丁海驁

隨著工業(yè)物聯(lián)網(wǎng)的出現(xiàn)，數(shù)字化技術(shù)對于工業(yè)領(lǐng)域的影響就開始逐漸滲透到其整個(gè)產(chǎn)業(yè)鏈當(dāng)中。對于工業(yè)企業(yè)而言，這就意味著：在為數(shù)據(jù)打開了一扇自由流動(dòng)的門，為發(fā)掘數(shù)據(jù)的價(jià)值提供有效工具的同時(shí)，以往被認(rèn)為只是在互聯(lián)網(wǎng)虛擬世界中存在的黑客、勒索軟件，正在迅速滲透到現(xiàn)實(shí)世界的工廠和企業(yè)，并且已經(jīng)有能力直接威脅工業(yè)企業(yè)正常的業(yè)務(wù)運(yùn)轉(zhuǎn)。因此對于廣大的、考慮使用或已經(jīng)使用工業(yè)互聯(lián)網(wǎng)平臺實(shí)踐數(shù)字化轉(zhuǎn)型的工業(yè)企業(yè)而言：面對那些身居陰暗角落的居心不良者，缺乏信息安全措施的數(shù)字化應(yīng)用，無異于稚子懷金過市。所以構(gòu)建一個(gè)值得信賴的網(wǎng)絡(luò)、數(shù)據(jù)安全架構(gòu)就顯得迫在眉睫。

解決新問題最好的方式，是利用舊有的經(jīng)驗(yàn)。與企業(yè)OT所有面臨的網(wǎng)絡(luò)數(shù)據(jù)安全一樣，以往在IT世界里，已經(jīng)存在了一整套相對完整的安全架構(gòu)邏輯、技術(shù)和解決方案，那么在強(qiáng)調(diào)IT和OT走向融合的數(shù)字化時(shí)代，IT安全和OT安全到底是怎樣的關(guān)系呢？

有一種觀點(diǎn)認(rèn)為，從技術(shù)、應(yīng)用、架構(gòu)邏輯等各個(gè)曾經(jīng)，IT安全和OT安全實(shí)際上是完全不同的兩套體系。

持這種觀點(diǎn)的人強(qiáng)調(diào)兩者有三點(diǎn)最大的區(qū)別：首先，從技術(shù)上上，IT的應(yīng)用主要是基于常見的Windows、Linux等一些操作系統(tǒng)中，往往都是基于通用CPU平臺或服務(wù)器；而OT系統(tǒng)是工控安全，往往采用專業(yè)化程度或定制化程度較高的一些系統(tǒng)，同時(shí)，由于OT系統(tǒng)的數(shù)據(jù)傳輸協(xié)議與傳統(tǒng)的IT使用協(xié)議TCP/IP也不同。第二，從應(yīng)用邏輯來看，IT系統(tǒng)和OT系統(tǒng)對于信息安全系統(tǒng)需求也有本質(zhì)差異：IT系統(tǒng)對于信息安全系統(tǒng)的要求，是機(jī)密性，保障數(shù)據(jù)的安全；而對于工業(yè)控制系統(tǒng)（OT）而言，其對于信息安全的首要目標(biāo)，是保證系統(tǒng)的可用性，即要確保生產(chǎn)線的持續(xù)運(yùn)轉(zhuǎn)，要保證生產(chǎn)流程的完整性。例如信息安全系統(tǒng)中最常見的防病毒功能，IT技術(shù)的“防病毒”采用的是黑名單方式，而OT系統(tǒng)需要采用白名單方式——兩者的區(qū)別在于：黑名單方式是一種“滯后”的解決問題的思路，要保證同樣的問題不再發(fā)生；而白名單制度則針對的是保障系統(tǒng)“絕對安全”的思路，盡最大可能保障OT系統(tǒng)的可用性。第三，從系統(tǒng)應(yīng)用場景上看，OT系統(tǒng)設(shè)定的生命周期更長，因此在工業(yè)企業(yè)的控制系統(tǒng)當(dāng)中，老舊設(shè)備和系統(tǒng)更多，這些設(shè)備和系統(tǒng)往往不僅自身缺少足夠的計(jì)算性能和存儲(chǔ)空間的冗余設(shè)計(jì)，而且系統(tǒng)多樣性也更復(fù)雜。這就造成與IT系統(tǒng)相比，OT系統(tǒng)不僅本身很難部署信息安全系統(tǒng)，防病毒能力比較弱，所以在采用信息安全系統(tǒng)，必須考慮兼容性的問題，以滿足不同跨年代設(shè)備的需求。

