先讲个真事儿。2017年,我出差去参观一家汽车配件厂,正好撞见他们的产线大瘫痪。不是设备坏了,也不是停电——是中了勒索病毒。嗯,你没看错,勒索病毒跑到了数控机床上。整个焊接车间停摆,MES系统被锁死,大屏上跳着比特币地址。厂长脸都绿了。那天,他们白白丢掉了两天的产能,直接损失少说两百万。最黑色幽默的是,攻击入口竟然是车间里一台没打补丁的老旧工控机,连着互联网做远程维护,密码万年不变:admin/admin。
说实话,这种事现在天天在上演。工业网络安全,早就不是IT部门能自己捂着被子哭的事儿了。可很多老板还觉得:工厂嘛,物理隔离,黑客哪有那么神?醒醒吧!
💡物理隔离早就不灵了。 不信?你随便找个工厂溜达一圈:MES要连ERP,ERP要上云;设备供应商远程调试要开VPN;维护人员揣着U盘在机器上插来拔去。每一条都是路径,每一条都可能变成漏洞。甚至——有些PLC通过网络接入了企业Wi-Fi,就为了工程师能在办公室里喝咖啡时监控数据。
工业网络安全为啥特殊?两个字:后果。IT系统被勒索,最多就是数据丢了,邮件收不了;OT(运营技术)系统被搞,那是真会死人的。2015年乌克兰电网被攻击,22万人摸黑;2021年佛州水厂,黑客把氢氧化钠浓度调到危险值,万幸被工人发现。这些不是科幻电影。
我们在机械行业混久了,总有一种错觉:机器比人可靠。可机器连上了网,就变成了一个暴躁的、随时可能被遥控的巨兽。更头疼的是,工业协议——像Modbus、Profinet、EtherNet/IP——设计时压根没考虑安全。它们天真、纯粹、毫无防备。你猜怎么着?很多工厂用了二十年,连固件都没升级过。

❗别以为没联网就万事大吉。 2010年“震网”病毒怎么钻进伊朗核设施的?U盘。高空气隙系统,照样被精准打击。如今供应链攻击更隐蔽:上游供应商的设备出厂前就被埋了后门,或者第三方维护笔记本带毒,一插即中。去年有个案例,一家注塑厂新买的机械手控制器,自带了木马,连企业内网后开始挖矿,半年都没人发现——因为产量没降,只是电费诡异飙升。
我经常对同行说一句糙话:“你们那套安全,就是个筛子。” 安全管理体系(ISO 27001?)搞了几年,文件堆成山,可车间里PLC的网络端口直接暴露在公网上,因为“远程诊断方便”。这不是技术问题,是思维惯性。制造业追求可用性优先,停一分钟都是钱。安全?往往靠边站。
不过话说回来,这两年总算有点进步。国家搞了等保2.0,把工业控制系统纳入监管;一些大厂开始上工控防火墙、统一威胁管理。可中小企业呢?谁管他们死活?一个几十人的机加工车间,老板会掏几万块买安全设备?大概率不会。他们宁愿赌运气——直到中招。
我分享几个实际中好使的招儿,不花太多钱:
一、资产梳理:你都不知道你有多少设备在线,谈何安全?
去年我帮一家注塑厂做安全评估,他们一口咬定“我们一共就二十台联网设备”。结果我一扫,好家伙,176个IP活跃。包括仓库里的旧PLC,一个废弃的HMI面板,还有个挂着的IP摄像头——固件是2015年的,漏洞列表能拉两页纸。不发现这些幽灵节点,任何防护都是自欺欺人。用个开源工具比如Nmap或工控专用扫描器,花一个下午,把家底摸清。这活儿没有捷径,就得人工一个个核对。✅
二、网络分段与访问控制:别把所有鸡蛋放一个网里
IT和OT必须分开,OT内部再按功能划区:控制层、监控层、现场层。用防火墙做纵深防御,端口和协议精确到所需即放。很多人嫌麻烦,但做完后运维踩坑的概率会指数级下降。我还见过直接把办公网和生产网用一根网线桥接的“天才设计”。问他为什么?答:“传文件快。” 唉,无语。
三、补丁管理:工业不一定打最新补丁,但必须知道风险
工控系统不可能像Windows那样按时打补丁,因为重启意味着停产。那至少得做风险评估:这个漏洞需不需要临时应对措施?能不能通过配置降权缓解?建立虚拟补丁机制,在防火墙或者IPS上阻断攻击流量——这是妥协,但总比裸奔强。

四、员工与第三方管理:人永远是最脆弱的环节
还记得那个admin/admin密码吗?强制改复杂口令,废止默认账户。第三方远程维护必须通过堡垒机,操作全程录屏。U盘管控,禁用自动运行。这些不是说教,是我从血泪中总结的。有一次,一个维修工把自己孩子的早教学习机充电器插到了包装机控制柜的USB口上,导致系统崩溃——这你找谁说理去?
读者关心的几个痛点,我直接答

问:我们的PLC从来没有联网,是不是就绝对安全了?
答:呵,天真的可爱。不联网,但你要编程调试吧?工程师的笔记本电脑联不联?笔记本电脑又连公网查资料吗?感染链就出来了。还有,机加工车间里流传的“祖传U盘”,含病毒的概率比你中彩票高。真正的气隙是非常严格的:专用笔记本、无网卡、数据单向导入,每次杀毒。能做到的工厂凤毛麟角。
问:都在搞数字化转型,工业4.0啥的,是不是风险只能随着上?
答:对,但不全是坏事。数据采集、上云确实增大攻击面,可同时也能借安全手段同步建设。比如上云前先做好微隔离,数据加密传输;利用AI做异常流量分析,在刚有苗头时掐断。怕的是只管上,不管护。就像买了辆超跑,却从来不保养,还抱怨质量差。道理一样。
问:小厂没钱没安全专家,怎么起步?
答:至少做三件事:1. 盘点资产,知道哪些要保护;2. 改掉默认口令,关掉不必要的服务和端口;3. 备份关键设备的配置和工程文件,离线存放。不花钱,只用细心。很多攻击者就是广撒网,找最弱的收割。你稍微硬一点,他们就绕道了。
最后说点掏心窝的话。干我们这行,见过太多“事后诸葛亮”。没出事先嫌安全预算贵,出了事又跳脚骂IT无能。工业网络安全不是买个盒子、装个软件就完,它是一种持续性的习惯。像我一个老友,守着个食品厂,二十年没出大事,因为他坚持每个季度核对资产清单、每周检查防火墙日志、每年组织一次应急演练。他说:“我从不信设备自己会安全,我只信一遍遍的验证。” 这话我记到现在。
别等生产线停了,才想起这篇文章。现在就动手,哪怕只改掉那个admin密码呢?