安全資訊

網(wǎng)絡(luò )安全等級保護2.0現在已經(jīng)為大多數單位所知，在《網(wǎng)絡(luò )安全等級保護基本要求》的擴展要求部分，有專(zhuān)門(mén)的針對工業(yè)控制系統的測評要求。伴隨著(zhù)我國工業(yè)制造技術(shù)的升級，未來(lái)信息化必然不斷助推工業(yè)4.0發(fā)展，信息安全必然更加凸顯。而傳統工業(yè)控制系統使用場(chǎng)合，IT與OT之間總存在著(zhù)不可逾越的隔閡。未來(lái)IT-OT如何更好合作參與信息安全和生活生產(chǎn)中來(lái)，共同推進(jìn)生產(chǎn)與信息安全工作，最終找到一個(gè)完美的平衡點(diǎn)，一直是網(wǎng)絡(luò )安全領(lǐng)域的話(huà)題，當下世界各國也都將關(guān)鍵信息基礎設施的保護，看成重中之重。

很多人也知道，在《網(wǎng)絡(luò )安全法》中既有對常規網(wǎng)絡(luò )的保護要求，也有對關(guān)鍵信息基礎設施增強保護要求。關(guān)鍵信息基礎設施，大多集中在工業(yè)控制系統領(lǐng)域，所以了解一些IT-OT融合還是有點(diǎn)意義的。

這些問(wèn)題IT方面的信息管理人員很難回答，因為你不能保護你不了解的東西。大多數工業(yè)組織的首席信息官和首席信息安全官員對其運營(yíng)技術(shù)（OT）環(huán)境并沒(méi)有太多的了解。他們在IT領(lǐng)域擁有專(zhuān)業(yè)知識，包括構成這個(gè)動(dòng)態(tài)環(huán)境的網(wǎng)絡(luò )、服務(wù)器、端點(diǎn)和應用程序，主要側重于保護信息。工業(yè)控制系統，重點(diǎn)保護工業(yè)系統的可用性，服務(wù)于工業(yè)生產(chǎn)。

與IT不同，OT環(huán)境中的技術(shù)是專(zhuān)門(mén)用于監視和控制物理過(guò)程和設備的。環(huán)境配置往往是相對靜態(tài)的，除非發(fā)生故障或操作參數的變化是必要的，否則配置不會(huì )更改。意味著(zhù)這些設備和網(wǎng)絡(luò )通?？赡鼙３殖掷m數十年，更新?lián)Q代可能比IT的三到五年的時(shí)間要長(cháng)幾代。此外，在OT工作的人員的主要關(guān)注點(diǎn)是保持正常運行，并確保產(chǎn)出符合設計規格，并按計劃交付。

隨著(zhù)惡意行為者越來(lái)越關(guān)注制造業(yè)和其他工業(yè)目標，IT和OT必須共同努力，以更好地保護業(yè)務(wù)。但是將傳統的IT安全方法直接應用于工業(yè)系統業(yè)務(wù)的OT方面，并不一定能很好地轉化。作為一名安全從業(yè)人員，需要考慮的一個(gè)基本問(wèn)題是，如何在運營(yíng)領(lǐng)域獲得你需要的可見(jiàn)性和影響力，以解決你的領(lǐng)導層所提出的關(guān)于IT在工業(yè)信息化過(guò)程中支持OT的問(wèn)題？

根據國外的專(zhuān)題文章，我們總結以下三點(diǎn)供大家一起探討

1.與OT協(xié)作，根據更廣泛的安全戰略和目標，為運營(yíng)領(lǐng)域創(chuàng )建量身定制的安全計劃。

該想到IT和OT環(huán)境之間存在的差異，然后接受這樣的現實(shí)：即使IT方面你做的很成功，也不能把IT在方面的經(jīng)驗，直接轉化成OT。您需要綜合考慮總體安全目標，然后與OT通力合作制定專(zhuān)門(mén)針對該領(lǐng)域的信息安全計劃。通過(guò)在企業(yè)范圍內包含OT安全的計劃，可以?xún)?yōu)先考慮投資以符合業(yè)務(wù)部門(mén)目標，而不是IT驅動(dòng)因素。

2.圍繞網(wǎng)絡(luò )安全建立一個(gè)共同的術(shù)語(yǔ)表和參考框架。

意味著(zhù)要考慮IT安全人員所熱衷的事情（例如，威脅和漏洞），不能將其轉化為運營(yíng)領(lǐng)域的擔憂(yōu)（例如，停機時(shí)間和質(zhì)量受損），以顯示正確的安全投入如何能夠真正改善運營(yíng)成果?？梢越档筒话踩玂T事件的可能性，以及采取保護措施建立共同安全基礎。

