PLC、变频器、智能伺服电机的网络安全意识

一，对于未激活的计算机病毒或网络病毒，为了传递时也需要保持代码结构完整，因此往往需要按文件的方式传输。而此类产品都是实时控制产品。除了本身的应用程序外，并不开放文件管理系统。

40多年前、古老的大型代PLC也有数据记录模块，用于控制数据的实时记录，类似现代的无纸记录仪、也会感染计算机病毒。由于安全性和其它原因：
1，实时数据存储任务和实时控制任务难以形成良好的匹配。（此原因目前在有实时性要求的边缘计算系统仍会存在），
2，硬盘故障会降低系统的可靠性。
3，计算机病毒。所以35年前已经没有PLC上配记录模块了。

二，与普通的计算机不同，尽管上述产品可能支持多任务的用户应用程序，但往往仅支持一个应用程序。故独立的网络病毒程序无法安装。而且设备工作状态、调试的FIRMWARE固件安装、用户应用程序安装状态可能都不。用户必须能够进入并获取授权，改变状态才能下载程序。同时其应用程序和数据通讯的内存分配往往不支持动态申请的，即是应用程序和系统固件运行时不支持动态申请内存空间或指令存储空间。因此程序运行时难以插入代码指令或调用修改过的代码模块（病毒代码无法动态插入系统、应用程序、子模块的进程和线程中）。

三，设备间的通讯协议往往仅仅是数据通讯，而不包含数据结构方面通讯，通讯双方都了解数据的含义和结构、并双方各自定义了逻辑存储方式。因此难以传递代码指令。例如：MODBUS协议仅仅开放了数据通讯部分。而程序下传并不包括。各家产品都不相同。

四，裁剪过的操作系统，即使很多通讯软件端口号仍存在 ，但其系统的自带的应用程序已经不存在因此无法激活。

总之，常用的网络攻击和病毒传染机制对上述设备无效，目前除了暴力获取或窃取工程师授权密码外（如：逻辑炸弹），上述设备仍未发现感染的案例。

注：目前有些特别高级的防火墙、路由器、边缘计算设备。似乎设计时未考虑上述的要求。容易感染病毒。

一个目前现在还在持续发生的故事。曾经，原工业防火墙的发明者（新加坡芯片工厂的工程师），来到中国，看到中国工程师为了保护PLC、DCS控制器，把工业防火墙安装在PLC前，大惊。问道：你们为啥把工业防火墙安装在PLC前。中国工程师得意告诉他，防病毒感染和攻击呀，这是的技术，现在已经普遍推广了。发明者说，工业防火墙是用于防止中控室内非工控设备进入控制网，仅允许工业采集服务器和工程师的调试软件进入控制网，工业防火墙无法实时判断正常的工业数据还是病毒篡改的攻击数据（不是代码，没有特征）。这时来了个，对发明者说，你不懂，我们要合规，这是责任问题。

工业防火墙中国使用方法，从烟草工业开开始、一路推广。目前已经传播给老外了。