總地來說，持“OT安全與IT安全截然不同”觀點(diǎn)的人認(rèn)為：傳統(tǒng)IT系統(tǒng)所提供的信息安全解決方案，難以滿足工業(yè)企業(yè)對于工業(yè)互聯(lián)網(wǎng)的信息安全需求的。

“我們首先是強(qiáng)調(diào)IT安全、OT安全的具有共性的，比較不贊同一種觀點(diǎn)，就是認(rèn)為將OT安全和IT安全認(rèn)為撕裂開?！盕ortinet 北亞區(qū)首席技術(shù)顧問譚杰在2022工業(yè)互聯(lián)網(wǎng)安全發(fā)展峰會(huì)上接受筆者提問時(shí)強(qiáng)調(diào)：IT安全與OT安全的共性特征需要被重視。

譚杰分析說：最初10年前，F(xiàn)ortinet開始做OT安全時(shí)，一個(gè)簡單的OT防火墻在很多企業(yè)也沒有辦法部署，因?yàn)楫?dāng)時(shí)企業(yè)OT系統(tǒng)使用的都不是TCP/IP協(xié)議，因此當(dāng)時(shí)的確存在OT技術(shù)與IT技術(shù)層面深刻的差異?！翱墒鞘嗄赀^去，很多新的OT系統(tǒng)，包括一些老系統(tǒng)的改造，基本上都變成了TCP/IP協(xié)議——OT系統(tǒng)與IT的融合，正在加速且這樣的趨勢也越來越明顯。”譚杰強(qiáng)調(diào)，事實(shí)上，通過在工業(yè)領(lǐng)域中大力推進(jìn)智能制造、互聯(lián)網(wǎng)+和工業(yè)物聯(lián)網(wǎng)等應(yīng)用平臺，企業(yè)的一些業(yè)務(wù)已經(jīng)越來越IT化，“甚至從國內(nèi)觀察到一些頭部企業(yè)的OT系統(tǒng)，已經(jīng)開始采用包括人工智能、數(shù)字孿生、云原生服務(wù)等新興IT技術(shù)，用得甚至比IT企業(yè)還要更靠前。”

在譚杰看來，與技術(shù)層面的互相融合相對應(yīng)，IT系統(tǒng)與OT系統(tǒng)更重要的共性關(guān)系，是兩者面臨的安全也趨同，即兩者同樣都是面臨來自網(wǎng)絡(luò)端的遠(yuǎn)程入侵和病毒。因此在OT和IT本身就強(qiáng)調(diào)融合的趨勢下，“自然OT的安全思路跟IT的安全思路基本上也應(yīng)該在大思路是相同的?！弊T杰認(rèn)為目前在IT安全領(lǐng)域談到比較多的“把所有的安全環(huán)節(jié)融入到整個(gè)網(wǎng)絡(luò)和業(yè)務(wù)的各個(gè)環(huán)節(jié)當(dāng)中去”，通過基于大數(shù)據(jù)、人工智能、機(jī)器學(xué)習(xí)，做智能化的計(jì)算、分析和聯(lián)動(dòng)的方式，實(shí)現(xiàn)“去中心化的數(shù)字安全網(wǎng)絡(luò)架構(gòu)”，構(gòu)建一個(gè)彈性化、場景化的網(wǎng)絡(luò)安全框架，同樣適用于OT安全系統(tǒng)。

“另外還需要強(qiáng)調(diào)一點(diǎn)：我們同樣需要重視、尊重OT安全的特殊性，并對此保持一份敬畏之心?！弊T杰認(rèn)為，雖然從邏輯上應(yīng)該首先認(rèn)同OT系統(tǒng)和IT系統(tǒng)的關(guān)聯(lián)性，但是依然需要關(guān)注到兩者的區(qū)別：“那些通過那IT安全解決方案稍微改改，加一些OT業(yè)務(wù)系統(tǒng)相關(guān)的特征，就拿來作為OT安全的解決方案，是嚴(yán)重缺乏了對OT系統(tǒng)的尊重和敬畏。”

