Q2: 白名单机制的工作原理是什么？

Q2: 白名单机制的工作原理是什么？

A: 白名单机制是工控安全的核心技术理念，其工作原理与传统的黑名单机制形成鲜明对比：

基本原理：

• 白名单机制遵循"默认拒绝，显式允许"的原则——系统启动后默认拦截所有通信和执行请求，仅放行预先经过审核并录入白名单的合法操作。
• 黑名单机制则相反，默认允许所有操作，仅拦截已知在黑名单中的恶意行为。

在工控安全中的应用：

1. 网络白名单：工控防火墙白名单策略定义了允许通过的通信规则，包括源/目的地址、端口、协议类型、功能码、寄存器范围等。只有完全匹配白名单规则的流量才能通过。
2. 终端白名单：工控终端安全通过建立可执行程序白名单，仅允许经过认证的程序运行。未经认证的程序（包括恶意软件、未经授权的工具软件等）将被拦截。
3. 设备白名单：USB 接口、串口等外设接入控制，仅允许经过授权的外部设备接入工控终端。

优势：白名单机制能够有效防御已知和未知的攻击，因为它不依赖于对威胁特征的识别，而是从合法行为的角度出发控制访问。这对于工控环境尤为重要，因为工控系统的通信行为相对固定和可预测。