久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

    1　工業(yè)控制系統(tǒng)信息安全趨勢

    隨著工業(yè)控制系統(tǒng)的通用化、網絡化、智能化發(fā)展，工業(yè)控制系統(tǒng)信息安全形勢日漸嚴峻。一方面，傳統(tǒng)的互聯(lián)網信息安全威脅正在向工業(yè)控制系統(tǒng)蔓延，另一方面，針對關鍵基礎設施及其控制系統(tǒng)，以竊取敏感信息和破壞關鍵基礎設施運行為主要目的的攻擊愈演愈烈。主要原因是工業(yè)控制系統(tǒng)建設時更多的是考慮各自系統(tǒng)的可用性，并沒有充分考慮系統(tǒng)之間互聯(lián)互通的信息安全風險和防護建設，使得國際國內針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮。“震網”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘，促使國家和社會逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。

    2010年以前，全球工業(yè)安全事件發(fā)生頻率還較少，但這個數(shù)據在2010年以后急劇上升。據權威工業(yè)安全事件信息庫RISI統(tǒng)計，截止到2013年10 月，全球已發(fā)生300余起針對工業(yè)控制系統(tǒng)的攻擊事件，而且，這個數(shù)據還在不斷刷新。這說明黑客針對工業(yè)控制系統(tǒng)的關注度在不斷提升，嚴重威脅著生產安全。

    全球各地不斷發(fā)生的工控信息安全事件給我們3個啟示：一是黑客技術高超，制造的病毒不易被發(fā)現(xiàn)；二是針對工控系統(tǒng)的攻擊不是個人所為，而是團伙作案；三是針對工控系統(tǒng)的攻擊除了個人獲利因素外，更重要的是帶有敵對思想和很強的政治色彩。

    因此，如果對工控系統(tǒng)沒有嚴格的管控措施，在敵對勢力發(fā)動網絡攻擊，或是潛藏在工控系統(tǒng)中的木馬病毒發(fā)生作用時，其后果堪比一場戰(zhàn)爭帶來的災難。目前，我國工控領域的法律規(guī)范和國家安全標準相對欠缺，也沒有嚴格的市場準入制度，國家對國產工控設備的產業(yè)支持力度還有待加強。這種局面必須得到徹底改觀，否則，國家安全、人民的安康都將籠罩在工控系統(tǒng)安全風險的陰霾之中。

    近年來，國家非常重視工業(yè)控制系統(tǒng)信息安全問題，已經把安全問題提升到與發(fā)展同等的高度來看待。中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平2014年2月27日下午主持召開中央網絡安全和信息化領導小組第一次會議并發(fā)表重要講話。會議中，習總書記指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。

    工業(yè)和信息化部2011年9月發(fā)布《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（[2011]451號），通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領導、技術保障、規(guī)章制度等方面的要求，并在工業(yè)控制系統(tǒng)的連接、組網、配置、設備選擇與升級、數(shù)據、應急管理等六個方面提出了具體要求。

    2012年6月28號國務院《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)[2012]23號》中明確要求：保障工業(yè)控制系統(tǒng)安全；重點保障對可能危及生命和公共財產安全的工業(yè)控制系統(tǒng)。

    國家發(fā)改委從2011年開始開展工業(yè)控制系統(tǒng)信息安全專項，涉及到面向現(xiàn)場設備環(huán)境的邊界安全專用網關產品、面向集散控制系統(tǒng)（DCS）的異常監(jiān)測產品、面向SCADA系統(tǒng)的安全采集遠程終端單元（RTU）產品以及工業(yè)應用軟件漏洞掃描產品等產業(yè)化項目。在電力電網、石油石化、先進制造、軌道交通等領域，支持大型重點骨干企業(yè)，按照信息安全等級保護相關要求，開展工業(yè)控制系統(tǒng)信息安全建設的試點示范。

