当说到IT技术和OT技术融合时,哪种技术会发挥更为关键的作用,对此你是否有个人的倾向性?也许当你停下来仔细思考这两种技术的差异时,你就会不自觉地有了答案。
但从发展的角度来看,为了能够使企业变得更敏捷、更高效、更富有弹性并 终增强企业的赢利能力,我们可能需要从IT与OT两个方面共同推动的这场技术变革。针对IT与OT融合所面临的各种挑战,我们也曾与该 域的专 进行探讨,以下是他们分享的见解。
Greg Hale格雷格·黑尔 ISS Source编辑
多年来,业界 直在争论IT与OT融合的问题。如果说这场新 疫情带来了什么好处,那就是使IT/OT融合变得更加可行,或者说正在变成现实。回望过去,IT与OT部门之间始终存有分歧。我记得曾经在 次OT部门的会议上, 位演讲者刚提与IT部门合作就招来 片嘘声。
往者不可谏,来者犹可追。无论过去、现在还是将来,良好的沟通仍然是这两个部门所面临的主要挑战。IT与OT之间确实存在着技术差异,虽然防火墙两侧的智能安全专 们能弱化这些差异,但真正能够发挥作用的方案是让IT与OT部门心平气和地坐下来,开诚布公的探讨各自所面临的问题,并且从 符合企业利益的角度制定决策。
当OT部门说他们需要24小时全天候运行时,就 定会这么做,IT部门需要给予充分理解,而OT部门也应该明白,IT处理安全业务问题甚至需要更长的时间,他们能够理解OT部门的需求。
这种层面的沟通不能敷衍了事,而是需要自上至下地彻底贯彻执行。在 个成功的企业中,时时都会体现出这种沟通方式,每个人都清楚相关计划,并充分理解自己所从事岗位的重要性。在这种环境中工作的团队将始终表现出积 进取的精神。
Kevin Holley凯文·霍利 Belden客户创新中心总监
IT网络与OT网络融合将会产生什么影响?这是IT与OT专业人员所面临的 大挑战之 。随着工业4.0规模的不断扩大,工厂车间的自动化设备和传感器也将产生越来越多的数据。由于自动化系统产生了大量的数据,这就要求IT与OT网络能够处理不断增长的数据流。如何高效传输这些数据流,同时又不削弱OT网络的运营完整性,这将是 项重大挑战。与此同时,还需要优 考虑质量、安全和正常运行时间等因素。
Lane Thames莱恩·泰姆 Belden 席安全研究员
网络资产管理是 个至关重要的网络安全组件,因为它使我们的网络具有可见性。如果网络没有可见性,我们的网络系统就无法获得安全保护。20年前我们的网络规模不大,网络的差异较小,网络也容易管理。但今天的情况大不相同,我们的网络非常庞大,地理分布 广,网络环境也千差万别,比如内部系统和云系统,这就对网络资产管理有了更高的要求。
另外我们也正在进入工业发展的 个新阶段,就是人们常说的“工业4.0”。工业4.0是 种范式转变,涉及数字化转型、工业物联网(IIoT)以及IT系统与OT系统融合等事项,而OT技术应用于工业设施内部,相当于生产企业的“车间”。OT 域的网络资产管理组件与IT 域不同,具有更强的挑战性。技术专业人员的当务之急是准确完整地实现跨IT和OT 域的网络可见性。理由有很多,既有技术因素,也有人为因素。举例来说,受工程设计和性能等因素限制,IT 域中的常用安全技术往往不能用于OT 域。另 方面, IT与OT专业人员的技术背景和处理问题的侧重点差别较大。从网络资产管理和网络安全的角度来看,这可能会导致相互协作变得越来越困难。
