2026-06-26 11:09:59 作者:网编
分类:文章
上周去一个做面板的厂子做调试,差点没把我魂吓飞——他们的烘箱控制PLC直接挂在公网上,连个密码都没设!千万别觉得这是个例,走过这么多生产线,我只能说……情况比想象的还惊悚。OT和IT,压根就不是一个逻辑
说实话,搞IT安全的跑来直接套方案?💡 醒醒吧。工业控制系统(ICS)里的设备——那些PLC、DCS、SCADA——它们的核心任务是实时性和可靠性,不是保密性。你想象一下,一个化工反应釜正在加压,你弹个补丁重启通知?真敢啊。IT世界里装个杀毒软件天经地义,可在OT领域,很多控制器跑的是VxWorks或QNX这样的实时操作系统,你敢随便装个代理?一装,扫描动作可能让扫描周期抖动几毫秒,然后——砰,停机了。问:那为什么OT系统不打补丁,像Windows那样定期更新?
答:不是不想打,是没法打。很多DCS系统装完就十几年不关机,厂家早就没了,补丁?做梦。还有,有些协议的脆弱性简直没法说——Modbus TCP没有认证,谁发就响应;S7comm协议当初设计时压根没想过会有黑客。所以工业网络安全最头疼的就是这些先天不足的老家伙们。
我曾经见过一家汽车焊接车间,因为IT网和OT网之间就放了个家用路由器做隔离——❗ 注意,是家用路由器!维保人员还觉得“反正生产网又不联外网”。结果呢?一个工程师从办公室远程桌面连过来,中了勒索病毒,病毒直接顺着共享文件夹横着走,最后焊装机器人的控制PC全被加密。整条线停了三天,损失七位数。所以别再信“物理隔离就安全”这种鬼话了!
问:既然联网这么危险,那我彻底断网行不行?
答:想得美。现在哪个工厂不搞MES、不搞远程运维?设备厂家要远程诊断,不接网络人家不来;管理层要实时看OEE,不接ERP你达标吗?更别说还有最原始的威胁——U盘。摆渡攻击了解下?高级点的攻击专门盯着这种半隔离环境,先感染一个工程师站,再靠U盘慢慢渗透,你网络边界做得再厚也没用。
工业控制系统OT网络与IT网络安全域划分示意图
纵深防御,从哪下手都别扭
在IT安全里,纵深防御(Defense-in-Depth)是基本操作,可一到OT环境,每一层都硌得慌。网络层,你要上工业防火墙吧?深度包检测(DPI)得支持几十种工控协议,不然Smart logic一过滤,正常指令给拦了,又得跳脚。主机层,那些老旧的Windows NT/2000还在数控机床的工控机上跑着,加固?厂家不让动注册表,说动了不保修。物理层,有些地方高温高尘,连个标准的机架都放不进去。
不过话说回来,这几年总算看到一些进步。比如IEC 62443标准的落地,至少给了个框架框架。还有工控蜜罐,我最近在尝试扔个假的三菱PLC在网段里,看谁扫。啧,还真有中招的。但最大的短板是……人。很多工厂的电仪工程师连自己的PLC网段地址都说不清楚。安全培训?他们觉得那是IT部门的事。所以每次我做安全评估,第一步就是拉上厂长、生产经理和自动化主管,让他们明白:工业网络安全的直接负责人,首先是OT自己,IT只是配合。
工程师在化工厂控制室排查工业网络安全威胁
别等出了事再后悔
别等出了事再后悔
分享个真实的刺-激事儿:2017年某能源公司,被植入了一个叫TRITON的恶意软件,目标直指SIS(安全仪表系统)。什么叫SIS?就是那个在异常情况下紧急停车的最后防线。攻击者居然专门设计了能让安全系统失效的代码——这意味着他们不是只想偷数据或勒索,而是想物理摧毁。工业网络安全圈内提到这个都脊背发凉。咱们不能总等到这样的事发生才行动。
当然,也不是所有风险都来自外部。我见过最离谱的,是内部巡检员拿着自己手机开的Wi-Fi热点去连DCS操作员站,就为了偷懒看抖音。你觉得这是段子?这事儿就发生在去年。所以我现在特别强调网-络可见性(visibility),你都不知道你网里挂了哪些设备、跑着什么协议,那就等着出事吧。
最后想说的:少听厂商忽悠。那帮卖工业防火墙的,最喜欢画个完美的三层架构拓扑,告诉你“这样就能高枕无忧”。我呸——要是真这么简单,我早转行了。工业网络安全是一点一点磨出来的,是生产工艺和防护策略的妥协,是预算和人心的博弈。所以,下次有人跟你高谈工业4.0、智能制造,你只需要笑着问他一句:“你们工业网络安全预算占总投入多少?” 他如果支支吾吾……得,今天这顿饭你请了。✅
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。如有侵权请联系删除。
文章名称:工业网络安全:当OT遇上IT,工厂里那些没人告诉你的真相
文章链接:https://www.zystgy.cn/a/53968