡改数据，进行敲诈勒索。

深信达智能设备终端解决方案概要

深信达智能设备终端解决方案是从保护数据角度出发，通过对操作系统镜像快照，从镜像快照中提取工作场景、业务数据访问行为、业务场景等，建立安全容器，对主机操作系统和业务程序进行签名加固，对数据的访问进行验证审计，杜绝非法数据使用，以不变应万变的白名单模式，对操作系统和数据进行保护，杜绝勒索病毒以及其他病毒、黑客的攻击行为。

智能设备终端示意图

深信达智能设备终端解决方案颠覆了传统安全防御理念。即使在丢失了系统管理员权限后，仍能进行有效防御，确保数据及业务系统的安全，从而实现最后一米的防御机制。