網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0現(xiàn)在已經(jīng)為大多數(shù)單位所知，在《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的擴(kuò)展要求部分，有專門的針對(duì)工業(yè)控制系統(tǒng)的測(cè)評(píng)要求。伴隨著我國(guó)工業(yè)制造技術(shù)的升級(jí)，未來信息化必然不斷助推工業(yè)4.0發(fā)展，信息安全必然更加凸顯。而傳統(tǒng)工業(yè)控制系統(tǒng)使用場(chǎng)合，IT與OT之間總存在著不可逾越的隔閡。未來IT-OT如何更好合作參與信息安全和生活生產(chǎn)中來，共同推進(jìn)生產(chǎn)與信息安全工作，最終找到一個(gè)完美的平衡點(diǎn)，一直是網(wǎng)絡(luò)安全領(lǐng)域的話題，當(dāng)下世界各國(guó)也都將關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，看成重中之重。

很多人也知道，在《網(wǎng)絡(luò)安全法》中既有對(duì)常規(guī)網(wǎng)絡(luò)的保護(hù)要求，也有對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施增強(qiáng)保護(hù)要求。關(guān)鍵信息基礎(chǔ)設(shè)施，大多集中在工業(yè)控制系統(tǒng)領(lǐng)域，所以了解一些IT-OT融合還是有點(diǎn)意義的。

這些問題IT方面的信息管理人員很難回答，因?yàn)槟悴荒鼙Ｗo(hù)你不了解的東西。大多數(shù)工業(yè)組織的首席信息官和首席信息安全官員對(duì)其運(yùn)營(yíng)技術(shù)（OT）環(huán)境并沒有太多的了解。他們?cè)贗T領(lǐng)域擁有專業(yè)知識(shí)，包括構(gòu)成這個(gè)動(dòng)態(tài)環(huán)境的網(wǎng)絡(luò)、服務(wù)器、端點(diǎn)和應(yīng)用程序，主要側(cè)重于保護(hù)信息。工業(yè)控制系統(tǒng)，重點(diǎn)保護(hù)工業(yè)系統(tǒng)的可用性，服務(wù)于工業(yè)生產(chǎn)。

與IT不同，OT環(huán)境中的技術(shù)是專門用于監(jiān)視和控制物理過程和設(shè)備的。環(huán)境配置往往是相對(duì)靜態(tài)的，除非發(fā)生故障或操作參數(shù)的變化是必要的，否則配置不會(huì)更改。意味著這些設(shè)備和網(wǎng)絡(luò)通?？赡鼙３殖掷m(xù)數(shù)十年，更新?lián)Q代可能比IT的三到五年的時(shí)間要長(zhǎng)幾代。此外，在OT工作的人員的主要關(guān)注點(diǎn)是保持正常運(yùn)行，并確保產(chǎn)出符合設(shè)計(jì)規(guī)格，并按計(jì)劃交付。

隨著惡意行為者越來越關(guān)注制造業(yè)和其他工業(yè)目標(biāo)，IT和OT必須共同努力，以更好地保護(hù)業(yè)務(wù)。但是將傳統(tǒng)的IT安全方法直接應(yīng)用于工業(yè)系統(tǒng)業(yè)務(wù)的OT方面，并不一定能很好地轉(zhuǎn)化。作為一名安全從業(yè)人員，需要考慮的一個(gè)基本問題是，如何在運(yùn)營(yíng)領(lǐng)域獲得你需要的可見性和影響力，以解決你的領(lǐng)導(dǎo)層所提出的關(guān)于IT在工業(yè)信息化過程中支持OT的問題？

根據(jù)國(guó)外的專題文章，我們總結(jié)以下三點(diǎn)供大家一起探討

1.與OT協(xié)作，根據(jù)更廣泛的安全戰(zhàn)略和目標(biāo)，為運(yùn)營(yíng)領(lǐng)域創(chuàng)建量身定制的安全計(jì)劃。

