断开的网络安全系统是一个神话

今年2月，我出现了新冠肺炎症状，检测呈阳性。我认为我是合理的“脱节”。事实证明，我不是。您可能认为您的制造系统或工业控制系统同样是“断开”的。然而，你可能没有意识到与你的假设相悖的因素数量，这些因素可能使你的假设变得毫无意义。毕竟，这只需要一次。

这些因素是什么?这里有一些进入你系统的潜在“幕后通道”，它们可能会允许这种情况发生。

几乎任何时候，当设备连接到USB端口，在任何断开的网络上，你可以断开断开。如果控制器或生产网络上的任何USB端口都是开放的，那么连接设备，即使只是给它充电，也是突破了障碍。您不再断开连接。接线员将手机插到USB接口上充电……使用外围设备可以断开连接。

网络中是否有使用无线的设备?如果是这样，除非对接入进行严格管理，否则无线网络可能会断开连接。有时，设备被添加到网络中(可能是临时的)，并且它们启用了无线功能。您是否曾将笔记本电脑连接到断开的网络上工作，并在笔记本电脑上启用无线功能?打印机有时有无线功能。使用无线网络可以打破这种断开。

共享有线网络-你的控制系统曾经与另一个网络共享交换机吗?这有时是为了方便、成本或由信息技术(IT)部门完成，可能使用虚拟局域网(VLAN)。与其他网络共享交换机可以断开连接。

即使您连接的工作站没有主动连接到无线网络，它也可能是最近连接(和/或感染)的。毕竟，如何将软件更新或新的配置添加到断开的网络中呢?将外部设备(如笔记本电脑)连接到断开的网络可能会中断断开。

建立远程访问控制或制造系统的方法并不罕见，特别是在大流行期间。它们的存在的知识可能被紧紧地掌握，它们也可能只有在需要的时候才被联系起来。无论如何，这些远程访问技术代表了“断开连接”范式的中断。

也许“断开”的意思实际上是“轻微”连接。制造或控制网络可能只有一个受防火墙保护的单一访问点，该防火墙为入站流量紧紧锁定。实际上通过防火墙设备连接，即使是严格控制的，也不会断开。另外，如果您使用的是普通的有状态防火墙，请注意入站和出站防火墙规则。如果你锁定了入站请求而不是出站请求，你可能会有内部连接的电子邮件或网站，恶意软件可能会遇到，并引入到你的“断开的”网络。

这并不是说你必须找到并消灭所有这些新的秘密渠道。只是要知道它们经常存在，并相应地评估你的风险。你可以坚持“这不会发生在我身上”，但不要相信这是因为你与外界脱节的神话。咳嗽,咳嗽!

-本文最初发表于台面国际的博客．台面国际是CFE Media的内容合作伙伴。由Chris Vavra编辑，网页内容经理，控制工程， CFE Media and Technology，cvavra@cfemedia.com．