信息化觀察網(wǎng)

在政策、技術(shù)創(chuàng)新、產(chǎn)業(yè)升級(jí)等因素的綜合驅(qū)動(dòng)下，工業(yè)互聯(lián)網(wǎng)得到了前所未有的發(fā)展契機(jī)。特別是隨著《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021-2023年）》頒布，未來(lái)三年是工業(yè)互聯(lián)網(wǎng)的快速成長(zhǎng)期。企業(yè)往往需要運(yùn)營(yíng)橫跨復(fù)雜IT和OT的基礎(chǔ)設(shè)施，這給工業(yè)環(huán)境安全帶來(lái)了全新的挑戰(zhàn)，尤其是在OT安全方面，在與IT融合過(guò)程中，如何有效防御網(wǎng)絡(luò)攻擊減少損失，成為工業(yè)企業(yè)迫切需要解決的難題。

近日，在以“工業(yè)發(fā)展安全護(hù)航”為主題的2021年工業(yè)互聯(lián)網(wǎng)安全發(fā)展峰會(huì)上，嘶吼根據(jù)IT/OT的融合情況，同F(xiàn)ortinet就現(xiàn)今企業(yè)數(shù)字化趨勢(shì)以及如何完成科學(xué)合理的融合進(jìn)行了溝通。

一、IT與OT融合走勢(shì)

IT和OT的融合會(huì)成為一個(gè)必然的趨勢(shì)，未來(lái)企業(yè)的運(yùn)營(yíng)核心是彈性決策。深度挖掘客戶需求和生產(chǎn)規(guī)劃，使制造業(yè)得以更好的發(fā)展。企業(yè)在面對(duì)黑天鵝事件如何運(yùn)營(yíng)、盈利、發(fā)展，都與彈性決策息息相關(guān)。在數(shù)字孿生的環(huán)境中，未來(lái)的發(fā)展趨勢(shì)也會(huì)愈加智能化，應(yīng)對(duì)前提是做好IT/OT工作，確保二者的融合程度才能夠?qū)崿F(xiàn)未來(lái)的基礎(chǔ)設(shè)施建設(shè)和良好使用。

Fortinet中國(guó)區(qū)總經(jīng)理李宏凱認(rèn)為，工業(yè)數(shù)字化轉(zhuǎn)型是當(dāng)前中國(guó)發(fā)展的重中之重，OT/IT的融合帶來(lái)了產(chǎn)業(yè)結(jié)構(gòu)和體系建設(shè)的巨變，由此而來(lái)的“勒索事件”等網(wǎng)絡(luò)安全“黑天鵝”情況在工業(yè)領(lǐng)域頻發(fā)。對(duì)此，工業(yè)企業(yè)需要一個(gè)成體系的聯(lián)動(dòng)機(jī)制，能夠?qū)⑼{檢測(cè)和自動(dòng)化響應(yīng)等能力實(shí)現(xiàn)全面融合，隨時(shí)了解業(yè)務(wù)系統(tǒng)中潛在的問(wèn)題，及時(shí)采取應(yīng)對(duì)措施，防患于未然。

Fortinet中國(guó)區(qū)技術(shù)總監(jiān)張略認(rèn)為，IT/OT融合帶來(lái)的是工業(yè)體系的全面變革，攻擊路徑和攻擊平面已經(jīng)跳出了傳統(tǒng)局限。Fortinet遵循NIST模型打造前瞻性的零信任OT安全基礎(chǔ)架構(gòu)和方案，也就是Security Fabric，應(yīng)對(duì)無(wú)處不在的威脅。在服務(wù)芯片、汽車、電器等制造行業(yè)企業(yè)的過(guò)程中，F(xiàn)ortinet充分考慮已知和未知威脅，結(jié)合IoT和工業(yè)互聯(lián)網(wǎng)體系各層需求，在檢測(cè)、保護(hù)、發(fā)現(xiàn)、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)幫助客戶建立安全防護(hù)能力。

二、工業(yè)4.0時(shí)代，企業(yè)轉(zhuǎn)型中面臨的新挑戰(zhàn)

在十四五轉(zhuǎn)型的開端，制造業(yè)是中國(guó)最具有全產(chǎn)業(yè)鏈和配套能力的陣地，工業(yè)化和數(shù)字化也是國(guó)家發(fā)展的重中之重。在2025年完成生產(chǎn)企業(yè)數(shù)字化轉(zhuǎn)型，新的浪潮給多數(shù)生產(chǎn)企業(yè)帶來(lái)的與日俱增的壓力，使得不得不面臨各式各樣的灰犀牛和黑天鵝的事件。如何規(guī)劃和應(yīng)對(duì)轉(zhuǎn)型帶來(lái)的問(wèn)題，首先要梳理清晰挑戰(zhàn)有哪些。

IDC中國(guó)工業(yè)互聯(lián)網(wǎng)調(diào)研中，80.3%的受訪用戶表示已經(jīng)部署或計(jì)劃在未來(lái)1~3年內(nèi)部署工業(yè)互聯(lián)網(wǎng)。“未來(lái)信任”是工業(yè)互聯(lián)網(wǎng)發(fā)展的根基，關(guān)乎全產(chǎn)業(yè)鏈上下游體系，因此工業(yè)互聯(lián)網(wǎng)的發(fā)展勢(shì)必會(huì)驅(qū)動(dòng)制造行業(yè)安全市場(chǎng)的增長(zhǎng)。IDC預(yù)計(jì)，在2019-2024年，中國(guó)制造行業(yè)的網(wǎng)絡(luò)安全支出復(fù)合年均增長(zhǎng)率將高達(dá)17.67%，并建議制造行業(yè)用戶加快制定“未來(lái)信任”戰(zhàn)略，根據(jù)業(yè)務(wù)發(fā)展的不同階段落實(shí)策略與方案的部署，助力IT與OT融合，促進(jìn)業(yè)務(wù)的快速發(fā)展。

