­­OT安全方法论

随着工业物联网的出现，数字化技术对于工业领域的影响就开始逐渐渗透到其整个产业链当中。对于工业企业而言，这就意味着：在为数据打开了一扇自由流动的门，为发掘数据的价值提供有效工具的同时，以往被认为只是在互联网虚拟世界中存在的黑客、勒索软件，正在迅速渗透到现实世界的工厂和企业，并且已经有能力直接威胁工业企业正常的业务运转。因此对于广大的、考虑使用或已经使用工业互联网平台实践数字化转型的工业企业而言：面对那些身居阴暗角落的居心不良者，缺乏信息安全措施的数字化应用，无异于稚子怀金过市。所以构建一个值得信赖的网络、数据安全架构就显得迫在眉睫。

解决新问题最好的方式，是利用旧有的经验。与企业OT所有面临的网络数据安全一样，以往在IT世界里，已经存在了一整套相对完整的安全架构逻辑、技术和解决方案，那么在强调IT和OT走向融合的数字化时代，IT安全和OT安全到底是怎样的关系呢？

有一种观点认为，从技术、应用、架构逻辑等各个曾经，IT安全和OT安全实际上是完全不同的两套体系。

持这种观点的人强调两者有三点最大的区别：首先，从技术上上，IT的应用主要是基于常见的Windows、Linux等一些操作系统中，往往都是基于通用CPU平台或服务器；而OT系统是工控安全，往往采用专业化程度或定制化程度较高的一些系统，同时，由于OT系统的数据传输协议与传统的IT使用协议TCP/IP也不同。第二，从应用逻辑来看，IT系统和OT系统对于信息安全系统需求也有本质差异：IT系统对于信息安全系统的要求，是机密性，保障数据的安全；而对于工业控制系统（OT）而言，其对于信息安全的首要目标，是保证系统的可用性，即要确保生产线的持续运转，要保证生产流程的完整性。例如信息安全系统中最常见的防病毒功能，IT技术的“防病毒”采用的是黑名单方式，而OT系统需要采用白名单方式——两者的区别在于：黑名单方式是一种“滞后”的解决问题的思路，要保证同样的问题不再发生；而白名单制度则针对的是保障系统“绝对安全”的思路，尽最大可能保障OT系统的可用性。第三，从系统应用场景上看，OT系统设定的生命周期更长，因此在工业企业的控制系统当中，老旧设备和系统更多，这些设备和系统往往不仅自身缺少足够的计算性能和存储空间的冗余设计，而且系统多样性也更复杂。这就造成与IT系统相比，OT系统不仅本身很难部署信息安全系统，防病毒能力比较弱，所以在采用信息安全系统，必须考虑兼容性的问题，以满足不同跨年代设备的需求。

总地来说，持“OT安全与IT安全截然不同”观点的人认为：传统IT系统所提供的信息安全解决方案，难以满足工业企业对于工业互联网的信息安全需求的。

Fortinet 中国区总经理李宏凯

“我们首先是强调IT安全、OT安全的具有共性的，比较不赞同一种观点，就是认为将OT安全和IT安全认为撕裂开。”Fortinet 北亚区首席技术顾问谭杰在2022工业互联网安全发展峰会上接受笔者提问时强调：IT安全与OT安全的共性特征需要被重视。

谭杰分析说：最初10年前，Fortinet开始做OT安全时，一个简单的OT防火墙在很多企业也没有办法部署，因为当时企业OT系统使用的都不是TCP/IP协议，因此当时的确存在OT技术与IT技术层面深刻的差异。“可是十多年过去，很多新的OT系统，包括一些老系统的改造，基本上都变成了TCP/IP协议——OT系统与IT的融合，正在加速且这样的趋势也越来越明显。”谭杰强调，事实上，通过在工业领域中大力推进智能制造、互联网+和工业物联网等应用平台，企业的一些业务已经越来越IT化，“甚至从国内观察到一些头部企业的OT系统，已经开始采用包括人工智能、数字孪生、云原生服务等新兴IT技术，用得甚至比IT企业还要更靠前。”

在谭杰看来，与技术层面的互相融合相对应，IT系统与OT系统更重要的共性关系，是两者面临的安全也趋同，即两者同样都是面临来自网络端的远程入侵和病毒。因此在OT和IT本身就强调融合的趋势下，“自然OT的安全思路跟IT的安全思路基本上也应该在大思路是相同的。”谭杰认为目前在IT安全领域谈到比较多的“把所有的安全环节融入到整个网络和业务的各个环节当中去”，通过基于大数据、人工智能、机器学习，做智能化的计算、分析和联动的方式，实现“去中心化的数字安全网络架构”，构建一个弹性化、场景化的网络安全框架，同样适用于OT安全系统。

“另外还需要强调一点：我们同样需要重视、尊重OT安全的特殊性，并对此保持一份敬畏之心。”谭杰认为，虽然从逻辑上应该首先认同OT系统和IT系统的关联性，但是依然需要关注到两者的区别：“那些通过那IT安全解决方案稍微改改，加一些OT业务系统相关的特征，就拿来作为OT安全的解决方案，是严重缺乏了对OT系统的尊重和敬畏。”

