信息化觀察網(wǎng)

到2021年，中國(guó)已連續(xù)11年成為世界第一制造業(yè)大國(guó)。

完善的工業(yè)門(mén)類、巨大的市場(chǎng)空間、齊全的配套設(shè)施、高素質(zhì)的產(chǎn)業(yè)工人等，都促使中國(guó)制造不斷變強(qiáng)。而伴隨著數(shù)字化浪潮的機(jī)遇，新一代信息技術(shù)和制造業(yè)加速融合發(fā)展，工業(yè)互聯(lián)網(wǎng)推動(dòng)著制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展水平，中國(guó)正由制造業(yè)大國(guó)向制造業(yè)強(qiáng)國(guó)轉(zhuǎn)變。

工業(yè)互聯(lián)網(wǎng)是IT與OT技術(shù)的融合，融合帶來(lái)的管理體系和協(xié)議方式以及管理接口，都會(huì)給傳統(tǒng)OT帶來(lái)很多的挑戰(zhàn)。尤其是在OT安全方面，在與IT融合過(guò)程中，如何有效防御網(wǎng)絡(luò)攻擊減少損失，成為工業(yè)企業(yè)迫切需要解決的難題。

Fortinet中國(guó)區(qū)總經(jīng)理李宏凱認(rèn)為，工業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中，工業(yè)企業(yè)需要一個(gè)成體系的聯(lián)動(dòng)機(jī)制，能夠?qū)踩珯z測(cè)和威脅探測(cè)等能力實(shí)現(xiàn)全面融合，隨時(shí)理解業(yè)務(wù)中潛在問(wèn)題，防患于未然，打造網(wǎng)絡(luò)安全防御“航母群”。

Fortinet中國(guó)區(qū)總經(jīng)理李宏凱

敏捷業(yè)務(wù)升級(jí)，推動(dòng)IT與OT加速融合

在工業(yè)領(lǐng)域中，IT(Information Technology)與OT(Operation Technology)之間天然存在著種種差異，兩者沿著不同的路徑發(fā)展，并各有各的生態(tài)體系。因此，長(zhǎng)期以來(lái)IT與OT之間都是相互隔離的狀態(tài)。隨著工業(yè)信息化建設(shè)的不斷深入，近年來(lái)OT開(kāi)始逐漸擁抱IT，IT也開(kāi)始更多的融入到各種工業(yè)環(huán)境當(dāng)中。尤其是隨著工業(yè)互聯(lián)網(wǎng)、智能制造的出現(xiàn)及運(yùn)用，IT與OT之間的融合也愈發(fā)緊密。

IDC中國(guó)助理研究總監(jiān)王軍民認(rèn)為，IT和OT的融合就會(huì)成為一個(gè)必然的趨勢(shì)。在IDC看來(lái)，未來(lái)的企業(yè)運(yùn)營(yíng)的核心就是彈性的決策。將IT和OT融合在一起才可以深度的挖掘前端客戶的需求和我們生產(chǎn)的規(guī)劃，使制造企業(yè)可以更好的發(fā)展。

為什么OT要做轉(zhuǎn)型？李宏凱認(rèn)為是由業(yè)務(wù)驅(qū)動(dòng)造成的，隨著數(shù)字化業(yè)務(wù)推動(dòng)現(xiàn)代產(chǎn)業(yè)，現(xiàn)代物流、現(xiàn)代制造等都走向可視化，敏捷業(yè)務(wù)要求企業(yè)必須要用數(shù)字化的體系完善前端和后端以及供應(yīng)、物流，整體完成對(duì)市場(chǎng)的敏銳捕獲和供應(yīng)鏈的升級(jí)。

李宏凱指出，工業(yè)數(shù)字化轉(zhuǎn)型是當(dāng)前中國(guó)發(fā)展的重中之重，OT/IT的融合帶來(lái)了產(chǎn)業(yè)結(jié)構(gòu)和體系建設(shè)的巨變，由此而來(lái)的“勒索事件”等網(wǎng)絡(luò)安全“黑天鵝”情況在工業(yè)領(lǐng)域頻發(fā)。傳統(tǒng)體系如何實(shí)現(xiàn)產(chǎn)業(yè)結(jié)構(gòu)的變化和安全防護(hù)，是很大的挑戰(zhàn)。而在當(dāng)下的工業(yè)企業(yè)而言，針對(duì)IT的安全防護(hù)已經(jīng)做的相對(duì)完善。但針對(duì)OT的安全防護(hù)用戶仍心存疑慮，比如OT業(yè)務(wù)做安全的風(fēng)險(xiǎn)融合，包括國(guó)內(nèi)面臨的一個(gè)問(wèn)題是，OT的部門(mén)和IT的部門(mén)，經(jīng)常是比較孤立的，對(duì)他們來(lái)說(shuō)穩(wěn)健是很重要的。

