返回至總覽

CIM——工業應用中的病毒防護技術

CIFS 完整性監控(CIM)是菲尼克斯電氣提供的一款適用於工業應用的防病毒感測器。CIM 能夠監測控制器、操作介面或電腦等基於 Windows 的系統是否被惡意軟體等操縱,而且無需加載病毒碼。

CIM 的應用範圍

CIM 主要用於保護無法打補丁的系統,這些系統大部分是基於 Windows 的系統,具有以下一種或多種特性:

  • 作業系統過於陳舊,微軟公司已不再為其提供安全補丁,例如 Windows 2000 或更早的版本。
  • 系統交貨狀態已獲得製造商或相關主管機構認證,無法再進行修改。如果因更新作業系統而導致軟體被修改,那麼授權將作廢,或相關主管部門會撤銷認證。
  • 在對時間要求極為嚴格的工業應用中,為了確保即時性​​,系統便可能不會配備病毒掃描程式,或者由於沒有互聯網連接而無法更新病毒碼。
  • 系統特意未配備病毒掃描程式或 IDS/IPS(入侵檢測/入侵防禦系統),因為即使只是一個誤報警,也會導致整個應用程式停止。
  • 系統使用者不具備相應的專業知識,無法在不危及整個系統的情況下安裝病毒掃描程式或 IDS/IPS。

很多工業領域內都有可能會使用無法打補丁的系統:例如用於化學和製藥工業的分析系統、用於汽車行業中的安全氣囊製造以及基於電腦的控制器生產。

CIM 的工作原理

CIFS 完整性監控(CIM)  

CIFS 完整性監控(CIM)

CIM 定期參照基準狀態,對基於 Windows 的系統進行檢測,來判定特定文檔(例如 .exe 或 .dll 文檔)是否被篡改。

如果某個待檢測文檔系統被重新配置或修改,則必須建立基準狀態或完整性資料庫。這個資料庫中應當包含所有待檢測文檔的校驗和,以作比較(參考)用。資料庫應當根據初查結果或因某一特殊原因而建立。
如果某個文檔的校驗和發生變化,意味著這個文檔已被修改。如果使用者本身沒有進行此項修改,則可能是惡意軟體所為。CIM 還能夠檢測文檔的刪除或添加操作。如果檢測到某個文檔的校驗和發生變化,CIM 會透過電子郵件或 SNMP 陷阱發出報警。完整性資料庫本身也採取了防護措施,以防止惡意操作行為。

使用 CIFS 防病毒掃描連接器,就可以通過外部病毒掃描程式掃描系統驅動器;原因是,系統驅動器由 FL MGUARD 提供保護,除了通過生產單元中的工業電腦外,無法由其他途徑訪問 FL MGUARD。而 FL MGUARD 將所有網路驅動器進行組合,並映射到外部的一個獨立驅動器上。這個虛擬驅動器就可以由外部病毒掃描程式進行掃描,無需訪問真實的系統。

防火墻和 CIM 比較

防火墻CIM
透過協議、位址等管理資料流量對通訊沒有任何影響
使用靜態規則組使用文檔的散列值(數位指紋)來檢測是否存在惡意操作
不會產生誤報警不會產生誤報警
無法檢測任何文檔的變更檢測並指示文檔的所有變更
自主、靜態的運作方式動態運作方式,並與其他系統進行交互

CIM 的優勢

對於要求嚴格的工業應用而言,CIM 更具優勢:

  • 節約受監控系統的資源,例如 CPU 功率或網路負載。
  • 無需加載病毒碼。
  • 完整性檢測過程中不會出現誤報警。
  • 外部病毒掃描程式的誤報警不會影響受監控系統的性能表現,因為掃描程式無法刪除文檔亦或是阻止文檔使用。
  • CIM 以動態方式監控系統。
  • CIM 透過病毒掃描,提高封閉系統的安全性,並防止文檔遭受惡意操作的影響。

返回至總覽
有關 mGuard 產品的更多資訊
有關 mGuard 運作的更多資訊

菲尼克斯有限公司

11560 台北市南港區三重路 66 號 3 樓 B 室 (南港軟體園區)
02 2785 2155