數(shù)字化產(chǎn)業(yè)帶來(lái)的一個(gè)非常大的挑戰(zhàn)，也正是一直以來(lái)眾多產(chǎn)業(yè)都在探討的融合，融合帶來(lái)新挑戰(zhàn)包括管理體系和協(xié)議方式、管理接口等，這也正是OT自身安全體系進(jìn)展緩慢的又一重要原因。OT轉(zhuǎn)型主要是由業(yè)務(wù)驅(qū)動(dòng)的，稱之為敏捷業(yè)務(wù)。而數(shù)字化業(yè)務(wù)叫做現(xiàn)代產(chǎn)業(yè)、現(xiàn)代物流、現(xiàn)代制造，都走向了可視化、自動(dòng)化、智能化。敏捷業(yè)務(wù)要求企業(yè)必須要用數(shù)字化的體系完善前端和后端以及供應(yīng)、物流，整體完成對(duì)市場(chǎng)的敏銳捕獲和供應(yīng)鏈的升級(jí)。傳統(tǒng)體系顯然不能實(shí)現(xiàn)產(chǎn)業(yè)結(jié)構(gòu)的變化和安全防護(hù)，這是工業(yè)4.0時(shí)代企業(yè)轉(zhuǎn)型過(guò)程中必然面臨的新挑戰(zhàn)。在網(wǎng)絡(luò)安全體系管理的整個(gè)概念中，無(wú)論單一防御機(jī)制的建立或是整套防護(hù)體系的構(gòu)建是需要一個(gè)統(tǒng)一聯(lián)動(dòng)機(jī)制的，隨時(shí)理解業(yè)務(wù)中遇到的各種潛在問(wèn)題，以應(yīng)對(duì)威脅發(fā)生時(shí)合理控制風(fēng)險(xiǎn)。

三、企業(yè)如何積極應(yīng)對(duì)IT/OT的融合

構(gòu)建健壯且科學(xué)的安全管理體系

一套健壯、科學(xué)的安全管理體系十分重要，建設(shè)一套業(yè)務(wù)緊密集成的健壯安全體系在OT安全中是重中之重。所以，企業(yè)應(yīng)該為之適配前沿的IT安全思路和架構(gòu)，用以適配OT數(shù)字環(huán)境。最前沿的零信任架構(gòu)和理論框架投射到OT網(wǎng)絡(luò)中來(lái)。首先，安全的視角，以往企業(yè)更多關(guān)注攻擊面，零信任體系更多的是把視角轉(zhuǎn)向保護(hù)面，梳理企業(yè)信息資產(chǎn)，針對(duì)每一個(gè)業(yè)務(wù)環(huán)節(jié)插入可以實(shí)施和控制的保護(hù)點(diǎn)，完善并豐富控制體系。第二，持續(xù)且動(dòng)態(tài)的安全。要求系統(tǒng)可以動(dòng)態(tài)賦予權(quán)限，監(jiān)控整體威脅態(tài)勢(shì)等。第三，在相關(guān)層面的安全防護(hù)插入策略實(shí)施點(diǎn)，以信任度為基礎(chǔ)進(jìn)行計(jì)算，并將相關(guān)權(quán)限和策略下放到數(shù)據(jù)平面。

管理協(xié)同IT/OT團(tuán)隊(duì)

在IT/OT融合過(guò)程中，到底是重新建立一套OT安全體系，還是在現(xiàn)有的體系進(jìn)行迭代。基于Fortinet多年不同種類融合實(shí)踐的經(jīng)驗(yàn)，很多不同客戶在應(yīng)對(duì)不同場(chǎng)景有定制化的解決方案。例如，有些使用十年甚至二十年的網(wǎng)絡(luò)架構(gòu)，全部替換成本過(guò)于高昂，必須在現(xiàn)有系統(tǒng)上迭代。將網(wǎng)絡(luò)劃分或是隔離、對(duì)現(xiàn)有資產(chǎn)進(jìn)行梳理，最終形成一套完整的管理體系。有些客戶則是選擇新建一整套新的網(wǎng)絡(luò)架構(gòu)時(shí)嵌入OT安全體系，構(gòu)建原生安全。

IT/OT的一致性上，首先必須要承認(rèn)的是兩者之間溝通并不充分，主要來(lái)源于保密性、完整性和可用性的三大因素，導(dǎo)致信息傳遞的優(yōu)先原則、貫穿輻射范圍等均產(chǎn)生偏差與不同。管理企業(yè)的IT/OT團(tuán)隊(duì)，由上至下的推行安全意識(shí)及安全機(jī)制的運(yùn)行。為了更好的彌補(bǔ)調(diào)和兩個(gè)團(tuán)隊(duì)之間優(yōu)先順序的差距，當(dāng)IT團(tuán)隊(duì)發(fā)生問(wèn)題時(shí)，會(huì)尋求OT團(tuán)隊(duì)的幫助，反之亦然。無(wú)論是技術(shù)問(wèn)題還是安全問(wèn)題，兩個(gè)團(tuán)隊(duì)更為緊密的協(xié)作才是IT/OT融合的前進(jìn)方向。