OT安全方法論

丁海驁

隨著工業物聯網的出現，數字化技術對于工業領域的影響就開始逐漸滲透到其整個產業鏈當中。對于工業企業而言，這就意味著：在為數據打開了一扇自由流動的門，為發掘數據的價值提供有效工具的同時，以往被認為只是在互聯網虛擬世界中存在的黑客、勒索軟件，正在迅速滲透到現實世界的工廠和企業，并且已經有能力直接威脅工業企業正常的業務運轉。因此對于廣大的、考慮使用或已經使用工業互聯網平臺實踐數字化轉型的工業企業而言：面對那些身居陰暗角落的居心不良者，缺乏信息安全措施的數字化應用，無異于稚子懷金過市。所以構建一個值得信賴的網絡、數據安全架構就顯得迫在眉睫。

解決新問題最好的方式，是利用舊有的經驗。與企業OT所有面臨的網絡數據安全一樣，以往在IT世界里，已經存在了一整套相對完整的安全架構邏輯、技術和解決方案，那么在強調IT和OT走向融合的數字化時代，IT安全和OT安全到底是怎樣的關系呢？

有一種觀點認為，從技術、應用、架構邏輯等各個曾經，IT安全和OT安全實際上是完全不同的兩套體系。

持這種觀點的人強調兩者有三點最大的區別：首先，從技術上上，IT的應用主要是基于常見的Windows、Linux等一些操作系統中，往往都是基于通用CPU平臺或服務器；而OT系統是工控安全，往往采用專業化程度或定制化程度較高的一些系統，同時，由于OT系統的數據傳輸協議與傳統的IT使用協議TCP/IP也不同。第二，從應用邏輯來看，IT系統和OT系統對于信息安全系統需求也有本質差異：IT系統對于信息安全系統的要求，是機密性，保障數據的安全；而對于工業控制系統（OT）而言，其對于信息安全的首要目標，是保證系統的可用性，即要確保生產線的持續運轉，要保證生產流程的完整性。例如信息安全系統中最常見的防病毒功能，IT技術的“防病毒”采用的是黑名單方式，而OT系統需要采用白名單方式——兩者的區別在于：黑名單方式是一種“滯后”的解決問題的思路，要保證同樣的問題不再發生；而白名單制度則針對的是保障系統“絕對安全”的思路，盡最大可能保障OT系統的可用性。第三，從系統應用場景上看，OT系統設定的生命周期更長，因此在工業企業的控制系統當中，老舊設備和系統更多，這些設備和系統往往不僅自身缺少足夠的計算性能和存儲空間的冗余設計，而且系統多樣性也更復雜。這就造成與IT系統相比，OT系統不僅本身很難部署信息安全系統，防病毒能力比較弱，所以在采用信息安全系統，必須考慮兼容性的問題，以滿足不同跨年代設備的需求。

總地來說，持“OT安全與IT安全截然不同”觀點的人認為：傳統IT系統所提供的信息安全解決方案，難以滿足工業企業對于工業互聯網的信息安全需求的。

“我們首先是強調IT安全、OT安全的具有共性的，比較不贊同一種觀點，就是認為將OT安全和IT安全認為撕裂開。”Fortinet 北亞區首席技術顧問譚杰在2022工業互聯網安全發展峰會上接受筆者提問時強調：IT安全與OT安全的共性特征需要被重視。

譚杰分析說：最初10年前，Fortinet開始做OT安全時，一個簡單的OT防火墻在很多企業也沒有辦法部署，因為當時企業OT系統使用的都不是TCP/IP協議，因此當時的確存在OT技術與IT技術層面深刻的差異?！翱墒鞘嗄赀^去，很多新的OT系統，包括一些老系統的改造，基本上都變成了TCP/IP協議——OT系統與IT的融合，正在加速且這樣的趨勢也越來越明顯?！弊T杰強調，事實上，通過在工業領域中大力推進智能制造、互聯網+和工業物聯網等應用平臺，企業的一些業務已經越來越IT化，“甚至從國內觀察到一些頭部企業的OT系統，已經開始采用包括人工智能、數字孿生、云原生服務等新興IT技術，用得甚至比IT企業還要更靠前。”

在譚杰看來，與技術層面的互相融合相對應，IT系統與OT系統更重要的共性關系，是兩者面臨的安全也趨同，即兩者同樣都是面臨來自網絡端的遠程入侵和病毒。因此在OT和IT本身就強調融合的趨勢下，“自然OT的安全思路跟IT的安全思路基本上也應該在大思路是相同的。”譚杰認為目前在IT安全領域談到比較多的“把所有的安全環節融入到整個網絡和業務的各個環節當中去”，通過基于大數據、人工智能、機器學習，做智能化的計算、分析和聯動的方式，實現“去中心化的數字安全網絡架構”，構建一個彈性化、場景化的網絡安全框架，同樣適用于OT安全系統。

“另外還需要強調一點：我們同樣需要重視、尊重OT安全的特殊性，并對此保持一份敬畏之心?！弊T杰認為，雖然從邏輯上應該首先認同OT系統和IT系統的關聯性，但是依然需要關注到兩者的區別：“那些通過那IT安全解決方案稍微改改，加一些OT業務系統相關的特征，就拿來作為OT安全的解決方案，是嚴重缺乏了對OT系統的尊重和敬畏?！?/p>

