工控系統安全脆弱性體現在哪些方面

工控系統安全脆弱性體現在以下方面：

• 針對安全的更新測試不充分：許多工業控制系統設備，特別是小型設備，沒有專門的測試工具，于是系統的安全更新必須在已投運的系統中進行在線安裝。

• 針對關鍵系統的物理保護不全面：對控制中心、現場裝置、便攜式設備、電子裝置和其他工業控制系統部件的訪問需控制，很多遠程站點沒有合法的網絡用戶身份，而其訪問過程沒有被監視。

• 非法用戶對設備的訪問：對工業控制系統設備的訪問必須僅限于必要的合法用戶，原因在于安全需求，如緊急情況中的關閉或重啟操作。對工業控制系統的非法訪問將導致以下問題丟失系統數據或設備硬件、系統數據或設備硬件的物理損毀或破壞、非授權地改變系統功能運行環境、中斷數據連接、無法察覺地攔截或偵聽數據。

• 對工業控制系統的非法遠程訪問：遠程訪問手段使得控制系統工程師和產品提供商可以遠程訪問系統，而這種訪問能力必須受到信息安全機制的控制，防止非授權用戶可以訪問工業控制系統。

• 網絡中存在的雙網卡配置：使用雙網卡連接不同網絡的機器，允許非授權訪問網絡以及在不同網絡間相互傳輸數據的情形。

• 對工業控制系統資產的標識不規范：為保護工業控制系統的信息安全，需要精確地列舉系統中的資產，對控制系統及其部件的不正確標識，將在工業控制系統中留下非授權訪問點或后門程序。

• 無線電頻率和電磁脈沖：控制系統中的硬件存在無線電頻率和電磁脈沖方面的脆弱性，可以引發控制指令的短暫中斷，甚至導致電路板的永久破壞。

• 對網絡設備的物理保護不完備：網絡設備的訪問將受到嚴格控制以防止發生破壞或中斷事故。

• 外部人員可以訪問工業控制系統的設備和網絡連接：對工業控制系統網絡設備的物理訪問必須僅限于合法員工，外部人員非法訪問網絡設備將導致以下問題工業控制系統設備硬件和敏感數據遺失、工業控制系統設備硬件和敏感數據破壞或損毀、非授權更改信息安全配置、非法中斷和控制網絡行為、斷開數據連接。

  加強工業網絡方法有以下這些：

• 工業主機白名單控制：工業主機由于長期不間斷運行，不能及時打補丁，并且受到聯網條件的限制，無法實時更新病毒庫，因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術，對工業軟件相關的進程文件進行掃描識別，為每個可信文件生成唯一的特征碼，特征碼的集合構成特征庫，即白名單。只有白名單內的軟件才可以運行，其他進程都被阻止，以防止病毒、木馬、違規軟件的攻擊。

• 工控協議識別與控制：為了保障數據傳輸的可靠性與實時性，工業生產網已發展了多套成熟的通信協議，主流的有幾十種，大致分為工業總線協議和工業以太網協議兩大類，如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎，也是評價產品能力的重要指標。

• 工控漏洞利用識別與防護：工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級，因此普遍存在可被攻擊的漏洞，而由于技術的專業性和封閉性，這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力，以及相應的防護能力，是工控安全防護能力建設的核心。

• 工控網絡流量采集與分析：獲取網絡流量是發現網絡攻擊的前提，流量采集與分析廣泛應用于網絡安全方案，是一項比較成熟的技術。對于工控網絡，除了基本的流量識別與統計分析外，還需要理解生產過程的操作功能碼，根據業務邏輯判斷是否發生異常。此外，根據設備間通信的規律建立流量基線模型，對多源數據進行關聯分析，能夠有效地識別異常行為和網絡攻擊。

• 工業網絡安全態勢感知：態勢感知是安全防御的重要手段，對于工控網絡，通過安全態勢感知平臺，可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件，對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持，包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等，是工控網絡安全防護的核心產品。

回答所涉及的環境：聯想天逸510S、Windows 10。