工業控制平臺脆弱性體現在哪些方面

工業控制平臺脆弱性體現在以下方面：

• 管理網絡與控制網絡之間存在弱分離：ICS用于現場控制時幾乎不與管理網絡交互，隨著信息化和智能化發展以及工業互聯的需要，控制網絡與管理網絡的通道被建立，但是由于缺少有效的防護手段，入侵者也可以很容易地進入控制網絡。

• 活動組件之間缺乏認證：由于傳統的現場總線網絡總是處于封閉的環境中，所以沒有必要對網絡上連接的不同元素集成身份驗證機制。例如，操作員站、工程師站、服務器、執行控制器、工控數據交換服務器。缺乏身份驗證意味著體系架構的漏洞，該漏洞很容易被利用，以進行任何形式的損害。

• 系統缺陷：系統缺陷、錯誤配置或對設備平臺（包括硬件、操作系統和工業控制系統應用程序）的錯誤操作引起。這些脆弱性可以通過多種信息安全措施得以減少，如操作系統和應用程序的修補、物理層訪問控制以及信息安全軟件（如白名單軟件）的使用。

• 工控操作系統在沒有發現明顯安全問題之前，仍正常使用：因為工業控制系統軟件的復雜性和可能給其運行的操作系統環境帶來的修改，它的任何變化都必須經過全面的回歸測試，但是由于此類回歸測試和后續大規模分布式軟件升級過程所耽誤的時間，將產生一個很長的、引發脆弱性的窗口期。

• 沒有對操作系統的信息安全進行及時的升級打補丁操作：長期未升級打補丁的操作系統可能隱藏新的、未被發現且極易造成破壞的脆弱性，因此需對工業控制系統信息安全升級打補丁操作及維護過程制定規范。

加強工業網絡方法有以下這些：

• 工業主機白名單控制：工業主機由于長期不間斷運行，不能及時打補丁，并且受到聯網條件的限制，無法實時更新病毒庫，因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術，對工業軟件相關的進程文件進行掃描識別，為每個可信文件生成唯一的特征碼，特征碼的集合構成特征庫，即白名單。只有白名單內的軟件才可以運行，其他進程都被阻止，以防止病毒、木馬、違規軟件的攻擊。

• 工控協議識別與控制：為了保障數據傳輸的可靠性與實時性，工業生產網已發展了多套成熟的通信協議，主流的有幾十種，大致分為工業總線協議和工業以太網協議兩大類，如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎，也是評價產品能力的重要指標。

• 工控漏洞利用識別與防護：工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級，因此普遍存在可被攻擊的漏洞，而由于技術的專業性和封閉性，這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力，以及相應的防護能力，是工控安全防護能力建設的核心。

• 工控網絡流量采集與分析：獲取網絡流量是發現網絡攻擊的前提，流量采集與分析廣泛應用于網絡安全方案，是一項比較成熟的技術。對于工控網絡，除了基本的流量識別與統計分析外，還需要理解生產過程的操作功能碼，根據業務邏輯判斷是否發生異常。此外，根據設備間通信的規律建立流量基線模型，對多源數據進行關聯分析，能夠有效地識別異常行為和網絡攻擊。

• 工業網絡安全態勢感知：態勢感知是安全防御的重要手段，對于工控網絡，通過安全態勢感知平臺，可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件，對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持，包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等，是工控網絡安全防護的核心產品。

回答所涉及的環境：聯想天逸510S、Windows 10。