在當(dāng)天的演講當(dāng)中，F(xiàn)ortinet中國區(qū)技術(shù)總監(jiān)張略就用了很大的篇幅在討論OT安全系統(tǒng)與IT安全系統(tǒng)之間的區(qū)別，以及OT安全系統(tǒng)的特殊性問題。

張略認(rèn)為，OT安全系統(tǒng)特殊性，首先體現(xiàn)在對機(jī)密性、完整性和可用性三者權(quán)衡中的權(quán)重，與IT系統(tǒng)不同?！霸贠T當(dāng)中，我們認(rèn)為可用性要求最高，因?yàn)闊o論如何不能讓生產(chǎn)線中斷，不能讓石油管道停止輸油，不能讓電網(wǎng)停止供電，無論是采取什么樣的措施都不能發(fā)生這樣的事情。所以我們認(rèn)為可用性的要求在OT網(wǎng)絡(luò)當(dāng)中最高的。相對而言，在IT網(wǎng)絡(luò)里面，我們認(rèn)為機(jī)密性的要求更高一些，因?yàn)镮T網(wǎng)絡(luò)收郵件遲一分鐘應(yīng)該沒有什么太多的感觸，但是如果郵件內(nèi)容被泄露到外面這是一個(gè)比較大的安全事件?！?/p>

張略列舉了與IT安全系統(tǒng)相比，OT系統(tǒng)在網(wǎng)絡(luò)延遲實(shí)時(shí)性、組件生命周期、補(bǔ)丁計(jì)劃、安全測試與審計(jì)、安全意識等方面的差異：“以制造業(yè)為例，如果在車間里面進(jìn)行操作的時(shí)候，因?yàn)榫W(wǎng)絡(luò)延時(shí)導(dǎo)致流程上的之后，會(huì)導(dǎo)致良品率的下降，甚至更加嚴(yán)重的后果；而且對于企業(yè)OT系統(tǒng)而言，組件的生命周期一般為10年以上，這對于3～5年就實(shí)現(xiàn)更新的IT系統(tǒng)，是難以想象的。至于為何在OT安全系統(tǒng)中為安全漏洞打補(bǔ)丁更難？那是因?yàn)樵贠T網(wǎng)絡(luò)中，老舊設(shè)備跟多，很少有人能夠百分之百確定打了補(bǔ)丁后，整個(gè)生產(chǎn)線還能繼續(xù)正常運(yùn)行?！倍@也是張略認(rèn)為在OT系統(tǒng)中只能偶爾進(jìn)行安全測試和審計(jì)的重要原因：“在IT系統(tǒng)當(dāng)中，掃描一下知道現(xiàn)在有多少個(gè)設(shè)備；但是在OT系統(tǒng)中沒人敢隨便掃描，因?yàn)楹芸赡芤粧呙?，就?huì)影響設(shè)備正常工作了?！?/p>

既有通用融合的部分，也有區(qū)別個(gè)性的需求。張略在演講中提到“Purdue模型分層框架”，在這一框架中，企業(yè)的整個(gè)OT+IT系統(tǒng)，從內(nèi)向外被分成4個(gè)區(qū)域：生產(chǎn)區(qū)、控制區(qū)、集團(tuán)區(qū)和外部區(qū)域。其中，在生產(chǎn)區(qū)主要是OT系統(tǒng)控制的區(qū)域，這里主要是OT系統(tǒng)控制的區(qū)域，包括HMI、PLC、控制器、執(zhí)行設(shè)備等構(gòu)成，是OT安全系統(tǒng)主要的工作區(qū)域；向上的控制區(qū)，是OT系統(tǒng)和IT系統(tǒng)融合的部分，是MES、ERP等系統(tǒng)發(fā)布收集數(shù)據(jù)并向生產(chǎn)區(qū)傳遞數(shù)據(jù)的區(qū)域；集團(tuán)區(qū)主要是企業(yè)內(nèi)部的數(shù)據(jù)中心和應(yīng)用中心，這里主要是企業(yè)內(nèi)部的IT技術(shù)架構(gòu)區(qū)域，是IT安全系統(tǒng)重點(diǎn)部署的領(lǐng)域，最后，外部區(qū)域則是包括互聯(lián)網(wǎng)、云計(jì)算等公共IT能力的廣泛存在的區(qū)域。

