物联网时代的工控安全主机加固需求分析

 近年来,随着物联网技术和互联网技术的日益发展，各种具有智能、自动、联网等智慧系统的研究已在全球范围内广泛开展，以汽车、船舶、电梯、机器人、家电等行业的智能化已经成为全球的大势所趋。未来10～20年各种智慧互联行业的发展将是决定未来各个行业发展方向的重要因素。为顺应时代发展趋势，各个行业都在积极进行智能化研发和科技革新，智慧互联正成为各个行业的未来的发展方向。

智慧物联物联网是由大量的机器和智能终端构成，缺少人对设备的有效监控，并且数量庞大，设备集群，因此除了具有Internet和移动通信网络的传统网络安全问题之外，还存在着一些特殊的安全问题，主要表现在一下几个方面：

1）智慧物联网的开放性导致很容易被接触。

物联网可以取代人来完成一些复杂、危险和机械的工作，所以物联网数据采集和感知节点大多部署在无人监控的场景中，攻击者可以轻易地接触到这些智能设备，从而对他们造成入侵，干扰，挟制和破坏，植入程序甚至通过本地操作更换机器的软硬件。

2）系统的漏洞是永远存在的

无论如何打补丁，如何信道加密，都很难让智能终端拥有复杂的安全保护能力，未知的，已知的系统漏洞一直存在。

3）控制或冒充的手段还是基于用户、程序、脚本

常见的入侵方式都是通过漏洞等获得某个终端的控制权，然后基于用户、程序、脚本扩大受控范围。或则干脆替换冒充终端直接对业务平台进行攻击。

近几年的重大智慧互联及物联网相关的安全隐患有：

重大数据泄露，比如Uber和Equifax数据泄露事件，可令消费者损失上万美元。但更加担心的是能源企业，万一他们的设备被黑，不仅损失以千万美元计，而且还可能带来人员伤亡。

重型设备突然胡乱动作，或在资源收集过程的关键时刻宕机，这种场景，是加拿大资源富裕地区和油气产业CISO们的噩梦。而网络罪犯试图威逼这些能源企业公司使其愿意支付高昂的费用来避免设备失控。

加拿大一家安全公司估测，每年加拿大因网络犯罪而损失30亿美元。3年前，能源公司Calgary就支付了20万美元赎金，才得以拿回其数字生产系统的控制权。

物联网(IoT)的兴起，意味着公司企业越来越依赖自动化和远程控制来驱动推土机、挖掘机和重卡，或者控制钻井和加工设备。自动化带来了劳动力的节省，但也为黑客呈现出更多的目标，让整个系统更容易遭到网络攻击，并且真的有可能造成实际人员伤亡。

安永会计师事务所在一份最近的报告中称，矿业公司的网络安全风险，已从1年前的第9位，蹿升至2017-18年的第3位；原因是：“攻击界面”随着典型矿藏运输系统中的联网IT及操作设备膨胀至数以千计，而不断长大。

高管们承认威胁是真实存在的，但坚称可以用多种自动化及手动制动系统、防火墙、严格限制的互联网连接及持续的员工培训，将黑客阻挡在边界之外。

加拿大大型钻井公司Precision Drilling Corp首席执行官凯文·内维尤称，虽然几乎每天都检测到不成功的攻击尝试，该公司从未被成功“入侵”过。

我们当然担心有人会黑进钻探机。

内维尤说：“我们有20台钻机都装有自动化系统，就是通过软件来控制的，上升下降、压力大小等等都由软件控制。该软件就有可能被黑。”

该公司有一套可触发失效保护的“入侵传感系统”。钻探工人也可以手动关闭钻机，并凌驾自动系统之上继续手动操作。

加拿大天然资源公司CEO史蒂夫·洛特不愿意“推广”该公司在网络安全上的做法，但称该公司拥有一套多达4到5层的健壮安全计划，且其主要重油生产厂都没有接入互联网。

我们与其他公司没什么不同，一样总是受到攻击，但大多数攻击都被我们的防火墙挡回去了。

加拿大萨斯克彻温钾肥公司使用的是每小时挖900吨矿石的连续掘进机。

在其年度报告中，该公司警告称，网络攻击可致员工、承包商或公众受到人身伤害，还会导致计算机病毒、财产损失、业务中断和机密数据丢失。

思杰系统公司为客户提供对应用和数据的远程访问，其加拿大地区经理迈克尔·墨菲称，数据安全如今更难以保证了，因为访问接入点与之前相比简直是倍增。

雇员、第三方合作伙伴和承包商，都想用自身设备访问公司系统和数据，也就为网络攻击提供了各自潜在的切入点。

我很确定，让CISO们夜不能寐的是，“我该怎样既能确保软件定义边界的安全，又能被用户访问到？”

根据国家质检总局颁发的GB/T 25070《信息安全技术网络安全等级保护安全设计技术要求-第4部分：物联网安全要求》的要求，深信达网络科技公司研发团队根据智慧互联的特点，深度强化后成功研发出LMDS最后一米数据安全保护系统。为智慧互联业务平台和智能终端以及通信管道加锁，提高其安全性。

深信达主机加固系统软件采用嵌入操作系中间的内核级纵深防护技术，通过对OS加固、可执行模块可信、数据访问控制及数据区加密等手段，提高服务器的安全水平，在系统受到安全风险，特别是系统已经被入侵，甚至已经丢失了管理员权限，入侵者已经可以登陆系统的前提下，进行最后的安全防御，阻止恶意破坏和数据盗取。

特点

⊙易集成性

深信达主机加固系统软件，针对智能终端设备、嵌入式终端系统内敏感数据，数据库数据等重要资料进行防泄密保护的系统，在不影响本身智能终端，硬件设备的正常运营的前提下，无需对系统进行特殊改动，即可实现对设备终端上核心数据进行防泄密保护。

⊙安全维护

通过智能身份识别功能，可实现只有运维人员才能连接访问LMDS的涉密区域，进行更新、调试、维修等一系列工作。在运维人员连接的过程中，所有的操作都将受到审计，运维数据未经审核，运维人员也无法将其带走，对整个运维的过程都将实现颗粒化内容日志审计。

⊙ 系统安全

当非维护人员进行访问时，当黑客入侵终端，访问涉密数据时，主机加固系统将全方面记录这类非法行为，并直接对厂家运维人员和用户运维人员，进行邮件告警，通知相关人员尽快处理。