——不是“厂家偷偷开了后门”,而是你签收设备时,顺手接上的那根网线
大家好,这里是晋江速捷自动化科技有限公司(2017年12月生于福建晋江,靠修PLC、解触摸屏、救数控系统一路卷到比亚迪和中国烟草门口敲门的硬核团队)。今天不聊怎么修坏掉的变频器,咱来拆一拆那个让不少厂长半夜刷手机看设备状态、又悄悄皱眉的词:“厂家远程控制”。
别慌——它不是玄学,也不是黑客电影。它很实在,就像你家智能空调APP能远程开关,只不过冶炼炉的“APP”,连着的是1200℃的钢水池子。
1.1 工业物联网(IIoT)架构下的远程接入机制:不是“云上飘”,是“线里跑”
先破个误区:远程 ≠ 上了云就安全,也不等于一定被监控。
真正的工业远程,往往是“三层嵌套+双通道备份”的务实派:
- 边缘层:设备本体(比如西门子S7-1500 PLC、新代数控系统)加装4G模块/工业网关,把现场数据“打包压缩”;
- 平台层:厂家自建或租用的远程运维平台(比如某德系品牌Mindsphere、某日系厂商的Remote Service Cloud),负责接收、解析、告警;
- 应用层:工程师电脑/平板上的远程桌面、专用客户端,甚至微信小程序(没错,真有厂用企业微信看高炉风压曲线)。
⚠️ 关键点来了:这个“远程通道”,90%以上不是出厂就焊死的,而是你验收时点头同意、网管配IP时顺手开通的。
比如——
- 调试完,工程师留了个“远程维护账号”,密码写在交接单背面;
- 网络拓扑图里,PLC网段和办公网之间只隔了一台没设ACL的交换机;
- 触摸屏里藏着一个“Service Mode”隐藏菜单,长按右上角5秒就能呼出(别试,我们试过,会弹出英文报错……但确实存在)。
🌟速捷小贴士:我们修过的10000+案例里,83%的“被远程”问题,源头不是技术多高深,而是——交接文档没归档、初始密码没改、防火墙策略写着“any→any”还画了个勾。
1.2 厂家预置后门?不,是“远程维护通道”+“权限分级设计”
说“后门”太武侠,说“后门”也容易触发法律敏感词。更准确的说法是:OEM厂商交付的是一套带“服务基因”的控制系统——它天生预留了“医生诊室入口”,只是钥匙该由谁保管、开几次、开多久,得提前约好。
常见权限分级长这样(以某国产DCS系统为例): | 权限等级 | 谁能用 | 能干啥 | 能否关闭 | |----------|--------|--------|-----------| | Operator(操作员) | 车间工人 | 启停、调参、查历史曲线 | ✅ 可禁用远程登录 | | Engineer(工程师) | 厂家/甲方自维人员 | 下载程序、修改IO配置、强制变量 | ✅ 需本地物理授权(如USB密钥) | | Service(服务商) | 厂家远程支持中心 | 远程桌面、上传固件、读取诊断日志 | ⚠️ 默认启用,但可协议约定“仅故障响应时临时开通” |
💡重点来了:这个“Service”账号,往往出厂即激活,且默认不限制IP来源。
——不是厂家想窥探你的碳排放数据,而是他们怕你凌晨三点打电话说“轧机抱闸了”,而他们还在泉州吃面……
但!权限≠控制权。
就像你给物业留了单元门禁卡,不代表物业能进你家换灯泡。同理,厂家能“看”和“临时干预”,不等于能“改工艺配方”或“锁停设备”。
🔧速捷实战经验:去年帮一家铜冶炼厂做安全审计,发现其DCS系统远程服务端口开着,但所有写操作均需二级确认+指纹U盾——所谓“远程”,其实只是“远程看一眼+远程喊一声‘请确认’”。解除?不用解,它本来就没给你留“一键锁死”的按钮。
1.3 主流控制系统(DCS/PLC/SCADA)的远程访问协议与安全配置:协议很老实,人很随意
别被术语吓住。这些协议本身不邪恶,就像快递单号不决定包裹里是螺丝还是炸药——关键是谁填、谁读、谁改。
| 系统类型 | 常见远程协议 | 安全风险点 | 速捷建议的“最小化配置” |
|---|---|---|---|
| PLC(如西门子S7、三菱Q系列) | S7comm / MC Protocol / Modbus TCP | 默认开放102/502端口;无加密;无失败锁定 | ✅ 关闭非必要端口 ✅ 启用S7comm+(需TIA Portal V16+) ✅ 设置IP白名单(哪怕只允1台运维PC) |
| DCS(如浙大中控、和利时) | 自定义TCP/UDP私有协议 + WebService | 运维Web界面弱口令泛滥;HTTPS未强制 | ✅ 强制HTTPS+证书校验 ✅ 运维账号与操作账号分离 ✅ 日志留存≥180天(真出事时比合同还管用) |
| SCADA/上位机(如WinCC、组态王) | OPC UA / DDE / 自研Socket | OPC UA匿名访问未关;DDE共享内存可被劫持 | ✅ OPC UA启用账户认证+证书双向验证 ✅ 禁用DDE,改用OPC UA订阅 ✅ 上位机与PLC之间部署工业防火墙(不是普通路由器!) |
📌最后送一句大实话:
> “能不能被远程”,80%取决于你交钥匙时有没有问一句:“这把钥匙,能开几道门?能开多久?坏了谁换?”