当我们展望不久的将来,发现形势将会变得更加严峻。随着我们IT-OT系统内部出现更全新和更丰富的工业物联网资源,情况也将变得越来越复杂。 新的工业物联网技术将与云资源以及传统的IT-OT系统进行通信,这又将进 步增加复杂性,给跨IT-OT-云分区的整体可见性设置挑战。不久之前,我观看了 份项目演示资料,其中几个可编程逻辑控制器(PLCs)与“传统的”生产制造OT网络连接。同时,这些PLCs又与 个蜂窝调制解调器连接,并向 个云服务提供商内部的MQTT代理服务器发送数据。整个IT/OT云系统都将为各种迥然不同的系统提供服务,而未来的可见性技术也必须围绕这些迥然不同的系统展开。
Michael Sanchez迈克尔·桑切斯 ITEGRITI 公司 席执行官
看看我们的周围,科技无处不在。传统的IT系统主要专注于传输、处理和存储数据,而OT系统则专注于控制物理设备。IT系统的主要安全问题包括保护敏感数据的机密性、完整性和隐私性,比如个人身份信息(PII)以及受保护的电子健康信息(ePHI)。相比之下,对OT系统来说, 重要的是数据的安全性、可靠性和可用性。
在过去十年中,发生了重大的范式转变,现代OT系统的制造和交付开始越来越多地附带IT功能,其传统做法是采用“实体隔离”和专有通信协议。IT与OT技术的融合使标准互联网协议得到应用,也使性能和速度达到前所未有的水平,进而推动了物联网的诞生。在工作环境中也越来越流行使用自带设备(BYOD),在部分报告中显示,“6G”技术的运行速度将比5G快100倍。
大多数的个人和企业组织都希望利用新工具和新思路提高效率,但网络犯罪分子关注的是通过黑客、勒索软件或病毒获得利润或取得优势条件,并通过部署物联网设备迅速扩大攻击范围。目前,以谋利为动机的网络罪犯开始掌握越来越 进的技术,犯罪手段也更加老练,他们可能躲在 任何地方进行远程操作,借助人工智能(AI)等 系列新工具和新战术的支持实施犯罪。因此,各国也开始深入了解关键性的国 基础设施和犯罪分子攻击的目标,使打击犯罪活动所需的各项能力更成熟。
当部署新产品时,通常没有既定标准,因此其管理、服务和安全很难获得保障。要想使BYOD和远程工作环境更普及,就需要实施更强的安全保障方法,这就提出了如何支持库存、监控、基线、补丁、更改和配置管理的问题。为了应对这些挑战,各组织不能仅仅遵从于满足 低标准,还应打破 “条条框框”,寻找 进的安全解决方案。结合目前的发展,仅使用传统的防火墙、路由器和交换机是不够的。保护当今OT/IoT设备的关键在于拥有 进的安全技术,比如云计算、人工智能(AI)和 威胁情报(GTI)。
Divij Agarwal 迪威·阿加瓦尔 BELDEN高 产品经理
IT/OT目前面临的 个重大挑战是数据管理和治理,这个问题在未来也将会不断出现。从数据存储、传输和分析角度来看,随着越来越多的OT设备实现联网和连接,数据管理方面的潜在问题正在急剧增长。各组织机构需要制定 项强大的数据治理政策,这项政策必须说明需要通过什么方式存储、管理、访问和分析数据,并且必须明确责任主体。
数据是下 个黄金。工业数据已经发现 些应用 域,例如机器学习和人工智能技术有助于改进业务绩效和机器效率,并减少宕机时间。因此,为了避免数据丢失、被盗、损坏和滥用,妥善保护这些数据至关重要。
今天生成的数据不是事务型数据,不能存储在简单的关系数据库中,也不能在不同的网络或设备之间共享。今天的应用程序、机器和设备生成的数据在种类、速度和数量方面各不相同——换句话说,这就是大数据。处理大数据需要IT组织与OT组织密切合作,任何 个孤立的实体都无法独自管理大数据。OT必须确保数据准确、唯 、安全、结构化并且有意义,而IT需要确保数据的可用性、机密性、完整性和持久性。
