工厂里一台PLC突然停机,产线卡住半小时;水厂SCADA系统被远程修改了加药参数,水质差点超标;某能源企业DCS操作站弹出勒索软件提示框……这些不是电影桥段,而是真实发生的工控安全事件。工业控制系统(ICS)一旦失守,影响的不只是IT设备,更是物理世界的生产、供水、供电甚至人身安全。
别把工控当普通办公网络
很多现场工程师习惯用Windows系统管理PLC编程软件,顺手连上公司内网、甚至直接接外网下载驱动——这就像给车间大门配了一把超市买来的挂锁。ICS环境特殊:设备生命周期长(十年以上很常见)、补丁支持弱、实时性要求高、厂商封闭性强。直接套用IT安全那套“打补丁+装杀毒”思路,往往行不通,还可能引发停机风险。
先摸清家底,再动手加固
没做过资产梳理?先别急着部署防火墙。打开控制柜,一张张拍下PLC型号、HMI品牌、通信模块标签;翻出工程文档,标出哪些设备走Modbus TCP、哪些用Profinet、哪些还在用串口RS-485;在工程师站上运行Wireshark抓包10分钟,看看实际流量里有没有明文密码或未加密的配置上传请求。真实情况常是:三台西门子S7-300里,两台固件还是2012年的版本,另一台根本找不到原厂升级路径。
几招立竿见影的加固动作
关掉不用的服务端口。比如WinCC服务器默认开启的Telnet、FTP、SMBv1,能关则关。一条命令就能禁用:
sc config tlntsvr start= disabled限制远程访问范围。在边界防火墙上只放行特定IP段对OPC UA端口(如4840)的访问,而不是整个192.168.1.0/24网段都能连。
改掉默认口令。某品牌HMI出厂密码是admin/admin,曾被批量爆破用于跳板攻击。登录后第一件事就是进系统设置→用户管理→重置所有账户密码,且长度不低于8位,含大小写字母和数字。
物理层和管理习惯同样关键
USB接口贴封条,U盘统一由信息科格式化并植入白名单管控程序;工程师带笔记本进控制室前,必须关闭蓝牙、Wi-Fi,禁用自动连接热点功能;每次组态下载前,用哈希值校验工程文件是否被篡改。这些动作不花一分钱,却堵住了最多见的入侵入口。
某汽车焊装车间做完上述动作后,三个月内未再发生非计划停机。他们没买最贵的工控安全平台,只是把该拧紧的螺丝,一颗颗拧到位了。