當說到IT技術和OT技術融合時,哪種技術會發揮更為關鍵的作用,對此你是否有個人的傾向性?也許當你停下來仔細思考這兩種技術的差異時,你就會不自覺地有了答案。
但從發展的角度來看,為了能夠使企業變得更敏捷、更高效、更富有彈性并 終增強企業的贏利能力,我們可能需要從IT與OT兩個方面共同推動的這場技術變革。針對IT與OT融合所面臨的各種挑戰,我們也曾與該 域的專 進行探討,以下是他們分享的見解。
Greg Hale格雷格·黑爾 ISS Source編輯
多年來,業界 直在爭論IT與OT融合的問題。如果說這場新 疫情帶來了什么好處,那就是使IT/OT融合變得更加可行,或者說正在變成現實。回望過去,IT與OT部門之間始終存有分歧。我記得曾經在 次OT部門的會議上, 位演講者剛提與IT部門合作就招來 片噓聲。
往者不可諫,來者猶可追。無論過去、現在還是將來,良好的溝通仍然是這兩個部門所面臨的主要挑戰。IT與OT之間確實存在著技術差異,雖然防火墻兩側的智能安全專 們能弱化這些差異,但真正能夠發揮作用的方案是讓IT與OT部門心平氣和地坐下來,開誠布公的探討各自所面臨的問題,并且從 符合企業利益的角度制定決策。
當OT部門說他們需要24小時全天候運行時,就 定會這么做,IT部門需要給予充分理解,而OT部門也應該明白,IT處理安全業務問題甚至需要更長的時間,他們能夠理解OT部門的需求。
這種層面的溝通不能敷衍了事,而是需要自上至下地徹底貫徹執行。在 個成功的企業中,時時都會體現出這種溝通方式,每個人都清楚相關計劃,并充分理解自己所從事崗位的重要性。在這種環境中工作的團隊將始終表現出積 進取的精神。
Kevin Holley凱文·霍利 Belden客戶創新中心總監
IT網絡與OT網絡融合將會產生什么影響?這是IT與OT專業人員所面臨的 大挑戰之 。隨著工業4.0規模的不斷擴大,工廠車間的自動化設備和傳感器也將產生越來越多的數據。由于自動化系統產生了大量的數據,這就要求IT與OT網絡能夠處理不斷增長的數據流。如何高效傳輸這些數據流,同時又不削弱OT網絡的運營完整性,這將是 項重大挑戰。與此同時,還需要優 考慮質量、安全和正常運行時間等因素。
Lane Thames萊恩·泰姆 Belden 席安全研究員
網絡資產管理是 個至關重要的網絡安全組件,因為它使我們的網絡具有可見性。如果網絡沒有可見性,我們的網絡系統就無法獲得安全保護。20年前我們的網絡規模不大,網絡的差異較小,網絡也容易管理。但今天的情況大不相同,我們的網絡非常龐大,地理分布 廣,網絡環境也千差萬別,比如內部系統和云系統,這就對網絡資產管理有了更高的要求。
另外我們也正在進入工業發展的 個新階段,就是人們常說的“工業4.0”。工業4.0是 種范式轉變,涉及數字化轉型、工業物聯網(IIoT)以及IT系統與OT系統融合等事項,而OT技術應用于工業設施內部,相當于生產企業的“車間”。OT 域的網絡資產管理組件與IT 域不同,具有更強的挑戰性。技術專業人員的當務之急是準確完整地實現跨IT和OT 域的網絡可見性。理由有很多,既有技術因素,也有人為因素。舉例來說,受工程設計和性能等因素限制,IT 域中的常用安全技術往往不能用于OT 域。另 方面, IT與OT專業人員的技術背景和處理問題的側重點差別較大。從網絡資產管理和網絡安全的角度來看,這可能會導致相互協作變得越來越困難。
