OT信息安全的實(shí)踐之路

丁海驁

因?yàn)榫W(wǎng)絡(luò)黑客攻擊成品油管道系統(tǒng)企業(yè)，導(dǎo)致美國(guó)17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)，這可能是最近在信息安全領(lǐng)域最大的新聞了。雖然此次事件所影響的范圍沒有4年前WannaCry影響的范圍廣，但其精準(zhǔn)攻擊的手段卻足以說明，信息安全領(lǐng)域“貓與老鼠”此消彼長(zhǎng)的規(guī)則，從來沒有停息——在一個(gè)強(qiáng)調(diào)用數(shù)字和信息重新定義世界的時(shí)代，這對(duì)任何人和企業(yè)，都是一種潛在但真實(shí)的威脅。工業(yè)企業(yè)是數(shù)字化程度最高的行業(yè)之一，因此也是未來受到威脅最大的行業(yè)之一。

中國(guó)工業(yè)企業(yè)的數(shù)字化之初，是上個(gè)世紀(jì)90年代，從利用CAD、ERP和PLM為主的工業(yè)軟件提高核心業(yè)務(wù)效率開始，逐漸完成了對(duì)自身業(yè)務(wù)的信息化改造。進(jìn)而，基于信息化的成果，自動(dòng)化水平也得到極大的提升。在這一時(shí)期，與自動(dòng)化相關(guān)的OT（Operational Technology，運(yùn)營(yíng)技術(shù)）相比，IT建設(shè)是企業(yè)數(shù)字化關(guān)注的重點(diǎn)。到了2010年左右，隨著工業(yè)4.0、工業(yè)物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)等的出現(xiàn)和應(yīng)用，工業(yè)企業(yè)開始意識(shí)到將虛擬世界的IT與現(xiàn)實(shí)世界里的OT進(jìn)行融合，將會(huì)帶來更大的靈活性和業(yè)務(wù)韌性，于是，IT與OT的持續(xù)融合成為工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的核心——恰好成為工業(yè)企業(yè)在信息安全方面存在重大漏洞的根源。

眾所周知，絕大部分的信息安全漏洞都存在于IT領(lǐng)域當(dāng)中，無論是黑客還是病毒，都是借助IT系統(tǒng)入侵。而傳統(tǒng)的OT系統(tǒng)，不僅與IT系統(tǒng)存在物理層面的隔離，而且是運(yùn)行在專用的硬件上和嵌入式操作系統(tǒng)當(dāng)中，在數(shù)據(jù)傳輸上，也采用專有控制協(xié)議，因此在很大程度上將，傳統(tǒng)的OT系統(tǒng)是存在“相對(duì)安全”的，只是這種平靜正在被“IT與OT融合”的大潮打破。

隨著兩者融合程度的加深，IT深入OT的程度也在不斷深入：為了提高通用性，OT系統(tǒng)開始運(yùn)行在更為通用的IT操作系統(tǒng)和IT通用硬件上；同時(shí)，通過工業(yè)云等媒介，OT系統(tǒng)正在嘗試采用IT系統(tǒng)常用的TCP/IP協(xié)議，以實(shí)現(xiàn)數(shù)據(jù)在不同硬件系統(tǒng)之間的傳遞，以及與IT完成某種程度的互聯(lián)互通。不僅如此，為了實(shí)現(xiàn)接入更多智能終端的目的，OT系統(tǒng)也開始接受用更為便捷的WIFI通信協(xié)議代替以往銅纜連接的方式…… IT系統(tǒng)向OT系統(tǒng)的“侵入性”融合，使得工業(yè)企業(yè)的OT系統(tǒng)處于一種從未有過的危險(xiǎn)處境當(dāng)中。

既然，“IT與OT融合”是工業(yè)企業(yè)數(shù)字化進(jìn)程中不能繞開的節(jié)點(diǎn)，那么所有的問題就集中在了一點(diǎn)：工業(yè)企業(yè)該如何盡快及時(shí)修補(bǔ)OT系統(tǒng)方面的安全漏洞？

借助在IT領(lǐng)域關(guān)于信息安全方面的經(jīng)驗(yàn)，單純從技術(shù)邏輯上說，也許有兩種思路來解決問題：第一種是根據(jù)OT領(lǐng)域?qū)π畔踩男枨螅⒁惶讓俚男畔踩ぞ吆屠碚?；第二種，就是將在IT領(lǐng)域得到驗(yàn)證的成功經(jīng)驗(yàn)和有效工具，隨著IT與OT的融合，從IT系統(tǒng)延展、覆蓋到OT系統(tǒng)中——前者更有針對(duì)性，后者則更為經(jīng)濟(jì)。

