網(wǎng)絡安全等級保護2.0現(xiàn)在已經(jīng)為大多數(shù)單位所知，在《網(wǎng)絡安全等級保護基本要求》的擴展要求部分，有專門的針對工業(yè)控制系統(tǒng)的測評要求。伴隨著我國工業(yè)制造技術(shù)的升級，未來信息化必然不斷助推工業(yè)4.0發(fā)展，信息安全必然更加凸顯。而傳統(tǒng)工業(yè)控制系統(tǒng)使用場合，IT與OT之間總存在著不可逾越的隔閡。未來IT-OT如何更好合作參與信息安全和生活生產(chǎn)中來，共同推進生產(chǎn)與信息安全工作，最終找到一個完美的平衡點，一直是網(wǎng)絡安全領域的話題，當下世界各國也都將關鍵信息基礎設施的保護，看成重中之重。

很多人也知道，在《網(wǎng)絡安全法》中既有對常規(guī)網(wǎng)絡的保護要求，也有對關鍵信息基礎設施增強保護要求。關鍵信息基礎設施，大多集中在工業(yè)控制系統(tǒng)領域，所以了解一些IT-OT融合還是有點意義的。

這些問題IT方面的信息管理人員很難回答，因為你不能保護你不了解的東西。大多數(shù)工業(yè)組織的首席信息官和首席信息安全官員對其運營技術(shù)（OT）環(huán)境并沒有太多的了解。他們在IT領域擁有專業(yè)知識，包括構(gòu)成這個動態(tài)環(huán)境的網(wǎng)絡、服務器、端點和應用程序，主要側(cè)重于保護信息。工業(yè)控制系統(tǒng)，重點保護工業(yè)系統(tǒng)的可用性，服務于工業(yè)生產(chǎn)。

與IT不同，OT環(huán)境中的技術(shù)是專門用于監(jiān)視和控制物理過程和設備的。環(huán)境配置往往是相對靜態(tài)的，除非發(fā)生故障或操作參數(shù)的變化是必要的，否則配置不會更改。意味著這些設備和網(wǎng)絡通?？赡鼙３殖掷m(xù)數(shù)十年，更新?lián)Q代可能比IT的三到五年的時間要長幾代。此外，在OT工作的人員的主要關注點是保持正常運行，并確保產(chǎn)出符合設計規(guī)格，并按計劃交付。

隨著惡意行為者越來越關注制造業(yè)和其他工業(yè)目標，IT和OT必須共同努力，以更好地保護業(yè)務。但是將傳統(tǒng)的IT安全方法直接應用于工業(yè)系統(tǒng)業(yè)務的OT方面，并不一定能很好地轉(zhuǎn)化。作為一名安全從業(yè)人員，需要考慮的一個基本問題是，如何在運營領域獲得你需要的可見性和影響力，以解決你的領導層所提出的關于IT在工業(yè)信息化過程中支持OT的問題？

根據(jù)國外的專題文章，我們總結(jié)以下三點供大家一起探討

1.與OT協(xié)作，根據(jù)更廣泛的安全戰(zhàn)略和目標，為運營領域創(chuàng)建量身定制的安全計劃。

該想到IT和OT環(huán)境之間存在的差異，然后接受這樣的現(xiàn)實：即使IT方面你做的很成功，也不能把IT在方面的經(jīng)驗，直接轉(zhuǎn)化成OT。您需要綜合考慮總體安全目標，然后與OT通力合作制定專門針對該領域的信息安全計劃。通過在企業(yè)范圍內(nèi)包含OT安全的計劃，可以優(yōu)先考慮投資以符合業(yè)務部門目標，而不是IT驅(qū)動因素。

2.圍繞網(wǎng)絡安全建立一個共同的術(shù)語表和參考框架。

意味著要考慮IT安全人員所熱衷的事情（例如，威脅和漏洞），不能將其轉(zhuǎn)化為運營領域的擔憂（例如，停機時間和質(zhì)量受損），以顯示正確的安全投入如何能夠真正改善運營成果?？梢越档筒话踩玂T事件的可能性，以及采取保護措施建立共同安全基礎。