    目前已頒布了如下標準：

    GB/T 26333-2010《工業(yè)控制網絡安全風險評估規(guī)范》；

    GB/T 30976.1-2014-工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范；

    GB/T 30976.2-2014-工業(yè)控制系統(tǒng)信息安全 第2部分：驗收規(guī)范；

    此外，《工業(yè)控制系統(tǒng)信息安全等級保護設計技術指南(草稿)》、《工業(yè)控制系統(tǒng)信息安全等級保護基本要求(草稿）》正在編寫過程中。

    《集散控制系統(tǒng)（DCS）安全防護標準》正在征求意見中。

    在工控安全建設方面走在前列的電力行業(yè)早些年已經在生產系統(tǒng)中建立了相關規(guī)范，如《電力二次系統(tǒng)安防護規(guī)定》（電監(jiān)會5號令）、《電力二次系統(tǒng)安全防護總體方案》（電監(jiān)會全34號文）等，發(fā)改委14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》。

    公安部、經信委等也在不斷對影響國計民生的公共系統(tǒng)進行滲透檢查，發(fā)現(xiàn)了眾多問題。

    2　工業(yè)控制系統(tǒng)信息安全建設思路

    目前，工業(yè)控制系統(tǒng)信息安全建設思路是以風險管理為核心，通過了解自身工業(yè)控制系統(tǒng)信息安全風險，并
通過合適的管理和技術措施對這些風險進行控制，達到企業(yè)工控系統(tǒng)信息安全風險可控的目標。風險管理是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。

    眾所周知，工業(yè)控制系統(tǒng)信息安全風險和事件不可能完全避免，沒有絕對的安全。信息安全本身是高技術的對抗，有別于傳統(tǒng)安全，呈現(xiàn)擴散速度快、難控制等特點。因此，管理工業(yè)控制系統(tǒng)信息安全必須以風險管理的方式，關鍵在于如何控制、化解和規(guī)避風險，而不是完全消除風險。好的風險管理過程可以讓企業(yè)以最具成本效益的方式運行，并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風險，而不是將寶貴的資源用于解決所有可能的風險。

    風險，通俗講是指不幸事件發(fā)生的概率。影響風險的發(fā)生與兩個因素密不可分，即弱點和威脅。也就是說，要做到風險可控，就必須非常清楚地了解自身的弱點和威脅源，通過對自身弱點進行加固，并有效阻止威脅源的入侵來實現(xiàn)風險可控。

    2.1　工業(yè)控制系統(tǒng)面臨的主要威脅

    （1）外部攻擊的發(fā)展

    工業(yè)控制系統(tǒng)采用大量的IT技術，互聯(lián)性逐步加強，神秘的面紗逐步被揭開，工業(yè)控制信息安全日益進入黑客的研究范圍，國內外大型的信息安全交流會議已經把工業(yè)控制信息安全作為一個重要的討論議題。隨著黑客的攻擊技術不斷進步，攻擊的手段日趨多樣，對于他們來說，入侵到某個系統(tǒng)，成功破壞其完整性是很有可能的。例如近幾年的震網、duqu、火焰、havex等病毒攻擊證明黑客開始對工控系統(tǒng)感興趣。

    （2）內部威脅的加劇

    根據FBI和CSI對484家公司進行的網絡安全專項調查結果顯示，超過70%的安全威脅來自公司內部，在損失金額上，由于內部人員泄密導致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另據中國國家信息安全測評中心調查，信息安全的現(xiàn)實威脅也主要為內部信息泄露和內部人員犯罪，而非病毒和外來黑客。

    工業(yè)控制系統(tǒng)普遍缺乏網絡準入和控制機制，上位機與下位機通訊缺乏身份鑒別和認證機制，只要能夠從協(xié)議層面跟下位機建立連接，即可以對下位機進行修改，普遍缺乏對系統(tǒng)最高權限的限制，高權限賬號往往掌握著數(shù)據庫和業(yè)務系統(tǒng)的命脈，任何一個操作都可能導致數(shù)據的修改和泄露。并且缺乏事后追查的有效工具，也讓責任劃分和威脅追蹤變得更加困難。

    （3）應用軟件的威脅

    設備提供商提供的應用授權版本不可能十全十美，各種各樣的后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮，工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同一家公司的產品，在測試節(jié)點問題容易隱藏，且組態(tài)軟件的不成熟也會為系統(tǒng)帶來威脅。

