杀毒软件在工业控制系统中被众人嫌弃的原因分析

杀毒软件在IT信息安全中，与防火墙、IDS并列“三大件”，是计算机的标配安全产品，为什么在工业控制系统中沦落到被众人嫌弃？

　　先来听听现场的声音：
　　山西某能源企业安全主管：我们尝试了国内外的各种杀毒软件，都不同程度的与控制软件存在冲突，尤其是霍尼韦尔的PKS系统。所以，我们在主机上只能不安装杀毒软件。
　　国内领先的工控设备厂商H：我们希望在工控系统中集成主机安全软件，对国内外的多种杀毒软件进行了兼容性测试，基本都存在误杀。所以，现在我们的工控项目中，上位机属于裸奔，没有任何安全软件。
　　山东某大型电厂：DCS的工程师站、操作员站中有安装McAfee杀毒软件，但是，病毒库还是2008年的。
　　新疆某油田：监控中心的SCADA主机上有安装Symantec杀毒软件，但是，病毒库还是2012年的。
　　杀毒软件在IT信息安全中，与防火墙、IDS并列“三大件”，是计算机的标配安全产品，为什么在工业控制系统中沦落到被众人嫌弃?
　　经过调研，传统杀毒软件应用于工业控制系统中存在以下硬伤：
　　1) 工业控制软件相比日常办公软件，属于小众软件，杀毒软件无法做到100%地准确识别，所以存在对工业控制软件误杀的情况，而误杀在工业控制系统中是致命的。
　　2) 杀毒软件需要频繁升级病毒库才能维持对主流病毒的防护能力，而工业控制系统通常不允许连接互联网，无法在线升级病毒库。如果要升级病毒库，只能是手动离线升级，所以导致病毒库维护困难，杀毒软件沦为摆设。
　　3) 杀毒软件主要基于一个持续积累的病毒库对恶意代码进行识别，即基于“黑名单”思想。这导致杀毒软件，本质上存在两个严重缺陷：一方面，对新病毒的防御总是被动滞后的;另一方面，对于高级别的0day攻击无能为力，例如著名的“震网”病毒就是利用了多个微软的0day漏洞成功地攻击了伊朗的核工厂。
　　但是，工业控制系统中的上位机恰恰是信息安全的重灾区，杀毒软件不适用，那用什么呢?
　　敏哥抬起头，视线越过太平洋，在大洋彼岸搜索，发现了对中国禁售的Bit9，发现了NIST.SP.800-167 《Guide to Application Whitelisting》，似乎看到了一线曙光。