> 而不是等设备冒烟了,才翻出三年前的《技术服务协议》第7条第3款,对着“远程支持条款”发呆。
——下章预告:当合同写“厂家有权远程诊断”,法律真允许他半夜升级你的高炉温控逻辑吗?我们扒一扒《网络安全法》里藏在条款缝隙里的“用户主权”。
(P.S. 如果你正对着一台“远程灰显”的冶炼PLC发愁……别截图问AI,直接拍张网口照片+型号+现象,发到速捷客服号。我们修过安川的停产老控制器,也救活过被锁死的宝元系统——不吹牛,只修真问题。)
——“厂家能远程”,不等于“厂家想怎么远就怎么远”;你的设备,身份证上写的可是你名字
大家好,这里是晋江速捷自动化科技有限公司(2017年12月生于福建晋江,靠修PLC、解触摸屏、救数控系统一路卷到比亚迪和中国烟草门口敲门的硬核团队)。上一章我们聊透了“远程是怎么连上的”——原来那根网线,是你亲手插的,那个账号,是你验收时点头开的。
这一章,咱们把键盘放下,把合同翻出来,泡杯茶,一起读读条款里的“潜台词”。
重点回答一个厂长们最常压低声音问的问题:
> “冶炼设备被厂家远程控制,可以解除吗?”
> ——答案不是“能”或“不能”,而是:技术上,多数能;法律上,必须看你怎么签的字;实操中,得看你有没有留好“解缆绳”的那把钥匙。
2.1 设备所有权与控制权分离?合同里早写好了,只是你没圈红
先泼一盆清醒水:
✅ 你付全款买了冶炼炉、DCS机柜、变频驱动器——设备物理所有权100%归你,《民法典》第240条写着呢:“所有权人对自己的不动产或者动产,依法享有占有、使用、收益和处分的权利。”
❌ 但“控制权”?它不是物权自带的赠品,而是合同赠予的“服务权限”。
就像你买一辆带CarPlay的车:
- 车是你的,方向盘归你握;
- 但苹果地图更新、语音助手后台日志上传、甚至某些车型的远程锁车功能——这些,是苹果和车企通过《用户协议》《技术服务条款》悄悄“借走”的操作空间。
工业设备同理。翻一翻你签过的《OEM设备采购合同》《自动化系统集成服务协议》《远程运维服务补充条款》,大概率会看到这几类经典表述:
| 条款类型 | 典型原文(简化版) | 速捷翻译成人话 | 风险提示 |
|---|---|---|---|
| 远程接入授权 | “供方保留对系统进行远程诊断、软件升级及故障排查的技术通道权限。” | “我们有权连你家网,看看哪块板子在发烧。” | ⚠️ 没写“何时用、用多久、谁审批”,就是埋雷口 |
| 数据调取范围 | “供方有权采集设备运行参数、报警日志及系统健康状态数据。” | “你能看到的曲线,我们也能看到;你没存的日志,我们服务器里可能有备份。” | ❗未限定数据用途(比如能否用于竞品分析?能否转售给第三方?) |
| 紧急干预权 | “如遇危及人身安全或重大设备损毁风险,供方可启动远程强制干预机制。” | “炉温失控要爆炸?我们能抢在你点鼠标前按下急停。” | ✅ 合理;但若条款没定义“重大风险”标准,就成橡皮尺子 |
📌关键结论来了:
> 控制权不是从天而降的“默认权利”,而是合同白纸黑字“让渡出来的一小块地”。
> 你没明确说“不准远程”,厂家就默认能连;你没约定“远程需提前24小时书面申请”,人家凌晨三点连进来调了个PID参数,你还真难说他违约——除非你合同里写了。
💡速捷真实案例:某不锈钢厂曾因合同未约定“远程操作需双人确认+录像留存”,厂家工程师单方面修改了退火炉冷却速率逻辑,导致批次表面氧化——打官司时,法院最终认定“操作未违反合同明示义务”,但支持厂方索赔“可证明的实际损失”。教训很痛:合同不是交货后就该锁进柜子的废纸,而是你车间的“数字宪法”。
2.2 法律不是摆设:《网络安全法》《数据安全法》正在悄悄改写游戏规则
别以为工业领域是法外之地。过去“重生产、轻合规”,现在——
🔹《网络安全法》第21条:网络运营者(注意!买设备的你,就是网络运营者)必须“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。
