ITL-08 咨询服务
OT 与 IoT 安全
工业环境不是带传感器的 IT 网络:它是一个系统,安全失效会演变为停产、物理损害或危及生命——而大多数 IT 控制在此根本无法套用。
问题所在
IT 与 OT 的融合,把二十年前为孤立运行而设计的设备接入了企业世界:接受任意来源指令的控制器、既无认证也无加密的工业协议、一年以小时计的停机窗口,以及安装代理或打补丁在实务上的不可行。跨越 IT–OT 边界的攻击者面对的是一片不设防的地带——而经典的 IT 应对(扫描、打补丁、重启)可能与攻击本身一样迅速地让工厂停摆。
我们的做法
ICS/SCADA 安全评估
对齐本学科国际基准——ISA/IEC 62443 与 NIST SP 800-82——对工业环境进行结构化评估,覆盖架构、通过被动发现进行的资产清点(不触碰工艺过程)、各层级间的真实通信流,以及 IT–OT 边界的暴露。最终成果是一张诚实的地图:什么与什么相连、在与什么对话、攻击者会从何处进入。
工业协议安全
对真正在指挥工艺过程的协议——Modbus、DNP3、IEC 60870-5-104、OPC UA、EtherNet/IP 与 PROFINET——进行被动深度包检测的分析与监控:检测异常写指令、超出常规的设定点(setpoint)变更、扫描行为,以及控制网络上未授权的节点。在协议既不提供认证也不提供完整性之处(这是常态而非例外),我们设计补偿性控制。
以 OT 零信任作为隔离模型
将零信任模型务实地应用于车间现场:依据 IEC 62443、在 Purdue 参考模型之上划分区域(zone)与管道(conduit);从企业网络到控制层不存在任何直达路径;供应商与维护人员的远程接入须经中介点(broker),具备最小权限、限时与会话录制;各单元间的允许通信以显式白名单列明——其余一律默认拒绝。其结果:一台企业工作站被攻陷,不再等同于整座工厂被攻陷。
企业与工业 IoT 安全
治理在视野之外不断增多的联网设备——传感器、计量表、摄像头、楼宇控制器:清点与持续发现、更换默认凭据、固件管理、划入专用网络分段,以及新设备采购的安全准则。
工业环境的事件响应
尊重 OT 环境真实层级的响应计划:人员与物理工艺的安全先于数字遏制,隔离决策与运营和工程方共同议定,且演练在不危及生产的前提下开展。
实战经验
在 IT 与物理运营交汇的环境中积累经验——能源、矿业、石油与天然气海上物流及工业厂区——包括维护窗口以小时计、设备在生产中不可触碰的控制网络。
常见问题
我们能像扫描 IT 网络那样扫描工业网络吗?
不能——这是本学科的第一课。工业控制器可能因一次简单的端口扫描而宕机,导致工艺停摆。在 OT 中,清点与检测通过被动监听流量完成(无需注入任何数据包即可揭示资产、协议与对话);任何主动测试都在正式窗口、测试环境,或设备已下线的情况下进行。
OT 中的零信任在实践中意味着什么?
它意味着放弃“工厂内部一切互信”的观念。具体而言:网络被划分为功能明确的小区域;区域间的每次通信都经由受控且被检测的管道;任何人——哪怕是设备厂商——都不能直接触及控制层,只能经由一个具备个人凭据、最小权限、有效期与会话录制的中介点。可度量的效果,是把事件遏制在它诞生的那个区域。
我们的工业协议没有认证,是否需要全部更换?
几乎从不可行,也很少是建议。经典模式下的 Modbus 与 DNP3 不对任何人进行认证——但风险可分层控制:通过网络隔离阻止未授权来源触及控制器,通过被动监控检测异常指令,并在设备与项目条件允许处逐步采用安全变体(如带签名与加密的 OPC UA,或 DNP3 安全认证)。
需要就OT 与 IoT 安全进行一次沟通吗?
用两句话描述您的情况。我们会给出诚实的判断——哪怕结论是您并不需要我们。