IT 與OT 融合 安全如何守護？

本刊記者 趙志遠

隨著工業互聯網的發展，最初工業企業OT（Operational Technology）系統相對封閉的運行環境如今正逐步走向開放，由此帶來生產效率的極大提升之時，也帶來諸多安全難題。

OT 安全的嚴峻形勢已成必然

其實OT 環境下的安全問題早已有之，只是在封閉環境下并未引起太廣泛后果，而隨著IT 與OT 在近年來的不斷融合，這些問題被迅速放大。

以2010 年發生的震網病毒（Stuxnet）攻擊伊朗核設施事件為標志，關鍵信息基礎設施OT 系統受網絡攻擊讓人們認識到由此帶來的嚴重災難，因此對工業信息安全的討論迅速成為熱點議題。

自此以后，來自工業領域的網絡攻擊事件迅速增多，2018 年ICS-CERT 記錄的ICS 中的相關病毒與攻擊事件就超過了113 件。并且，據國際權威機構調查結果顯示，ICS 6 大類最常見的漏洞為網絡邊界保護、識別和認證、資源分配、物理訪問控制、帳戶管理和基礎功能，這些問題占總問題的三分之一。這一方面顯示出OT 安全的脆弱性，另一方面，隨著IT 逐漸與OT 相融合，來自IT 環境的網絡安全問題正向物理世界蔓延。

Fortinet 技術總監張略表示：“近兩年頻繁發生的船運公司、半導體加工廠、鋁業公司因為勒索病毒而停產，足以證明關鍵基礎設施架構被攻擊的危險真實存在。在ICS 數字化攻擊鏈中，網絡攻擊者往往制定了周密的計劃，工業企業很難用現有技術手段形成有效防御。”

OT 安全建設不僅僅是技術問題

隨著OT 環境下各種專有協議、專有操作系統及專有硬件逐漸被通用Internet協議、主流操作系統及各種基于IT 環境的通用硬件所取代，IT 環境的常見安全問題也被帶到OT 環境，諸如未授權訪問、軟件Bug、跨站腳本攻擊等。目前工業企業OT系統還面臨著缺少有效的安全設備，缺乏主動阻止外部攻擊的能力，缺乏必要的身份或資產識別等等難題。

不僅如此，Fortinet 在與國內一些制造企業交流過程中發現，這些制造業企業中目前對OT 安全防護最大的障礙是安全認知不足。張略解釋說，“因為IT 與OT 的管理者在技術融合時，雙方的認知沒有先于技術而融合。這個過程中會產生誤解，例如不理解為什么一定要做區域劃分和安全可視化，這種安全認知沒有達到統一，其效果也就可想而知了。”

如何構建IT 與OT 融合下的網絡安全

針對當前企業在IT 與OT 融合時的安全防護能力不足問題，Fortinet 給出了十條安全最佳實踐和建議：

制定備份和恢復計劃；使用多層次深度防御；持續保持軟件更新并及時打補丁；使用應用程序白名單；將網絡分段到不同的安全區域中；建立并實施權限分配和特權管理；建立并強制實施BYOD 安全策略；用戶教育；固件更新機制；定期的安全評估。

在具體規劃和設計OT 安全防護架構時，對整個企業的網絡進行區域劃分是必不可少的，這其中也需要掌握一些原則，依據不同設施的重要程度進行不同等級的區域劃分和防護。對此，Fortinet 有著詳細的規劃方法。

例如，針對一個典型的企業運營區安全域的劃分與設計，依次將不同設施的重要程度按紅區、黃區、綠區和藍區劃分。其中紅區為重要的生產系統，是企業最關鍵的資產，需要通過獨立的物理硬件進行部署，實現完全的訪問控制，安全防護等級也最高；黃區為企業自有研發區及外包研發安全區中的相應次高安全區域，可根據情況采用獨立或共享的網絡安全基礎架構設施，并需要通過虛擬桌面的方式進行訪問；綠區主要為安全等級較低的業務系統提供部署，物理資源可采用共享架構，安全防護措施亦可共享；藍區主要為用戶接入區域，部署面向外網的前置服務器，安全等級最低，需要進行有效的安全防護。

在進行以上安全區域劃分之后，企業就可以在很大程度上能夠保障IT 與OT 的互聯安全。而這些安全域的劃分理念也是與工廠環境的Purdue 模型很好地匹配。在經過與ISA-99 和IEC-62443標準相結合，Fortinet 的Purdue 模型也已逐漸完善。

在這些安全方法論確定過后，關鍵的就是如何將其有效落地。

一 方 面，Fortinet 憑借在IT 安全的多年積累，Security Fabric 安全架構與解決方案很好地解決了在IT 安全領域諸如防御攻擊平面、自動化響應等問題，并且這一架構與Purdue 模型非常接近，在IT 安全向OT 安全融合過程中具有很大助推作用。另一方面，Fortinet還與很多如西門子、Nozomi公司等的工業企業及工控安全企業合作，加強了對工業產品和工業安全體系的理解。

對于企業用戶來說，Fortinet 建議用戶應根據自身系統深度定制化安全，他們需要理解自己的業務，并使用合適的安全工具和服務。這其中，重要的是如何梳理自身業務邏輯，從而對企業網絡進行安全區域劃分，以確定滿足怎樣程度的安全。

張略表示，Fortinet 憑借在IT 和OT 兩個系統安全的豐富經驗，使得Fortinet形成完善的安全體系，再加上國內外豐富的成功案例與部署經驗支撐，因此Fortinet 在OT 安全的發展過程中有著獨特優勢。