該想到IT和OT環(huán)境之間存在的差異，然后接受這樣的現(xiàn)實(shí)：即使IT方面你做的很成功，也不能把IT在方面的經(jīng)驗(yàn)，直接轉(zhuǎn)化成OT。您需要綜合考慮總體安全目標(biāo)，然后與OT通力合作制定專門針對(duì)該領(lǐng)域的信息安全計(jì)劃。通過在企業(yè)范圍內(nèi)包含OT安全的計(jì)劃，可以優(yōu)先考慮投資以符合業(yè)務(wù)部門目標(biāo)，而不是IT驅(qū)動(dòng)因素。

2.圍繞網(wǎng)絡(luò)安全建立一個(gè)共同的術(shù)語表和參考框架。

意味著要考慮IT安全人員所熱衷的事情（例如，威脅和漏洞），不能將其轉(zhuǎn)化為運(yùn)營(yíng)領(lǐng)域的擔(dān)憂（例如，停機(jī)時(shí)間和質(zhì)量受損），以顯示正確的安全投入如何能夠真正改善運(yùn)營(yíng)成果?？梢越档筒话踩玂T事件的可能性，以及采取保護(hù)措施建立共同安全基礎(chǔ)。

3.采取一些近期的安全措施，獲得短期可見利益。

使用您共同創(chuàng)建的OT安全計(jì)劃，通過合作伙伴關(guān)系來識(shí)別和實(shí)施一些當(dāng)前未實(shí)現(xiàn)能夠顯著改善環(huán)境的安全保護(hù)措施，同時(shí)不會(huì)對(duì)操作造成負(fù)面影響。一些可以支持關(guān)鍵業(yè)務(wù)部門目標(biāo)短期勝利，可以幫助建立初步信任。

最終，IT-OT融合的目標(biāo)是通過有效的網(wǎng)絡(luò)保護(hù)使OT方面更具彈性，并為高級(jí)管理人員提供信心。通過展示使用一系列主動(dòng)的方法，盡可能地改善OT安全性，同時(shí)滿足業(yè)務(wù)優(yōu)先級(jí)，更有可能獲得所需的投入。這些投入將允許實(shí)施與企業(yè)組織的預(yù)期業(yè)務(wù)成果相一致的長(zhǎng)期戰(zhàn)略，并大大增加OT環(huán)境的安全狀況。

接觸工業(yè)控制系統(tǒng)過程中，必然會(huì)接觸OT這個(gè)專有名詞，他在工業(yè)控制系統(tǒng)信息化中，作用是非常重要的，也是在工業(yè)系統(tǒng)信息化過程中無法逾越的關(guān)鍵。那么在談OT，先把OT的名詞解釋再做一遍說明，OT是兩個(gè)英文單詞Operational Technology 的首字母，翻譯過來就是運(yùn)營(yíng)技術(shù)、操作技術(shù)。我們?cè)诖司陀谩斑\(yùn)營(yíng)技術(shù)”稱之。

IT和OT 為降低不同層面的風(fēng)險(xiǎn)以及成功解決攻擊問題，必須不可避免的需要協(xié)同工作。在國(guó)外某專欄中，他提供了有關(guān)IT和OT環(huán)境融合過程中出現(xiàn)的一些障礙，提供了一些見解，以及給出融合初期的一些實(shí)際步驟。從看埃森哲咨詢公司（Accenture Consulting）所做的調(diào)查，認(rèn)為克服不同部門間的文化障礙和組織孤島，是當(dāng)前IT-OT整合的最大挑戰(zhàn)，融合需要進(jìn)一步深入研究探討。

消除IT和OT在實(shí)踐環(huán)境之間的脫節(jié)，需要受到兩個(gè)主要因素的驅(qū)動(dòng)。

第一個(gè)催化劑是監(jiān)管要求。當(dāng)評(píng)估和審計(jì)發(fā)現(xiàn)某個(gè)組織不符合某些標(biāo)準(zhǔn)或新出現(xiàn)的要求時(shí)，董事會(huì)和高管團(tuán)隊(duì)將要求IT和OT領(lǐng)域的領(lǐng)導(dǎo)者共同遵守，監(jiān)管要求基本上與我們常說的合規(guī)性要求同方向的。

