防病毒保护适合你吗?

如果问题是，“它应该运行杀毒软件吗?”当应用程序是商业数据库、历史记录系统或其他非实时控制应用程序时，答案通常是简单的“是”。然而，如果应用程序涉及实时控制或保证响应时间，例如HMIs、DCS系统或基于pc的控制系统，那么答案就不那么容易了。

中断担心

在控制应用程序中，有一个合理的担忧，即杀毒软件可能严重影响性能，中断生产，并使控制系统供应商的支持合同无效。NIST(国家标准与技术研究所)、桑迪亚国家实验室、制造公司和控制系统供应商最近进行了一项关于杀毒软件对工业控制系统影响的研究。这项研究证实了一些担忧，但也为反病毒软件提供额外保护指明了方向。

首先是坏消息:手动扫描和预定的全系统扫描将占用所有可用的CPU周期，在很长一段时间内将利用率推至100%。这可能会严重影响应用程序性能。降低扫描的优先级可以减少(但不能消除)对性能的影响，并增加不稳定的时间。签名更新(下载新的病毒签名，有时还下载新的扫描引擎)也会占用所有可用的CPU周期，但通常占用的时间少于一次完整的系统扫描。更糟糕的是，签名更新可能还需要重新启动。

好消息是，主动扫描，即在执行之前扫描可执行文件和库，对工业控制系统的影响最小。

多层中的一层

杀毒软件应该只是多层防御中的一层。它通常是系统受到威胁之前的最后一道防线。反病毒软件补充了其他层次，如业务网络和控制网络之间的防火墙、控制网络的独立用户认证控制、控制网络的独立网络访问控制、基于网络的入侵检测系统以及对已安装应用程序的严格控制。

杀毒软件可以应用于工业控制应用，但应遵循几条规则。首先，通过在单独的系统中进行测试，验证防病毒软件与系统应用程序一起工作，并验证该软件不会使供应商支持协议失效。系统所有者可能需要测试几种防病毒解决方案，并且可能需要单独订阅控制系统应用程序。

其次，禁用预定的全系统扫描。这将防止在不方便的时间进行无意的扫描，例如在半夜进行紧急订单工作。在已知停机时间，或当扫描的影响不会影响安全性或质量时，定期手动启动所有全系统扫描。

更好的规划

第三，使用本地病毒定义服务器，不要直接允许来自反病毒供应商系统的病毒特征更新。这允许系统管理员在安全的时间计划和安排更新;它切断了控制系统与互联网的直接联系;它允许系统所有者在发布之前测试新签名或扫描引擎的影响。

第四，保持应用服务器干净。这意味着卸载不必要的应用程序，特别是那些可能预先安装在商业服务器上的应用程序。这将减少必须扫描的文件数量，删除应用程序服务器与Internet之间隐藏的直接链接，并减少可能被感染的应用程序数量。

杀毒软件通常是安全系统的最后一道防线，应用这些规则可以让杀毒软件在对性能影响最小的控制系统上运行。然而，在手动控制下执行完整的系统扫描和签名更新需要支持和勤奋。

作者信息

丹尼斯·Brandldbrandl@brlconsulting.com他是北卡罗来纳州BR&L Consulting公司的总裁，该公司专注于IT制造业。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。