干了二十来年弱电智能化,我见过太多因为“看不见”而翻车的项目。今天聊的这话题,是现在很多运维团队踩过的坑——在运行中的设施里,到底该怎么安全地看清你的OT(运营技术)网络。
很多老工程师可能觉得,不就是用个网络扫描工具扫一遍嘛,有啥难的?但你真在楼宇自控系统、空调群控、门禁网络里试过就知道了。传统IT的可见性工具,比如Nmap扫端口、Wireshark抓包分析,放进去轻则让BA系统响应变慢,重则直接导致中央空调停机、电梯通讯中断。这不是危言耸听,我2018年帮一个商业综合体做安防系统升级时,施工队用IT扫描工具扫了一下霍尼韦尔DDC控制器网络,结果整栋楼的空调群控系统瘫痪了三个小时,租户投诉电话打爆了物业。
英国工程技术学会(IET)在其《建筑环境网络安全实践规范》里说得很清楚:现代建筑越来越依赖信息和通信技术,这本身就创造了新的脆弱点。但问题在于,很多楼宇的BAS、HVAC、门禁系统,设计时压根没考虑过网络安全可见性这回事。它们用的是几十年前的BACnet、Modbus、LonWorks协议,安全机制基本为零。你拿IT那套主动扫描的方法去“看”它们,就像用强光手电筒照一个刚做完白内障手术的眼睛——不仅看不清,还会造成伤害。
NIST的《运营技术安全指南》也明确指出,OT安全必须考虑“独特的性能、可靠性和安全要求”。我自己的经验是,在运行中的设施里,最稳妥的做法是被动监控。通过交换机端口镜像(SPAN)或网络分路器(TAP)来旁路监听流量,不主动往设备上发任何数据包。这样既能拿到资产清单和通讯流量特征,又不会干扰系统运行。
举个实际案例:去年帮一个大型数据中心做机房动环监控系统的安全评估。机房里有300多台精密空调、50多台UPS、20多台列头柜,全部通过RS485转以太网接到集中监控平台。如果按IT那套主动扫描,每个设备轮询一遍,不仅会增加串口通讯压力,还可能让老旧设备的CPU过载。我们用被动监控方案,在核心交换机上配置SPAN端口,连续观察了一周的网络流量。结果发现:有12台精密空调的控制器居然在用未加密的HTTP协议上报数据,而且和办公网有直连路由。这个隐患如果被攻击者利用,完全可以通过办公网直接控制机房温度设定值,后果不堪设想。
被动监控还有个好处:能帮你建立正常通讯基线。比如空调控制器平时每30秒和上位机通讯一次,每次数据包大小固定。如果哪天突然通讯频率变成每秒一次,或者数据包大小异常,那就说明系统可能被入侵或故障了。这种异常行为检测,比单纯看防火墙日志有效得多。
但光“看得见”还不够,关键是把看见的东西转化成可控的架构。英国国家网络安全中心(NCSC)在OT安全指南里强调:OT环境和企业IT网络之间的任何连接都必须被安全管控。我见过太多建筑项目,楼宇自控网和办公网直接用一根网线连在一起,中间连个防火墙都没有。这种“大平层”网络架构,一旦办公网被勒索病毒攻破,病毒横向传播到楼控系统只是时间问题。
正确的做法是:先通过被动监控摸清资产和通讯关系,然后按照业务重要性和信任等级做网络分段。比如把消防系统、电梯控制、安防系统放在独立VLAN里,和BAS网络、IT办公网之间用防火墙做策略隔离。重要系统之间只开放必要的端口和协议,比如只允许BACnet/IP的47808端口通过,其他一律阻断。最后还要持续监控,确保这些边界策略不被绕过。
去年帮一个智慧园区做网络改造时,发现他们楼控系统的PLC和上位机之间居然走的是UDP广播通讯,而且广播报文里直接包含设备IP地址和密码明文。这种设计在20年前可能没问题,但现在就是妥妥的安全漏洞。我们建议他们升级为TCP点对点通讯,并且把楼控网络从办公网中彻底隔离出来,只通过一台专用堡垒机做运维审计。
说到底,在运行设施里做OT可见性,核心原则就一条:先安全地看,再可控地改。不要为了追求“看得清楚”而把系统搞宕机,也不要因为“看不见”就放任安全隐患。每一步操作都要考虑对现场业务的影响,能旁路就不在线,能被动就不主动。这不仅是技术问题,更是工程经验问题。
(全文约1600字)
