文 ｜本刊记者 石菲

随着“制造强国“战略的进一步推进，以及物联网、大数据、人工智能等IT技术的快速发展，制造业为重塑企业核心竞争力，正加速推动IT与OT的融合。而当工业网络从封闭走向开放，安全问题逐步凸显。

在近日举办的2022 Fortinet工业互联网安全发展峰会上，Fortinet 中国区总经理李宏凯在致辞中表示，工业企业走向开放的数字化世界，实现IT和OT的融合，但是企业也应该看到全面的数字化也将带来巨大的安全挑战，并有所认知。

OT安全更需要弹性

尽管可以复制IT安全的先进经验，但OT安全有其自己的特点。Fortinet中国区技术总监张略表示，因为IT和OT的融合已经是大趋势，OT安全可以借鉴IT领域一体化的智能、弹性安全防御体系。而OT网络设备数量级达到亿级甚至是十亿级，且设备新旧不一，设备之间的时间跨度有可能超过20年。因此，OT的安全体系需要更加有弹性，更加有适应性。

此外，OT安全对实时性的要求很高。而Fortinet有微秒级别的专用硬件去解决延时问题。并且在整个安全架构设计上，Fortinet都会考虑到设备串联是否会增加体系的延时。

“我们防火墙是微秒级别的延时，甚至可能变成毫秒级别。以这样的方式整体把握安全体系，满足工业互联网的延时要求。”张略说。

可自愈的智能联动

“工控安全远比我们想像的要脆弱”。 Fortinet 资深安全工程师庄皓讲述了这样一个故事。2019年他曾经处理过一个大型汽车行业遭遇勒索病毒攻击的案例，到达客户处后第一时间进行断网隔离，把威胁控制在有限的范围内。之后对已经进行隔离的受感染主机进行分析，日志溯源，通过分析发现有来自境外的团伙对企业进行持续的高级攻击，包括钓鱼手段诱惑用户点击，甚至通过微信、QQ等工具进行投放。他表示，针对OT环境，黑客往往通过IT环境进行侵入，再通过OT环境中的薄弱PC、HMI、PLC等进行横向扩散。在了解了黑客攻击思路，就需要针对性地构建OT安全防御体系，首先是建立在普渡模型之上，实现IT/OT环境隔离，HMI、PC、PLC等OT环境系统和设备实现微隔离，并部署陷阱系统对隐蔽攻击进行提前感知和拦截，建立SOC系统，实现安全可控，可自愈的智能联动系统。

安全体系实现全覆盖

除了弹性和智能，OT安全还需要一个全面的安全体系。

Fortinet 北亚区首席技术顾问谭杰表示，全面体现在安全体系要覆盖从IT到OT所有的点，这也是零信任提出的要求。做到每一个业务环节和网络环节都要有抓手，这个抓手同时也是实施的节点。比如零信任要求一旦发现风险要实时阻断风险，就是在各个节点通过防火墙、安全交换机、EDR、网络准入等实施阻断，覆盖全环节。

OT安全不是简单复制IT安全手段，而是需要建立一个更加全面、智能、弹性的安全体系。只有多角度、全面了解OT安全，秉承科学合理的基础架构，实现资产和态势的可视化，通过覆盖全部攻击平面以及全部攻击链环节的弹性安全体系的构建，才能确保OT安全，保障工业企业的业务可持续。