3.采取一些近期的安全措施，獲得短期可見利益。

使用您共同創(chuàng)建的OT安全計劃，通過合作伙伴關系來識別和實施一些當前未實現(xiàn)能夠顯著改善環(huán)境的安全保護措施，同時不會對操作造成負面影響。一些可以支持關鍵業(yè)務部門目標短期勝利，可以幫助建立初步信任。

最終，IT-OT融合的目標是通過有效的網(wǎng)絡保護使OT方面更具彈性，并為高級管理人員提供信心。通過展示使用一系列主動的方法，盡可能地改善OT安全性，同時滿足業(yè)務優(yōu)先級，更有可能獲得所需的投入。這些投入將允許實施與企業(yè)組織的預期業(yè)務成果相一致的長期戰(zhàn)略，并大大增加OT環(huán)境的安全狀況。

接觸工業(yè)控制系統(tǒng)過程中，必然會接觸OT這個專有名詞，他在工業(yè)控制系統(tǒng)信息化中，作用是非常重要的，也是在工業(yè)系統(tǒng)信息化過程中無法逾越的關鍵。那么在談OT，先把OT的名詞解釋再做一遍說明，OT是兩個英文單詞Operational Technology 的首字母，翻譯過來就是運營技術(shù)、操作技術(shù)。我們在此就用“運營技術(shù)”稱之。

IT和OT 為降低不同層面的風險以及成功解決攻擊問題，必須不可避免的需要協(xié)同工作。在國外某專欄中，他提供了有關IT和OT環(huán)境融合過程中出現(xiàn)的一些障礙，提供了一些見解，以及給出融合初期的一些實際步驟。從看埃森哲咨詢公司（Accenture Consulting）所做的調(diào)查，認為克服不同部門間的文化障礙和組織孤島，是當前IT-OT整合的最大挑戰(zhàn)，融合需要進一步深入研究探討。

消除IT和OT在實踐環(huán)境之間的脫節(jié)，需要受到兩個主要因素的驅(qū)動。

第一個催化劑是監(jiān)管要求。當評估和審計發(fā)現(xiàn)某個組織不符合某些標準或新出現(xiàn)的要求時，董事會和高管團隊將要求IT和OT領域的領導者共同遵守，監(jiān)管要求基本上與我們常說的合規(guī)性要求同方向的。

第二個催化劑是惡意行為者。惡意行為者越來越關注工業(yè)目標如電網(wǎng)、基礎制造工業(yè)和其他關鍵基礎設施。IT 和 OT必須通力合作才能有效的降低風險并成功解決攻擊，是不可回避的一個現(xiàn)實問題。

等到領導下達命令或正處于攻擊的壓力下，再去嘗試處理與其中一方的文化障礙和組織孤島，是很不明智的選擇。那么從IT從業(yè)人員角度，再一起討論作為一名IT安全從業(yè)人士，可以嘗試以下五項建議，幫助你更加積極有效的與對應的OT方通力合作，以更加優(yōu)越的姿態(tài)保護生產(chǎn)業(yè)務安全、網(wǎng)絡信息安全。

1.讓正確的人參與進來。

從開始，你需要確保正確的人參與到討論的桌面上來。通常情況下，由執(zhí)行管理層建立了推動政策、程序、要求和愿景。然后高級IT人員必須確保正確的安全控制措施符合業(yè)務需求和要求。OT們必須為支持更廣泛的安全策略和目標，在運營領域制定計劃，同時不會對運營產(chǎn)生負面的影響。這應該與OT領導者及技術(shù)支持領導共同創(chuàng)建，這些人員來自表現(xiàn)最好或最關鍵的部門。無論是內(nèi)部還是外部，都需要值得信賴的顧問。顧問可以在討論過程中，幫助促進建立聯(lián)系，在提供解決問題的創(chuàng)新解決方案方面發(fā)揮重要作用。

2.尋找其他基于技術(shù)的解決方案。

IT人員尋找解決威脅和漏洞最有效的方法，可能是直接修補系統(tǒng)。但是這種方法可能需要將系統(tǒng)每次脫機幾個小時，而這在OT環(huán)境中的任務關鍵型系統(tǒng)中通常是不可行的。相反，想想所需的結(jié)果，并尋找替代方法來達到預期目標。通常在實現(xiàn)安全目標的同時，還有另一種可選技術(shù)項，并做到尊重OT環(huán)境中系統(tǒng)的局限性。例如，如果您不能直接接觸系統(tǒng)，則將其隔離并僅允許通過授權(quán)的通信。