在當天的演講當中，Fortinet中國區技術總監張略就用了很大的篇幅在討論OT安全系統與IT安全系統之間的區別，以及OT安全系統的特殊性問題。

張略認為，OT安全系統特殊性，首先體現在對機密性、完整性和可用性三者權衡中的權重，與IT系統不同?！霸贠T當中，我們認為可用性要求最高，因為無論如何不能讓生產線中斷，不能讓石油管道停止輸油，不能讓電網停止供電，無論是采取什么樣的措施都不能發生這樣的事情。所以我們認為可用性的要求在OT網絡當中最高的。相對而言，在IT網絡里面，我們認為機密性的要求更高一些，因為IT網絡收郵件遲一分鐘應該沒有什么太多的感觸，但是如果郵件內容被泄露到外面這是一個比較大的安全事件?！?/p>

張略列舉了與IT安全系統相比，OT系統在網絡延遲實時性、組件生命周期、補丁計劃、安全測試與審計、安全意識等方面的差異：“以制造業為例，如果在車間里面進行操作的時候，因為網絡延時導致流程上的之后，會導致良品率的下降，甚至更加嚴重的后果；而且對于企業OT系統而言，組件的生命周期一般為10年以上，這對于3～5年就實現更新的IT系統，是難以想象的。至于為何在OT安全系統中為安全漏洞打補丁更難？那是因為在OT網絡中，老舊設備跟多，很少有人能夠百分之百確定打了補丁后，整個生產線還能繼續正常運行?！倍@也是張略認為在OT系統中只能偶爾進行安全測試和審計的重要原因：“在IT系統當中，掃描一下知道現在有多少個設備；但是在OT系統中沒人敢隨便掃描，因為很可能一掃描，就會影響設備正常工作了?！?/p>

既有通用融合的部分，也有區別個性的需求。張略在演講中提到“Purdue模型分層框架”，在這一框架中，企業的整個OT+IT系統，從內向外被分成4個區域：生產區、控制區、集團區和外部區域。其中，在生產區主要是OT系統控制的區域，這里主要是OT系統控制的區域，包括HMI、PLC、控制器、執行設備等構成，是OT安全系統主要的工作區域；向上的控制區，是OT系統和IT系統融合的部分，是MES、ERP等系統發布收集數據并向生產區傳遞數據的區域；集團區主要是企業內部的數據中心和應用中心，這里主要是企業內部的IT技術架構區域，是IT安全系統重點部署的領域，最后，外部區域則是包括互聯網、云計算等公共IT能力的廣泛存在的區域。

“Fortinet的OT安全解決方案，就是通過將我們的Security Fabric結合Purdue模型，做了一個針對性的安全框架設計?！痹趶埪缘慕榻B中，Fortinet的OT安全解決方案基于Purdue模型，由下向上設置了四條“安全系統執法邊界”：第一條在生產區設定了物理隔離區域和相關控制系統邊界作為第一條主要安全執法邊界，設定安全區域，保障生產區安全；向上，在生產區和控制區之間，設置了第二條次要執法區域，通過設定工控系統邊界建立過程控制區域；第三條執法邊界在工業互聯網的控制區域和IT系統區域之間，這條被稱為OT邊界的主要執法邊界，用于操作和控制全部的OT區域安全；最后，在企業集團區和外部區域之間，再建立一條IT邊界作為主要執法區域，用于保障企業的業務和企業安全邊界。

“IT邊界是整個企業IT邊界和互聯網的邊界；OT邊界是IT于OT之間、IT網絡與工廠網絡之間的邊界；工控系統邊界則是工廠的工控系統和真正工業控制器交匯的邊界……我們的做法，是通過這樣幾條邊界，對企業進行區域隔離。進而在做網絡準入審核，對應用系統的防護，再進一步是針對遠程訪問者、控制者進行零信任的相關防護。在這樣一整套安全體系構建比較充分情況下，我們還可以引入更加智能和更加高級的防護：針對與工控網絡當中識別應用以及識別應用中所攜帶參數是否合理，建立基線和安全策略。最終，通過對端點的保護，實現對老舊操作系統的安全防護。”

事實上，對于工業企業而言，認識到OT安全的重要性和了解OT安全架構的基本方法論同樣重要，因為對于具體的安全架構建設和解決方案實施部署等工作，專業化程度依然偏高，仍人需要專業的團隊來完成。張略在采訪中強調：到目前為止，OT安全系統和IT安全系統在應用過程中還是存在差異：對于IT環境來說，發現高危的漏洞系統會進行自動發現、自動阻斷，不需要人為參與；而在OT環境中，”如果發現一次攻擊，監控會通知人類管理員，管理員需要仔細去查看和確認攻擊是真實還是誤報：如果是誤報，可以進行策略的修訂；如果是真實攻擊，則需要從源頭上，找到攻擊源并將其解決掉，而不是簡單地直接處理掉。因為對于OT網絡來說，誤攔截是一個非常嚴重的問題，所以我們必須要專業而謹慎的處理。”