深入浅出工控机加密

工控机痛点在于不连外网，操作系统无法打补丁，病毒库无法更新，普通杀毒软件无用；因为是专用设备，用户的网管不敢在上面安装杀毒软件；系统会不会中病毒，导致产线工作中断，损失巨大。

个人建议是采用主机加固的方式来加固工控机，来做到抵御病毒的效果

主机加固的核心要点：

1、系统加固

将调试好的系统锁定，变成可信系统。

在可信系统下，非法程序、脚本都无法运行。而且不会影响数据进出。

即使系统有漏洞，甚至管理员权限丢失，这个可信系统都是安全的。

2、程序加固

采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验，校验不通过拒绝启动，并且可信程序无法被伪装。

3、文件加固

保护指定类型的文件不被篡改。

4、磁盘加密

创建安全沙盒，该沙盒对外隔离，对沙盒内的数据进行加密，确保数据只能在授权管理有效前提下，才能被解密。如果没有授权，即使管理员也无法拷贝使用这些数据，即使系统克隆也无效。

5、数据库加固（结构化数据）

第一层：数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。

第二层：数据库端口访问可信过滤，只允许业务程序进行数据库端口通信连接，在连接字符串的IP+端口+账号密码中，追加进程身份识别。

第三层：数据库连接SQL文进行智能过滤，防止关键数据被检索和访问，防止数据库内数据被非法访问，防止数据库表单的危险操作行为。

主机加固的核心要点：

1、系统加固

将调试好的系统锁定，变成可信系统。

在可信系统下，非法程序、脚本都无法运行。而且不会影响数据进出。

即使系统有漏洞，甚至管理员权限丢失，这个可信系统都是安全的。

2、程序加固

采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验，校验不通过拒绝启动，并且可信程序无法被伪装。

3、文件加固

保护指定类型的文件不被篡改。

4、磁盘加密

创建安全沙盒，该沙盒对外隔离，对沙盒内的数据进行加密，确保数据只能在授权管理有效前提下，才能被解密。如果没有授权，即使管理员也无法拷贝使用这些数据，即使系统克隆也无效。

5、数据库加固（结构化数据）

第一层：数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。

第二层：数据库端口访问可信过滤，只允许业务程序进行数据库端口通信连接，在连接字符串的IP+端口+账号密码中，追加进程身份识别。

第三层：数据库连接SQL文进行智能过滤，防止关键数据被检索和访问，防止数据库内数据被非法访问，防止数据库表单的危险操作行为。

哪些主机加固品牌值得推荐：

目前市场已知主机加固领域做得好的几个品牌有：

1、深信达的MCK主机加固。

2、青藤云安全。

3、珞安科技。

4、浪潮。

5、安恒。

6、深信服。

7、天融信。

排名不分先后。个人推荐MCK主机加固吧，因为我们公司买的就是MCK主机加固。据说他们的沙盒加密也是业界老品牌了，可以信赖。