3.可以欣賞的技術(shù)并不總是唯一的答案。

有許多方法不需要基于技術(shù)的控制，可以支持實現(xiàn)安全策略和目標。例如，建立簡單且行之有效的安全管理規(guī)定，每當用戶訪問公司PC時就必須顯示一個登錄身份標識，對可能的入侵者予以警告，防止系統(tǒng)的非法使用，建議合法用戶使用可接受的安全策略，并對使用策略進行監(jiān)控。在OT環(huán)境下，系統(tǒng)連續(xù)運行，授權(quán)用戶在每個班次都不能重新登錄，改變系統(tǒng)。那么你如何解決這個需求呢？一個簡單的解決方案，不涉及任何IT投資，不用昂貴的軟件，是打印提醒警示語，并將警示語粘貼到物理顯示器上，以示驚醒。

4.不要擔心重復。

IT和OT環(huán)境都有自己的技術(shù)人員，所以技能組合必然會有一些重疊，可能會導致彼此雙方視對方為一種威脅。當然，一般都不愿意承擔另一個團隊的責任，可以通過了解兩個團隊的責任分工不同，劃分權(quán)限責任來解決。OT不愿意接受IT領域的關鍵業(yè)務服務，包括電子郵件，互聯(lián)網(wǎng)訪問和備份，這些都在IT團隊領域的擅長的內(nèi)容。另一面，IT不準備承擔OT環(huán)境中可能造成嚴重后果的系統(tǒng)故障?，F(xiàn)實情況是，IT和OT技能集應該是相互磨合和補充的作用。

5.應該擴大對OT的支持。

對于整個基礎架構(gòu)的更好的保護，可見性至關重要。但是，所謂術(shù)業(yè)有專攻，當每個專業(yè)的人使用不同的技術(shù)時，要全面了解運營領域技術(shù)確實是一個挑戰(zhàn)。IT方面的最新系統(tǒng)如Windows和Mac OS環(huán)境不一定能直接轉(zhuǎn)化為OT領域來使用。新系統(tǒng)一般是不能直接適應多年來已有并已經(jīng)適應運營的OT環(huán)境中來。這些系統(tǒng)中的有許多是需要運行Linux或Unix。在這里，對IT方面的投資，就應該區(qū)分對工具和人員，并進行一個優(yōu)先級排序，擴大整個企業(yè)的可見性，IT人員應有能力支持運營領域依賴的系統(tǒng)。

世界唯有變是不變的，不過有些改變從來就不是一件容易的事情，在整個OT環(huán)境中，改變的欲望一般都很低。所有事情一樣，時間就是一切。你必須選擇你的時刻，例如，當針對工業(yè)部門的攻擊研究變得可行時或正在國家政府在制定新的法規(guī)時，必須提前做好準備抓住這些改變機會的窗口。通過合作伙伴關系，展示OT環(huán)境和業(yè)務的真正利益聯(lián)系，你開啟機會的窗口將保持更長的時間。

接上面一句話“當針對工業(yè)部門的攻擊研究變得可行時或正在國家政府在制定新的法規(guī)時，必須提前做好準備抓住這些改變機會的窗口”，其實我們從國內(nèi)外媒體上，領略了伊朗核電站“震網(wǎng)”攻擊事件、烏克蘭國家電網(wǎng)大面積停電事件、WannaCry勒索病毒有可能影響工業(yè)控制系統(tǒng)、黑客演示攻擊風能發(fā)電場等新聞報道，其實正是針對工業(yè)系統(tǒng)攻擊研究變成了事實，其可行性已經(jīng)確鑿無疑了。也正說明了，這啟示全世界工業(yè)控制運營技術(shù)人員攻擊窗口開啟，IT與OT必須通力合作，抓住轉(zhuǎn)變的機遇，更好的服務工業(yè)控制信息系統(tǒng)安全。