    （4）第三方維護人員的威脅

    第三方維護人員的威脅。工業(yè)控制系統(tǒng)建設在發(fā)展的過程中，因為戰(zhàn)略定位和人力等諸多原因，越來越多的會將非核心業(yè)務外包給設備商。如何有效地管控設備廠商和運維人員的操作行為，并進行嚴格的審計是系統(tǒng)運營面臨的一個關鍵問題。

    （5）多種病毒的泛濫

    病毒可通過移動存儲設備、外來運維的電腦，無線系統(tǒng)等進入工控系統(tǒng)，當病毒侵入網絡后，自動收集有用信息，如關鍵業(yè)務指令、網絡中傳輸?shù)拿魑目诹畹龋蚴翘綔y網內計算機的漏洞，向網內計算機傳播病毒。由于病毒在網絡中大規(guī)模的傳播與復制，極大地消耗網絡資源，嚴重時有可能造成網絡擁塞、網絡風暴甚至網絡癱瘓，這是影響工業(yè)控制系統(tǒng)網絡安全的主要因素之一。

    2.2　工業(yè)控制系統(tǒng)自身弱點按管理和技術的分類

    （1）信息安全管理方面脆弱性

    ·組織結構人員職責不完善，缺乏專業(yè)人員。大部分行業(yè)未設置工控系統(tǒng)信息安全管理部門，未明確建設運維相關部門的安全職責和技能要求。同時普遍缺乏信息安全人才。

    ·信息安全管理制度流程欠完善?，F(xiàn)在大部分行業(yè)還未形成完整的政策制度保障信息安全，缺乏工業(yè)控制系統(tǒng)規(guī)劃、建設、運維、廢止全生命周期的信息安全需求和設計管理，欠缺配套的管理體系、處理流程、人員責任等規(guī)定。

    ·應急響應機制欠健全，需進一步提高信息安全事件的應對能力。由于響應機制不夠健全，缺乏應急響應組織和標準化的事件處理流程，發(fā)生信息安全事件后人員通常依靠經驗判斷安全事件發(fā)生的設備和影響范圍，逐一進行排查，響應能力不高。

    ·人員信息安全培訓不足，技術和管理能力以及人員安全意識有待提高。大部分行業(yè)有針對工控系統(tǒng)的業(yè)務培訓，但是面向全員的信息安全意識宣傳，信息安全技術和管理培訓均比較薄弱，需加強信息安全體系化宣傳和培訓。

    ·尚需完善第三方人員管理體制。大部分的行業(yè)會將設備建設運維工作外包給設備商或集成商，尤其針對國外廠商，業(yè)主不了解工控設備技術細節(jié)，對于所有的運維操作無控制、無審計，留有安全隱患。

    （2）信息安全技術方面脆弱性

    ·未進行安全域劃分，區(qū)域間未設置訪問控制措施。隨著工控系統(tǒng)的集成度越來越高，呈現(xiàn)統(tǒng)一管理、集中監(jiān)控的趨勢，系統(tǒng)的互聯(lián)程度大大提高。但是大部分行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒進行安全分區(qū)，系統(tǒng)邊界不清楚，邊界訪問控制策略缺失等。

    ·缺少信息安全風險監(jiān)控技術，不能及時發(fā)現(xiàn)信息安全問題，出現(xiàn)問題后靠人員經驗排查。在工控網絡上普遍缺少信息安全監(jiān)控機制，不能及時了解網絡狀況，一旦發(fā)生問題不能及時確定問題所在，及時排查到故障點，排查過程耗費大量人力成本、時間成本。

    ·系統(tǒng)運行后，操作站和服務器很少打補丁，存在系統(tǒng)漏洞，系統(tǒng)安全配置較薄弱，防病毒軟件安裝不全面。大部分行業(yè)工控系統(tǒng)投產后，對操作系統(tǒng)極少升級，而操作系統(tǒng)會不斷曝出漏洞，導致操作站和服務器暴露在風險中。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。

