丁海驁

隨著工業(yè)物聯(lián)網(wǎng)的出現(xiàn)，數(shù)字化技術(shù)對于工業(yè)領(lǐng)域的影響就開始逐漸滲透到其整個產(chǎn)業(yè)鏈當中。對于工業(yè)企業(yè)而言，這就意味著：在為數(shù)據(jù)打開了一扇自由流動的門，為發(fā)掘數(shù)據(jù)的價值提供有效工具的同時，以往被認為只是在互聯(lián)網(wǎng)虛擬世界中存在的黑客、勒索軟件，正在迅速滲透到現(xiàn)實世界的工廠和企業(yè)，并且已經(jīng)有能力直接威脅工業(yè)企業(yè)正常的業(yè)務(wù)運轉(zhuǎn)。因此對于廣大的、考慮使用或已經(jīng)使用工業(yè)互聯(lián)網(wǎng)平臺實踐數(shù)字化轉(zhuǎn)型的工業(yè)企業(yè)而言：面對那些身居陰暗角落的居心不良者，缺乏信息安全措施的數(shù)字化應(yīng)用，無異于稚子懷金過市。所以構(gòu)建一個值得信賴的網(wǎng)絡(luò)、數(shù)據(jù)安全架構(gòu)就顯得迫在眉睫。

解決新問題最好的方式，是利用舊有的經(jīng)驗。與企業(yè)OT所有面臨的網(wǎng)絡(luò)數(shù)據(jù)安全一樣，以往在IT世界里，已經(jīng)存在了一整套相對完整的安全架構(gòu)邏輯、技術(shù)和解決方案，那么在強調(diào)IT和OT走向融合的數(shù)字化時代，IT安全和OT安全到底是怎樣的關(guān)系呢？

有一種觀點認為，從技術(shù)、應(yīng)用、架構(gòu)邏輯等各個曾經(jīng)，IT安全和OT安全實際上是完全不同的兩套體系。

持這種觀點的人強調(diào)兩者有三點最大的區(qū)別：首先，從技術(shù)上上，IT的應(yīng)用主要是基于常見的Windows、Linux等一些操作系統(tǒng)中，往往都是基于通用CPU平臺或服務(wù)器；而OT系統(tǒng)是工控安全，往往采用專業(yè)化程度或定制化程度較高的一些系統(tǒng)，同時，由于OT系統(tǒng)的數(shù)據(jù)傳輸協(xié)議與傳統(tǒng)的IT使用協(xié)議TCP/IP也不同。第二，從應(yīng)用邏輯來看，IT系統(tǒng)和OT系統(tǒng)對于信息安全系統(tǒng)需求也有本質(zhì)差異：IT系統(tǒng)對于信息安全系統(tǒng)的要求，是機密性，保障數(shù)據(jù)的安全；而對于工業(yè)控制系統(tǒng)（OT）而言，其對于信息安全的首要目標，是保證系統(tǒng)的可用性，即要確保生產(chǎn)線的持續(xù)運轉(zhuǎn)，要保證生產(chǎn)流程的完整性。例如信息安全系統(tǒng)中最常見的防病毒功能，IT技術(shù)的“防病毒”采用的是黑名單方式，而OT系統(tǒng)需要采用白名單方式——兩者的區(qū)別在于：黑名單方式是一種“滯后”的解決問題的思路，要保證同樣的問題不再發(fā)生；而白名單制度則針對的是保障系統(tǒng)“絕對安全”的思路，盡最大可能保障OT系統(tǒng)的可用性。第三，從系統(tǒng)應(yīng)用場景上看，OT系統(tǒng)設(shè)定的生命周期更長，因此在工業(yè)企業(yè)的控制系統(tǒng)當中，老舊設(shè)備和系統(tǒng)更多，這些設(shè)備和系統(tǒng)往往不僅自身缺少足夠的計算性能和存儲空間的冗余設(shè)計，而且系統(tǒng)多樣性也更復雜。這就造成與IT系統(tǒng)相比，OT系統(tǒng)不僅本身很難部署信息安全系統(tǒng)，防病毒能力比較弱，所以在采用信息安全系統(tǒng)，必須考慮兼容性的問題，以滿足不同跨年代設(shè)備的需求。

總地來說，持“OT安全與IT安全截然不同”觀點的人認為：傳統(tǒng)IT系統(tǒng)所提供的信息安全解決方案，難以滿足工業(yè)企業(yè)對于工業(yè)互聯(lián)網(wǎng)的信息安全需求的。

“我們首先是強調(diào)IT安全、OT安全的具有共性的，比較不贊同一種觀點，就是認為將OT安全和IT安全認為撕裂開。”Fortinet 北亞區(qū)首席技術(shù)顧問譚杰在2022工業(yè)互聯(lián)網(wǎng)安全發(fā)展峰會上接受筆者提問時強調(diào)：IT安全與OT安全的共性特征需要被重視。

