xdx等于什么

第五讲工控安全篇

记得几年前写过一篇自己亲身经历的一次工控网络中毒的案例，题目《网络安全 不容小觑》大家可以点击回顾一下。目前很多企业数据上云，孤岛联网，数据集中管控，远程访问与维护，逐渐实现了互联，但是联网后随之而来的网络问题也越来越多......

既担心网络被攻击

又担心数据被窃取

那么，到底怎样进行网络防护呢？

工业控制系统中，针对网络攻击，我们重点需要保护的设备是：

PLC、上位机、交换机

设备是如何被攻击的？

PLC

首先，告知大家的是PLC并不是只有对应的编程软件才可以让PLC启动和停止；通过很多HACK类工具均可对PLC进行停止，写值等等。

上位机

那对于上位机就简单多了，比如通过U盘传播，比如如下路径：

01某工程师打开一封邮件，该邮件内容再正常不过，但是有一个木马程序已经进到你的操作系统。

02当操作系统监测到计算机有U盘插入，自动复制一份副本到U盘。

03当这个U盘拷贝了一个文件到现场工控机的时候，该文件自动复制了一份到工控机系统。

04开始搜索注册表，该系统是否安装了Wincc。

05如果安装：利用wincc漏洞SQL漏洞和S7otbxdx.dll进行攻击。

06读取函数HOOK，修改Timer时间为无限长。

07通过Step7自动下装到PLC。

这个过程大家是不是觉得很熟悉？Yes，

他就是著名的STUXNET（震网），该病毒只需要操作员协助做一个动作即可，那就是把U盘插在工控机上，这时STUXNET就会在神不知鬼不觉的情况下获取工业控制电脑的控制权。

EtherNet/IP

那么假如你的系统是AB的PLC或者施耐德PLC，通过EtherNet/IP连接远程IO，那么如果我们通过以太网发送极大的数据量到网络内，将网络带宽资源消耗尽或者我们1s发出1000次网络请求，给其中一个以太网适配器，都会导致PLC和IO之间网络出现瘫痪，导致PLC系统失控。

如何抵御攻击，避免系统失控

那对于工控人，我们怎么避免如上情况发生呢？那今天给大家推荐一款集成产品北京伟联科技有限公司的WL-650D-S工业安全隔离装置，该产品集成伟联科技WiSecurity工业防火墙，工业威胁监测，事件中心，跳板机和沙箱；

WL-650D-S硬件采用一台物理服务器，内部部署WiCloud一体化虚拟工控管理平台，在此平台上我们部署了五个虚拟机，分别为WiSecurity工业防火墙，工业威胁捕捉系统，事件中心，跳板机 以及沙箱。各项功能分别说明如下

功能WiSecurity工业防火墙

针对PLC具备如下功能：

强化的注入防护

防地址溢出攻击

防停止/下载/重启/写值命令注入

CRC错误攻击

漏洞利用

固件漏洞攻击防护

工控软件漏洞攻击防护

同时可支持如下工业协议，S7NET，EtherNet/IP，Modbus TCP，OPC以及DNP

另外也可告诉大家目前很多的工业协议防火墙，大部分情况只是端口防护。

但是伟联科技在S7NET，EtherNet/IP和Modbus TCP/IP协议中具备协议特征识别的特性，也是防止PLC被恶意重启，恶意写值的主要防护。

功能工业威胁捕捉系统

什么是工业威胁捕捉系统呢？该系统可以捕捉来自IT网络边界和OT网络边界的威胁和嗅探，说的更加白话一点就像放这里一个蜜罐，用来吸引攻击，分析攻击，推测攻击意图，并将结果发送到工业防火墙进行威胁阻断。工业威胁捕捉系统是典型的主动防御系统

威胁捕捉技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

该系统好比是情报收集系统。好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

通过该系统，当网络里有攻击者的时候，威胁捕捉系统会伪装成PLC系统，当攻击者攻击威胁捕捉系统后，系统捕捉到攻击信息，并进行分析，同时将分析结果补充到防火墙，通过策略阻断此攻击。

功能事件中心

记录所有节点的事件记录，比如防火墙，交换机和计算机、服务器等；当有故障发生的时候可进入事件中心进行事件记录查询，进行故障追忆。

功能跳板机

部署FireFox，Putty，Java SDK和录屏软件，跳板机的作用为当设备厂家要对机器进行远程维护的时候，不可以直接通过网络接入设备，而要先经过该跳板机，在跳板机上做维护操作，同时所有的操作会有录屏，如果设备操作在维护自己设备的时候做了不属于维护范围内的操作的时候，跳板机可以直接中断其操作。

功能沙箱测试系统

沙箱测试系统，用于测试欲安装的软件是否安全，可在沙箱系统做部署测试，如果安全，则可以在实体机安装，如果有木马和病毒集成，即将其销毁。

WL-650D-S可选安装病毒服务器，病毒服务器软件用户自己部署，当现场工控机部署了杀毒软件，由于现场工控机一般不连接外网，导致病毒库无法更新，如果部署了病毒服务器，可以通过病毒服务器对现场工控机病毒库进行更新，而病毒服务器自身病毒库的更新可通过IFZ内的防火墙后进行更新。

因此，WL-650D-S工业安全隔离装置部署在OT和IT的边界，可以降低工控系统被攻击的风险。