个典型的数据生命周期由创建、读取、更新和删除组成。边缘层在数据生命周期管理中发挥关键作用。边缘层网络位于OT和IT之间,包括边缘层网关和应用程序,负责帮助在IT和OT系统之间执行数据转换、标准化、聚合和收敛。所有的OT系统互不相关,这些系统生成的数据也迥然不同,为了能够利用 IT工具存储和分析这些数据,就必须使这些数据实现标准化和聚合。因此,在未来几年里,边缘层将继续在IT-OT融合中发挥关键作用——尤其是在数据管理和治理 域。
Chris Furtick 克里斯·弗蒂克 Fortalice Solutions 事件响应和规划总监
在我看来,IT/OT专业人士目前面临的 大挑战与技术无关;“工作”时间与个人/ 庭时间之间的界限变得越来越模糊才是问题所在; 爆发新 疫情期间,我们已经看到许多岗位都可以通过远程工作发挥作用,这使许多专业人员愿意接受“在 办公”的工作文化。我们可以在任何地方工作,这是事实。但这个事实已经变成 种心态,它使我们感觉现在随时随地都在工作。
技术专业人士必须注意适时与电脑、平板电脑和智能手机断开联系,把关爱留给 人和朋友。否则,就会很容易成为“紧急事情的奴隶”,使你被迫牺牲那些本应放松和充电的时间。我相信,这种情况很快就会成为诱发心理健康问题的主要祸根。
如果公司关心员工,并积 鼓励员工关注自己心理健康,那么他们 定会吸引并留住顶尖人才;但作为员工来说,也不能单纯地等待雇主提醒自己注意心理健康。
Argiro Birba 阿基罗·比巴尔 ADACOM网络安全保障高 经理
我们现在的生活和工作处于 种完全互联的技术生态系统中,核心的工业自动化已变得不再重要。但是,当OT部门与IT环境融合时,OT部门也继承了安全不足的缺陷。OT网络和OT系统在物理上是隔离的,从理论上讲是安全的,但现在却面临着各种全新未知的安全挑战。
十年前, OT环境中的安全性测试主要针对单个产品和系统。如今,在评估相同的环境时,OT环境的作用变得更加明显。融合后的IT和OT架构将成为 个单 架构,而OT环境作为其中的 部分目前需要进行测试。
出于这个原因,我们开始构建 系列的安全和治理计划,并专门成立了 个网络安全小组,其工作目标是改善IT/OT架构的安全状况。即便如此,要想成功测试和保护我们的IT/OT环境, 个 重要的因素就是证明评估IT/OT环境是必须的。为保障IT/OT环境的安全性,还需要评估是否有必要进行监管和主动出击。
后,我们必须不厌其烦地研究OT系统的敏感性,考虑如何满足其持续可用性需求。因此,我们必须开发详细的、结构化的、以OT为导向的测试方法。
总而言之,为了成功测试IT/OT环境,我们需要解决各种重大差异,比如物理测试与逻辑测试之间的差异。此外,在OT部门工作的专 们应当接受继续教育,更深入地研究OT服务和OT系统的安全性,不能仅仅停留在IT 域。如果我们能够参与进来,无论在物理层面还是逻辑层面,我们都将推动IT/OT架构更快获得高安全性。
从传统来看,IT专业人员负责创建、存储和保护 个组织的数据或网络;OT主要关注物质 发生的进程,以及管理生产力、人员和机器。IT技术和OT技术长期存在于各自的 域中,相互隔离。这两个 域都有自己的网络、目标和要求,并且直到 近还处于这种完美的隔离状态。
随着新技术的兴起,越来越多的组织开始愿意接受工业物联网技术,因此各组织需要优化机器、应用程序和基础架构收集、传输和处理数据的方式。如果正确实现融合,则企业将有能力更快速地解决关键问题,做出明智的企业决策,并能够跨越物理和虚拟系统扩展流程。
同样重要的是,为现代IT环境设计的网络安全工具可能不适用于传统的工业控制系统(ICS)。以 个ICS为例,如果其存在的已知漏洞无法修补,并且更换成本又太高,这个ICS仍然需要提供安全保护,并调查漏洞。如果IT在ICS网络上执行端口扫描,则可能锁闭 个PLC,并导致生产关停24小时。如果使用被动式扫描技术就可以避免这种情况,该技术不在网络上引入新流量,而是检查每个数据包。另外,这项技术还提供了各种工具,可以用来检测和审计网络资产,监督配置变化和异常行为,同时将流量源头与目的地绘制出来。如果有数据流入或流出某个ICS,还能够加以识别和跟踪。
