OT网络安全工厂数字化运营技术
导语
大家好,我是老李,干弱电这行二十年了,从楼宇自控到安防监控,再到系统集成,什么坑都踩过
要点
- 大家好,我是老李,干弱电这行二十年了,从楼宇自控到安防监控,再到系统集成,什么坑都踩过
- 今天咱们聊聊OT(操作技术)网络可见性这事儿,听着玄乎,其实就是咱们平时在建筑里摸爬滚打时,怎么看清那些藏着掖着的设备,还不影响它们干活
- 去年我帮一个商业综合体做系统升级,那楼里30多层的空调、新风、照明、门禁,全走BACnet和Modbus协议,连着楼宇自控系统
- 他们IT部门想用传统IT扫描工具,结果一跑,空调控制器直接卡死,三楼到十五楼的温度乱跳,租户投诉电话打爆了
大家好,我是老李,干弱电这行二十年了,从楼宇自控到安防监控,再到系统集成,什么坑都踩过。今天咱们聊聊OT(操作技术)网络可见性这事儿,听着玄乎,其实就是咱们平时在建筑里摸爬滚打时,怎么看清那些藏着掖着的设备,还不影响它们干活。
先讲个真事儿。去年我帮一个商业综合体做系统升级,那楼里30多层的空调、新风、照明、门禁,全走BACnet和Modbus协议,连着楼宇自控系统。他们IT部门想用传统IT扫描工具,结果一跑,空调控制器直接卡死,三楼到十五楼的温度乱跳,租户投诉电话打爆了。后来我介入,用被动监控,就是通过交换机镜像口看数据流,不碰设备本身,这才把问题摸清楚。你瞧,IT那套东西,在咱们这儿就是水土不服。
OT网络不像IT网络。IT里你天天扫描服务器、打补丁,没事儿。但咱们楼宇里的设备,比如西门子DDC控制器、霍尼韦尔执行器,它们设计时就没考虑过被频繁扫描。你一个主动扫描包过去,它可能就当攻击信号,直接重启或者丢包。英国IET的《建筑环境网络安全实践准则》里说得明白,建筑系统越来越复杂,依赖ICT技术越多,漏洞就越多。咱们这些老弱电人最清楚,很多设备还是90年代的芯片,跑着DOS系统,你拿现代IT工具去碰,不炸才怪。
被动监控才是王道。比如用Wireshark抓包,或者搞个网络TAP(测试接入点),从交换机镜像口看流量,不动设备一根毫毛。我在一个医院项目里,靠被动监控发现了三个隐藏的BACnet网关,原来接在弱电井里没人管,数据流着流着就跑到了IT网段。这要是不管,黑客从办公网进来,顺着网关就能控制手术室的空调,那可不是开玩笑的。
光看见还不够,你得懂怎么分区。很多楼宇,空调、门禁、照明全连在同一张网上,甚至和办公网混在一起。一个案例是某机场,门禁系统IP地址段和办公网重叠,结果IT做网络调整,直接把门禁控制器给关了,旅客通道全锁死,乱成一锅粥。后来我建议他们用VLAN隔离,把楼宇自控系统划到独立网段,再配个防火墙策略,只允许特定IP访问。这样就算办公网中了勒索病毒,也摸不到空调和门禁。
持续监控也很重要。你不能今天分区完就高枕无忧。设备会老,网络会变,新装个摄像头可能就串到旧网段了。我一般建议客户每季度做一次被动扫描,看看有没有新设备冒出来,或者数据流异常。比如有个写字楼,我帮他们做了半年监控,发现每周五晚上,有个IP地址疯狂发Modbus写命令,改空调温度。一查,是清洁工用手机APP远程控制,密码是123456。这要是被黑客利用,整栋楼都能给你搞瘫痪。
最后说句实在的,OT可见性这事儿,不是买个工具就能解决的。你得懂设备、懂协议、懂现场。我见过太多项目,花几十万上主动扫描工具,结果设备死机,运维团队骂娘。不如老老实实从被动监控做起,先摸清家底,再慢慢分区、加固。英国NCSC的OT指南也说了,连接OT和IT网络,必须安全可控。咱们搞弱电的,得把安全嵌进架构里,别等出事再补窟窿。
记住,能看见是第一步,安全地、持续地看见才是真本事。别让IT的“快准狠”毁了咱们OT的“稳准省”。老李的经验就是,慢工出细活,别图省事,否则后面全是麻烦。