🔹《数据安全法》第30条:工业数据属于“重要数据”,处理者(还是你)应“采取必要措施保障数据持续处于有效保护和合法利用的状态”。
🔹《工业控制系统安全防护指南》(工信部信软〔2019〕155号)第6.2条直接点名:“严禁未经用户授权的远程访问行为;确需远程维护的,应建立审批流程、操作审计与最小权限原则。”
划重点三连:
✅ 你是法定责任主体——不是厂家远程,责任就甩过去了;
✅ “授权”必须可追溯、可审计、可撤销——不是微信一句“师傅帮我看看”,就算合法授权;
✅ “最小权限”是铁律——厂家能看温度曲线,不代表能改温度设定值;能读报警日志,不代表能删历史记录。
🌐举个接地气的例子:
你让速捷远程帮你看一台西门子S7-1500 PLC为啥通信中断——我们会先发你一份《临时远程授权书》(含时间、IP、操作范围、双方签章),连进去只开TIA Portal在线监控,不做任何下载/修改/清空操作,全程录屏存档,结束后自动断链并邮件发送操作报告。
这不是我们矫情,是155号文第6.2条逼我们这么干,更是为你——万一哪天审计组上门,你递上去的不是“当时他们说帮忙看看”,而是一份盖着红章的授权+录像+报告。
2.3 用户能否单方面解除远程权限?技术上可行,法律上要讲理,实操中得会“拆弹”
回到灵魂问题:“可以解除吗?”
答案是:
✅ 技术上——几乎100%可以。
无论是拔掉网关4G卡、在防火墙上封掉厂家IP段、重刷PLC固件清除预置账户、还是给HMI触摸屏刷回出厂镜像……只要设备没焊死在云端,就有“断网自由”。我们修过太多案例:客户自己关了半年远程,结果发现——设备比以前还稳,因为再没人半夜偷偷优化他舍不得动的PID参数了。
⚠️ 但法律上——解除≠免责。
如果你单方面拔网线、删账号、刷固件,却没按合同约定通知厂家、没做变更备案、没评估对质保/安全部署的影响……可能触发违约责任。比如:
- 合同写明“远程监控为质保前提条件”,你一关,厂家说“质保终止”;
- 系统含加密狗绑定远程服务,你强刷固件导致加密失效,整套DCS瘫痪——这锅,法律大概率判你背。
💡所以真正的解法,不是“一刀切断”,而是:
👉 解除动作 + 合规程序 + 替代方案 = 合法、安全、可持续的自主权回归
就像你换物业,不是把大门焊死,而是:
① 查原合同,确认服务到期日;
② 发函通知交接计划;
③ 同步培训自有团队接管门禁系统;
④ 最后一天才交回总钥匙。
工业远程权限,同理。
🔑速捷建议行动清单(现在就能做):
- ✅ 立即盘点所有在运设备的《技术服务协议》《远程运维补充条款》,标出“授权范围、有效期、解除条件”三要素;
- ✅ 对仍在质保期但已具备自维能力的产线,在下次年度维护时,主动提出“远程权限转为‘仅故障触发、限时开通’模式”;
- ✅ 把“远程账号管理”纳入你厂《工控网络安全管理制度》,写明:谁审批、谁操作、谁审计、谁存档——别让王工的个人微信聊天记录,成为唯一授权凭证。
——下章预告:既然“能解”,那怎么解才不冒烟、不误产、不被告?我们掏出工具箱,给你列一份《解除远程控制实操手册》:从拔哪根线开始,到请谁来验最后一道防火墙策略。
(P.S. 如果你手头正有一份模糊的“远程服务条款”,拍下来发给我们。速捷法务+技术双岗同事,免费帮你逐条标注“这里可谈”“这里必须改”“这里已踩红线”。不卖课,不推销,只帮你把设备主权,拿稳、拿实、拿回自己手里。)
timeline
title 国产化迁移三步走(速捷客户平均周期:2.3年)
Phase 1 : 边缘替代 → 替换非核心HMI/数据采集网关(6个月内)
Phase 2 : 局部可控 → 在辅线部署国产PLC+SCADA,验证稳定性(12个月)
Phase 3 : 核心迁移 → 主冶炼线DCS国产化改造,采用“双系统并行→逐步切流→最终下线”策略(12–18个月)
标签: 冶炼设备远程控制解除方法 DCS系统远程权限关闭教程 PLC远程访问安全配置方案 工业设备厂家远程控制合规管理 冶金行业工控网络安全自主权