    ·工程師站缺少身份認證和接入控制，且權限很大。有些行業(yè)工程師站登陸過程缺少身份認證，且工程師站對操作站、控制器等進行組態(tài)時均缺乏身份認證，存在任意工程師站可以對操作站、現(xiàn)場設備直接組態(tài)的可能性。

    ·存在使用移動存儲介質不規(guī)范問題，易引入病毒以及黑客攻擊程序。在工控系統(tǒng)運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質現(xiàn)象，有可能傳染病毒、木馬等威脅生產系統(tǒng)。

    ·第三方人員運維生產系統(tǒng)無審計措施。出現(xiàn)問題后無法及時準確定位問題原因、影響范圍及追究責任。

    ·上線前未進行信息安全測試。一些行業(yè)工控系統(tǒng)在上線前未進行安全性測試，系統(tǒng)在上線后存在大量安全風險漏洞，安全配置薄弱，甚至有的系統(tǒng)帶毒工作。

    ·無線通信安全性不足。一些行業(yè)工控系統(tǒng)中大量使用無線網絡，在帶來方便的同時，隨之而來的是無線網絡安全方面的威脅。其中包括未授權用戶的非法接入、非法AP欺騙生產設備接入、數(shù)據在傳輸過程中被監(jiān)聽竊取、基于無線的入侵行為等。

    通過開展工控信息安全風險評估工作，能夠詳細分析出上述威脅和弱點產生原因和安全風險防御的方法，再選擇合適的管理措施和技術措施進行加固，從而實現(xiàn)工控信息安全風險可控。

    3　工業(yè)控制系統(tǒng)信息安全解決方案

    啟明星辰工業(yè)控制系統(tǒng)信息安全解決方案，以工業(yè)控制信息安全管理系統(tǒng)為核心，以旁路檢測、串聯(lián)防護、現(xiàn)場防護三大引擎為支撐，全面實現(xiàn)全網工控設備的統(tǒng)一安全監(jiān)測和防護，安全風險集中分析和展現(xiàn)。輔助以貫穿工業(yè)控制系統(tǒng)需求、設計、建設、運營、廢除全生命周期的工控安全風險評估平臺，實現(xiàn)信息安全風險的動態(tài)管理。工控信息安全防護體系如圖1所示。

圖1 工業(yè)控制信息安全管理系統(tǒng)

    啟明星辰工控信息安全解決方案主要特點：一是縱深防御，集防護、監(jiān)測、管理于一體；二是基于全生命周期管理，即工控系統(tǒng)軟件開發(fā)全生命周期管理、攻擊過程全生命周期管理。

    3.1　縱深防御，集防護、監(jiān)測、管理于一體

    啟明星辰縱深防御思想，主要體現(xiàn)在保證系統(tǒng)可用性前提下，對工業(yè)控制系統(tǒng)進行防護，實現(xiàn)“垂直分層，水平分區(qū)；邊界控制，內部監(jiān)測；集中展現(xiàn)”。

    “垂直分層、水平分區(qū)”，即按照工業(yè)控制系統(tǒng)的層次結構，垂直方向化分為四層：現(xiàn)場設備層、現(xiàn)場控制層、監(jiān)督控制層、生產管理層。水平分區(qū)指各工業(yè)控制系統(tǒng)之間應該從網絡上隔離開，處于不同的安全區(qū)。

    “邊界控制，內部監(jiān)測”，即對系統(tǒng)邊界，即各操作站、工業(yè)控制系統(tǒng)連接處、無線網絡等要進行邊界防護和準入控制等。對工業(yè)控制系統(tǒng)內部要監(jiān)測網絡流量數(shù)據以發(fā)現(xiàn)入侵、業(yè)務異常、訪問關系異常和流量異常等問題。

