作者 | 伍杏玲

出品 | CSDN

在工业 4.0 和数字经济的发展促进下，工业互联网作为连接工业经济的重要要素，成为推动数字经济发展的重要基础设施。据统计，到 2025 年，全球 IoT 连接设备数量达 519 亿。

然而在 OT 和 IT 融合趋势下，针对 OT 系统的攻击持续升级。据 IDC 预计，在核心基建的物联网安全方面，到 2025 年，增加的边缘 IoT 设备将对城市的关键基础设施带来巨大的安全威胁，由此引发的网络攻击将增加一倍，使物联网安全保障成为城市管理方面的首要投资重点。

如何构筑 OT 安全，让企业和开发者立于不败之地？11 月 16 日，在 2022 Fortinet工业互联网安全发展峰会上，Fortinet 中国区总经理李宏凯、IDC 咨询有限公司研究总监王军民、Fortinet 中国区技术总监张略等专家齐聚，分享 OT 安全的最新思考与最佳实践。                                     

工业 4.0 革命下，OT 安全不容忽视

Fortinet 中国区总经理李宏凯表示，工业企业走向开放的数字化世界，实现 IT 和 OT 的融合，使生产力更高效，竞争力更强大，这符合工业 4.0 的发展方向，也是企业发展的必然趋势。

（Fortinet 中国区总经理 李宏凯） 

与此同时，在万物互联、碳中和、制造业人工智能和大数据分析兴起、数字化供应链这四大新兴趋势下，持续推动 OT 资产与外部世界的紧密互联，不断激增的数字攻击面势必令传统物理隔离环境支离破碎，企业面临的攻击风险也将日益增多。

结合多年对行业的观察，王军民表示，当前工业互联网的企业和开发者正面临以下安全风险：

一是网络边界风险。缺乏安全域隔离、访问控制管理弱、协议识别少、硬件鲁棒性差；

二是异常行为风险。缺乏准入控制，攻击识别能力差，对恶意代码的识别能力差，缺乏安全审计；

三是运维管理风险。责权利界定模糊，缺乏优秀专业的安全人才，运维依赖和缺乏管控，并没有做到定期巡检；

四是计算环境安全风险。没有安全终端安全产品，样本库更新不及时，缺少终端管理。

如何灵活应对这些 OT 安全风险？构建一套弹性安全体系成为工业企业迫在眉睫的事。

（IDC咨询有限公司研究总监 王军民） 

融合“双刃剑”下，构筑 OT 弹性安全体系迫在眉睫

张略表示，IT 和 OT 融合是大势所趋，原来 OT 是安全物理隔离的网络，一旦走向融合，OT 有了重大改变——走向开放。需要打通通路让信息自由进出工业互联网，让生产制造要求能快速下达给生产的机器、工厂，才能提高生产效率，因此 IT 和 OT 融合像是一把“双刃剑”，在提高效率的同时还带来了新的安全风险。

（Fortinet 中国区技术总监 张略） 

在融合升级的过程中，我们可以用前沿 IT 思维和方法论来指导 OT 网络的安全建设，其中有一个是零信任方法论。在零信任中，所有 OT 网络设备、操作人员应先经过身份认证后才能以合适的权限接入到 OT 网络里对 OT 进行操作和更改。

同时我们观察到 OT 安全的特殊性，如 IoT 设备使用无线或 LTE 网络直连云端的话，将来自物联网威胁直接攻击 OT 网络，又如缺乏 OT 设备及 OT 协议可视化，安全设备部署没涉及“最后一公里”，一台机器中毒的话，将可能会导致全厂停产，针对这些问题，Purdue 模型是国际上公认的解决思路，Purdue 模型将 OT 网络划分成不同区域，实现 IT、OT 的环境隔离，来防止安全事件的快速传播，将安全事件限定在一个有限的区域中，减少了影响。该模型可适应 OT 系统要求。

洞悉这些 OT 安全的变化，Fortinet 结合普渡模型和 Security Fabric 安全架构，构建全面、智能、弹性的 OT 安全体系，建设可信任的 OT 数字空间，实现网络微分段、资产全面可视化、设备准入控制、高级威胁防御，并借助主动安全、OT 安全态势感知平台，保护产业数字化转型。

为什么是 Fortinet？

为什么由 Fortinet 来做这件事？

Fortinet 北亚区首席技术顾问谭杰表示，在打造 OT 安全上 Fortinet 拥有以下四个优势：一是拥有强大的硬件优势，可适配 OT 系统特殊性，如针对 IEC 61850-3 和 IP 防护等级等要求，设计 FortiGate Rugged、FortiSwitch & FortiAP Rugged 等一系列加固型放火墙、交互机等在 OT 网络里大量使用的硬件，比一般 IT 防火墙，在防火防尘防震动，耐高低温上有很大提升。

二是倒置模型的可操作性要求非常高。Fortinet 的 NP 网络处理器已来到第七代。Fortinet 的专用安全处理器 (SPU) 从根本上提高了Fortinet 解决方案的速度、支持的网络规模规模、安全过滤的效率和带来 的价值，SPU在满足安全过滤功能的同时将网络延时降到了微妙级别，对工业互联网来说，低延时很重要。 在软件适配上，防火墙、EDR等产品中，加入了针对 OT 特性相应的软件和系统。

三是针对威胁情报上，针对各种 OT 攻击、病毒渗透、OT 设备识别等，Fortinet 云端结合的防护系统能提升系统的防御效果。

四是适配服务和专业生态系统。Fortinet 拥有十几年的 OT 安全经验，在全球电力与公用事业、石油和天然气、水处理、制造业、交通运输、智能基础设施等关键领域上，拥有大量头部 Top 客户及案例。培养众多经验丰富的 OT 专家，目前 Security Fabric 生态系统集成超 500。

据悉，Fortinet 已将 OT 安全视为重点战略之一，2021 年 OT 业务增长 75%，发展十分强劲。