OT信息安全的实践之路

Fortinet中国区总经理李宏凯

因为网络黑客攻击成品油管道系统企业，导致美国17个州和华盛顿特区进入紧急状态，这可能是最近在信息安全领域最大的新闻了。虽然此次事件所影响的范围没有4年前WannaCry影响的范额广，但其精准攻击的手段却足以说明，信息安全领域“猫与老鼠”此消彼长的规则，从来没有停息——在一个强调用数字和信息重新定义世界的时代，这对任何人和企业，都是一种潜在但真实的威胁。工业企业是数字化程度最高的行业之一，因此也是未来受到威胁最大的行业之一。

中国工业企业的数字化之初，是上个世纪90年代，从利用CAD、ERP和PLM为主的工业软件提高核心业务效率开始，逐渐完成了对自身业务的信息化改造。进而，基于信息化的成果，自动化水平也得到极大的提升。在这一时期，与自动化相关的OT（Operational Technology，运营技术）相比，IT建设是企业数字化关注的重点。到了2010年左右，随着工业4.0、工业物联网和工业互联网等的出现和应用，工业企业开始意识到将虚拟世界的IT与现实世界里的OT进行融合，将会带来更大的灵活性和业务韧性，于是，IT与OT的持续融合成为工业企业数字化转型的核心——恰好成为工业企业在信息安全方面存在重大漏洞的根源。

众所周知，绝大部分的信息安全漏洞都存在于IT领域当中，无论是黑客还是病毒，都是借助IT系统入侵。而传统的OT系统，不仅与IT系统存在物理层面的隔离，而且是运行在专用的硬件上和嵌入式操作系统当中，在数据传输上，也采用专有控制协议，因此在很大程度上将，传统的OT系统是存在“相对安全”的，只是这种平静正在被“IT与OT融合”的大潮打破。

随着两者融合程度的加深，IT深入OT的程度也在不断深入：为了提高通用性，OT系统开始运行在更为通用的IT操作系统和IT通用硬件上；同时，通过工业云等媒介，OT系统正在尝试采用IT系统常用的TCP/IP协议，以实现数据在不同硬件系统之间的传递，以及与IT完成某种程度的互联互通。不仅如此，为了实现接入更多智能终端的目的，OT系统也开始接受用更为便捷的WIFI通信协议代替以往铜缆连接的方式…… IT系统向OT系统的“侵入性”融合，使得工业企业的OT系统处于一种从未有过的危险处境当中。

既然，“IT与OT融合”是工业企业数字化进程中不能绕开的节点，那么所有的问题就集中在了一点：工业企业该如何尽快及时修补OT系统方面的安全漏洞？

借助在IT领域关于信息安全方面的经验，单纯从技术逻辑上说，也许有两种思路来解决问题：第一种是根据OT领域对信息安全的需求，建立一套专属的信息安全工具和理论；第二种，就是将在IT领域得到验证的成功经验和有效工具，随着IT与OT的融合，从IT系统延展、覆盖到OT系统中——前者更有针对性，后者则更为经济。

“由于现在的OT一般都采用了IT领域里已经成熟的协议、硬件和软件，因此IT和OT之间有很多相似之处，所以以往我们所用到的信息安全知识和工具就可以比较容易地从IT迁移到OT；但与此同时，我们也应该注意掉OT和IT之间的区别，在应用方案时，对OT系统对于安信息安全不同的需求给予满足。”张略，Fortinet中国区技术总监日前在2021年工业互联网安全发展峰会上发言强调，从逻辑概念上，针对工业企业的信息安全知识和工具应该从IT向OT延展，但是在此过程中，需要增加解决方案的针对性。

Fortinet中国区技术总监张略

在张略看来，与传统IT领域对于信息安全的要求相比，工业企业在OT领域对于信息安全系统的要求，并非是机密性，而是可用性、稳定性。因此对于面向工业企业OT系统的信息安全解决方案，就需要将以往的工具进行重新的组合，以响应这种需求：“从NIST模型来看，针对工业企业OT系统的安全解决方案应该分成五个步骤：检测、保护、发现、响应和恢复。其中，检测是为了识别在本企业的OT系统当中使用了哪些协议，是不是已经有病毒和安全风险在传播；而保护的原则则是按照业务的优先级，按照人、技术和流程三者结合的方式进行。”张略还给出了Fortinet基于这一思路，推出的工业企业OT安全整体解决方案的八个渐进阶段的实施策略。

第一个阶段是可视化，让工业企业可以实现从监控网络到流程控制网络的可视化；第二个阶段是集中管理，使工业企业具有设备自动发现、组管理、全局策略、审计功能以及管理复杂 VPN 环境的能力； 第三阶段是安全域划分，帮助工业企业根据特定设备类型和网络访问需求，采用分层、分域的安全策略，提前设定安全域；第四阶段是网络推入，帮助工业企业建立以行为分析为中心的零信任安全体系，从而提升企业整体安全运营能力；第五阶段是抵御已知与未知威胁，帮助工业企业应该建立起从监控网络到流程控制网络的主动防护；第六阶段，分析定位，通过评估企业内部安全策略合规性状态，帮助企业建立起未知威胁检测，事件分析、溯源的能力；第七阶段，OT 态势感知与响应；第八阶段是信任评估，目的是帮助工业企业查找恶意行为和系统活动，在安全事件恶化成为有影响的数据泄露事件之前 提醒企业的安全事件团队。

“我们希望工业企业可以按照步骤，一步步在OT系统当中建立起从隔离到未知威胁，再到体系化运维，最终建立起一整套具有针对性的安全体系。”李宏凯，Fortinet中国区总经理在接受采访强调，Fortinet能够为工业企业实践OT系统信息安全体系建设的每一个阶段提供充分的工具支持，而且，由于Fortinet为工业企业提供的信息安全解决方案，在IT和OT两个领域都是基于同样的技术逻辑和产品架构，因此在某种程度上说，对于IT与OT未来更进一步的融合，具有天然的促进作用。

写在最后

很难说，用数字定义世界，带来的使更多的便捷，还是更多的安全隐患。只是从社会发展的角度看，数字化是不能逆转的历史趋势。工业企业的数字化，到了将现实（OT）与虚拟（IT）融合的关键节点，此刻，越早关注到其中存在的风险，并及早着手研究解决的方法，或许比单纯推进两者的融合，更为重要。