导语
我见过很多项目,甲方想看看楼宇自控系统里到底连了啥设备,结果一上扫描工具,系统直接崩了,空调停了,门禁打不开了
要点
- 老张干弱电二十年了,今天聊聊OT可见性这事儿
- 你们可能觉得,能看到设备就行,其实没那么简单
- 我见过很多项目,甲方想看看楼宇自控系统里到底连了啥设备,结果一上扫描工具,系统直接崩了,空调停了,门禁打不开了
- 这不是段子,是真实发生的
老张干弱电二十年了,今天聊聊OT可见性这事儿。你们可能觉得,能看到设备就行,其实没那么简单。我见过很多项目,甲方想看看楼宇自控系统里到底连了啥设备,结果一上扫描工具,系统直接崩了,空调停了,门禁打不开了。这不是段子,是真实发生的。
先说个背景。现在楼宇里的OT网络,就是那些控制楼宇自控系统、HVAC、门禁、照明这些设备运行的网络,它们默默运行着,保证大楼正常运转。但问题来了,你想看清楚这些设备,又不能影响它们正常工作。传统的IT可见性工具,比如那些扫描服务器、PC的软件,一用到OT环境里,很容易出乱子。为啥?因为这些工具会主动发数据包,或者做深度包检测,这对那些脆弱的控制系统来说,就像往精密手表里扔沙子,直接卡死。
举个例子。之前我帮一个园区做楼宇自控系统升级,他们想用IT部门的网络扫描工具查查有哪些设备。结果一扫描,几个楼层的空调控制器直接失效了,温度失控,办公室里的人热得受不了。最后不得不人工重启设备,折腾了整整一天。这事儿后来我总结:OT环境里,别随便用IT那套办法。
那咋办?被动监控是个好办法。就是通过SPAN口或者TAP口,像偷看一样,只观察网络上的数据流,不主动跟设备打交道。这样既能看清设备通讯情况,又不会影响系统运行。我做过一个医院的项目,他们楼宇自控系统有几百个控制器,我们用被动监控方法,花了一周时间,摸清了所有设备之间的通讯关系,还发现了几台被遗忘的老旧设备,这些设备根本没做安全隔离,直接连到了办公网络里。这要是被黑客盯上,后果不敢想。
光看到还不够,得把网络结构理清楚。很多楼宇的系统,像暖通、门禁、照明,都直接连到了办公网或者互联网上,没有做隔离。这就等于把大门敞开了。一旦办公网被攻破,攻击者就能顺着网线摸到核心控制系统。我见过一个大型商业综合体,他们的楼宇自控系统居然和前台收银系统在同一个VLAN里,这简直是给自己挖坑。后来我们帮他们做了VLAN划分和网络隔离,把不同重要等级的系统分开,才算是把漏洞补上了。
还有个关键点是持续监控。不是今天看一次就完了,得长期盯着。我见过一个写字楼,物业团队觉得网络结构没问题,结果半年后,因为某个设备升级,新接的设备没按规划走,直接连到了公共网络,又回到了原来的危险状态。所以,得定期检查,确保边界还在。
最后说个数据。根据我接触的项目,超过60%的楼宇自控系统都存在网络隔离不足的问题,而其中80%的业主根本不知道自己的系统里连了哪些设备。所以,做OT可见性这事儿,别想着一步到位,得从被动监控开始,摸清家底,再慢慢做隔离和持续监控。别等到出事了才后悔。