TCP/IP 是一种尽力而为的协议。在不利条件下（包括使用核武器）保持连通性非常有效。它不能保证通信，但是，当你真正做到这一点时，没有系统可以（所有通信系统都涉及使用某种硬件，这可能会失败）。

TCP/IP 的问题不在于 TCP/IP 本身，而在于其他人（“地狱是其他人”）。TCP/IP 的一个非常有趣的方面是它是 Internet 运行的基础，因此，如果您使用 TCP/IP，您可以轻松使用 Internet 基础设施，而不必构建自己的基础设施。跨洋电缆有点贵……所以切换到 TCP/IP 是成本杀手。不幸的是，您在互联网上并不孤单。如果您使用 Internet 基础设施进行通信，则必然会将您的通信暴露给在 Internet 上漫游的任何人。正如一些安全专家喜欢说的那样，您已经“扩大了攻击面”。密码学（即 SSL）有助于保护您的数据的机密性，但 TCP/IP 使得拒绝服务成为可能（如果只是堵塞管道）。

所以这不是 TCP/IP 的问题。这是共享基础设施与使用专用链接的问题。例如，Internet2是一个 TCP/IP 驱动的网络，它与主流 Internet 是分开的。共享基础设施会使您更容易受到攻击——但专用链接的成本很高。选择你的毒药：冒着看到你的通信中断的风险，或者因为你想要专用链接但买不起而无法通信。

（在16 世纪初的印加帝国，有一个道路网络，有专门的车道供中央政权的信使使用。建造专门的车道并保护它们——侵入者可以被斩首——非常昂贵，但印加仍然觉得值得付出努力。您关于 TCP/IP 的问题实际上是相同的情况，只是有了 400 年的附加技术。）

很难确切知道为什么处理关键基础设施的组织选择在此类网络中实施 TCP/IP，但以下是我对他们将控制系统联网在一起的要求的一些最佳猜测：

• 需要一种可靠且可维护的方式与基础设施设备进行远程接口。
• 需要一种方法来处理跨越巨大地理区域的大量设备。
• 必须能够与现有的计算机控制系统连接。
• 必须是可扩展的，以便可以轻松地将新设备添加到网络中。
• 必须是跨平台的，以便嵌入式设备、不同的操作系统和不同的计算机系统可以正常通信。
• 必须具有低延迟和高吞吐量，才能在关键任务期间获得强大的性能。

就选择 TCP/IP 而言，它有很多优点：

• TCP/IP 成熟、稳定、文档齐全，并且是现有的最受分析的通信协议之一。
• TCP/IP 相对容易地提供强大的数据包排序、损坏检测（校验和）、防欺骗、客户端识别、寻址等。
• TCP/IP 没有专利，并且有数百个开源实现，用于各种不同的处理器架构，在各种许可下。
• 几乎所有现代计算机设备和操作系统都可以使用 TCP/IP。
• 现有的网络基础设施使用成本低、成熟、可靠和自愈。
• 有数千个预先存在的应用层协议位于 TCP/IP 堆栈之上。

在安全性方面，SSL 和 IPsec 是两个现有的协议，旨在与 TCP/IP 一起提供端点到端点的安全性，并且都可以相对容易地实施。

现在，要对如此庞大的基础设施块进行适当的风险评估，我需要一些细节。因为我没有，我只是猜测一下。在这一点上，我只是在猜测，所以不要假设我的结论是准确的。

将网络引入基础设施在以下方面提供了巨大的好处：

• 无需访问现场即可监控设备的状态和健康状况。
• 以集中方式远程更新和配置设备。
• 立即发出警报并记录设备故障。
• 由于能够预测故障，减少了设备的停机时间。
• 由于数据集中，降低了维护和检查成本。
• 通过更准确的供需和负载统计数据进行更好的规划。
• 整合服务，提升消费者体验。

安全影响如下：

• 每个设备都成为潜在的安全漏洞。
• 在电信渠道中窥探的可能性。
• 敌对实体（恐怖组织、敌国等）可能会利用漏洞破坏国家的基础设施。
• 公民滥用/破解系统的可能性，例如免费电话、免费电源等。

系统的部分感知安全性是通过默默无闻的。这些机器很可能在它们自己的专有控制系统上运行，并且很可能使用自定义应用层协议进行接口。此外，他们的地址没有编目或分布在任何地方。这需要一支具有强大逆向工程/渗透测试技能、专业设备和内部知识的团队来识别和破坏系统。当然，我们知道这种情况以前在 Stuxnet 和 SCADA 控制系统中发生过。

假设控制系统运行定制的嵌入式系统或 *nix，则存在强大安全控制的潜力。人们希望数十亿英镑（或美元）的行业能够考虑适当的安全性并进行积极和频繁的安全审查，但遗憾的是，情况往往并非如此。如果无法访问公司内部信息，就无法判断是否已采取此类预防措施。

总而言之，我认为这些好处确实保证了潜在的安全风险。拥有工作电力、天然气和水是至关重要的，而且 99.9% 的时间我们不会处于战时局势。在正常运行期间，我们需要能够尽可能快速、可靠地监控和控制一切，以确保正常运行并将故障率降至最低。在安全方面，模糊因素是一个有用的时间延迟，任何已实施的真正安全可能足以确定除最高级的持续性威胁之外的所有威胁。

将 TCP/IP 添加到关键基础设施通常是为了节省成本。通过使用标准通信协议（和标准套接字）可以降低 IT 成本，因为我们都知道 IT 人员非常了解 TCP/IP 的工作原理......

此外，供应商可以开始使用现成的组件来降低制造成本。

至于增加威胁，可能有几种思想流派。如果您没有 TCP/IP 并且您正在使用“专有”协议，那么您可以依靠默默无闻的安全性。说真的，谁有时间学习这些古老的协议……但是，在 ebay 上快速搜索一下，你会发现很多带有连接器和操作手册的老式 scada 设备非常便宜。

如果您确实添加了 TCP/IP，那么您必须知道您不应该将您的设备直接连接到互联网。我建议阅读这篇新闻文章和链接到的论文，以了解这种情况发生的频率。

所以是的，威胁是真实的，是否值得。取决于您准备承担的风险

是的，添加 TCP/IP 总是会增加风险。讨厌的黑客一直在暴露任何类型的协议中的漏洞。

重要的是你用它做什么。

2600 之所以出名，是因为好老的 Crunch 船长用 Captain Crunch Cereal 提供的免费玩具做了他的事，发现频率正好可以在美国电话系统上接听免费电话。

长期以来，黑客一直在使用和保护 TCP/IP。它可能是现有的同行评审最多的协议，因此有些人会认为它更安全。

如果您将连接的未受保护设备留给 TCP/IP 网络（也称为互联网），它将受到威胁。

附加几个明显不同的防火墙及其附近的安全。

哦，用它来教育湿钻头。由于将连接的设备放入具有防火墙/IPS/IDS 级别的安全地下掩体不会阻止他们打开最新的裸照/您赢得了价值 100000000 美元的载有病毒的电子邮件。

除了添加 TCP/IP 之外，您还能完成什么？

长期以来，黑客一直在使用和保护 TCP/IP。它可能是现有的同行评审最多的协议，因此有些人会认为它更安全。

你得到一堆

• 知道它的人（技能=便宜）
• 它的产品（更便宜）
• 能够谈论它（理解）
• api就是这样做的（编程更容易）

哦，请查看 Obscurity 的安全性的优缺点，并自行决定不处于“内部”的安全性和安全性是多么不安全。我想你会猜到我的立场；）