事件背景

2024年7月19日的全球Windows操作系統大規模藍屏事件，經確認是由美國一家網絡安全企業CrowdStrike的一次更新，導致全球航空、金融、醫療保健和教育等領域出現嚴重中斷。

根據CrowdStrike給出的解釋分析，程序在增加處理一個新型惡意代碼攻擊技術時，采用了快速響應內容更新方式，由于沒有進行充分的測試，有問題的更新被推入生產環境，更新相應的配置文件觸發了一個代碼中的邏輯錯誤，在內核態形成非法內存訪問觸發操作Windows系統的自我保護機制BSOD。全球約850萬臺計算機出現“藍屏”死機現象，出現故障的終端并不限于桌面終端，還覆蓋了大量的服務器和云節點，相關主機重新啟動后依然會自動進入藍屏狀態，形成了反復崩潰閉環。

盡管微軟和CrowdStrike官方發布了修復指南和工具，且截止目前大部分受影響企業已恢復正常運作，但許多企業仍在努力搶修中。同時也存在不法分子假借發布“修復工具”之名，公然散播惡意軟件，需注意防范。本次事件是繼WannaCry病毒攻擊事件后規模最大的一次IT故障，據數據分析機構估計，單是對于財富500強企業，這次事件帶來的損失可能高達54億美元。事件無疑給全球科技企業都敲響了一記警鐘。

值得注意的是在此次“微軟藍屏”事件中，我國公共服務系統穩定運行，幾乎未受到影響，得益于國產操作系統的堅實支撐，及國產網絡安全軟件的穩定性和安全性，在實際應用中展現出強大的抗風險能力。

二、windows藍屏事件對工業控制系統安全防護的啟示

1.第三方軟件高度依賴風險

事件影響：此次藍屏事件源于網絡安全公司CrowdStrike的一次殺毒軟件更新與Windows系統組件不兼容，直接導致了全球范圍內的系統崩潰。這顯示了工業控制系統在高度依賴第三方軟件和服務時，面臨的潛在風險。

啟示：傳統安全防護手段不適用于工業控制系統，工業控制系統需要建立更加嚴格和多元化的第三方軟件和服務監控機制，并通過實施嚴格的軟件更新和補丁管理策略，降低風險。

2.充分執行軟件測試驗證

必須明確并嚴格執行軟件各場景下的更新測試和驗證，確保軟件升級更新的穩定性和安全性。

在工業環境部署更新時，必須確保可控的更新范圍與更新節奏。

3.定期的風險評估與修復

定期安全評估：定期針對基礎設施開展風險評估和安全審計，以便及時發現風險并進行修復，確保系統的安全性。

4.加強應急響應和恢復機制

快速響應：在事件發生后，需要迅速啟動應急響應機制，對受影響的系統和應用進行修復和恢復。

備份與恢復：建立數據備份機制，并進行定期的恢復測試以驗證備份的有效性，確保在系統故障時能夠迅速恢復業務運行。

5.推動國產化替代

自主可控：考慮到全球化技術依賴可能帶來的風險，我國應加快推動信息產業國產化替代的步伐，實現技術上的自給自足和自主可控。

三、構建工業控制系統可信白名單

在工控主機上實施應用程序白名單機制，只允許已知和可信的應用程序運行。這可以通過安裝主機安全產品，并配置相應的白名單規則來實現。

博智工控主機衛士是一款專門針對操作員站、工程師站和服務器站等進行安全防護的客戶端安全保護產品，以白名單的技術方式全方位地保護主機運行環境安全。根據白名單的配置，禁止非法進程的運行、禁止非法USB設備的接入、對重要文件防篡改保護等，構建可信環境，從而切斷病毒和木馬的傳播與破壞路徑。

通過白名單機制為終端計算機創建了一個安全的運行環境，通過掃描、學習及人工方式建立應用白名單，阻止白名單外的文件啟動或加載，防范惡意程序與不合規程序運行。白名單機制可以有效阻止包括FrostyGoop、Fuxnet、PipeDream、Industroyer2、Stuxnet、Havex、BlackEnergy2、WannaCry等工控惡意程序或代碼在工控主機上的執行和擴散。

規范U盤、移動硬盤等外接設備使用，并防止以USB作為媒介的攻擊行為。

禁止白名單以外的程序加載運行，替代傳統殺毒軟件黑名單病毒庫防范惡意代碼的方式，避免誤報同時有效防御未知惡意程序和木馬。

合規性保障：工控主機衛士全面滿足國家信息安全等級保護和分級保護標準中關于安全計算環境的相關技術要求。工控主機衛士的更新流程更加嚴格和可控，所有更新在部署前都會經過全面測試，確保不會引入新的問題。強化的安全更新流程避免了類似CrowdStrike快速響應內容更新導致的系統問題。

四、安全邊界上的防火墻防護

防火墻的協議過濾和防病毒的功能，有效的保護工業控制網絡的安全，保護正常的生產環境，不受外部危險的影響。

博智工控防火墻是結合前沿安全技術研發出的具有高效率、高安全性、高穩定性的工業安全邊界防護產品。通過工控協議深度解析、網絡流量實時監測、安全策略智能優化等技術手段實現區域隔離和威脅檢測與阻斷，能夠有效對SCADA、DCS、PLC、RTU等工業控制系統和終端設備進行安全防護。

