在工控系统领域，传统以 “物理隔离 + 好人假定 + 规定” 构建的安全模式，实则营造了一种虚假的安全感。尽管网络分区与隔离是必要安全策略，但缺乏强有力的内网安全策略，反而可能滋生更大风险。因此，工控系统的安全策略与投入，应基于内网已被穿透、“内鬼” 存在且规定未严格执行的假设来实施。

工控系统的脆弱性

     工控系统中，上位机、操作员站和工程师站的脆弱性尤为突出。由于工控网络的封闭特性，多数不具备在线打补丁条件，人工升级补丁不仅工作量大，还可能导致工业软件运行不兼容。所以，大部分工业环境的上位机选择不进行补丁升级，这使得工控主机极易遭受攻击。

严峻的安全威胁实例

    2010 年 10 月伊朗核电站的 “震网” 病毒，为工业生产控制系统安全拉响警报，如今工控系统网络面临的黑客攻击日益增多。近期全球范围内大规模爆发的 WannaCry 勒索软件攻击事件，更是令人警醒。众多知名工业设施如法国雷诺汽车制造商、德国联邦铁路系统、俄罗斯内政部、美国联邦快递等，以及国内交通运输、医疗、高校、银行、加油系统等，均遭受攻击。WannaCry 利用 Windows 操作系统 445 端口漏洞传播，具有自我复制和主动传播特性，入侵后会加密用户主机多种文件，并索要比特币赎金。微软虽发布补丁，但工业环境中的上位机、工程师站等无法升级，安全形势严峻。

匡恩网络工控卫士的应对方案

1. 防护措施

    针对这一困境，匡恩网络工控卫士提供了有效的解决办法。首先在主机上安装工控卫士软件，对操作系统进行白名单扫描并部署白名单，开启保护模式。当运行勒索病毒 “WannaCry” 样本时，在保护模式下工控卫士成功拦截病毒，并生成拦截日志。

2. 全方位防护

    匡恩网络工控卫士专为保护工控主机环境设计，通过在工控上位机和服务器安装该软件，可防范工程师带入的非法程序运行，控制 USB 移动存储介质滥用，为受信任程序提供完整性保护，实现对工控主机的全方位安全防护。它通过监控工控主机的进程、网络端口、USB 端口状态，以白名单技术，禁止非法进程运行、非法网络端口打开与服务、非法 USB 设备接入，切断病毒和木马传播路径。

3. 集中管理优势

   为便于管理，匡恩网络还提供工控卫士集中管理平台，可对客户端进行统一管理，包括统一策略下发、定时备份配置文件、日志管理、白名单部署以及全网设备状态操控，实现 “个性化管理” 与 “集中管理” 的完美结合。

随着 “两化融合” 的快速推进，工控系统仅靠 “隔离”“加密” 已无法满足安全需求。需定期检查工控网络，提前防范潜在威胁，加强对恶意流量的检测与阻断，形成针对性防护能力，全方位保障工控系统网络的安全运行。