工业网络安全：当勒索病毒盯上生产线，你的 PLC 还安全吗？

去年这时候，我接到一个电话。那头的声音慌得不行：‘整条涂装线都停了，屏幕上一串英文，好像是……被黑了？’我心里咯噔一下——得，又是勒索病毒。后来去现场一看，老旧的工程师站上插着一根网线，直通办公网。换句话说，攻击者从财务部一台中了钓鱼邮件的电脑，一路摸到了生产网核心。三天，停产三天。一天损失多少？他没说，但脸上那表情我到现在都记得。

物理隔离？别太天真

物理隔离这四个字，在工控圈简直像护身符。很多老师傅甚至拍胸脯：咱的 PLC 不联网，谁攻得进来？说实话，十年前这话没毛病。但现在呢？U盘一插，维护用的笔记本电脑一接，你以为的‘孤岛’早漏成筛子了。更不用说那些打着‘工业 4.0’旗号上的 MES 系统，数据总要往上走吧？只要有一条路通着办公网或者云端，就没什么绝对的安全。上个月一桩事儿更绝：某水务公司的 SCADA 系统，攻击者是通过大楼的智能照明控制器摸进去的——那个控制器为了方便远程管理，直接暴露在公网上，默认密码都没改。❌

所以现在谈工业网络安全，我第一条就跟客户讲：别信物理隔离。你得假定网络已经通了，然后按照这个前提去布防。怎么布？纵深防御——网络分段、白名单机制、异常行为检测，一个不能少。但问题又来了。

工控协议：天生不带安全基因

Modbus、Profinet、DNP3……这些玩意儿设计出来的时候，工程师们压根没想过会有互联网这种东西。连认证机制都省了，指令明文跑，谁发都认。我记得有次做渗透测试，就靠一台普通笔记本接入一个交换机的镜像端口，直接往 PLC 写了条停止指令。操作员那边一脸懵：‘咋停了？没有误触啊？’我苦笑，在工控世界里，往往一条简单的 Modbus 写操作，就能让价值千万的生产线趴窝。💡

更头疼的是，这些老旧协议还不能轻易换。你让工厂升级一下固件，他们眉头皱得能夹死苍蝇：‘升级完万一不兼容呢？停产你负责？’也是，工控环境最怕变。但这不代表只能躺平。现在工业防火墙已经能做深度包检测，识别出工控协议里的异常指令然后阻断。比如正常你只读数据，突然有一条写入寄存器——拦下来，告警。搞工控安全的同行经常打比方：就像给老房子装上智能门禁，不改结构，但出入要验证身份。

问：我们厂已经买了工业防火墙，这样够了吗？

答：当然不够。防火墙只能挡住一部分攻击，万一攻击者利用合法的写操作搞破坏呢？比如伪装成一个正常 HMI 发指令，防火墙可能放行。还得上终端防护，给工程师站、操作员站加白名单软件，只允许运行指定的程序。再有就是安全运维——很多事故复盘，发现攻击者早就在内网潜伏几周了，可没人看日志。✅ 说到底，技术是死的，人是活的。

那些让人冒冷汗的真实攻击

2021 年美国 Colonial Pipeline 事件，输油管道一停，东海岸油价飙升。那是第一次，全世界普通人真切感受到工业系统被黑的冲击。但圈内更早的‘经典’是 Stuxnet，震网病毒，直接改了离心机转速，物理破坏。现在呢？勒索软件团伙学聪明了，他们不一定要搞破坏，而是加密你的工控主机，不给钱就停产。今年上半年，一家欧洲汽车零部件供应商中了招，攻击者甚至威胁：如果不付赎金，就把生产线数据公开——那可是工艺配方啊！

更隐蔽的，是那些定向攻击。有回帮一家半导体厂做应急响应，攻击者进到他们的厂务系统，掌控了洁净室的温度和湿度。幸亏发现得早，不然只要参数一乱，整批晶圆全废。那个后门是通过供应商的远程维护通道进来的——第三方风险，老生常谈，但永远有人栽在这上面。

问：我们是中小型制造企业，感觉被攻击的概率不大，需要专门搞安全吗？

答：大错特错。中小厂现在才是‘软柿子’。你以为攻击者都盯着大企业？其实他们用自动化工具扫全网，碰上弱密码、漏洞直接批量投放勒索软件。去年有款叫 DeadBolt 的勒索病毒，专门针对某国产 NAS 设备，好多小厂的监控录像机被搞，连带着生产数据都丢了。更何况，中小企业一旦停产，可能就直接破产了——这可不是吓唬人。❗

零信任？在车间落地有多难

这两年 IT 圈吹爆零信任，‘永不信任，始终验证’。搬到 OT 环境，理想很丰满：每台 PLC、每个传感器都不信任，每次通信都要认证和授权。现实呢？骨感得硌牙。一台老旧的西门子 S7-300，你让它搞证书认证？且不说算力够不够，配置起来谁吃得消？所以务实点，我们谈‘微隔离’——至少把车间里的网络切成小段，不同工序之间不能乱串。哪怕一台机器中毒，也别让整条线瘫痪。

还有一个头疼事：时间同步。工控系统里的时钟要是差了几秒，日志就全乱了，真出了事溯源都难。但有些网络为了安全做得太绝，把 NTP 端口全封了，结果时钟飘到十万八千里。😅 这些看似不搭界的细节，往往就是决定防线牢不牢的关键。

从应急响应到日常韧性

这几年我越来越觉得，工业网络安全不单是技术活，更是应急管理的活儿。出了事，厂里能不能快速隔离、恢复生产？备份在哪儿？谁负责打电话给客户解释？有一家客户让我印象很深：他们每半年搞一次‘红蓝对抗’，故意让人模拟攻击，从 IT 打到 OT，然后看响应流程能跑多顺。第一次演习时，从发现入侵到启动应急预案，他们用了四个多小时——生产线都停半天了。最近一次，缩短到 37 分钟。这不是奇迹，就是练出来的。

还记得开头那个涂装线停产的故事吗？后来他们改了拓扑，部署了工业 IDS，上了白名单，还把远程维护通道全部加上了多因素认证。两年过去了，没再出过事。不过老板跟我说，他现在每天睡醒第一件事，就是打开手机看安全日报。听上去有点神经质，但我觉得——这种警觉，才是工业网络安全里最值钱的东西。