“Fortinet的OT安全解決方案，就是通過將我們的Security Fabric結(jié)合Purdue模型，做了一個(gè)針對性的安全框架設(shè)計(jì)?！痹趶埪缘慕榻B中，F(xiàn)ortinet的OT安全解決方案基于Purdue模型，由下向上設(shè)置了四條“安全系統(tǒng)執(zhí)法邊界”：第一條在生產(chǎn)區(qū)設(shè)定了物理隔離區(qū)域和相關(guān)控制系統(tǒng)邊界作為第一條主要安全執(zhí)法邊界，設(shè)定安全區(qū)域，保障生產(chǎn)區(qū)安全；向上，在生產(chǎn)區(qū)和控制區(qū)之間，設(shè)置了第二條次要執(zhí)法區(qū)域，通過設(shè)定工控系統(tǒng)邊界建立過程控制區(qū)域；第三條執(zhí)法邊界在工業(yè)互聯(lián)網(wǎng)的控制區(qū)域和IT系統(tǒng)區(qū)域之間，這條被稱為OT邊界的主要執(zhí)法邊界，用于操作和控制全部的OT區(qū)域安全；最后，在企業(yè)集團(tuán)區(qū)和外部區(qū)域之間，再建立一條IT邊界作為主要執(zhí)法區(qū)域，用于保障企業(yè)的業(yè)務(wù)和企業(yè)安全邊界。

“IT邊界是整個(gè)企業(yè)IT邊界和互聯(lián)網(wǎng)的邊界；OT邊界是IT于OT之間、IT網(wǎng)絡(luò)與工廠網(wǎng)絡(luò)之間的邊界；工控系統(tǒng)邊界則是工廠的工控系統(tǒng)和真正工業(yè)控制器交匯的邊界……我們的做法，是通過這樣幾條邊界，對企業(yè)進(jìn)行區(qū)域隔離。進(jìn)而在做網(wǎng)絡(luò)準(zhǔn)入審核，對應(yīng)用系統(tǒng)的防護(hù)，再進(jìn)一步是針對遠(yuǎn)程訪問者、控制者進(jìn)行零信任的相關(guān)防護(hù)。在這樣一整套安全體系構(gòu)建比較充分情況下，我們還可以引入更加智能和更加高級的防護(hù)：針對與工控網(wǎng)絡(luò)當(dāng)中識別應(yīng)用以及識別應(yīng)用中所攜帶參數(shù)是否合理，建立基線和安全策略。最終，通過對端點(diǎn)的保護(hù)，實(shí)現(xiàn)對老舊操作系統(tǒng)的安全防護(hù)?！?/p>

事實(shí)上，對于工業(yè)企業(yè)而言，認(rèn)識到OT安全的重要性和了解OT安全架構(gòu)的基本方法論同樣重要，因?yàn)閷τ诰唧w的安全架構(gòu)建設(shè)和解決方案實(shí)施部署等工作，專業(yè)化程度依然偏高，仍人需要專業(yè)的團(tuán)隊(duì)來完成。張略在采訪中強(qiáng)調(diào)：到目前為止，OT安全系統(tǒng)和IT安全系統(tǒng)在應(yīng)用過程中還是存在差異：對于IT環(huán)境來說，發(fā)現(xiàn)高危的漏洞系統(tǒng)會(huì)進(jìn)行自動(dòng)發(fā)現(xiàn)、自動(dòng)阻斷，不需要人為參與；而在OT環(huán)境中，”如果發(fā)現(xiàn)一次攻擊，監(jiān)控會(huì)通知人類管理員，管理員需要仔細(xì)去查看和確認(rèn)攻擊是真實(shí)還是誤報(bào)：如果是誤報(bào)，可以進(jìn)行策略的修訂；如果是真實(shí)攻擊，則需要從源頭上，找到攻擊源并將其解決掉，而不是簡單地直接處理掉。因?yàn)閷τ贠T網(wǎng)絡(luò)來說，誤攔截是一個(gè)非常嚴(yán)重的問題，所以我們必須要專業(yè)而謹(jǐn)慎的處理?！?/p>