當我們展望不久的將來,發現形勢將會變得更加嚴峻。隨著我們IT-OT系統內部出現更全新和更豐富的工業物聯網資源,情況也將變得越來越復雜。 新的工業物聯網技術將與云資源以及傳統的IT-OT系統進行通信,這又將進 步增加復雜性,給跨IT-OT-云分區的整體可見性設置挑戰。不久之前,我觀看了 份項目演示資料,其中幾個可編程邏輯控制器(PLCs)與“傳統的”生產制造OT網絡連接。同時,這些PLCs又與 個蜂窩調制解調器連接,并向 個云服務提供商內部的MQTT代理服務器發送數據。整個IT/OT云系統都將為各種迥然不同的系統提供服務,而未來的可見性技術也必須圍繞這些迥然不同的系統展開。
Michael Sanchez邁克爾·桑切斯 ITEGRITI 公司 席執行官
看看我們的周圍,科技無處不在。傳統的IT系統主要專注于傳輸、處理和存儲數據,而OT系統則專注于控制物理設備。IT系統的主要安全問題包括保護敏感數據的機密性、完整性和隱私性,比如個人身份信息(PII)以及受保護的電子健康信息(ePHI)。相比之下,對OT系統來說, 重要的是數據的安全性、可靠性和可用性。
在過去十年中,發生了重大的范式轉變,現代OT系統的制造和交付開始越來越多地附帶IT功能,其傳統做法是采用“實體隔離”和專有通信協議。IT與OT技術的融合使標準互聯網協議得到應用,也使性能和速度達到前所未有的水平,進而推動了物聯網的誕生。在工作環境中也越來越流行使用自帶設備(BYOD),在部分報告中顯示,“6G”技術的運行速度將比5G快100倍。
大多數的個人和企業組織都希望利用新工具和新思路提高效率,但網絡犯罪分子關注的是通過黑客、勒索軟件或病毒獲得利潤或取得優勢條件,并通過部署物聯網設備迅速擴大攻擊范圍。目前,以謀利為動機的網絡罪犯開始掌握越來越 進的技術,犯罪手段也更加老練,他們可能躲在 任何地方進行遠程操作,借助人工智能(AI)等 系列新工具和新戰術的支持實施犯罪。因此,各國也開始深入了解關鍵性的國 基礎設施和犯罪分子攻擊的目標,使打擊犯罪活動所需的各項能力更成熟。
當部署新產品時,通常沒有既定標準,因此其管理、服務和安全很難獲得保障。要想使BYOD和遠程工作環境更普及,就需要實施更強的安全保障方法,這就提出了如何支持庫存、監控、基線、補丁、更改和配置管理的問題。為了應對這些挑戰,各組織不能僅僅遵從于滿足 低標準,還應打破 “條條框框”,尋找 進的安全解決方案。結合目前的發展,僅使用傳統的防火墻、路由器和交換機是不夠的。保護當今OT/IoT設備的關鍵在于擁有 進的安全技術,比如云計算、人工智能(AI)和 威脅情報(GTI)。
Divij Agarwal 迪威·阿加瓦爾 BELDEN高 產品經理
IT/OT目前面臨的 個重大挑戰是數據管理和治理,這個問題在未來也將會不斷出現。從數據存儲、傳輸和分析角度來看,隨著越來越多的OT設備實現聯網和連接,數據管理方面的潛在問題正在急劇增長。各組織機構需要制定 項強大的數據治理政策,這項政策必須說明需要通過什么方式存儲、管理、訪問和分析數據,并且必須明確責任主體。
數據是下 個黃金。工業數據已經發現 些應用 域,例如機器學習和人工智能技術有助于改進業務績效和機器效率,并減少宕機時間。因此,為了避免數據丟失、被盜、損壞和濫用,妥善保護這些數據至關重要。
今天生成的數據不是事務型數據,不能存儲在簡單的關系數據庫中,也不能在不同的網絡或設備之間共享。今天的應用程序、機器和設備生成的數據在種類、速度和數量方面各不相同——換句話說,這就是大數據。處理大數據需要IT組織與OT組織密切合作,任何 個孤立的實體都無法獨自管理大數據。OT必須確保數據準確、唯 、安全、結構化并且有意義,而IT需要確保數據的可用性、機密性、完整性和持久性。