對(duì)于OT與IT融合下如何建立有效的安全體系，F(xiàn)ortinet建議生產(chǎn)型企業(yè)建立OT和IT防御，可以先從安全隔離入手，保持從監(jiān)控網(wǎng)絡(luò)到流程控制的可視化，最大化的識(shí)別攻擊平面，并為快速響應(yīng)提供指南。實(shí)現(xiàn)可聯(lián)動(dòng)的體系化安全，是最佳的實(shí)踐，隨時(shí)的理解業(yè)務(wù)當(dāng)中遇到的各種潛在的問(wèn)題，檢測(cè)能力以及探測(cè)的互相支持，包括軟件和硬件升級(jí)帶來(lái)的風(fēng)險(xiǎn)和安全防護(hù)的能力。

體系化安全，構(gòu)建工業(yè)互聯(lián)網(wǎng)的安全防線

未來(lái)數(shù)字化轉(zhuǎn)型的企業(yè)，包括制造企業(yè)，必須要構(gòu)建可信任的生態(tài)，以及可信任的能力。企業(yè)要從風(fēng)險(xiǎn)以及社會(huì)責(zé)任和安全合規(guī)上加強(qiáng)自身建設(shè)，這樣才可以構(gòu)建一個(gè)值得合作伙伴信賴的數(shù)字化企業(yè)。上下游都是可信的，才可以構(gòu)建一個(gè)數(shù)字化經(jīng)濟(jì)的可信生態(tài)。

如何構(gòu)建安全可信生態(tài)？IT/OT全面融合下的體系化安全又是怎樣的？

當(dāng)前市場(chǎng)上主要的工業(yè)安全的解決方案，都是一些工業(yè)防火墻和工業(yè)網(wǎng)閘以及工業(yè)態(tài)勢(shì)感知等，是把傳統(tǒng)的IT安全的一些產(chǎn)品加上一些OT的功能和特性，以此來(lái)進(jìn)行防御。其本質(zhì)還是防守，在面對(duì)新的OT威脅的時(shí)候還在慢慢補(bǔ)課。所以在做OT安全的時(shí)候一定要有前瞻性，要用最先進(jìn)的理念和技術(shù)武裝OT安全。

傳統(tǒng)的“補(bǔ)課”思路和方法已經(jīng)跟不上層出不窮的網(wǎng)絡(luò)攻擊手法。為了幫助用戶構(gòu)建工業(yè)互聯(lián)網(wǎng)的安全防線，F(xiàn)ortinet提出了IT/OT融合下的體系化安全解決方案。Fortinet北亞區(qū)首席技術(shù)顧問(wèn)譚杰表示，建設(shè)一個(gè)業(yè)務(wù)緊密集成的強(qiáng)壯的體系在OT安全當(dāng)中是重中之重，所以要用最前沿的IT的安全的思路和架構(gòu)，來(lái)適配OT的數(shù)字環(huán)境。Fortinet用現(xiàn)在最前沿的零信任框架ZTA，投射到OT網(wǎng)絡(luò)和Purdue模型當(dāng)中來(lái)，以這樣的思路來(lái)為OT做體系化的安全。

Fortinet北亞區(qū)首席技術(shù)顧問(wèn)譚杰

譚杰介紹，零信任的框架包含兩大組成部分：

一個(gè)是數(shù)據(jù)平面的PEP（策略執(zhí)行點(diǎn)Policy Enforcement Point,PEP），建設(shè)目標(biāo)是使PEP無(wú)處不在，網(wǎng)絡(luò)的任何節(jié)點(diǎn)都有控制手段，在端、管、云里結(jié)合各種OT和IT的應(yīng)用，以此來(lái)建設(shè)安全的網(wǎng)絡(luò)。無(wú)論是對(duì)于公有云、私有云以及SDN，F(xiàn)ortinet都具備相應(yīng)的安全能力，通過(guò)云原生的集成，和云平臺(tái)進(jìn)行深度聯(lián)動(dòng)，實(shí)現(xiàn)全面的管控能力以及自動(dòng)化的編排響應(yīng)和管理。