“由于現(xiàn)在的OT一般都采用了IT領(lǐng)域里已經(jīng)成熟的協(xié)議、硬件和軟件，因此IT和OT之間有很多相似之處，所以以往我們所用到的信息安全知識(shí)和工具就可以比較容易地從IT遷移到OT；但與此同時(shí)，我們也應(yīng)該注意掉OT和IT之間的區(qū)別，在應(yīng)用方案時(shí)，對(duì)OT系統(tǒng)對(duì)于安信息安全不同的需求給予滿足?！睆埪?，F(xiàn)ortinet中國(guó)區(qū)技術(shù)總監(jiān)日前在2021年工業(yè)互聯(lián)網(wǎng)安全發(fā)展峰會(huì)上發(fā)言強(qiáng)調(diào)，從邏輯概念上，針對(duì)工業(yè)企業(yè)的信息安全知識(shí)和工具應(yīng)該從IT向OT延展，但是在此過程中，需要增加解決方案的針對(duì)性。

在張略看來，與傳統(tǒng)IT領(lǐng)域?qū)τ谛畔踩囊笙啾?，工業(yè)企業(yè)在OT領(lǐng)域?qū)τ谛畔踩到y(tǒng)的要求，并非是機(jī)密性，而是可用性、穩(wěn)定性。因此對(duì)于面向工業(yè)企業(yè)OT系統(tǒng)的信息安全解決方案，就需要將以往的工具進(jìn)行重新的組合，以響應(yīng)這種需求：“從NIST模型來看，針對(duì)工業(yè)企業(yè)OT系統(tǒng)的安全解決方案應(yīng)該分成五個(gè)步驟：檢測(cè)、保護(hù)、發(fā)現(xiàn)、響應(yīng)和恢復(fù)。其中，檢測(cè)是為了識(shí)別在本企業(yè)的OT系統(tǒng)當(dāng)中使用了哪些協(xié)議，是不是已經(jīng)有病毒和安全風(fēng)險(xiǎn)在傳播；而保護(hù)的原則則是按照業(yè)務(wù)的優(yōu)先級(jí)，按照人、技術(shù)和流程三者結(jié)合的方式進(jìn)行?！睆埪赃€給出了Fortinet基于這一思路，推出的工業(yè)企業(yè)OT安全整體解決方案的八個(gè)漸進(jìn)階段的實(shí)施策略。

第一個(gè)階段是可視化，讓工業(yè)企業(yè)可以實(shí)現(xiàn)從監(jiān)控網(wǎng)絡(luò)到流程控制網(wǎng)絡(luò)的可視化；第二個(gè)階段是集中管理，使工業(yè)企業(yè)具有設(shè)備自動(dòng)發(fā)現(xiàn)、組管理、全局策略、審計(jì)功能以及管理復(fù)雜 VPN環(huán)境的能力； 第三階段是安全域劃分，幫助工業(yè)企業(yè)根據(jù)特定設(shè)備類型和網(wǎng)絡(luò)訪問需求，采用分層、分域的安全策略，提前設(shè)定安全域；第四階段是網(wǎng)絡(luò)推入，幫助工業(yè)企業(yè)建立以行為分析為中心的零信任安全體系，從而提升企業(yè)整體安全運(yùn)營(yíng)能力；第五階段是抵御已知與未知威脅，幫助工業(yè)企業(yè)應(yīng)該建立起從監(jiān)控網(wǎng)絡(luò)到流程控制網(wǎng)絡(luò)的主動(dòng)防護(hù)；第六階段，分析定位，通過評(píng)估企業(yè)內(nèi)部安全策略合規(guī)性狀態(tài)，幫助企業(yè)建立起未知威脅檢測(cè)，事件分析、溯源的能力；第七階段，OT 態(tài)勢(shì)感知與響應(yīng)；第八階段是信任評(píng)估，目的是幫助工業(yè)企業(yè)查找惡意行為和系統(tǒng)活動(dòng)，在安全事件惡化成為有影響的數(shù)據(jù)泄露事件之前提醒企業(yè)的安全事件團(tuán)隊(duì)。

“我們希望工業(yè)企業(yè)可以按照步驟，一步步在OT系統(tǒng)當(dāng)中建立起從隔離到未知威脅，再到體系化運(yùn)維，最終建立起一整套具有針對(duì)性的安全體系?！崩詈陝P，F(xiàn)ortinet中國(guó)區(qū)總經(jīng)理在接受采訪強(qiáng)調(diào)，F(xiàn)ortinet能夠?yàn)楣I(yè)企業(yè)實(shí)踐OT系統(tǒng)信息安全體系建設(shè)的每一個(gè)階段提供充分的工具支持，而且，由于Fortinet為工業(yè)企業(yè)提供的信息安全解決方案，在IT和OT兩個(gè)領(lǐng)域都是基于同樣的技術(shù)邏輯和產(chǎn)品架構(gòu)，因此在某種程度上說，對(duì)于IT與OT未來更進(jìn)一步的融合，具有天然的促進(jìn)作用。

寫在最后

很難說，用數(shù)字定義世界，帶來的使更多的便捷，還是更多的安全隱患。只是從社會(huì)發(fā)展的角度看，數(shù)字化是不能逆轉(zhuǎn)的歷史趨勢(shì)。工業(yè)企業(yè)的數(shù)字化，到了將現(xiàn)實(shí)（OT）與虛擬（IT）融合的關(guān)鍵節(jié)點(diǎn)，此刻，越早關(guān)注到其中存在的風(fēng)險(xiǎn)，并及早著手研究解決的方法，或許比單純推進(jìn)兩者的融合，更為重要。