Fortinet中国区总经理李宏凯
因为网络黑客攻击成品油管道系统企业,导致美国17个州和华盛顿特区进入紧急状态,这可能是最近在信息安全领域最大的新闻了。虽然此次事件所影响的范围没有4年前WannaCry影响的范额广,但其精准攻击的手段却足以说明,信息安全领域“猫与老鼠”此消彼长的规则,从来没有停息——在一个强调用数字和信息重新定义世界的时代,这对任何人和企业,都是一种潜在但真实的威胁。工业企业是数字化程度最高的行业之一,因此也是未来受到威胁最大的行业之一。
中国工业企业的数字化之初,是上个世纪90年代,从利用CAD、ERP和PLM为主的工业软件提高核心业务效率开始,逐渐完成了对自身业务的信息化改造。进而,基于信息化的成果,自动化水平也得到极大的提升。在这一时期,与自动化相关的OT(Operational Technology,运营技术)相比,IT建设是企业数字化关注的重点。到了2010年左右,随着工业4.0、工业物联网和工业互联网等的出现和应用,工业企业开始意识到将虚拟世界的IT与现实世界里的OT进行融合,将会带来更大的灵活性和业务韧性,于是,IT与OT的持续融合成为工业企业数字化转型的核心——恰好成为工业企业在信息安全方面存在重大漏洞的根源。
众所周知,绝大部分的信息安全漏洞都存在于IT领域当中,无论是黑客还是病毒,都是借助IT系统入侵。而传统的OT系统,不仅与IT系统存在物理层面的隔离,而且是运行在专用的硬件上和嵌入式操作系统当中,在数据传输上,也采用专有控制协议,因此在很大程度上将,传统的OT系统是存在“相对安全”的,只是这种平静正在被“IT与OT融合”的大潮打破。
随着两者融合程度的加深,IT深入OT的程度也在不断深入:为了提高通用性,OT系统开始运行在更为通用的IT操作系统和IT通用硬件上;同时,通过工业云等媒介,OT系统正在尝试采用IT系统常用的TCP/IP协议,以实现数据在不同硬件系统之间的传递,以及与IT完成某种程度的互联互通。不仅如此,为了实现接入更多智能终端的目的,OT系统也开始接受用更为便捷的WIFI通信协议代替以往铜缆连接的方式…… IT系统向OT系统的“侵入性”融合,使得工业企业的OT系统处于一种从未有过的危险处境当中。
既然,“IT与OT融合”是工业企业数字化进程中不能绕开的节点,那么所有的问题就集中在了一点:工业企业该如何尽快及时修补OT系统方面的安全漏洞?
借助在IT领域关于信息安全方面的经验,单纯从技术逻辑上说,也许有两种思路来解决问题:第一种是根据OT领域对信息安全的需求,建立一套专属的信息安全工具和理论;第二种,就是将在IT领域得到验证的成功经验和有效工具,随着IT与OT的融合,从IT系统延展、覆盖到OT系统中——前者更有针对性,后者则更为经济。
“由于现在的OT一般都采用了IT领域里已经成熟的协议、硬件和软件,因此IT和OT之间有很多相似之处,所以以往我们所用到的信息安全知识和工具就可以比较容易地从IT迁移到OT;但与此同时,我们也应该注意掉OT和IT之间的区别,在应用方案时,对OT系统对于安信息安全不同的需求给予满足。”张略,Fortinet中国区技术总监日前在2021年工业互联网安全发展峰会上发言强调,从逻辑概念上,针对工业企业的信息安全知识和工具应该从IT向OT延展,但是在此过程中,需要增加解决方案的针对性。
Fortinet中国区技术总监张略
在张略看来,与传统IT领域对于信息安全的要求相比,工业企业在OT领域对于信息安全系统的要求,并非是机密性,而是可用性、稳定性。因此对于面向工业企业OT系统的信息安全解决方案,就需要将以往的工具进行重新的组合,以响应这种需求:“从NIST模型来看,针对工业企业OT系统的安全解决方案应该分成五个步骤:检测、保护、发现、响应和恢复。其中,检测是为了识别在本企业的OT系统当中使用了哪些协议,是不是已经有病毒和安全风险在传播;而保护的原则则是按照业务的优先级,按照人、技术和流程三者结合的方式进行。”张略还给出了Fortinet基于这一思路,推出的工业企业OT安全整体解决方案的八个渐进阶段的实施策略。
第一个阶段是可视化,让工业企业可以实现从监控网络到流程控制网络的可视化;第二个阶段是集中管理,使工业企业具有设备自动发现、组管理、全局策略、审计功能以及管理复杂 VPN 环境的能力; 第三阶段是安全域划分,帮助工业企业根据特定设备类型和网络访问需求,采用分层、分域的安全策略,提前设定安全域;第四阶段是网络推入,帮助工业企业建立以行为分析为中心的零信任安全体系,从而提升企业整体安全运营能力;第五阶段是抵御已知与未知威胁,帮助工业企业应该建立起从监控网络到流程控制网络的主动防护;第六阶段,分析定位,通过评估企业内部安全策略合规性状态,帮助企业建立起未知威胁检测,事件分析、溯源的能力;第七阶段,OT 态势感知与响应;第八阶段是信任评估,目的是帮助工业企业查找恶意行为和系统活动,在安全事件恶化成为有影响的数据泄露事件之前 提醒企业的安全事件团队。
“我们希望工业企业可以按照步骤,一步步在OT系统当中建立起从隔离到未知威胁,再到体系化运维,最终建立起一整套具有针对性的安全体系。”李宏凯,Fortinet中国区总经理在接受采访强调,Fortinet能够为工业企业实践OT系统信息安全体系建设的每一个阶段提供充分的工具支持,而且,由于Fortinet为工业企业提供的信息安全解决方案,在IT和OT两个领域都是基于同样的技术逻辑和产品架构,因此在某种程度上说,对于IT与OT未来更进一步的融合,具有天然的促进作用。
写在最后
很难说,用数字定义世界,带来的使更多的便捷,还是更多的安全隐患。只是从社会发展的角度看,数字化是不能逆转的历史趋势。工业企业的数字化,到了将现实(OT)与虚拟(IT)融合的关键节点,此刻,越早关注到其中存在的风险,并及早着手研究解决的方法,或许比单纯推进两者的融合,更为重要。