在当天的演讲当中，Fortinet中国区技术总监张略就用了很大的篇幅在讨论OT安全系统与IT安全系统之间的区别，以及OT安全系统的特殊性问题。

张略认为，OT安全系统特殊性，首先体现在对机密性、完整性和可用性三者权衡中的权重，与IT系统不同。“在OT当中，我们认为可用性要求最高，因为无论如何不能让生产线中断，不能让石油管道停止输油，不能让电网停止供电，无论是采取什么样的措施都不能发生这样的事情。所以我们认为可用性的要求在OT网络当中最高的。相对而言，在IT网络里面，我们认为机密性的要求更高一些，因为IT网络收邮件迟一分钟应该没有什么太多的感触，但是如果邮件内容被泄露到外面这是一个比较大的安全事件。”

张略列举了与IT安全系统相比，OT系统在网络延迟实时性、组件生命周期、补丁计划、安全测试与审计、安全意识等方面的差异：“以制造业为例，如果在车间里面进行操作的时候，因为网络延时导致流程上的之后，会导致良品率的下降，甚至更加严重的后果；而且对于企业OT系统而言，组件的生命周期一般为10年以上，这对于3～5年就实现更新的IT系统，是难以想象的。至于为何在OT安全系统中为安全漏洞打补丁更难？那是因为在OT网络中，老旧设备跟多，很少有人能够百分之百确定打了补丁后，整个生产线还能继续正常运行。”而这也是张略认为在OT系统中只能偶尔进行安全测试和审计的重要原因：“在IT系统当中，扫描一下知道现在有多少个设备；但是在OT系统中没人敢随便扫描，因为很可能一扫描，就会影响设备正常工作了。”

既有通用融合的部分，也有区别个性的需求。张略在演讲中提到“Purdue模型分层框架”，在这一框架中，企业的整个OT+IT系统，从内向外被分成4个区域：生产区、控制区、集团区和外部区域。其中，在生产区主要是OT系统控制的区域，这里主要是OT系统控制的区域，包括HMI、PLC、控制器、执行设备等构成，是OT安全系统主要的工作区域；向上的控制区，是OT系统和IT系统融合的部分，是MES、ERP等系统发布收集数据并向生产区传递数据的区域；集团区主要是企业内部的数据中心和应用中心，这里主要是企业内部的IT技术架构区域，是IT安全系统重点部署的领域，最后，外部区域则是包括互联网、云计算等公共IT能力的广泛存在的区域。

“Fortinet的OT安全解决方案，就是通过将我们的Security Fabric结合Purdue模型，做了一个针对性的安全框架设计。”在张略的介绍中，Fortinet的OT安全解决方案基于Purdue模型，由下向上设置了四条“安全系统执法边界”：第一条在生产区设定了物理隔离区域和相关控制系统边界作为第一条主要安全执法边界，设定安全区域，保障生产区安全；向上，在生产区和控制区之间，设置了第二条次要执法区域，通过设定工控系统边界建立过程控制区域；第三条执法边界在工业互联网的控制区域和IT系统区域之间，这条被称为OT边界的主要执法边界，用于操作和控制全部的OT区域安全；最后，在企业集团区和外部区域之间，再建立一条IT边界作为主要执法区域，用于保障企业的业务和企业安全边界。

“IT边界是整个企业IT边界和互联网的边界；OT边界是IT于OT之间、IT网络与工厂网络之间的边界；工控系统边界则是工厂的工控系统和真正工业控制器交汇的边界……我们的做法，是通过这样几条边界，对企业进行区域隔离。进而在做网络准入审核，对应用系统的防护，再进一步是针对远程访问者、控制者进行零信任的相关防护。在这样一整套安全体系构建比较充分情况下，我们还可以引入更加智能和更加高级的防护：针对与工控网络当中识别应用以及识别应用中所携带参数是否合理，建立基线和安全策略。最终，通过对端点的保护，实现对老旧操作系统的安全防护。”

事实上，对于工业企业而言，认识到OT安全的重要性和了解OT安全架构的基本方法论同样重要，因为对于具体的安全架构建设和解决方案实施部署等工作，专业化程度依然偏高，仍人需要专业的团队来完成。张略在采访中强调：到目前为止，OT安全系统和IT安全系统在应用过程中还是存在差异：对于IT环境来说，发现高危的漏洞系统会进行自动发现、自动阻断，不需要人为参与；而在OT环境中，”如果发现一次攻击，监控会通知人类管理员，管理员需要仔细去查看和确认攻击是真实还是误报：如果是误报，可以进行策略的修订；如果是真实攻击，则需要从源头上，找到攻击源并将其解决掉，而不是简单地直接处理掉。因为对于OT网络来说，误拦截是一个非常严重的问题，所以我们必须要专业而谨慎的处理。”