OT信息安全的實踐之路

丁海驁

因為網絡黑客攻擊成品油管道系統企業，導致美國17個州和華盛頓特區進入緊急狀態，這可能是最近在信息安全領域最大的新聞了。雖然此次事件所影響的范圍沒有4年前WannaCry影響的范圍廣，但其精準攻擊的手段卻足以說明，信息安全領域“貓與老鼠”此消彼長的規則，從來沒有停息——在一個強調用數字和信息重新定義世界的時代，這對任何人和企業，都是一種潛在但真實的威脅。工業企業是數字化程度最高的行業之一，因此也是未來受到威脅最大的行業之一。

中國工業企業的數字化之初，是上個世紀90年代，從利用CAD、ERP和PLM為主的工業軟件提高核心業務效率開始，逐漸完成了對自身業務的信息化改造。進而，基于信息化的成果，自動化水平也得到極大的提升。在這一時期，與自動化相關的OT（Operational Technology，運營技術）相比，IT建設是企業數字化關注的重點。到了2010年左右，隨著工業4.0、工業物聯網和工業互聯網等的出現和應用，工業企業開始意識到將虛擬世界的IT與現實世界里的OT進行融合，將會帶來更大的靈活性和業務韌性，于是，IT與OT的持續融合成為工業企業數字化轉型的核心——恰好成為工業企業在信息安全方面存在重大漏洞的根源。

眾所周知，絕大部分的信息安全漏洞都存在于IT領域當中，無論是黑客還是病毒，都是借助IT系統入侵。而傳統的OT系統，不僅與IT系統存在物理層面的隔離，而且是運行在專用的硬件上和嵌入式操作系統當中，在數據傳輸上，也采用專有控制協議，因此在很大程度上將，傳統的OT系統是存在“相對安全”的，只是這種平靜正在被“IT與OT融合”的大潮打破。

隨著兩者融合程度的加深，IT深入OT的程度也在不斷深入：為了提高通用性，OT系統開始運行在更為通用的IT操作系統和IT通用硬件上；同時，通過工業云等媒介，OT系統正在嘗試采用IT系統常用的TCP/IP協議，以實現數據在不同硬件系統之間的傳遞，以及與IT完成某種程度的互聯互通。不僅如此，為了實現接入更多智能終端的目的，OT系統也開始接受用更為便捷的WIFI通信協議代替以往銅纜連接的方式…… IT系統向OT系統的“侵入性”融合，使得工業企業的OT系統處于一種從未有過的危險處境當中。

既然，“IT與OT融合”是工業企業數字化進程中不能繞開的節點，那么所有的問題就集中在了一點：工業企業該如何盡快及時修補OT系統方面的安全漏洞？

借助在IT領域關于信息安全方面的經驗，單純從技術邏輯上說，也許有兩種思路來解決問題：第一種是根據OT領域對信息安全的需求，建立一套專屬的信息安全工具和理論；第二種，就是將在IT領域得到驗證的成功經驗和有效工具，隨著IT與OT的融合，從IT系統延展、覆蓋到OT系統中——前者更有針對性，后者則更為經濟。

“由于現在的OT一般都采用了IT領域里已經成熟的協議、硬件和軟件，因此IT和OT之間有很多相似之處，所以以往我們所用到的信息安全知識和工具就可以比較容易地從IT遷移到OT；但與此同時，我們也應該注意掉OT和IT之間的區別，在應用方案時，對OT系統對于安信息安全不同的需求給予滿足。”張略，Fortinet中國區技術總監日前在2021年工業互聯網安全發展峰會上發言強調，從邏輯概念上，針對工業企業的信息安全知識和工具應該從IT向OT延展，但是在此過程中，需要增加解決方案的針對性。

在張略看來，與傳統IT領域對于信息安全的要求相比，工業企業在OT領域對于信息安全系統的要求，并非是機密性，而是可用性、穩定性。因此對于面向工業企業OT系統的信息安全解決方案，就需要將以往的工具進行重新的組合，以響應這種需求：“從NIST模型來看，針對工業企業OT系統的安全解決方案應該分成五個步驟：檢測、保護、發現、響應和恢復。其中，檢測是為了識別在本企業的OT系統當中使用了哪些協議，是不是已經有病毒和安全風險在傳播；而保護的原則則是按照業務的優先級，按照人、技術和流程三者結合的方式進行。”張略還給出了Fortinet基于這一思路，推出的工業企業OT安全整體解決方案的八個漸進階段的實施策略。

第一個階段是可視化，讓工業企業可以實現從監控網絡到流程控制網絡的可視化；第二個階段是集中管理，使工業企業具有設備自動發現、組管理、全局策略、審計功能以及管理復雜 VPN環境的能力； 第三階段是安全域劃分，幫助工業企業根據特定設備類型和網絡訪問需求，采用分層、分域的安全策略，提前設定安全域；第四階段是網絡推入，幫助工業企業建立以行為分析為中心的零信任安全體系，從而提升企業整體安全運營能力；第五階段是抵御已知與未知威脅，幫助工業企業應該建立起從監控網絡到流程控制網絡的主動防護；第六階段，分析定位，通過評估企業內部安全策略合規性狀態，幫助企業建立起未知威脅檢測，事件分析、溯源的能力；第七階段，OT 態勢感知與響應；第八階段是信任評估，目的是幫助工業企業查找惡意行為和系統活動，在安全事件惡化成為有影響的數據泄露事件之前提醒企業的安全事件團隊。

“我們希望工業企業可以按照步驟，一步步在OT系統當中建立起從隔離到未知威脅，再到體系化運維，最終建立起一整套具有針對性的安全體系。”李宏凱，Fortinet中國區總經理在接受采訪強調，Fortinet能夠為工業企業實踐OT系統信息安全體系建設的每一個階段提供充分的工具支持，而且，由于Fortinet為工業企業提供的信息安全解決方案，在IT和OT兩個領域都是基于同樣的技術邏輯和產品架構，因此在某種程度上說，對于IT與OT未來更進一步的融合，具有天然的促進作用。

寫在最后

很難說，用數字定義世界，帶來的使更多的便捷，還是更多的安全隱患。只是從社會發展的角度看，數字化是不能逆轉的歷史趨勢。工業企業的數字化，到了將現實（OT）與虛擬（IT）融合的關鍵節點，此刻，越早關注到其中存在的風險，并及早著手研究解決的方法，或許比單純推進兩者的融合，更為重要。