如題
該工廠區網病毒橫行
工廠資安我也無權插手
生產設備的控制是由PC處理的
原本想說直接PC連區網
把所需的數據上報就好
結果只要一連區網不久後就會藍屏
設備PC也都是過時的win7
除了定時去update防毒軟體(我沒辦法顧著所有設備定期Update防毒,我不隸屬該工廠)
想了想
用樹梅派當中間層,由樹梅派寫Socket串設備PC收集資料後,再由樹梅派另外一個網卡上報到工廠網路
請教各位大神
這樣做妥當嘛?
還是有更好的作法呢?
===update===
你的問題也太離奇了吧
定時去update防毒軟體? 這不是防毒軟體基本功能了
怎麼會需要人去介入
你應該要先找出區網哪一台中毒,所有區網電腦都掃毒
另一方面調查工廠設備軟體支不支援升win10
把系統都一併加強才是根本之道
你們這類生產公司可能會牽涉到中毒生產線停擺的問題
嚴重性之高還需要多加強資安預算
跟老闆說別開玩笑
中毒不會沒有原因
有時候夾在中間的人沒有辦法管控上層與使用者行為
就為中間的人打開地獄之門了
在不清楚你的角色定位之前。我很難給你很有效的建議。
因為正常來說,首要的一定得找出病毒的來源才行。
或是找出藍屏的原因。
一般來說,藍屏的原因不該牽拖到病毒身上才對。
一定有其它問題才對。
只是...你又說你不是該廠人員。
那你的身份在廠又算什麼呢?
因為理論上你非該廠人員來說,照理說你也因該無法操控他們的電腦才對。
所以....請先說明好你的角色關係。才好對症下藥。
再來回答你想問的問題
基本上來說,很難告訴你可以及不可以。
畢竟在不了解病毒的情況下。這種做法是否有效處理並不清楚。
畢竟只要網路有接上都有其可能性。
沒有辦法知道這樣的做法是否可行。
為何要拿兩三千元的樹莓派做網路分隔轉送工作?找一台穩定性高的低階伺服器來做,不要把整個工廠的運作,擺在一個幾千元的小機器上,那是用來學習用的板子,不是一個可靠的實務工作機..
另,把毒掃掉,系統重新弄好,這才是重點,而不是把有毒的廠房跟總公司隔開,三天兩頭的重灌藍屏的電腦,不累嗎?
"只要一連區網不久後就會藍屏" 的狀況 是 "您的區網有電腦中毒了"
才會去攻擊工廠win7電腦, 然後入侵發作
讓 工廠win7電腦 藍屏
先不說 如何去解毒
先說如何防止 "只要一連區網不久後就會藍屏"
您說用 "樹梅派當中間層"
不如用 防火牆 或 nat 當 中間層
這樣不用自己做, 市面上就有
要資安認證過的也有了!
這樣就可以達成您要的:
將 工廠win7電腦 保護在 防火牆 或 nat 內部
然後 還可以 上報到工廠網路
簡單又方便!
以上建議希望能幫您忙!
不花錢的做法
WINDOWS防火牆開起來
預設開啟Port都先關閉
僅開啟程式傳輸用的Port
最好是共用資料夾網路芳鄰Port都鎖掉
Port開放要限制指定電腦IP
基於"工廠資安我也無權插手"之考量,建議 :
1.提供一份完整的報告給你的上司(內含無法取得資料對公司的影響)
2.由你的上司請對方提出改善對策及時程
畢竟,這是該工廠的"管理"問題,況且你無權插手的事提供再多的解法,也只是猜測.
看到許多先進的協助
心中不禁起了非常大的疑惑
難道大家不知道網路結構運作嗎?
不管是L2交換,或L3路由,或防火牆NAT
只要網路有通,攻擊與病毒就是可以通過的
這最基本的常識應該要有啊
雖然樓主不是該廠人員,只是設備外包商
但是也應該說明事情嚴重性,並撇清責任關係
不然等到該廠全部網路掛掉停擺的時候
就再也說不清楚責任誰要擔了
而解決的辦法只有一個
就是在每一條網路線上都做防入侵及防毒等內容層檢測
如果要發展工業4.0,確實已經很多製造業都這樣做了
不需要"樹梅派",也不需要每個埠都裝資安設備(貴死)
只要能延伸上述防護到每個交換器或無線基地台的埠口就好
交換器或基地台能有多貴,是吧!
樹梅派當中間層不就是版上2019年狂推的樹梅派熱潮嗎
記得當時一堆樹梅派大神,喊出自己搭防火牆、自己搭L3,自己搭路由呢
先請問大大一個問題,您使用的PC到上傳SERVER走的路線是哪一種?
1、 PC -> 區網 -> 區網內SERVER
2、 PC -> 外網 -> 外網SERVER
1的話..幫你QQ
2的話是否可以把你用的PC安裝一個USB無線網卡,然後你手機分享熱點使用就好。
ps.好啦我來亂的...
找當地(東南亞)厲害的IT人員協助診斷或處理吧~
有些狀況,要到現場才會更清楚(如:架構、問題肇因、限制、預算...等)
不清楚上述種種問題,不容易給具體的建議
此廠非科技廠,自動化設備並不多
老大此言差矣
現在不管傳不傳統科不科技
設備都會需要聯網,除非不搞ERP
在此情形下,網路資安的知識就非常重要
連入網路,或跟網路通訊
在此之前就一定要通過資安檢核
設備互連之後,更是時時要做資安監控
不同網段如此,同一網段更重要
不然,台灣的護國神山出事案例就是最好的教訓
建議樓主把所管PC中毒事件
一律向廠方回報並要求處理
處理資安事故並不是您的責任
請廠方處理完再接通你電腦設備
不然讓廠商出資,你找合適的資安方案來做
廠方甩鍋不管看來是不負責任