    “集中展現(xiàn)”，即對工控系統(tǒng)中可能涉及的各類設備，包括工業(yè)防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、操作員站、工程師站、適時數(shù)據庫、歷史數(shù)據庫、PLC、路由器、交換機等，進行統(tǒng)一采集和識別這些設備產生的安全事件和告警信息、日志信息等，并通過多維度可視化的界面進行綜合展示，使監(jiān)控人員一站式的查詢檢索安全及威脅信息，了解安全態(tài)勢，指導企業(yè)進行工控系統(tǒng)信息安全建設。

    系統(tǒng)面臨的主要安全威脅來自于黑客攻擊、惡意代碼（病毒蠕蟲）、越權訪問（非授權接入）、移動介質、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務異常等，因此，其安全防護應在以下方面予以重點完善和強化。

    ·入侵檢測及防御；

    ·惡意代碼防護；

    ·內部網絡異常行為的檢測；

    ·邊界訪問控制和系統(tǒng)訪問控制策略；

    ·工業(yè)控制系統(tǒng)開發(fā)與維護的安全；

    ·身份認證和行為審計；

    ·賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；

    ·操作站操作系統(tǒng)安全；

    ·移動存儲介質的標記、權限控制和審計；

    ·設備物理安全。

    結合工業(yè)控制系統(tǒng)信息安全防護思路，將典型工業(yè)控制系統(tǒng)分為四層，即生產管理層、監(jiān)督控制層、現(xiàn)場控制層、現(xiàn)場設備層。每一個工業(yè)控制系統(tǒng)應單獨劃分在一個區(qū)域里。

    生產管理層主要是生產調度，詳細生產流程，可靠性保證和站點范圍內的控制優(yōu)化相關的系統(tǒng)。

    監(jiān)督控制層包括了監(jiān)督和控制實際生產過程的相關系統(tǒng)。包括如下設備：

    ·人機界面HMI，操作員站，負責組態(tài)的工程師站等；

    ·報警服務器及報警處理；

    ·監(jiān)督控制功能；

    ·實時數(shù)據收集與歷史數(shù)據庫，用于連接的服務器客戶機等。

    現(xiàn)場控制層是對來自現(xiàn)場設備層的傳感器所采集的數(shù)據進行操作，執(zhí)行控制算法，輸出到執(zhí)行器（如控制閥門等）執(zhí)行，該層通過現(xiàn)場總線或實時網絡與現(xiàn)場設備層的傳感器和執(zhí)行器形成控制回路。該層控制功能可以是連續(xù)控制、順序控制、批量控制和離散控制等類型。設備包括但不限于如下所示：

    ·DCS控制器；

    ·可編程邏輯控制器PLC；

    ·遠程終端單元RTU。

    現(xiàn)場設備層對生產設施的現(xiàn)場設備進行數(shù)據采集和輸出操作的功能，包括所有連在現(xiàn)場總線或實時網絡的傳感器（模擬量和開關量輸入）和執(zhí)行器（模擬量和開關量輸出）。

    對單一工業(yè)控制系統(tǒng)的網絡安全域劃分如圖2所示。

圖2 單一工業(yè)控制系統(tǒng)的網絡安全域

    根據“邊界控制，內部監(jiān)測，集中展現(xiàn)”的防護思路，典型的工業(yè)控制網絡安全防護如圖3所示。

圖3 典型的工業(yè)控制網絡安全防護

    通過工業(yè)控制信息安全管理系統(tǒng)對整個工業(yè)控制系統(tǒng)內的各個子系統(tǒng)和安全設備進行統(tǒng)一安全監(jiān)控和管理。對工業(yè)控制現(xiàn)場控制設備、信息安全設備、網絡設備、服務器、操作站等進行統(tǒng)一資產管理，并對各設備的信息安全監(jiān)控和報警、信息安全日志信息進行集中管理。根據安全審計策略對各類安全信息進行分類管理與查詢，系統(tǒng)對各類信息安全報警和日志信息進行關聯(lián)分析，展現(xiàn)全網的安全風險分布和趨勢。

    防護類措施如下：

    （1）在區(qū)域邊界處部署工業(yè)防火墻設備，實現(xiàn)IP/端口的訪問控制、應用層協(xié)議訪問控制、流量控制等?；蛘卟渴鹁W閘設備，切斷網絡鏈路層鏈接，完成兩個網絡的數(shù)據交換。