3.采取一些近期的安全措施，獲得短期可見(jiàn)利益。

使用您共同創(chuàng )建的OT安全計劃，通過(guò)合作伙伴關(guān)系來(lái)識別和實(shí)施一些當前未實(shí)現能夠顯著(zhù)改善環(huán)境的安全保護措施，同時(shí)不會(huì )對操作造成負面影響。一些可以支持關(guān)鍵業(yè)務(wù)部門(mén)目標短期勝利，可以幫助建立初步信任。

最終，IT-OT融合的目標是通過(guò)有效的網(wǎng)絡(luò )保護使OT方面更具彈性，并為高級管理人員提供信心。通過(guò)展示使用一系列主動(dòng)的方法，盡可能地改善OT安全性，同時(shí)滿(mǎn)足業(yè)務(wù)優(yōu)先級，更有可能獲得所需的投入。這些投入將允許實(shí)施與企業(yè)組織的預期業(yè)務(wù)成果相一致的長(cháng)期戰略，并大大增加OT環(huán)境的安全狀況。

接觸工業(yè)控制系統過(guò)程中，必然會(huì )接觸OT這個(gè)專(zhuān)有名詞，他在工業(yè)控制系統信息化中，作用是非常重要的，也是在工業(yè)系統信息化過(guò)程中無(wú)法逾越的關(guān)鍵。那么在談OT，先把OT的名詞解釋再做一遍說(shuō)明，OT是兩個(gè)英文單詞Operational Technology 的首字母，翻譯過(guò)來(lái)就是運營(yíng)技術(shù)、操作技術(shù)。我們在此就用“運營(yíng)技術(shù)”稱(chēng)之。

IT和OT 為降低不同層面的風(fēng)險以及成功解決攻擊問(wèn)題，必須不可避免的需要協(xié)同工作。在國外某專(zhuān)欄中，他提供了有關(guān)IT和OT環(huán)境融合過(guò)程中出現的一些障礙，提供了一些見(jiàn)解，以及給出融合初期的一些實(shí)際步驟。從看埃森哲咨詢(xún)公司（Accenture Consulting）所做的調查，認為克服不同部門(mén)間的文化障礙和組織孤島，是當前IT-OT整合的最大挑戰，融合需要進(jìn)一步深入研究探討。

消除IT和OT在實(shí)踐環(huán)境之間的脫節，需要受到兩個(gè)主要因素的驅動(dòng)。

第一個(gè)催化劑是監管要求。當評估和審計發(fā)現某個(gè)組織不符合某些標準或新出現的要求時(shí)，董事會(huì )和高管團隊將要求IT和OT領(lǐng)域的領(lǐng)導者共同遵守，監管要求基本上與我們常說(shuō)的合規性要求同方向的。

第二個(gè)催化劑是惡意行為者。惡意行為者越來(lái)越關(guān)注工業(yè)目標如電網(wǎng)、基礎制造工業(yè)和其他關(guān)鍵基礎設施。IT 和 OT必須通力合作才能有效的降低風(fēng)險并成功解決攻擊，是不可回避的一個(gè)現實(shí)問(wèn)題。

等到領(lǐng)導下達命令或正處于攻擊的壓力下，再去嘗試處理與其中一方的文化障礙和組織孤島，是很不明智的選擇。那么從IT從業(yè)人員角度，再一起討論作為一名IT安全從業(yè)人士，可以嘗試以下五項建議，幫助你更加積極有效的與對應的OT方通力合作，以更加優(yōu)越的姿態(tài)保護生產(chǎn)業(yè)務(wù)安全、網(wǎng)絡(luò )信息安全。

1.讓正確的人參與進(jìn)來(lái)。

從開(kāi)始，你需要確保正確的人參與到討論的桌面上來(lái)。通常情況下，由執行管理層建立了推動(dòng)政策、程序、要求和愿景。然后高級IT人員必須確保正確的安全控制措施符合業(yè)務(wù)需求和要求。OT們必須為支持更廣泛的安全策略和目標，在運營(yíng)領(lǐng)域制定計劃，同時(shí)不會(huì )對運營(yíng)產(chǎn)生負面的影響。這應該與OT領(lǐng)導者及技術(shù)支持領(lǐng)導共同創(chuàng )建，這些人員來(lái)自表現最好或最關(guān)鍵的部門(mén)。無(wú)論是內部還是外部，都需要值得信賴(lài)的顧問(wèn)。顧問(wèn)可以在討論過(guò)程中，幫助促進(jìn)建立聯(lián)系，在提供解決問(wèn)題的創(chuàng )新解決方案方面發(fā)揮重要作用。