“工業(yè)應(yīng)用里面大量的使用HTTP的協(xié)議，隨著云計(jì)算和人工智能的應(yīng)用，API化的趨勢(shì)也非常的明顯。Web應(yīng)用和API安全，也需要具備PEP能力，保護(hù)應(yīng)用和API的安全，這也是典型的零信任方案場(chǎng)景。”

另一個(gè)是控制平面的PDP（策略決策點(diǎn)Policy Decision Point，PDP），主要有兩方面的功能。一個(gè)是高級(jí)威脅防御，ATP，可以利用AI和機(jī)器學(xué)習(xí)的技術(shù)識(shí)別未知的危險(xiǎn)，而不像傳統(tǒng)安全只能基于特征識(shí)別已知威脅；另一個(gè)是自動(dòng)的編排和響應(yīng)，包括控制平面和數(shù)據(jù)平面的溝通，所有的指令下發(fā)應(yīng)動(dòng)態(tài)地實(shí)現(xiàn)。整個(gè)零信任體系中，PDP是收集數(shù)據(jù)，通過(guò)AI和機(jī)器學(xué)習(xí)進(jìn)行分析，得出結(jié)論做出決策之后進(jìn)行自動(dòng)化的響應(yīng)，完成AI驅(qū)動(dòng)的安全運(yùn)營(yíng)。

“我們面對(duì)的OT的安全威脅是最前沿的，以及最嚴(yán)峻的。我們需要做的就是以最前沿的IT安全架構(gòu)，就是零信任的架構(gòu)，結(jié)合OT的模型打造可信任的OT數(shù)字空間。在此前提下，我們也需要強(qiáng)調(diào)OT的安全特色，比如，OT特有的安全需求（倒置的CIA模型），以及工業(yè)系統(tǒng)應(yīng)用及威脅以及生產(chǎn)環(huán)境適應(yīng)性。這幾者結(jié)合在一起，可以幫助我們打造一個(gè)最全面最強(qiáng)壯的OT體系。”譚杰總結(jié)說(shuō)。

Fortinet中國(guó)區(qū)技術(shù)總監(jiān)張略介紹，F(xiàn)ortinet遵循NIST模型打造前瞻性的零信任OT安全基礎(chǔ)架構(gòu)和方案，也就是Security Fabric，應(yīng)對(duì)無(wú)處不在的威脅。

Fortinet中國(guó)區(qū)技術(shù)總監(jiān)張略

在服務(wù)芯片、汽車、電器等制造行業(yè)企業(yè)的過(guò)程中，F(xiàn)ortinet充分考慮已知和未知威脅，結(jié)合IoT和工業(yè)互聯(lián)網(wǎng)體系各層需求，在檢測(cè)、保護(hù)、發(fā)現(xiàn)、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)幫助客戶建立安全防護(hù)能力。比如，F(xiàn)ortinet提出的IT/OT融合下的體系化安全解決方案，在臺(tái)耀科技已經(jīng)得到了穩(wěn)步的推進(jìn)與落實(shí)，通過(guò)隔離、認(rèn)證和識(shí)別等方法，將安全融入到運(yùn)維中，保護(hù)工業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

在工業(yè)互聯(lián)網(wǎng)快速落地、重大安全事故風(fēng)險(xiǎn)持續(xù)增長(zhǎng)的背景下，F(xiàn)ortinet有服務(wù)50多萬(wàn)用戶，幾百萬(wàn)臺(tái)設(shè)備部署的“硬實(shí)力”，同時(shí)為了要滿足現(xiàn)在OT發(fā)展的需要，還有咨詢團(tuán)隊(duì)、實(shí)施團(tuán)隊(duì)、服務(wù)團(tuán)隊(duì)，幫助工業(yè)互聯(lián)網(wǎng)的客戶，更好地設(shè)計(jì)和部署的“軟實(shí)力”。依托于IT/OT融合下的體系化安全解決方案，并協(xié)同合作伙伴構(gòu)建工業(yè)互聯(lián)網(wǎng)安全生態(tài)，F(xiàn)ortinet正助力工業(yè)互聯(lián)網(wǎng)用戶有效保護(hù)關(guān)鍵業(yè)務(wù)與數(shù)據(jù)資產(chǎn)，支撐業(yè)務(wù)的創(chuàng)新再造。