采用了先進的系統構架和完善的抗攻擊模塊，能夠自動適應網絡狀況，將惡意的攻擊數據從數據流中分析出來并進行告警或阻斷動作。

提供基于狀態檢測技術的動態包過濾功能外，還提供用戶策略規則，通過與安全策略規則配合，實現基于用戶角色的安全控制。

提供物理安全通道特性。通過建立基于網絡接口的安全通道控制，將物理網絡接口與用戶安全策略完全統一，對數據流的走向提供靈活、嚴格的控制。

可用于監測網絡流量和識別潛在的入侵行為，并主動采取措施，阻止潛在的威脅。同時記錄所有的網絡活動，形成告警分析頁面。

支持BYPASS、雙機熱備功能，當主防火墻出現斷電或其它故障時能夠自動切換到備防火墻進行工作，避免單點故障，保障工控業務的連續性。

五、加強應急響應和恢復能力

工業控制系統應建立全面的應急預案體系，確保在危機發生時能夠迅速、有序地采取措施，最小化事件對生產運營和聲譽的影響。

同時，加強數據備份機制，確保關鍵數據在系統故障或安全事件發生時能夠迅速恢復。

采用工業級一體化便攜式箱體設計，便攜靈活，滿足機動性需求。采用國際化標準應急處置流程，快速專業指導應急處置各環節，引導處置工作有序開展。

覆蓋行業多種類安全事件應急處置模板，持續集成一線技術人員豐富處置經驗，自動化事件診斷，智能推薦處置模板，提高處置速度，減少事件影響。

融合工控流量審計、工控漏洞掃描等安全產品，全方位安全掃描與檢測，快速處置定位、追根溯源。

對結果進行日志分析、惡意代碼分析、漏洞分析、弱口令分析、流量異常告警分析等，更快的分析定位、應對處置現場各類問題。

實踐案例

某化工廠制氫車間工業生產網絡大量工控上位機出現了藍屏、不斷重啟現象。本次項目案例介紹旨在向大家講述博智安全如何在接到應急防護服務請求后，攜帶網絡安全事件應急響應平臺到達客戶現場，第一時間協助客戶進行有效的應急處理，最大程度上減少事件造成的損失和消極影響。

經了解及分析，博智安全服務團隊初步判斷出客戶工業生產網絡中感染了“永恒之藍”勒索蠕蟲變種WannaCry2.0。經過分析，訪談，發現由于生產網絡未做好隔離與最小訪問控制，關鍵補丁未安裝，蠕蟲病毒通過網絡大肆快速傳播與感染，導致藍屏、重啟事件。

進一步分析，工業生產網絡中存在大量雙網卡主機，同時車間網絡環境無基本邏輯隔離，導致網絡邊界模糊。生產網與辦公室網絡無防護設備，直接連通，辦公室主機遭蠕蟲感染之后，便會通過網絡迅速傳入生產網中，從而造成車間主機的藍屏、重啟現象。

解決方案

本項目，博智安全服務團隊依據安全事件的分類、應急響應目標等，協助客戶進行有效的應急處理，最大程度上減少事件造成的損失和消極影響，并進行事后的加固與取證工作。

鑒于工控車間的特殊性，博智安全服務團隊對制氫車間的受感染工控機進行合規的病毒檢測樣本抓取操作，創建阻止445端口數據傳播的組策略。

為防止制氫車間及其他車間免受勒索病毒或其他攻擊，協助車間人員建立完善的工業安全防護制度和統一方案，確保生產安全、連續、穩定。

同時，在車間部署博智工控防護相關產品，如：博智工控主機衛士、博智工控防火墻，以便勒索病毒攻擊時，可以第一時間掌握攻擊源，并阻斷攻擊，防止勒索病毒的蔓延。

案例總結

早在2017 年 5 月 WannaCry（永恒之藍勒索蠕蟲） 大規模爆發時，博智安全服務團隊立即全面啟動了相關應急、分析、工具研發、病毒處置、事態追蹤。經過總結發現勒索軟件呈現以下三大明顯特點：

1、攻擊目標是經過精心選擇的，一定是承載了核心業務系統，客戶一旦中招須繳納贖金或者自行解密，否則業務癱瘓。企業、政府、醫療和教育機構最易被勒索軟件攻擊。

2、XP、Windows 7、Windows Server 2008/2008 R2服務器操作系統最易被勒索軟件攻破。

3、弱口令、共享文件、漏洞是勒索軟件最常用的攻擊方式。

通過該項目，化工廠生產線得以恢復，不再繼續遭受該病毒的攻擊威脅，博智安全服務團隊的專業能力得到了用戶的一致好評。

六、結語

綜上所述，此次的Windows藍屏事件為工業安全敲響了警鐘，提醒我們在工業控制系統的安全防護中需要更加注重第三方軟件依賴風險、充分執行軟件測試驗證、定期風險評估與修復、應急響應和恢復能力的提升、多元化供應商協作以及自主可控能力的提升。