IT 与OT 融合 安全如何守护？

本刊记者 赵志远

随着工业互联网的发展，最初工业企业OT（Operational Technology）系统相对封闭的运行环境如今正逐步走向开放，由此带来生产效率的极大提升之时，也带来诸多安全难题。

OT 安全的严峻形势已成必然

其实OT 环境下的安全问题早已有之，只是在封闭环境下并未引起太广泛后果，而随着IT 与OT 在近年来的不断融合，这些问题被迅速放大。

以2010 年发生的震网病毒（Stuxnet）攻击伊朗核设施事件为标志，关键信息基础设施OT 系统受网络攻击让人们认识到由此带来的严重灾难，因此对工业信息安全的讨论迅速成为热点议题。

自此以后，来自工业领域的网络攻击事件迅速增多，2018 年ICS-CERT 记录的ICS 中的相关病毒与攻击事件就超过了113 件。并且，据国际权威机构调查结果显示，ICS 6 大类最常见的漏洞为网络边界保护、识别和认证、资源分配、物理访问控制、帐户管理和基础功能，这些问题占总问题的三分之一。这一方面显示出OT 安全的脆弱性，另一方面，随着IT 逐渐与OT 相融合，来自IT 环境的网络安全问题正向物理世界蔓延。

Fortinet 技术总监张略表示：“近两年频繁发生的船运公司、半导体加工厂、铝业公司因为勒索病毒而停产，足以证明关键基础设施架构被攻击的危险真实存在。在ICS 数字化攻击链中，网络攻击者往往制定了周密的计划，工业企业很难用现有技术手段形成有效防御。”

OT 安全建设不仅仅是技术问题

随着OT 环境下各种专有协议、专有操作系统及专有硬件逐渐被通用Internet协议、主流操作系统及各种基于IT 环境的通用硬件所取代，IT 环境的常见安全问题也被带到OT 环境，诸如未授权访问、软件Bug、跨站脚本攻击等。目前工业企业OT系统还面临着缺少有效的安全设备，缺乏主动阻止外部攻击的能力，缺乏必要的身份或资产识别等等难题。

不仅如此，Fortinet 在与国内一些制造企业交流过程中发现，这些制造业企业中目前对OT 安全防护最大的障碍是安全认知不足。张略解释说，“因为IT 与OT 的管理者在技术融合时，双方的认知没有先于技术而融合。这个过程中会产生误解，例如不理解为什么一定要做区域划分和安全可视化，这种安全认知没有达到统一，其效果也就可想而知了。”

如何构建IT 与OT 融合下的网络安全

针对当前企业在IT 与OT 融合时的安全防护能力不足问题，Fortinet 给出了十条安全最佳实践和建议：

制定备份和恢复计划；使用多层次深度防御；持续保持软件更新并及时打补丁；使用应用程序白名单；将网络分段到不同的安全区域中；建立并实施权限分配和特权管理；建立并强制实施BYOD 安全策略；用户教育；固件更新机制；定期的安全评估。

在具体规划和设计OT 安全防护架构时，对整个企业的网络进行区域划分是必不可少的，这其中也需要掌握一些原则，依据不同设施的重要程度进行不同等级的区域划分和防护。对此，Fortinet 有着详细的规划方法。

例如，针对一个典型的企业运营区安全域的划分与设计，依次将不同设施的重要程度按红区、黄区、绿区和蓝区划分。其中红区为重要的生产系统，是企业最关键的资产，需要通过独立的物理硬件进行部署，实现完全的访问控制，安全防护等级也最高；黄区为企业自有研发区及外包研发安全区中的相应次高安全区域，可根据情况采用独立或共享的网络安全基础架构设施，并需要通过虚拟桌面的方式进行访问；绿区主要为安全等级较低的业务系统提供部署，物理资源可采用共享架构，安全防护措施亦可共享；蓝区主要为用户接入区域，部署面向外网的前置服务器，安全等级最低，需要进行有效的安全防护。

在进行以上安全区域划分之后，企业就可以在很大程度上能够保障IT 与OT 的互联安全。而这些安全域的划分理念也是与工厂环境的Purdue 模型很好地匹配。在经过与ISA-99 和IEC-62443标准相结合，Fortinet 的Purdue 模型也已逐渐完善。

在这些安全方法论确定过后，关键的就是如何将其有效落地。

一 方 面，Fortinet 凭借在IT 安全的多年积累，Security Fabric 安全架构与解决方案很好地解决了在IT 安全领域诸如防御攻击平面、自动化响应等问题，并且这一架构与Purdue 模型非常接近，在IT 安全向OT 安全融合过程中具有很大助推作用。另一方面，Fortinet还与很多如西门子、Nozomi公司等的工业企业及工控安全企业合作，加强了对工业产品和工业安全体系的理解。

对于企业用户来说，Fortinet 建议用户应根据自身系统深度定制化安全，他们需要理解自己的业务，并使用合适的安全工具和服务。这其中，重要的是如何梳理自身业务逻辑，从而对企业网络进行安全区域划分，以确定满足怎样程度的安全。

张略表示，Fortinet 凭借在IT 和OT 两个系统安全的丰富经验，使得Fortinet形成完善的安全体系，再加上国内外丰富的成功案例与部署经验支撑，因此Fortinet 在OT 安全的发展过程中有着独特优势。