譚杰分析說：最初10年前，F(xiàn)ortinet開始做OT安全時，一個簡單的OT防火墻在很多企業(yè)也沒有辦法部署，因為當時企業(yè)OT系統(tǒng)使用的都不是TCP/IP協(xié)議，因此當時的確存在OT技術(shù)與IT技術(shù)層面深刻的差異?！翱墒鞘嗄赀^去，很多新的OT系統(tǒng)，包括一些老系統(tǒng)的改造，基本上都變成了TCP/IP協(xié)議——OT系統(tǒng)與IT的融合，正在加速且這樣的趨勢也越來越明顯?！弊T杰強調(diào)，事實上，通過在工業(yè)領(lǐng)域中大力推進智能制造、互聯(lián)網(wǎng)+和工業(yè)物聯(lián)網(wǎng)等應(yīng)用平臺，企業(yè)的一些業(yè)務(wù)已經(jīng)越來越IT化，“甚至從國內(nèi)觀察到一些頭部企業(yè)的OT系統(tǒng)，已經(jīng)開始采用包括人工智能、數(shù)字孿生、云原生服務(wù)等新興IT技術(shù)，用得甚至比IT企業(yè)還要更靠前?！?/p>

在譚杰看來，與技術(shù)層面的互相融合相對應(yīng)，IT系統(tǒng)與OT系統(tǒng)更重要的共性關(guān)系，是兩者面臨的安全也趨同，即兩者同樣都是面臨來自網(wǎng)絡(luò)端的遠程入侵和病毒。因此在OT和IT本身就強調(diào)融合的趨勢下，“自然OT的安全思路跟IT的安全思路基本上也應(yīng)該在大思路是相同的。”譚杰認為目前在IT安全領(lǐng)域談到比較多的“把所有的安全環(huán)節(jié)融入到整個網(wǎng)絡(luò)和業(yè)務(wù)的各個環(huán)節(jié)當中去”，通過基于大數(shù)據(jù)、人工智能、機器學習，做智能化的計算、分析和聯(lián)動的方式，實現(xiàn)“去中心化的數(shù)字安全網(wǎng)絡(luò)架構(gòu)”，構(gòu)建一個彈性化、場景化的網(wǎng)絡(luò)安全框架，同樣適用于OT安全系統(tǒng)。

“另外還需要強調(diào)一點：我們同樣需要重視、尊重OT安全的特殊性，并對此保持一份敬畏之心。”譚杰認為，雖然從邏輯上應(yīng)該首先認同OT系統(tǒng)和IT系統(tǒng)的關(guān)聯(lián)性，但是依然需要關(guān)注到兩者的區(qū)別：“那些通過那IT安全解決方案稍微改改，加一些OT業(yè)務(wù)系統(tǒng)相關(guān)的特征，就拿來作為OT安全的解決方案，是嚴重缺乏了對OT系統(tǒng)的尊重和敬畏?！?/p>

在當天的演講當中，F(xiàn)ortinet中國區(qū)技術(shù)總監(jiān)張略就用了很大的篇幅在討論OT安全系統(tǒng)與IT安全系統(tǒng)之間的區(qū)別，以及OT安全系統(tǒng)的特殊性問題。

張略認為，OT安全系統(tǒng)特殊性，首先體現(xiàn)在對機密性、完整性和可用性三者權(quán)衡中的權(quán)重，與IT系統(tǒng)不同?！霸贠T當中，我們認為可用性要求最高，因為無論如何不能讓生產(chǎn)線中斷，不能讓石油管道停止輸油，不能讓電網(wǎng)停止供電，無論是采取什么樣的措施都不能發(fā)生這樣的事情。所以我們認為可用性的要求在OT網(wǎng)絡(luò)當中最高的。相對而言，在IT網(wǎng)絡(luò)里面，我們認為機密性的要求更高一些，因為IT網(wǎng)絡(luò)收郵件遲一分鐘應(yīng)該沒有什么太多的感觸，但是如果郵件內(nèi)容被泄露到外面這是一個比較大的安全事件?！?/p>

張略列舉了與IT安全系統(tǒng)相比，OT系統(tǒng)在網(wǎng)絡(luò)延遲實時性、組件生命周期、補丁計劃、安全測試與審計、安全意識等方面的差異：“以制造業(yè)為例，如果在車間里面進行操作的時候，因為網(wǎng)絡(luò)延時導致流程上的之后，會導致良品率的下降，甚至更加嚴重的后果；而且對于企業(yè)OT系統(tǒng)而言，組件的生命周期一般為10年以上，這對于3～5年就實現(xiàn)更新的IT系統(tǒng)，是難以想象的。至于為何在OT安全系統(tǒng)中為安全漏洞打補丁更難？那是因為在OT網(wǎng)絡(luò)中，老舊設(shè)備跟多，很少有人能夠百分之百確定打了補丁后，整個生產(chǎn)線還能繼續(xù)正常運行。”而這也是張略認為在OT系統(tǒng)中只能偶爾進行安全測試和審計的重要原因：“在IT系統(tǒng)當中，掃描一下知道現(xiàn)在有多少個設(shè)備；但是在OT系統(tǒng)中沒人敢隨便掃描，因為很可能一掃描，就會影響設(shè)備正常工作了?！?/p>

