IT 與OT 融合 安全如何守護(hù)？

本刊記者 趙志遠(yuǎn)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，最初工業(yè)企業(yè)OT（Operational Technology）系統(tǒng)相對(duì)封閉的運(yùn)行環(huán)境如今正逐步走向開(kāi)放，由此帶來(lái)生產(chǎn)效率的極大提升之時(shí)，也帶來(lái)諸多安全難題。

OT 安全的嚴(yán)峻形勢(shì)已成必然

其實(shí)OT 環(huán)境下的安全問(wèn)題早已有之，只是在封閉環(huán)境下并未引起太廣泛后果，而隨著IT 與OT 在近年來(lái)的不斷融合，這些問(wèn)題被迅速放大。

以2010 年發(fā)生的震網(wǎng)病毒（Stuxnet）攻擊伊朗核設(shè)施事件為標(biāo)志，關(guān)鍵信息基礎(chǔ)設(shè)施OT 系統(tǒng)受網(wǎng)絡(luò)攻擊讓人們認(rèn)識(shí)到由此帶來(lái)的嚴(yán)重災(zāi)難，因此對(duì)工業(yè)信息安全的討論迅速成為熱點(diǎn)議題。

自此以后，來(lái)自工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊事件迅速增多，2018 年ICS-CERT 記錄的ICS 中的相關(guān)病毒與攻擊事件就超過(guò)了113 件。并且，據(jù)國(guó)際權(quán)威機(jī)構(gòu)調(diào)查結(jié)果顯示，ICS 6 大類最常見(jiàn)的漏洞為網(wǎng)絡(luò)邊界保護(hù)、識(shí)別和認(rèn)證、資源分配、物理訪問(wèn)控制、帳戶管理和基礎(chǔ)功能，這些問(wèn)題占總問(wèn)題的三分之一。這一方面顯示出OT 安全的脆弱性，另一方面，隨著IT 逐漸與OT 相融合，來(lái)自IT 環(huán)境的網(wǎng)絡(luò)安全問(wèn)題正向物理世界蔓延。

Fortinet 技術(shù)總監(jiān)張略表示：“近兩年頻繁發(fā)生的船運(yùn)公司、半導(dǎo)體加工廠、鋁業(yè)公司因?yàn)槔账鞑《径．a(chǎn)，足以證明關(guān)鍵基礎(chǔ)設(shè)施架構(gòu)被攻擊的危險(xiǎn)真實(shí)存在。在ICS 數(shù)字化攻擊鏈中，網(wǎng)絡(luò)攻擊者往往制定了周密的計(jì)劃，工業(yè)企業(yè)很難用現(xiàn)有技術(shù)手段形成有效防御?！?/p>

OT 安全建設(shè)不僅僅是技術(shù)問(wèn)題

隨著OT 環(huán)境下各種專有協(xié)議、專有操作系統(tǒng)及專有硬件逐漸被通用Internet協(xié)議、主流操作系統(tǒng)及各種基于IT 環(huán)境的通用硬件所取代，IT 環(huán)境的常見(jiàn)安全問(wèn)題也被帶到OT 環(huán)境，諸如未授權(quán)訪問(wèn)、軟件Bug、跨站腳本攻擊等。目前工業(yè)企業(yè)OT系統(tǒng)還面臨著缺少有效的安全設(shè)備，缺乏主動(dòng)阻止外部攻擊的能力，缺乏必要的身份或資產(chǎn)識(shí)別等等難題。

不僅如此，F(xiàn)ortinet 在與國(guó)內(nèi)一些制造企業(yè)交流過(guò)程中發(fā)現(xiàn)，這些制造業(yè)企業(yè)中目前對(duì)OT 安全防護(hù)最大的障礙是安全認(rèn)知不足。張略解釋說(shuō)，“因?yàn)镮T 與OT 的管理者在技術(shù)融合時(shí)，雙方的認(rèn)知沒(méi)有先于技術(shù)而融合。這個(gè)過(guò)程中會(huì)產(chǎn)生誤解，例如不理解為什么一定要做區(qū)域劃分和安全可視化，這種安全認(rèn)知沒(méi)有達(dá)到統(tǒng)一，其效果也就可想而知了。”

如何構(gòu)建IT 與OT 融合下的網(wǎng)絡(luò)安全

針對(duì)當(dāng)前企業(yè)在IT 與OT 融合時(shí)的安全防護(hù)能力不足問(wèn)題，F(xiàn)ortinet 給出了十條安全最佳實(shí)踐和建議：

