OPC 協議的安全性問題主要體現在哪幾個方面

OPC協議的安全性問題主要體現在以下幾個方面：

• 已知操作系統的漏洞問題：由于OPC協議基于Windows操作系統，通常的主機安全問題也會影響OPC。微軟的DCOM技術以高復雜性和高漏洞數量而著稱，這些操作系統層面的漏洞也成為經典OPC協議漏洞的來源和攻擊入口。雖然OPC及相關控制系統漏洞只有基金會的授權才能獲得，但大量現存OLE與RPC漏洞早已廣為人知。

• Windows操作系統的弱口令：OPC協議使用的最基本的通信握手過程需要建立在DCOM技術上，通過Windows內置賬號的方式進行認證。但大量的OPC服務器使用弱安全認證機制，即使啟用了認證技術也常常使用弱口令。

• 部署的操作系統承載了多余的、不必要的服務：許多部署的操作系統啟用了與ICS無關的額外服務，導致非必需的運行進程和來訪端口，如HTTP、NetBIOS等，這些問題都使OPC服務器暴露在攻擊之下。

• 審計記錄不完善：由于Windows 2000/XP等老舊系統的審計設置默認不記錄DCOM連接請求，所以攻擊發生時日志記錄往往不充分甚至丟失，無法提供足夠的詳細證據。

• 動態端口無法進行安全防護：OPC協議通過135端口建立通信鏈路后，采用了隨機端口（1024～65535）傳輸數據，廣泛的數據傳輸端口給安全防護帶來了問題，無法使用傳統的五元組方式來進行防護。

• 過時的授權機制：受限于維護窗口、解釋性問題等諸多因素，工業網絡系統升級困難，導致不安全的授權機制仍在使用。例如，在許多系統中仍在使用默認的Windows 2000 LanMan（LM）和Windows NT LanMan（NTLM）機制，這些機制與其他過時的授權機制相比過于脆弱而易于攻擊。

OPC 安全解決方案的典型應用：

• 過程控制層：操作工程師需要生產機器的控制權限。例如，某操作工程師需要安全控制區域A內的全部系統，和遠程監察區域B的能力。根據該工作需要，OPC安全網關可以依據該工程師的用戶身份設置：區域A內系統的瀏覽、讀、寫和添加的全部權限；及區域B系統的瀏覽和可讀權限。

• 業務和信息層：業務領導需要監測整個車間或工廠的運行，進而了解整體進度和質量達標情況，但不需要實際作業去控制。例如：某部門領導的職責范圍是負責監測每日的車間運行狀況；和每機器的數據點內容。根據該工作需要，OPC安全解決方案可以使該負責人只有每系統 - 每數據點的每日運行報告的瀏覽權限。

• 外部第三方：不在車間或工廠網絡之內的外部用戶經常也需要與業務領導同樣的數據訪問權限，但是由于網絡不同會產生諸多的不穩定和不安全因素。OPC安全解決方案可以采用必要和正確的數據加密，將數據經安全可靠的通信信道有保障地傳輸至外部的第三方用戶。

回答所涉及的環境：聯想天逸510S、Windows 10。