    （2）在操作站、工程師站部署操作站安全系統(tǒng)實現(xiàn)移動存儲介質使用的管理、軟件黑白名單管理、聯(lián)網控制、網絡準入控制、安全配置管理等。

    （3）現(xiàn)場運維審計與管理系統(tǒng)是手持移動設備，運維人員運維現(xiàn)場設備時，先接入審計系統(tǒng)，再連接現(xiàn)場設備。審計系統(tǒng)可審計運維操作命令、運維工具使用錄像等，亦可進行防病毒、訪問控制等安全防護。

    （4）WiFi入侵檢測與防護設備是放在基于ＷiFi組網的現(xiàn)場設備網絡中，可實現(xiàn)非法AP阻斷，非法外來設備接入生產網絡，基于ＷiFi的入侵檢測等。

    監(jiān)控檢查類措施如下：

    （1）在工業(yè)以太網交換機上部署工控異常監(jiān)測系統(tǒng)，監(jiān)測工業(yè)控制系統(tǒng)內部入侵行為，異常操作行為，發(fā)現(xiàn)異常流量和異常訪問關系等。

    （2）部署工控漏洞掃描系統(tǒng)，在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行漏洞掃描，對漏洞進行修補。

    （3）部署安全配置基線核查系統(tǒng)，在系統(tǒng)檢修、停機或新系統(tǒng)上線時進行配置基線檢查，重點關注操作站、工程師站、服務器等開放的服務，賬號密碼策略、協(xié)議的安全配置等問題，對風險進行安全加固。

    縱深防御的工控信息安全防護體系是建立在整體工業(yè)控制網絡各個關鍵環(huán)節(jié)的基礎之上，能夠有效發(fā)現(xiàn)、防護、監(jiān)測和審計網絡安全活動，對企業(yè)工控系統(tǒng)正常生產運行起到了非常關鍵的作用。但是對于工控系統(tǒng)本身而言，系統(tǒng)自身存在的安全缺陷卻容易被威脅利用，從根本上解決這類問題還需要從軟件開發(fā)全生命周期管理來盡可能地實現(xiàn)軟件本身的安全性。

    3.2　基于全生命周期管理

    3.2.1　工業(yè)控制系統(tǒng)軟件開發(fā)全生命周期管理

    工業(yè)控制系統(tǒng)開發(fā)商在需求、設計、編碼、測試、上線、運行和持續(xù)完善的各個階段，存在的主要問題是重功能實現(xiàn)，輕安全功能，這樣就造成了工業(yè)控制系統(tǒng)本身存在許多可以被威脅利用的漏洞，從而產生工控信息安全風險。

    下面通過說明應用程序設計風險、編碼缺陷與配置缺陷來重點闡述工業(yè)控制系統(tǒng)應用程序的安全風險。

    （1）工業(yè)控制系統(tǒng)應用程序設計風險

    ·設計復雜，沒有達到簡單性與附加安全特征間的平衡。在系統(tǒng)中通過少數(shù)的瓶頸點實現(xiàn)安全關鍵的操作，運用少量的、復雜的、多功能軟件組件操作，在多個安全級別，在不需要時調用了組件的安全功能。

    過多的用戶接口與輸出，沒有確保用戶接口僅包含需要的功能，設計接口沒有考慮是否會被用戶繞過。沒有集中向下寫到一個程序，沒有做程序信息流的分析。

    ·設計層次沒有防御概念，在系統(tǒng)中僅有很少的安全層次，當一個層次被破壞的情況下，不能有效地阻止安全違背行為。沒有一系列的防御層，使得一個單層被滲透的情況下能夠造成整個系統(tǒng)被破壞的可能性。如表1所示，隨著防御機制的增強，攻擊者需要偷取數(shù)據所花費的代價也相應加大。

    ·用戶與應用數(shù)據的驗證，沒有考察所有的潛在區(qū)域，有可能通過這些區(qū)域，不可信的信息輸入進入應用程序，沒有驗證通過應用程序的任意數(shù)值，沒有檢查接收的數(shù)值是否是允許的數(shù)據類型或格式。

