在工控系統中，大多人都以“物理隔離+好人假定+規(guī)定”推演，構成了一種安全假象和自我安慰，網絡分區(qū)策略和隔離手段無疑是必要的安全策略，但如果不能伴隨更強有力的內網安全策略，其可能帶來更大的安全風險。那么在工控系統中的安全策略和安全投入，我們需要以內網已被穿透和“內鬼”已經存在、規(guī)定未被嚴格遵守為前提假定來實行。
　　這種情況下如何保障工控系統的安全，在工控系統中脆弱性最強的當屬上位機、操作員站、工程師站。主要是因為大部分工控網絡的封閉屬性，不具備在線打補丁的條件。采用人工升級補丁又會增加很多工作量， 再者貿然升級補丁還有可能造成工業(yè)軟件的運行不兼容，大部分工業(yè)環(huán)境的上位機都不進行補丁升級，所以工控主機很容易遭到攻擊。
　　脆弱的工控系統，不堪一擊
　　2010年10月發(fā)生在伊朗核電站的"震網"(Stuxnet)病毒，為工業(yè)生產控制系統安全敲響了警鐘，目前工控系統網絡面臨越來越多的黑客攻擊。目前國內外生產企業(yè)都已經把工業(yè)控制系統安全防護建設提上了日程。
　　近期在全球范圍內發(fā)生的大規(guī)模WannaCry勒索軟件攻擊事件已眾所周知，令人震驚的是，除了有大量辦公網絡被攻擊和感染外，還有多個全球知名的工業(yè)設施由于遭受WannaCry感染而出現故障或遭受干擾，其中包括法國汽車制造商雷諾、德國聯邦鐵路系統、俄羅斯內政部、美國聯邦快遞。國內包括交通運輸、醫(yī)療服務、高校、銀行、和加油系統都遭受了WannaCry病毒襲擊。

　?。ɡ账鞔翱冢?/p>

　　工業(yè)環(huán)境該如何應對WannaCry
　　匡恩網絡工控衛(wèi)士研發(fā)中心即刻對其做出分析，WannaCry利用Windows操作系統445端口存在的漏洞進行傳播，并具有自我復制、主動傳播的特性。被該勒索病毒入侵后，用戶主機系統內的圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密，并會在桌面彈出勒索對話框，要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包。
　　雖然微軟已發(fā)布補丁，未感染的主機可立即安裝補丁避免感染，但是工業(yè)環(huán)境當中上位機、工程師站、操作員站、以及各種服務器無法升級打補丁，該如何解決?
　　匡恩研發(fā)中心對其做了相應測試：
　　1、首先在主機上安裝工控衛(wèi)士軟件，并對操作系統做白名單掃描，將白名單部署下去，并開啟工控衛(wèi)士的保護模式。
　　2、開始運行勒索病毒“WannaCry”樣本，在工控衛(wèi)士保護模式下攔截病毒，并產生攔截日志信息。

　　匡恩工控衛(wèi)士，全面防護工控主機安全
　　匡恩網絡工控衛(wèi)士是專門保護工控主機環(huán)境的一款安全軟件產品，通過在工控上位機和服務器上安裝工控衛(wèi)士，防范工程師所帶進來的非法程序的運行， 控制USB移動存儲介質的濫用、為受信任的程序提供完整性保護等，它實現了對工控主機全方面的安全防護。工控衛(wèi)士通過監(jiān)控工控主機的進程狀態(tài)、網絡端口狀態(tài)、USB端口狀態(tài)，以白名單的技術方式，全方位地保護主機的資源使用。根據白名單策略，工控衛(wèi)士會禁止非法進程的運行，非法網絡端口的打開與服務、非法USB設備的接入，從而切斷病毒和木馬的傳播與破壞路徑。

　　工控衛(wèi)士
　　為了方便管理、區(qū)分組織結構，匡恩網絡提供工控衛(wèi)士集中管理平臺，對工控衛(wèi)士客戶端進行統一管理，統一策略下發(fā)、定時備份配置文件、日志管理、白名單部署、全網設備狀態(tài)操控，實現“個性化管理”與“集中管理”完美結合。

　　(工控衛(wèi)士集中管理平臺)

　　隨著 “兩化融合”的發(fā)展，信息化和工業(yè)化相結合快速推進，工控系統中僅僅靠“隔離”“加密”已是遠遠不夠，需要對工控網絡做定期檢查，發(fā)現潛在的威脅需提前做出防范，工控網絡需加強對惡意流量的檢測、實施阻斷，形成針對性的防護能力等有效措施，以保障工控系統網絡的安全運行。