為什么要保護工業控制系統

因為工業控制系統存在以下漏洞所以需要加強保護：

• 通信協議漏洞：工業化與信息化的融合和物聯網的發展，使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。例如，OPC Classic協議（OPC DA，OPC HAD和OPC A&E）基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通信采用不固定的端口號，從而導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此，確保使用OPC通信協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。

• 操作系統漏洞：目前大多數工業控制系統的工程師站/操作員站/HMI都是Windows平臺的，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，通常現場工程師在系統開始運行后不會對Windows平臺安裝任何補丁，但是存在的問題是，不安裝補丁，系統就存在被攻擊的可能，從而埋下安全隱患。

• 安全策略和管理流程漏洞：追求可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完整、有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如，工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

• 殺毒軟件漏洞：為了保證工控應用軟件的可用性，許多工控系統操作員站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要經常更新，這一要求尤其不適合于工業控制環境，而且殺毒軟件對新病毒的處理總是滯后的，從而導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

• 應用軟件漏洞：由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題；另外，當應用軟件面向網絡應用時，必須開放其應用端口。因此，常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞來獲取諸如污水處理廠、天然氣管道，以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。

回答所涉及的環境：聯想天逸510S、Windows 10。