本刊記者 趙志遠(yuǎn)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，最初工業(yè)企業(yè)OT（Operational Technology）系統(tǒng)相對封閉的運行環(huán)境如今正逐步走向開放，由此帶來生產(chǎn)效率的極大提升之時，也帶來諸多安全難題。

OT 安全的嚴(yán)峻形勢已成必然

其實OT 環(huán)境下的安全問題早已有之，只是在封閉環(huán)境下并未引起太廣泛后果，而隨著IT 與OT 在近年來的不斷融合，這些問題被迅速放大。

以2010 年發(fā)生的震網(wǎng)病毒（Stuxnet）攻擊伊朗核設(shè)施事件為標(biāo)志，關(guān)鍵信息基礎(chǔ)設(shè)施OT 系統(tǒng)受網(wǎng)絡(luò)攻擊讓人們認(rèn)識到由此帶來的嚴(yán)重災(zāi)難，因此對工業(yè)信息安全的討論迅速成為熱點議題。

自此以后，來自工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊事件迅速增多，2018 年ICS-CERT 記錄的ICS 中的相關(guān)病毒與攻擊事件就超過了113 件。并且，據(jù)國際權(quán)威機構(gòu)調(diào)查結(jié)果顯示，ICS 6 大類最常見的漏洞為網(wǎng)絡(luò)邊界保護、識別和認(rèn)證、資源分配、物理訪問控制、帳戶管理和基礎(chǔ)功能，這些問題占總問題的三分之一。這一方面顯示出OT 安全的脆弱性，另一方面，隨著IT 逐漸與OT 相融合，來自IT 環(huán)境的網(wǎng)絡(luò)安全問題正向物理世界蔓延。

Fortinet 技術(shù)總監(jiān)張略表示：“近兩年頻繁發(fā)生的船運公司、半導(dǎo)體加工廠、鋁業(yè)公司因為勒索病毒而停產(chǎn)，足以證明關(guān)鍵基礎(chǔ)設(shè)施架構(gòu)被攻擊的危險真實存在。在ICS 數(shù)字化攻擊鏈中，網(wǎng)絡(luò)攻擊者往往制定了周密的計劃，工業(yè)企業(yè)很難用現(xiàn)有技術(shù)手段形成有效防御?！?/p>

OT 安全建設(shè)不僅僅是技術(shù)問題

隨著OT 環(huán)境下各種專有協(xié)議、專有操作系統(tǒng)及專有硬件逐漸被通用Internet協(xié)議、主流操作系統(tǒng)及各種基于IT 環(huán)境的通用硬件所取代，IT 環(huán)境的常見安全問題也被帶到OT 環(huán)境，諸如未授權(quán)訪問、軟件Bug、跨站腳本攻擊等。目前工業(yè)企業(yè)OT系統(tǒng)還面臨著缺少有效的安全設(shè)備，缺乏主動阻止外部攻擊的能力，缺乏必要的身份或資產(chǎn)識別等等難題。

不僅如此，F(xiàn)ortinet 在與國內(nèi)一些制造企業(yè)交流過程中發(fā)現(xiàn)，這些制造業(yè)企業(yè)中目前對OT 安全防護最大的障礙是安全認(rèn)知不足。張略解釋說，“因為IT 與OT 的管理者在技術(shù)融合時，雙方的認(rèn)知沒有先于技術(shù)而融合。這個過程中會產(chǎn)生誤解，例如不理解為什么一定要做區(qū)域劃分和安全可視化，這種安全認(rèn)知沒有達(dá)到統(tǒng)一，其效果也就可想而知了?！?/p>

如何構(gòu)建IT 與OT 融合下的網(wǎng)絡(luò)安全

針對當(dāng)前企業(yè)在IT 與OT 融合時的安全防護能力不足問題，F(xiàn)ortinet 給出了十條安全最佳實踐和建議：

制定備份和恢復(fù)計劃；使用多層次深度防御；持續(xù)保持軟件更新并及時打補丁；使用應(yīng)用程序白名單；將網(wǎng)絡(luò)分段到不同的安全區(qū)域中；建立并實施權(quán)限分配和特權(quán)管理；建立并強制實施BYOD 安全策略；用戶教育；固件更新機制；定期的安全評估。

在具體規(guī)劃和設(shè)計OT 安全防護架構(gòu)時，對整個企業(yè)的網(wǎng)絡(luò)進行區(qū)域劃分是必不可少的，這其中也需要掌握一些原則，依據(jù)不同設(shè)施的重要程度進行不同等級的區(qū)域劃分和防護。對此，F(xiàn)ortinet 有著詳細(xì)的規(guī)劃方法。

例如，針對一個典型的企業(yè)運營區(qū)安全域的劃分與設(shè)計，依次將不同設(shè)施的重要程度按紅區(qū)、黃區(qū)、綠區(qū)和藍(lán)區(qū)劃分。其中紅區(qū)為重要的生產(chǎn)系統(tǒng)，是企業(yè)最關(guān)鍵的資產(chǎn)，需要通過獨立的物理硬件進行部署，實現(xiàn)完全的訪問控制，安全防護等級也最高；黃區(qū)為企業(yè)自有研發(fā)區(qū)及外包研發(fā)安全區(qū)中的相應(yīng)次高安全區(qū)域，可根據(jù)情況采用獨立或共享的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)設(shè)施，并需要通過虛擬桌面的方式進行訪問；綠區(qū)主要為安全等級較低的業(yè)務(wù)系統(tǒng)提供部署，物理資源可采用共享架構(gòu)，安全防護措施亦可共享；藍(lán)區(qū)主要為用戶接入?yún)^(qū)域，部署面向外網(wǎng)的前置服務(wù)器，安全等級最低，需要進行有效的安全防護。

在進行以上安全區(qū)域劃分之后，企業(yè)就可以在很大程度上能夠保障IT 與OT 的互聯(lián)安全。而這些安全域的劃分理念也是與工廠環(huán)境的Purdue 模型很好地匹配。在經(jīng)過與ISA-99 和IEC-62443標(biāo)準(zhǔn)相結(jié)合，F(xiàn)ortinet 的Purdue 模型也已逐漸完善。

在這些安全方法論確定過后，關(guān)鍵的就是如何將其有效落地。

一 方 面，F(xiàn)ortinet 憑借在IT 安全的多年積累，Security Fabric 安全架構(gòu)與解決方案很好地解決了在IT 安全領(lǐng)域諸如防御攻擊平面、自動化響應(yīng)等問題，并且這一架構(gòu)與Purdue 模型非常接近，在IT 安全向OT 安全融合過程中具有很大助推作用。另一方面，F(xiàn)ortinet還與很多如西門子、Nozomi公司等的工業(yè)企業(yè)及工控安全企業(yè)合作，加強了對工業(yè)產(chǎn)品和工業(yè)安全體系的理解。

對于企業(yè)用戶來說，F(xiàn)ortinet 建議用戶應(yīng)根據(jù)自身系統(tǒng)深度定制化安全，他們需要理解自己的業(yè)務(wù)，并使用合適的安全工具和服務(wù)。這其中，重要的是如何梳理自身業(yè)務(wù)邏輯，從而對企業(yè)網(wǎng)絡(luò)進行安全區(qū)域劃分，以確定滿足怎樣程度的安全。

張略表示，F(xiàn)ortinet 憑借在IT 和OT 兩個系統(tǒng)安全的豐富經(jīng)驗，使得Fortinet形成完善的安全體系，再加上國內(nèi)外豐富的成功案例與部署經(jīng)驗支撐，因此Fortinet 在OT 安全的發(fā)展過程中有著獨特優(yōu)勢。