人工智能(AI)与工业物联网(IIoT)是主导“工业4.0”对话的两个 热门词汇。人工智能为物联网系统带来了机器学习和决策能力,增强了数据管理和分析能力,并使生产率大幅提高。目前正在使用的人工智能物联网应用实例包括边缘计算、自动交付机器人、数字孪生和协作机器人等。
从传统来看,IT专业人员负责创建、存储和保护 个组织的数据或网络;OT主要关注物质 发生的进程,以及管理生产力、人员和机器。IT技术和OT技术长期存在于各自的 域中,相互隔离。这两个 域都有自己的网络、目标和要求,并且直到 近还处于这种完美的隔离状态。
随着新技术的兴起,越来越多的组织开始愿意接受工业物联网技术,因此各组织需要优化机器、应用程序和基础架构收集、传输和处理数据的方式。如果正确实现融合,则企业将有能力更快速地解决关键问题,做出明智的企业决策,并能够跨越物理和虚拟系统扩展流程。
同样重要的是,为现代IT环境设计的网络安全工具可能不适用于传统的工业控制系统(ICS)。以 个ICS为例,如果其存在的已知漏洞无法修补,并且更换成本又太高,这个ICS仍然需要提供安全保护,并调查漏洞。如果IT在ICS网络上执行端口扫描,则可能锁闭 个PLC,并导致生产关停24小时。如果使用被动式扫描技术就可以避免这种情况,该技术不在网络上引入新流量,而是检查每个数据包。另外,这项技术还提供了各种工具,可以用来检测和审计网络资产,监督配置变化和异常行为,同时将流量源头与目的地绘制出来。如果有数据流入或流出某个ICS,还能够加以识别和跟踪。
人工智能(AI)与工业物联网(IIoT)是主导“工业4.0”对话的两个 热门词汇。人工智能为物联网系统带来了机器学习和决策能力,增强了数据管理和分析能力,并使生产率大幅提高。目前正在使用的人工智能物联网应用实例包括边缘计算、自动交付机器人、数字孪生和协作机器人等。
Ignacio Bravo 伊格纳西奥·布拉沃 Belden 席解决方案设计师(拉丁美洲)
随着新技术不断涌入自动化 域,OT专业人员 直面临各种挑战。在我看来,这是所谓的“IT/OT融合趋势”的 个特征。
初始控制系统从电气控制(以连接在庞大复杂电柜中的电气继电器为基础)向可编程逻辑控制器(PLCs)的演变就是 个很好的例子。PLCs是基于微处理器的设备,因此可以直接应用那些已在IT 域使用的计算技术。这项技术在自动化应用中可以带来诸多好处——比如利用更小巧的机柜容纳更复杂的系统——但是,OT专业人员能否适应这项技术才是成功的关键。
梯形编程语言允许利用当时的‘OT’思维方式(电路和继电器)对这些新系统进行编程和维护。但随着时间推移,当高 编程语言闯入工业 域之后,便顺理成章地得到专业人士的青睐。在过去几年里,工厂车间更新IT技术的间隔时间越来越短,并且这种趋势现在愈演愈烈。
另外,还需要考虑以下几个 域的发展:
当MPLS-TP等通信技术出现时,其凭借各种优点以及易维护性而受到热烈欢迎。
时间敏感网络已经有了早期采用者。
单对以太网的多点能力。
5 G蜂窝网络和WLAN.11ax为无线 域带来了有意义的高带宽和实时改进。
随着这些基础架构不断扩展,利用SOPs来提供安全保护和维护的做法可以使IT和OT满意,这就是 个很好的例子。在过去,在两者之间设置 个正确定义的接口可能就足够了。但是,现在这种做法已经不能再满足需求了。在将来,各 “ 域”将不再像以往那样划清边界。