2.尋找其他基于技術(shù)的解決方案。

IT人員尋找解決威脅和漏洞最有效的方法，可能是直接修補系統。但是這種方法可能需要將系統每次脫機幾個(gè)小時(shí)，而這在OT環(huán)境中的任務(wù)關(guān)鍵型系統中通常是不可行的。相反，想想所需的結果，并尋找替代方法來(lái)達到預期目標。通常在實(shí)現安全目標的同時(shí)，還有另一種可選技術(shù)項，并做到尊重OT環(huán)境中系統的局限性。例如，如果您不能直接接觸系統，則將其隔離并僅允許通過(guò)授權的通信。

3.可以欣賞的技術(shù)并不總是唯一的答案。

有許多方法不需要基于技術(shù)的控制，可以支持實(shí)現安全策略和目標。例如，建立簡(jiǎn)單且行之有效的安全管理規定，每當用戶(hù)訪(fǎng)問(wèn)公司PC時(shí)就必須顯示一個(gè)登錄身份標識，對可能的入侵者予以警告，防止系統的非法使用，建議合法用戶(hù)使用可接受的安全策略，并對使用策略進(jìn)行監控。在OT環(huán)境下，系統連續運行，授權用戶(hù)在每個(gè)班次都不能重新登錄，改變系統。那么你如何解決這個(gè)需求呢？一個(gè)簡(jiǎn)單的解決方案，不涉及任何IT投資，不用昂貴的軟件，是打印提醒警示語(yǔ)，并將警示語(yǔ)粘貼到物理顯示器上，以示驚醒。

4.不要擔心重復。

IT和OT環(huán)境都有自己的技術(shù)人員，所以技能組合必然會(huì )有一些重疊，可能會(huì )導致彼此雙方視對方為一種威脅。當然，一般都不愿意承擔另一個(gè)團隊的責任，可以通過(guò)了解兩個(gè)團隊的責任分工不同，劃分權限責任來(lái)解決。OT不愿意接受IT領(lǐng)域的關(guān)鍵業(yè)務(wù)服務(wù)，包括電子郵件，互聯(lián)網(wǎng)訪(fǎng)問(wèn)和備份，這些都在IT團隊領(lǐng)域的擅長(cháng)的內容。另一面，IT不準備承擔OT環(huán)境中可能造成嚴重后果的系統故障?，F實(shí)情況是，IT和OT技能集應該是相互磨合和補充的作用。

5.應該擴大對OT的支持。

對于整個(gè)基礎架構的更好的保護，可見(jiàn)性至關(guān)重要。但是，所謂術(shù)業(yè)有專(zhuān)攻，當每個(gè)專(zhuān)業(yè)的人使用不同的技術(shù)時(shí)，要全面了解運營(yíng)領(lǐng)域技術(shù)確實(shí)是一個(gè)挑戰。IT方面的最新系統如Windows和Mac OS環(huán)境不一定能直接轉化為OT領(lǐng)域來(lái)使用。新系統一般是不能直接適應多年來(lái)已有并已經(jīng)適應運營(yíng)的OT環(huán)境中來(lái)。這些系統中的有許多是需要運行Linux或Unix。在這里，對IT方面的投資，就應該區分對工具和人員，并進(jìn)行一個(gè)優(yōu)先級排序，擴大整個(gè)企業(yè)的可見(jiàn)性，IT人員應有能力支持運營(yíng)領(lǐng)域依賴(lài)的系統。

世界唯有變是不變的，不過(guò)有些改變從來(lái)就不是一件容易的事情，在整個(gè)OT環(huán)境中，改變的欲望一般都很低。所有事情一樣，時(shí)間就是一切。你必須選擇你的時(shí)刻，例如，當針對工業(yè)部門(mén)的攻擊研究變得可行時(shí)或正在國家政府在制定新的法規時(shí)，必須提前做好準備抓住這些改變機會(huì )的窗口。通過(guò)合作伙伴關(guān)系，展示OT環(huán)境和業(yè)務(wù)的真正利益聯(lián)系，你開(kāi)啟機會(huì )的窗口將保持更長(cháng)的時(shí)間。

接上面一句話(huà)“當針對工業(yè)部門(mén)的攻擊研究變得可行時(shí)或正在國家政府在制定新的法規時(shí)，必須提前做好準備抓住這些改變機會(huì )的窗口”，其實(shí)我們從國內外媒體上，領(lǐng)略了伊朗核電站“震網(wǎng)”攻擊事件、烏克蘭國家電網(wǎng)大面積停電事件、WannaCry勒索病毒有可能影響工業(yè)控制系統、黑客演示攻擊風(fēng)能發(fā)電場(chǎng)等新聞報道，其實(shí)正是針對工業(yè)系統攻擊研究變成了事實(shí)，其可行性已經(jīng)確鑿無(wú)疑了。也正說(shuō)明了，這啟示全世界工業(yè)控制運營(yíng)技術(shù)人員攻擊窗口開(kāi)啟，IT與OT必須通力合作，抓住轉變的機遇，更好的服務(wù)工業(yè)控制信息系統安全。