返回概述

CIM——工业应用中的病毒防护技术

CIFS完整性监测(CIM)是菲尼克斯电气提供的一款适用于工业应用的防病毒检测器。CIM能够监测控制器、操作界面或PC等基于Windows的系统是否被恶意软件等操纵,而且无需载入病毒特征码。

CIM的应用范围

CIM主要用于保护无法打补丁的系统,这些系统大部分是基于Windows的系统,具有以下一种或多种特性:

  • 操作系统过于陈旧,微软公司已不再为其提供安全补丁,例如Windows 2000或更早的版本。
  • 系统的交货状态已获得制造商或相关主管机构的认证,无法再进行修改。如果因更新操作系统而导致软件被修改,那么授权将作废,或者相关主管部门会撤销认证。
  • 在对时间要求极为严格的工业应用中,为了确保实时性,系统便可能不会配置病毒扫描程序,或者由于没有互联网连接而无法更新病毒特征码。
  • 系统特意未配置病毒扫描程序或IDS/IPS(入侵检测/入侵防御系统),因为即使只是一个误报警,也会导致整个应用程序停止。
  • 系统用户不具备相应的专业知识,无法在不危及整个系统的情况下安装病毒扫描程序或IDS/IPS。

很多工业领域内都有可能会使用无法打补丁的系统:例如用于化学和制药工业的分析系统、用于汽车行业中的安全气囊制造以及基于PC的控制器生产。

CIM的工作原理

CIFS完整性监测(CIM)  

CIFS完整性监测(CIM)

CIM参照基准状态,对基于Windows的系统进行检测,来判定特定文件(例如.exe或.dll文件)是否被篡改。

如果某个待检测文件系统被重新配置或修改,则必须建立基准状态或完整性数据库。这个数据库中应当包含所有待检测文件的校验和,以作比较(参考)用。数据库应当根据初查结果或因某一特殊原因而建立。
如果某个文件的校验和发生变化,意味着这个文件已被修改。如果用户本身没有进行此项修改,那么可能是恶意软件所为。CIM还能够检测文件的删除或添加操作。如果检测到某个文件的校验和发生变化,CIM会通过电子邮件或SNMP陷阱发出报警。完整性数据库本身也采取了防护措施,以防止恶意操作行为。

使用CIFS反病毒扫描连接器,就可以通过外部的病毒扫描程序扫描系统驱动器。原因是,系统驱动器由FL MGUARD设备提供保护,而且除了通过生产单元中的工业PC设备外,无法由其他途径访问FL MGUARD。而FL MGUARD将所有网络驱动器进行组合,并映射到外部的一个单独驱动器上,而这个虚拟驱动器就可以由外部病毒扫描程序进行扫描,无需访问真实的系统。

防火墙和CIM的对比

防火墙CIM
通过协议、地址等管理数据流量对通信效果不产生任何影响
使用静态规则组使用散列值(数字指纹)来检测恶意操作情况
不会产生误报警不会产生误报警
无法检测任何文件变更内容检测并指示所有文件变更内容
自主、静态的工作方式动态工作方式,并与其他系统进行互动

CIM的优势

对于要求严格的工业应用而言,CIM更具优势:

  • 节约相关受监控系统的资源,例如CPU功率或网络负载。
  • 无需载入病毒特征码。
  • 完整性检测过程中不会出现误报警。
  • 外部病毒扫描程序的误报警不会影响受监控系统的性能表现,因为扫描程序无法删除文件亦或是阻止文件使用。
  • CIM以动态方式进行系统监控。
  • CIM通过病毒扫描,提高封闭系统的安全性,并防止文件遭受恶意操作的影响。

返回概述
mGuard产品相关的更多信息
mGuard功能相关的更多信息

菲尼克斯(中国)投资有限公司

南京江宁开发区菲尼克斯路36号
邮编:211100
86-25-52121888

技术支持热线

400 828 1555