既有通用融合的部分，也有區(qū)別個性的需求。張略在演講中提到“Purdue模型分層框架”，在這一框架中，企業(yè)的整個OT+IT系統(tǒng)，從內(nèi)向外被分成4個區(qū)域：生產(chǎn)區(qū)、控制區(qū)、集團區(qū)和外部區(qū)域。其中，在生產(chǎn)區(qū)主要是OT系統(tǒng)控制的區(qū)域，這里主要是OT系統(tǒng)控制的區(qū)域，包括HMI、PLC、控制器、執(zhí)行設(shè)備等構(gòu)成，是OT安全系統(tǒng)主要的工作區(qū)域；向上的控制區(qū)，是OT系統(tǒng)和IT系統(tǒng)融合的部分，是MES、ERP等系統(tǒng)發(fā)布收集數(shù)據(jù)并向生產(chǎn)區(qū)傳遞數(shù)據(jù)的區(qū)域；集團區(qū)主要是企業(yè)內(nèi)部的數(shù)據(jù)中心和應(yīng)用中心，這里主要是企業(yè)內(nèi)部的IT技術(shù)架構(gòu)區(qū)域，是IT安全系統(tǒng)重點部署的領(lǐng)域，最后，外部區(qū)域則是包括互聯(lián)網(wǎng)、云計算等公共IT能力的廣泛存在的區(qū)域。

“Fortinet的OT安全解決方案，就是通過將我們的Security Fabric結(jié)合Purdue模型，做了一個針對性的安全框架設(shè)計?！痹趶埪缘慕榻B中，F(xiàn)ortinet的OT安全解決方案基于Purdue模型，由下向上設(shè)置了四條“安全系統(tǒng)執(zhí)法邊界”：第一條在生產(chǎn)區(qū)設(shè)定了物理隔離區(qū)域和相關(guān)控制系統(tǒng)邊界作為第一條主要安全執(zhí)法邊界，設(shè)定安全區(qū)域，保障生產(chǎn)區(qū)安全；向上，在生產(chǎn)區(qū)和控制區(qū)之間，設(shè)置了第二條次要執(zhí)法區(qū)域，通過設(shè)定工控系統(tǒng)邊界建立過程控制區(qū)域；第三條執(zhí)法邊界在工業(yè)互聯(lián)網(wǎng)的控制區(qū)域和IT系統(tǒng)區(qū)域之間，這條被稱為OT邊界的主要執(zhí)法邊界，用于操作和控制全部的OT區(qū)域安全；最后，在企業(yè)集團區(qū)和外部區(qū)域之間，再建立一條IT邊界作為主要執(zhí)法區(qū)域，用于保障企業(yè)的業(yè)務(wù)和企業(yè)安全邊界。

“IT邊界是整個企業(yè)IT邊界和互聯(lián)網(wǎng)的邊界；OT邊界是IT于OT之間、IT網(wǎng)絡(luò)與工廠網(wǎng)絡(luò)之間的邊界；工控系統(tǒng)邊界則是工廠的工控系統(tǒng)和真正工業(yè)控制器交匯的邊界……我們的做法，是通過這樣幾條邊界，對企業(yè)進行區(qū)域隔離。進而在做網(wǎng)絡(luò)準入審核，對應(yīng)用系統(tǒng)的防護，再進一步是針對遠程訪問者、控制者進行零信任的相關(guān)防護。在這樣一整套安全體系構(gòu)建比較充分情況下，我們還可以引入更加智能和更加高級的防護：針對與工控網(wǎng)絡(luò)當中識別應(yīng)用以及識別應(yīng)用中所攜帶參數(shù)是否合理，建立基線和安全策略。最終，通過對端點的保護，實現(xiàn)對老舊操作系統(tǒng)的安全防護。”

事實上，對于工業(yè)企業(yè)而言，認識到OT安全的重要性和了解OT安全架構(gòu)的基本方法論同樣重要，因為對于具體的安全架構(gòu)建設(shè)和解決方案實施部署等工作，專業(yè)化程度依然偏高，仍人需要專業(yè)的團隊來完成。張略在采訪中強調(diào)：到目前為止，OT安全系統(tǒng)和IT安全系統(tǒng)在應(yīng)用過程中還是存在差異：對于IT環(huán)境來說，發(fā)現(xiàn)高危的漏洞系統(tǒng)會進行自動發(fā)現(xiàn)、自動阻斷，不需要人為參與；而在OT環(huán)境中，”如果發(fā)現(xiàn)一次攻擊，監(jiān)控會通知人類管理員，管理員需要仔細去查看和確認攻擊是真實還是誤報：如果是誤報，可以進行策略的修訂；如果是真實攻擊，則需要從源頭上，找到攻擊源并將其解決掉，而不是簡單地直接處理掉。因為對于OT網(wǎng)絡(luò)來說，誤攔截是一個非常嚴重的問題，所以我們必須要專業(yè)而謹慎的處理。”