工控安全白名單技術四種類型是什么

工控安全白名單技術四種類型如下：

• 應用程序白名單技術：應用程序白名單是用來防止未認證應用程序運行的一種措施。傳統的病毒查殺往往是以“黑名單模式”工作，把惡意軟件隔離或清除，這種方式很明顯永遠都只能防御已知的威脅和病毒，而AWL的理念是“白名單”模式，只有允許的應用程序才能被運行。在特定的應用場景下，需要針對場景中為了實現業務系統的正常運轉所需要的所有軟件和應用程序進行統計，然后對其進行充分的代碼審計、安全測試和分析，并結合完整性檢查方法的應用，一般為散列法，確保該應用程序是已認證安全通過的。

• 用戶白名單技術：對于一些潛在威脅的發現，針對一般用戶活動和管理員行為的分析其實是非常有必要的，大量的滲透攻擊都是在拿到一定權限的用戶或者管理員賬戶之后進行下一步的，例如，將管理員賬戶直接用于惡意攻擊，或者用于為其他惡意賬戶提升權限，使其得到與管理員一樣的權限等。通過針對用戶身份以及用戶權限的白名單管理，就可以在系統之外多一個權限管理措施，其自身的規則強度與系統自身的用戶權限是同級或者更高的。用戶白名單的技術措施獨立于系統自身的用戶管理措施，但不同于結構安全中的基本訪問控制功能，其自身還針對用戶所擁有的權限進行白名單管理，實現了部分審計控制功能的自動化。

• 資產白名單技術：有很大一部分針對工業控制系統的攻擊或者誤傷行為都是由于在系統網絡中非法接入了其他設備。如果借助于已經比較成熟的自動化網絡掃描工具，就能快速得到工業控制系統中的已知資產清單，當然這個過程也完全可以手工實現。而這份清單在得到確認之后，就可以用于記錄合法設備的白名單。在結構安全中比較強調基于邊界的各種安全策略，而資產白名單技術則將此邊界直接放到了每一個設備上。此時，如果有一個惡意設備或者地址接入工業控制系統，那么基于資產白名單技術、通過以前的結構安全方法仍然可以快速發現這個威脅源，將可能的未知新型威脅檢測出來，并采取相應的措施。

• 行為白名單技術：如同資產白名單一樣，應用程序的每一個行為都可以被記錄為白名單；同資產白名單一樣，行為白名單也需要先進行明確的定義，從而將應用程序的正常業務行為和其他惡意或者無關行為區分開。根據工業控制網絡協議的自身性質，大多數的應用程序行為可以直接通過監控這些協議和解碼來確定，其中解碼還能確定應用程序的潛在功能代碼和被執行指令。也正是因為這個特性，針對使用工控協議的工控業務存在一些內嵌的行為白名單特性。所以在進行行為白名單定義的時候，針對沒有使用工控協議的企業應用程序和SCADA應用程序需要區分對待。

回答所涉及的環境：聯想天逸510S、Windows 10。