制定備份和恢復(fù)計(jì)劃；使用多層次深度防御；持續(xù)保持軟件更新并及時(shí)打補(bǔ)??；使用應(yīng)用程序白名單；將網(wǎng)絡(luò)分段到不同的安全區(qū)域中；建立并實(shí)施權(quán)限分配和特權(quán)管理；建立并強(qiáng)制實(shí)施BYOD 安全策略；用戶教育；固件更新機(jī)制；定期的安全評(píng)估。

在具體規(guī)劃和設(shè)計(jì)OT 安全防護(hù)架構(gòu)時(shí)，對(duì)整個(gè)企業(yè)的網(wǎng)絡(luò)進(jìn)行區(qū)域劃分是必不可少的，這其中也需要掌握一些原則，依據(jù)不同設(shè)施的重要程度進(jìn)行不同等級(jí)的區(qū)域劃分和防護(hù)。對(duì)此，F(xiàn)ortinet 有著詳細(xì)的規(guī)劃方法。

例如，針對(duì)一個(gè)典型的企業(yè)運(yùn)營(yíng)區(qū)安全域的劃分與設(shè)計(jì)，依次將不同設(shè)施的重要程度按紅區(qū)、黃區(qū)、綠區(qū)和藍(lán)區(qū)劃分。其中紅區(qū)為重要的生產(chǎn)系統(tǒng)，是企業(yè)最關(guān)鍵的資產(chǎn)，需要通過(guò)獨(dú)立的物理硬件進(jìn)行部署，實(shí)現(xiàn)完全的訪問(wèn)控制，安全防護(hù)等級(jí)也最高；黃區(qū)為企業(yè)自有研發(fā)區(qū)及外包研發(fā)安全區(qū)中的相應(yīng)次高安全區(qū)域，可根據(jù)情況采用獨(dú)立或共享的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)設(shè)施，并需要通過(guò)虛擬桌面的方式進(jìn)行訪問(wèn)；綠區(qū)主要為安全等級(jí)較低的業(yè)務(wù)系統(tǒng)提供部署，物理資源可采用共享架構(gòu)，安全防護(hù)措施亦可共享；藍(lán)區(qū)主要為用戶接入?yún)^(qū)域，部署面向外網(wǎng)的前置服務(wù)器，安全等級(jí)最低，需要進(jìn)行有效的安全防護(hù)。

在進(jìn)行以上安全區(qū)域劃分之后，企業(yè)就可以在很大程度上能夠保障IT 與OT 的互聯(lián)安全。而這些安全域的劃分理念也是與工廠環(huán)境的Purdue 模型很好地匹配。在經(jīng)過(guò)與ISA-99 和IEC-62443標(biāo)準(zhǔn)相結(jié)合，F(xiàn)ortinet 的Purdue 模型也已逐漸完善。

在這些安全方法論確定過(guò)后，關(guān)鍵的就是如何將其有效落地。

一 方 面，F(xiàn)ortinet 憑借在IT 安全的多年積累，Security Fabric 安全架構(gòu)與解決方案很好地解決了在IT 安全領(lǐng)域諸如防御攻擊平面、自動(dòng)化響應(yīng)等問(wèn)題，并且這一架構(gòu)與Purdue 模型非常接近，在IT 安全向OT 安全融合過(guò)程中具有很大助推作用。另一方面，F(xiàn)ortinet還與很多如西門子、Nozomi公司等的工業(yè)企業(yè)及工控安全企業(yè)合作，加強(qiáng)了對(duì)工業(yè)產(chǎn)品和工業(yè)安全體系的理解。

對(duì)于企業(yè)用戶來(lái)說(shuō)，F(xiàn)ortinet 建議用戶應(yīng)根據(jù)自身系統(tǒng)深度定制化安全，他們需要理解自己的業(yè)務(wù)，并使用合適的安全工具和服務(wù)。這其中，重要的是如何梳理自身業(yè)務(wù)邏輯，從而對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分，以確定滿足怎樣程度的安全。

張略表示，F(xiàn)ortinet 憑借在IT 和OT 兩個(gè)系統(tǒng)安全的豐富經(jīng)驗(yàn)，使得Fortinet形成完善的安全體系，再加上國(guó)內(nèi)外豐富的成功案例與部署經(jīng)驗(yàn)支撐，因此Fortinet 在OT 安全的發(fā)展過(guò)程中有著獨(dú)特優(yōu)勢(shì)。