常見的網絡配置方面的脆弱性體現在哪幾方面

常見的網絡配置方面的脆弱性體現在以下幾方面：

• 弱網絡安全架構:工業控制系統中的基礎設施網絡環境經常隨著運行需求的改變而不斷修改和完善，但在此過程中極少考慮這些變化對系統潛在的安全影響。隨著時間的延續，信息安全問題將在網絡環境的特定部分不斷累積，如果不及時打補丁，這些安全問題將成為工業控制系統中的后門。

• 沒有嚴格進行數據流控制:數據流控制機制，如訪問控制列表（ACL），可以用來明確限定哪些系統可以訪問網絡設備。一般情況下只有網絡管理者可以直接訪問網絡設備，數據流控制機制將確保其他系統不能直接訪問設備。

• IT設備中不全面的信息安全配置:使用出廠設備的默認配置通常會導致開放不安全、不必要的端口，并暴露出主機上可被利用的服務。不正確地配置防火墻策略和路由器訪問控制列表將在網絡中產生很多不必要的流量。

• 網絡設備的配置沒有被存儲或備份:發生事故或出現由敵對分子造成的配置改變的情形時，必須有恢復網絡設備配置的技術機制，以確保系統的可用性并保證數據不會遺失。需要設計規范的流程來確保網絡設備的配置可以被存儲和備份。

• 登錄口令在傳輸過程中沒有進行加密:登錄口令以明文形式在通信介質中傳輸時非常容易被惡意攻擊者監聽，惡意攻擊者可以利用監聽到的口令獲取對網絡設備的非法訪問。此類非法訪問過程將允許惡意攻擊者中斷工業控制系統運行，或者非法監視工業控制系統的網絡行為。

• 登錄口令被簡單地保存在網絡設備中:登錄口令需要進行周期性的更換，如果一個口令被非法用戶掌握，該非法用戶只能在短時間內對網絡設備進行未授權訪問。這種非法訪問有可能使惡意攻擊者有條件中斷工業控制系統的正常運行或非法監聽工業控制系統的敏感數據。

• 不合理的訪問控制機制:惡意用戶對網絡設備和管理員功能的非授權訪問將導致用戶可以隨意中斷工業控制系統的正常運行，或非法監聽工業控制系統的敏感操作，一些工業控制系統在運行過程中很容易受到畸形數據包或含有非法或異常現場數據報文的干擾。

• 工業控制系統中大量使用不安全的控制協議:分布式網絡協議Modbus、PROFIBUS以及IEC有關協議等在工業控制系統中應用普遍，并且其有關信息很容易從各種渠道獲取，這些協議只有很少的信息安全措施或根本沒有安全防護機制。

• 使用非加密報文:大多數工業控制系統協議在通信信道中使用明文傳輸協議報文，惡意攻擊者很容易監聽并分析報文內容。

• 系統中運行一些不必要的服務:工業控制系統設備平臺因默認配置而具有很多不同類型的處理器和網絡服務，其中那些不需要的服務一般很少被禁用，容易被惡意攻擊者利用。

• 經常使用已經在各種技術研討會或期刊雜志上討論過的專用軟件:工業控制系統專用軟件問題已經在工控網領域的國際會談上討論過，并可以在很多技術文獻和期刊中找到相關材料。并且，控制系統的用戶使用手冊等技術材料可以從設備提供商處獲取。這些信息可以幫助惡意攻擊者成功實施針對工業控制系統的攻擊行動。

• 設備配置和軟件開發過程中并不充分鑒別和訪問控制機制:設備配置和軟件開發過程中未經授權的訪問可能導致設備破壞。

回答所涉及的環境：聯想天逸510S、Windows 10。