第二個(gè)催化劑是惡意行為者。惡意行為者越來越關(guān)注工業(yè)目標(biāo)如電網(wǎng)、基礎(chǔ)制造工業(yè)和其他關(guān)鍵基礎(chǔ)設(shè)施。IT 和 OT必須通力合作才能有效的降低風(fēng)險(xiǎn)并成功解決攻擊，是不可回避的一個(gè)現(xiàn)實(shí)問題。

等到領(lǐng)導(dǎo)下達(dá)命令或正處于攻擊的壓力下，再去嘗試處理與其中一方的文化障礙和組織孤島，是很不明智的選擇。那么從IT從業(yè)人員角度，再一起討論作為一名IT安全從業(yè)人士，可以嘗試以下五項(xiàng)建議，幫助你更加積極有效的與對(duì)應(yīng)的OT方通力合作，以更加優(yōu)越的姿態(tài)保護(hù)生產(chǎn)業(yè)務(wù)安全、網(wǎng)絡(luò)信息安全。

1.讓正確的人參與進(jìn)來。

從開始，你需要確保正確的人參與到討論的桌面上來。通常情況下，由執(zhí)行管理層建立了推動(dòng)政策、程序、要求和愿景。然后高級(jí)IT人員必須確保正確的安全控制措施符合業(yè)務(wù)需求和要求。OT們必須為支持更廣泛的安全策略和目標(biāo)，在運(yùn)營(yíng)領(lǐng)域制定計(jì)劃，同時(shí)不會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生負(fù)面的影響。這應(yīng)該與OT領(lǐng)導(dǎo)者及技術(shù)支持領(lǐng)導(dǎo)共同創(chuàng)建，這些人員來自表現(xiàn)最好或最關(guān)鍵的部門。無論是內(nèi)部還是外部，都需要值得信賴的顧問。顧問可以在討論過程中，幫助促進(jìn)建立聯(lián)系，在提供解決問題的創(chuàng)新解決方案方面發(fā)揮重要作用。

2.尋找其他基于技術(shù)的解決方案。

IT人員尋找解決威脅和漏洞最有效的方法，可能是直接修補(bǔ)系統(tǒng)。但是這種方法可能需要將系統(tǒng)每次脫機(jī)幾個(gè)小時(shí)，而這在OT環(huán)境中的任務(wù)關(guān)鍵型系統(tǒng)中通常是不可行的。相反，想想所需的結(jié)果，并尋找替代方法來達(dá)到預(yù)期目標(biāo)。通常在實(shí)現(xiàn)安全目標(biāo)的同時(shí)，還有另一種可選技術(shù)項(xiàng)，并做到尊重OT環(huán)境中系統(tǒng)的局限性。例如，如果您不能直接接觸系統(tǒng)，則將其隔離并僅允許通過授權(quán)的通信。

3.可以欣賞的技術(shù)并不總是唯一的答案。

有許多方法不需要基于技術(shù)的控制，可以支持實(shí)現(xiàn)安全策略和目標(biāo)。例如，建立簡(jiǎn)單且行之有效的安全管理規(guī)定，每當(dāng)用戶訪問公司PC時(shí)就必須顯示一個(gè)登錄身份標(biāo)識(shí)，對(duì)可能的入侵者予以警告，防止系統(tǒng)的非法使用，建議合法用戶使用可接受的安全策略，并對(duì)使用策略進(jìn)行監(jiān)控。在OT環(huán)境下，系統(tǒng)連續(xù)運(yùn)行，授權(quán)用戶在每個(gè)班次都不能重新登錄，改變系統(tǒng)。那么你如何解決這個(gè)需求呢？一個(gè)簡(jiǎn)單的解決方案，不涉及任何IT投資，不用昂貴的軟件，是打印提醒警示語，并將警示語粘貼到物理顯示器上，以示驚醒。

