深入浅出工控机加密
作者:互联网
工控机痛点在于不连外网,操作系统无法打补丁,病毒库无法更新,普通杀毒软件无用;因为是专用设备,用户的网管不敢在上面安装杀毒软件;系统会不会中病毒,导致产线工作中断,损失巨大。
个人建议是采用主机加固的方式来加固工控机,来做到抵御病毒的效果
主机加固的核心要点:
1、系统加固
将调试好的系统锁定,变成可信系统。
在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。
即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。
2、程序加固
采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过拒绝启动,并且可信程序无法被伪装。
3、文件加固
保护指定类型的文件不被篡改。
4、磁盘加密
创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。
5、数据库加固(结构化数据)
第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。
第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连接字符串的IP+端口+账号密码中,追加进程身份识别。
第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库内数据被非法访问,防止数据库表单的危险操作行为。
主机加固的核心要点:
1、系统加固
将调试好的系统锁定,变成可信系统。
在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。
即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。
2、程序加固
采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过拒绝启动,并且可信程序无法被伪装。
3、文件加固
保护指定类型的文件不被篡改。
4、磁盘加密
创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。
5、数据库加固(结构化数据)
第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。
第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连接字符串的IP+端口+账号密码中,追加进程身份识别。
第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库内数据被非法访问,防止数据库表单的危险操作行为。
哪些主机加固品牌值得推荐:
目前市场已知主机加固领域做得好的几个品牌有:
1、深信达的MCK主机加固。
2、青藤云安全。
3、珞安科技。
4、浪潮。
5、安恒。
6、深信服。
7、天融信。
排名不分先后。个人推荐MCK主机加固吧,因为我们公司买的就是MCK主机加固。据说他们的沙盒加密也是业界老品牌了,可以信赖。
标签:工控机,加密,主机,数据库,深入浅出,系统,可信,加固,数据 来源: https://blog.csdn.net/a15995989443/article/details/122867691