一、工控产品的安全风险
1.产品来源
我国绝大部分工控系统的建设过程中,大型系统集成项目都由国外厂商参与实施,并且其中集成的实现细节不予公布。目前我国工控产品的核心技术受制于国外,不排除进口的电子设备、制造设备、工控开发软件等工控产品中留有后门、木马的可能性,在未来的信息战中潜在风险巨大。
2.产品漏洞
据ICS-CERT及DHS CSSP对工控软件脆弱性进行的评测分析,工业控制系统软件的安全脆弱性主要涉及了错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面,这些脆弱性对工业控制系统的正常运行具有极大威胁。并且,据绿盟科技的2014年工控安全报告中统计,我国广泛使用的工控产品近年来爆出来很多安全漏洞,这些来自工控软硬件的漏洞无疑增加了工控系统的整体风险。
3.协议安全
大多数工控协议在设计之初,主要关注效率以支持经济需求,关注实时性以支持精确需求,关注可靠性以支持操作需求,并会为了这些需求而放弃一些并不是绝对必须的特征或功能,如认证、授权和不可抵赖等需增加开销的安全特征和功能。但是,如果恶意代码进入工控系统便可利用这些