去年在浙江一家注塑厂,我亲眼看见工程师把U盘往工控机上一插,屏幕瞬间弹窗——勒索病毒。全厂停产三天。老板急得嘴角起泡。说实话,这种场面我见太多次了。别以为工业网络离黑客很远。
物理隔离?醒醒吧
很多老厂长迷信物理隔离。觉得内网不连外网就安全了。天真!我曾经在一家化工厂做评估,他们的DCS系统确实不连互联网,但调试笔记本却连着Wi-Fi,还开了远程桌面。攻击者只要搞定这台笔记本,后面就是一片坦途。工业网络安全的头号敌人不是技术漏洞,是人的麻痹。
还有更离谱的。某钢铁厂的PLC控制柜,门锁坏了半年没人修。巡检员一边抽烟一边用手机热点下载游戏更新,那台手机连着内网AP。你说这防线是不是纸糊的?
OT与IT的鸿沟——说多了都是泪
OT团队和IT团队互相看不上,这事儿在哪个大厂都有。OT的人觉得IT那套防火墙规则会搞停生产线,IT认为OT连补丁都不打简直是裸奔。结果呢?谁都不管,或者凑合搞一套DMZ,配置完就再没人看过日志。
讲个真事。一家汽车配件厂,MES服务器被挖矿木马占了,CPU跑满,生产节拍全乱。查了半天,根源是两年前IT部署的一台跳板机,密码还是admin123,端口映射到公网。OT的人根本不知道这台机器的存在。工业网络安全最怕这种三不管地带。
你以为802.1X就万事大吉了?
不少方案鼓吹基于端口的网络准入控制。听着很美。但我做过一个测试,在交换机上搭个Raspberry Pi,模拟MAC地址,轻松绕过。更不用说那些还在用HUB的老车间,一条总线上的所有设备,一损俱损。
问:小厂没预算,怎么搞工业安全?
答:先把默认密码改了行不行!admin/admin,root/123456 这种的我闭眼能背出五十组。然后,把不必要的服务关掉,比如Modbus TCP的端口别暴露到全厂网段。定期备份PLC程序和工程文件,离线存。这些事不需要花钱,只需要一点安全意识。
新玩意带来的新麻烦
工业物联网(IIoT)设备铺开太猛了。预测性维护的传感器、智能电表、AGV小车,个个带芯片跑系统。可这些玩意儿厂家只管功能,安全几乎为零。我拆过一个震动传感器,里面跑着精简Linux,登录界面默认密码硬编码在固件里,换都换不掉。一旦被拿下,整个网络变成攻击者的跳板。
问:上了工业防火墙是不是就高枕无忧了?
答:想得美。见过太多部署了纵深防御仍然被破的案例。防火墙规则需要跟着工艺流程更新,否则要么漏成筛子,要么误拦导致停机。去年有个案例,某污水处理厂的PLC因为防火墙误判Modbus指令为攻击,瞬间停机,污水回流,环保罚了一大笔。所以,工业网络安全不是买设备,是建流程。需要持续监控、定期演练、深度配合生产工艺。
说到演练,大部分工厂的应急响应计划惨不忍睹。纸上写着完美流程,真正拉练时,连备份文件在哪个硬盘都找不到。我强烈建议每季度搞一次“盲演”,不提前通知,直接拔网线或者断掉某台关键控制器,看班组在多长时间内能恢复生产。这比任何安全评估都管用。
别迷信合规,也别当甩手掌柜
等保2.0扩展了工业控制系统的安全要求,这是好事。但很多企业以为过了测评就万事OK,测评一结束,各种违规操作又回来了。人总是懒得要命。记得一次去某电厂回访,发现他们为了投屏方便,又把工程师站连上了外网,半年前测评时拆掉的Wi-Fi网卡又装回去了。我真想骂人。
工业网络安全最终拼的是人的意识和管理。技术只是工具。如果管理层觉得安全是成本中心,不愿意投入,下面的人会怎么干?出了事就推给IT部门。这种文化才是最致命的漏洞。
写到最后,我发现啰嗦了很多。其实就一句话:别等黑客教你做人。先把那些弱密码,不锁的机柜门,乱插的U盘管起来。这些成本为零,但能防住80%的攻击。哎,说累了。
免责声明:文章内容来自互联网,本站仅作为分享,不对其真实性负责,如有侵权等情况,请与本站联系删除。
转载请注明出处:工业网络安全:你车间的网线可能比马桶还脏 https://www.dachanpin.com/a/tg/59412.html
