返回概述
CIM——工业应用中的病毒防护技术
CIFS完整性监测(CIM)是菲尼克斯电气提供的一款适用于工业应用的防病毒检测器。CIM能够监测控制器、操作界面或PC等基于Windows的系统是否被恶意软件等操纵,而且无需载入病毒特征码。
CIM的应用范围
CIM主要用于保护无法打补丁的系统,这些系统大部分是基于Windows的系统,具有以下一种或多种特性:
- 操作系统过于陈旧,微软公司已不再为其提供安全补丁,例如Windows 2000或更早的版本。
- 系统的交货状态已获得制造商或相关主管机构的认证,无法再进行修改。如果因更新操作系统而导致软件被修改,那么授权将作废,或者相关主管部门会撤销认证。
- 在对时间要求极为严格的工业应用中,为了确保实时性,系统便可能不会配置病毒扫描程序,或者由于没有互联网连接而无法更新病毒特征码。
- 系统特意未配置病毒扫描程序或IDS/IPS(入侵检测/入侵防御系统),因为即使只是一个误报警,也会导致整个应用程序停止。
- 系统用户不具备相应的专业知识,无法在不危及整个系统的情况下安装病毒扫描程序或IDS/IPS。
很多工业领域内都有可能会使用无法打补丁的系统:例如用于化学和制药工业的分析系统、用于汽车行业中的安全气囊制造以及基于PC的控制器生产。
CIM的工作原理
CIM参照基准状态,对基于Windows的系统进行检测,来判定特定文件(例如.exe或.dll文件)是否被篡改。
如果某个待检测文件系统被重新配置或修改,则必须建立基准状态或完整性数据库。这个数据库中应当包含所有待检测文件的校验和,以作比较(参考)用。数据库应当根据初查结果或因某一特殊原因而建立。
如果某个文件的校验和发生变化,意味着这个文件已被修改。如果用户本身没有进行此项修改,那么可能是恶意软件所为。CIM还能够检测文件的删除或添加操作。如果检测到某个文件的校验和发生变化,CIM会通过电子邮件或SNMP陷阱发出报警。完整性数据库本身也采取了防护措施,以防止恶意操作行为。
防火墙和CIM的对比
| 防火墙 | CIM |
|---|---|
| 通过协议、地址等管理数据流量 | 对通信效果不产生任何影响 |
| 使用静态规则组 | 使用散列值(数字指纹)来检测恶意操作情况 |
| 不会产生误报警 | 不会产生误报警 |
| 无法检测任何文件变更内容 | 检测并指示所有文件变更内容 |
| 自主、静态的工作方式 | 动态工作方式,并与其他系统进行互动 |
CIM的优势
对于要求严格的工业应用而言,CIM更具优势:
- 节约相关受监控系统的资源,例如CPU功率或网络负载。
- 无需载入病毒特征码。
- 完整性检测过程中不会出现误报警。
- 外部病毒扫描程序的误报警不会影响受监控系统的性能表现,因为扫描程序无法删除文件亦或是阻止文件使用。
- CIM以动态方式进行系统监控。
- CIM通过病毒扫描,提高封闭系统的安全性,并防止文件遭受恶意操作的影响。
