WannaCry“永恒之藍“—力控華康護航工控安全之隔離篇

一、WannaCry 新進展

全球肆掠的勒索軟件“想哭”（WannaCry）源自黑客組織“影子經紀人”外泄的黑客工具，其攻擊對我國很多行業網絡也造成極大影響，包括教育、石油、交通、公安等。此組織日前再度發出警告稱，將在6月披露更多竊自美國國家安全局的黑客工具, 瞄準Windows 10、路由器、瀏覽器甚至是手機，這意味著全球可能面臨新的網絡安全威脅。

在過去，我們一些關鍵的基礎設施與部門一直寄希望于內外網分離的部署與管理方式，對于建設信息安全防護的重視度不足，近期發生的種種攻擊事件告訴我們這種想法已不能滿足工控安全的新發展形勢，所謂“魔高一尺，道高一丈”，只有我們自己足夠認識工控安全事關經濟發展、社會穩定和國家安全的重要性，才能堅定的構建工控安全隔離壁壘。

二、PSL隔離網關讓工業通信“去偽存真”

大家都知道本次WannaCry事件猶如網絡安全界的一顆“核彈”，其影響范圍之廣大家有目共睹，最近幾日我們也密切跟蹤本次事件的發展并提供給用戶第一時間的支持，從中有些行業用戶提問：“為什么部署了PSL網關就不會受到影響呢？”；當然有些用戶也為前幾年的節省經費沒有采納我們的安全設計方案而后悔不已，下面小編來給大家做一個解釋說明，為什么PSL隔離網關能夠讓工業通信“去偽存真”。

首先我們來回顧2009年力控華康成立之初，公司董事長馬總就以其對工控行業的深厚理解以及對工控安全的憂患意識非常有遠見的提出了：“工業生產中，控制網絡一旦受到了惡意攻擊，感染了病毒、蠕蟲，很可能導致整個控制網絡癱瘓，網絡中的主機崩潰，輕則影響工業生產，重則造成重大安全事故，后果不堪設想。”

近9年的發展，力控華康從始至終踐行“專注”鑄就“專業”，PSL工業網絡隔離網關也經歷多次產品升級換代并廣泛服務于工控行業用戶，從目到WannaCry影響的客戶反饋來看，還沒有一例是部署了PSL隔離網關而被攻擊受害的。為什么能夠有效阻斷包括“永恒之藍”在內的病毒、蠕蟲由信息網絡向控制網絡傳播？這要從硬件和軟件兩方面來講解：

硬件上，PSL工業網絡隔離網關的硬件架構為獨立雙主機架構，分別接入到控制網絡和信息網絡，雙主機之間通過專用硬件隔離卡通訊，從物理層上斷開了控制網絡和信息網絡的直接網絡連接；

軟件上，通過隔離卡傳遞的數據受到嚴格限制，只有隔離網關已配置的特定工業應用數據，才會通過隔離通訊卡交換，同時雙機之間通信協議采用專有加密算法實現數據加、解密處理，保證傳輸數據的安全性，即便隔離網關的信息網絡一端被攻破，由于無法滿足加密驗證，也不能通過隔離卡將病毒傳遞到控制網絡，攻擊沒有了載體，這樣便保證了控制網絡的安全。

三、WannaCry 防護說明

WannaCry勒索病毒如果想通過隔離網關由信息網絡向控制網絡傳播，首先隔離網關的內建規則會起到第一層攔截作用（不符合規則的一概被過濾掉，由于被利用端口沒開放所以這個階段就過不去）；假設最惡劣情況下黑客附加其他手段將隔離網關信息側攻破，向控制網絡側傳播病毒，唯一的途徑就是通過隔離卡，因為隔離卡兩側不是網絡雙向連通的，因此隔離網關兩側不能建立TCP鏈接，所以無法使用TCP 445端口漏洞；另外我們再假如在信息側向隔離卡單向發送數據，通過隔離卡傳到控制側，但無法通過加密算法解密驗證（攻擊者不知道我們的調度及協議規格），所以在內存中就會被丟棄，因為不能從內存寫到磁盤而形成病毒文件，所以說想通過PSL工業網絡隔離網關操作控制網絡，或者向控制網絡傳播病毒可謂難上加難。

四、總結與深思

WannaCry席卷全球，中國近3萬家機構受到影響，本次應急響應也說明工控安全刻不容緩，伴隨著國家《工業控制系統信息安全防護指南》的正式發布（其中工業隔離產品是重點安全防護硬件之一），各行業標準也緊隨指南制定當中，本次WannaCry事件再一次給工控行業信息安全拉響警報，重視并理解《指南》要求，盡快“亡羊補牢，未為晚矣”。

力控華康致力于工業安全防護與研究，在工業現場已經安裝了數千套PSL工業隔離防護網關以及ISG工業防火墻，在這場網絡攻擊事件中，確保用戶的DCS、PLC等控制系統和實時數據庫系統免受攻擊，有力保障了工業生產的正常進行和工業控制系統的安全運行。力控華康也將繼續以“專注”所以“專業”服務于工控安全事業。