7.2.2 端口管理与协议过滤

文档摘要

7.2.2 端口管理与协议过滤在工业控制系统（ICS）的纵深防御体系中，端口管理与协议过滤从来不是防火墙规则表里几行冷冰冰的就能轻易盖棺定论的事。它是一道横亘于OT与IT融合地带的“数字闸门”——既不能焊死，否则PLC无法响应HMI的读取请求；也不能虚掩，否则一次未授权的Modbus TCP写操作就可能让离心机超速飞车。我曾在某大型炼化厂参与安全加固时亲眼见过：运维人员为“快速排障”，临时开放了TCP/502端口并允许任意源IP访问，结果三周后，一台西门子S7-1500控制器被植入恶意逻辑块，在每班交接前30秒自动将进料阀开度指令篡改为105%，幸而被DCS趋势报警捕获——但那已是在3台反应釜温度曲线出现同步异常之后。这不是危言耸听。