4.不要擔(dān)心重復(fù)。

IT和OT環(huán)境都有自己的技術(shù)人員，所以技能組合必然會(huì)有一些重疊，可能會(huì)導(dǎo)致彼此雙方視對(duì)方為一種威脅。當(dāng)然，一般都不愿意承擔(dān)另一個(gè)團(tuán)隊(duì)的責(zé)任，可以通過了解兩個(gè)團(tuán)隊(duì)的責(zé)任分工不同，劃分權(quán)限責(zé)任來解決。OT不愿意接受IT領(lǐng)域的關(guān)鍵業(yè)務(wù)服務(wù)，包括電子郵件，互聯(lián)網(wǎng)訪問和備份，這些都在IT團(tuán)隊(duì)領(lǐng)域的擅長(zhǎng)的內(nèi)容。另一面，IT不準(zhǔn)備承擔(dān)OT環(huán)境中可能造成嚴(yán)重后果的系統(tǒng)故障?，F(xiàn)實(shí)情況是，IT和OT技能集應(yīng)該是相互磨合和補(bǔ)充的作用。

5.應(yīng)該擴(kuò)大對(duì)OT的支持。

對(duì)于整個(gè)基礎(chǔ)架構(gòu)的更好的保護(hù)，可見性至關(guān)重要。但是，所謂術(shù)業(yè)有專攻，當(dāng)每個(gè)專業(yè)的人使用不同的技術(shù)時(shí)，要全面了解運(yùn)營(yíng)領(lǐng)域技術(shù)確實(shí)是一個(gè)挑戰(zhàn)。IT方面的最新系統(tǒng)如Windows和Mac OS環(huán)境不一定能直接轉(zhuǎn)化為OT領(lǐng)域來使用。新系統(tǒng)一般是不能直接適應(yīng)多年來已有并已經(jīng)適應(yīng)運(yùn)營(yíng)的OT環(huán)境中來。這些系統(tǒng)中的有許多是需要運(yùn)行Linux或Unix。在這里，對(duì)IT方面的投資，就應(yīng)該區(qū)分對(duì)工具和人員，并進(jìn)行一個(gè)優(yōu)先級(jí)排序，擴(kuò)大整個(gè)企業(yè)的可見性，IT人員應(yīng)有能力支持運(yùn)營(yíng)領(lǐng)域依賴的系統(tǒng)。

世界唯有變是不變的，不過有些改變從來就不是一件容易的事情，在整個(gè)OT環(huán)境中，改變的欲望一般都很低。所有事情一樣，時(shí)間就是一切。你必須選擇你的時(shí)刻，例如，當(dāng)針對(duì)工業(yè)部門的攻擊研究變得可行時(shí)或正在國(guó)家政府在制定新的法規(guī)時(shí)，必須提前做好準(zhǔn)備抓住這些改變機(jī)會(huì)的窗口。通過合作伙伴關(guān)系，展示OT環(huán)境和業(yè)務(wù)的真正利益聯(lián)系，你開啟機(jī)會(huì)的窗口將保持更長(zhǎng)的時(shí)間。

接上面一句話“當(dāng)針對(duì)工業(yè)部門的攻擊研究變得可行時(shí)或正在國(guó)家政府在制定新的法規(guī)時(shí)，必須提前做好準(zhǔn)備抓住這些改變機(jī)會(huì)的窗口”，其實(shí)我們從國(guó)內(nèi)外媒體上，領(lǐng)略了伊朗核電站“震網(wǎng)”攻擊事件、烏克蘭國(guó)家電網(wǎng)大面積停電事件、WannaCry勒索病毒有可能影響工業(yè)控制系統(tǒng)、黑客演示攻擊風(fēng)能發(fā)電場(chǎng)等新聞報(bào)道，其實(shí)正是針對(duì)工業(yè)系統(tǒng)攻擊研究變成了事實(shí)，其可行性已經(jīng)確鑿無疑了。也正說明了，這啟示全世界工業(yè)控制運(yùn)營(yíng)技術(shù)人員攻擊窗口開啟，IT與OT必須通力合作，抓住轉(zhuǎn)變的機(jī)遇，更好的服務(wù)工業(yè)控制信息系統(tǒng)安全。