    ·沒有限制特權，允許不必要的特權給應用和功能，可能會潛在地導致未授權的信息進入敏感區(qū)域。特權沒有給予時間限制，沒有實現(xiàn)角色概念，實現(xiàn)不同的角色關聯(lián)不同的特權。

    ·信任開源軟件，使用前沒有進行評估。目前由于使用開源軟件帶來的問題遠遠高于商業(yè)軟件，所以這也是導致應用系統(tǒng)風險的重要因素之一。

    ·無失效保護。應用系統(tǒng)沒有考慮失效保護問題，通常攻擊者會等待他們期待的系統(tǒng)失效類型，進而來挖掘系統(tǒng)的脆弱性，比如說系統(tǒng)失效時是否允許訪問，是否恢復到安全狀態(tài)等。

    ·無敏感信息保護。對應用系統(tǒng)來說阻止訪問敏感信息是非常重要的，以防止信息泄露。這方面的設計通常需要注意：當敏感信息不再使用時沒有立即刪除；加密密鑰沒有存儲在安全區(qū)域；沒有運用CRC或SHA算法進行完整性保護；沒有關閉調試代碼，從而導致應用系統(tǒng)的關鍵信息對外部接口是開放的。

    ·沒有安全的保護網絡接口，應用系統(tǒng)的進出點沒有很好的定義、文檔化，網絡端口在通信完成后還處于激活狀態(tài)，通信發(fā)生時沒有相應的審計與日志。

    （2）工業(yè)控制系統(tǒng)編碼缺陷

    工業(yè)控制系統(tǒng)編碼缺陷包括如下幾個方面:

    ·未驗證的輸入。比如緩沖區(qū)溢出、整形溢出、注入缺陷（命令、SQL、LDAP）等。

    ·數(shù)據保護或存儲失效。在安全存儲數(shù)據時，需要考慮：需要訪問數(shù)據的權限；數(shù)據加密問題；存儲密鑰的威脅。

    ·不正確的錯誤處理。通常包含幾個方面：不能處理一個錯誤的條件；程序停留在一個不安全的狀態(tài)；由拒絕服務導致應用程序死掉。

    ·信息泄露。通常導致信息泄露的主要方式有兩種：一種是無意的，比如由于代碼或非顯而易見的通道問題導致有價值的信息輸出，或由于代碼中的注釋或冗長的錯誤信息導致；另一種是故意的，比如沒有適當?shù)谋Ｗo機密信息。防止信息泄露需要深入理解黑客通常所用的技術與方法，以及對他們有用的信息類型。

    ·競爭條件。指的是應用系統(tǒng)如果采用多任務的方式，需要考慮系統(tǒng)資源的管理，需要考慮不同任務的優(yōu)先級，任務的調度機制，內存的分配，避免任務間的死鎖等情況。

    ·惡意代碼。有意地插入代碼以破壞應用的安全性，通常能夠隱藏在調試軟件、加載程序、時間炸彈、特洛伊木馬等程序中。

    （3）工業(yè)控制系統(tǒng)配置缺陷

    工業(yè)控制系統(tǒng)配置缺陷通常是由于沒有好的配置管理導致，沒有建立一個專門的配置管理團隊負責不同項目配置管理分支的創(chuàng)建、更改、撤銷與維護。沒有設置不同的配置管理級別，以禁止對配置項目未授權的更改，比如說禁止測試人員在開發(fā)分支上更改代碼。另外，好的配置管理禁止開發(fā)與測試人員刪除配置項，只允許添加，對測試文檔，測試過程中使用的任何工具都需要在配置管理中進行維護。

    工控系統(tǒng)本身的健壯性對工業(yè)生產起到決定性的作用，只有工控系統(tǒng)軟件在需求、設計、編碼、測試、上線、運行和不斷完善的各個階段在考慮功能實現(xiàn)的同時，充分考慮安全功能需求，才能加強工控系統(tǒng)本身的健壯性，避免漏洞被威脅利用。