個典型的數據生命周期由創建、讀取、更新和刪除組成。邊緣層在數據生命周期管理中發揮關鍵作用。邊緣層網絡位于OT和IT之間,包括邊緣層網關和應用程序,負責幫助在IT和OT系統之間執行數據轉換、標準化、聚合和收斂。所有的OT系統互不相關,這些系統生成的數據也迥然不同,為了能夠利用 IT工具存儲和分析這些數據,就必須使這些數據實現標準化和聚合。因此,在未來幾年里,邊緣層將繼續在IT-OT融合中發揮關鍵作用——尤其是在數據管理和治理 域。
Chris Furtick 克里斯·弗蒂克 Fortalice Solutions 事件響應和規劃總監
在我看來,IT/OT專業人士目前面臨的 大挑戰與技術無關;“工作”時間與個人/ 庭時間之間的界限變得越來越模糊才是問題所在; 爆發新 疫情期間,我們已經看到許多崗位都可以通過遠程工作發揮作用,這使許多專業人員愿意接受“在 辦公”的工作文化。我們可以在任何地方工作,這是事實。但這個事實已經變成 種心態,它使我們感覺現在隨時隨地都在工作。
技術專業人士必須注意適時與電腦、平板電腦和智能手機斷開聯系,把關愛留給 人和朋友。否則,就會很容易成為“緊急事情的奴隸”,使你被迫犧牲那些本應放松和充電的時間。我相信,這種情況很快就會成為誘發心理健康問題的主要禍根。
如果公司關心員工,并積 鼓勵員工關注自己心理健康,那么他們 定會吸引并留住頂尖人才;但作為員工來說,也不能單純地等待雇主提醒自己注意心理健康。
Argiro Birba 阿基羅·比巴爾 ADACOM網絡安全保障高 經理
我們現在的生活和工作處于 種完全互聯的技術生態系統中,核心的工業自動化已變得不再重要。但是,當OT部門與IT環境融合時,OT部門也繼承了安全不足的缺陷。OT網絡和OT系統在物理上是隔離的,從理論上講是安全的,但現在卻面臨著各種全新未知的安全挑戰。
十年前, OT環境中的安全性測試主要針對單個產品和系統。如今,在評估相同的環境時,OT環境的作用變得更加明顯。融合后的IT和OT架構將成為 個單 架構,而OT環境作為其中的 部分目前需要進行測試。
出于這個原因,我們開始構建 系列的安全和治理計劃,并專門成立了 個網絡安全小組,其工作目標是改善IT/OT架構的安全狀況。即便如此,要想成功測試和保護我們的IT/OT環境, 個 重要的因素就是證明評估IT/OT環境是必須的。為保障IT/OT環境的安全性,還需要評估是否有必要進行監管和主動出擊。
后,我們必須不厭其煩地研究OT系統的敏感性,考慮如何滿足其持續可用性需求。因此,我們必須開發詳細的、結構化的、以OT為導向的測試方法。
總而言之,為了成功測試IT/OT環境,我們需要解決各種重大差異,比如物理測試與邏輯測試之間的差異。此外,在OT部門工作的專 們應當接受繼續教育,更深入地研究OT服務和OT系統的安全性,不能僅僅停留在IT 域。如果我們能夠參與進來,無論在物理層面還是邏輯層面,我們都將推動IT/OT架構更快獲得高安全性。
從傳統來看,IT專業人員負責創建、存儲和保護 個組織的數據或網絡;OT主要關注物質 發生的進程,以及管理生產力、人員和機器。IT技術和OT技術長期存在于各自的 域中,相互隔離。這兩個 域都有自己的網絡、目標和要求,并且直到 近還處于這種完美的隔離狀態。
隨著新技術的興起,越來越多的組織開始愿意接受工業物聯網技術,因此各組織需要優化機器、應用程序和基礎架構收集、傳輸和處理數據的方式。如果正確實現融合,則企業將有能力更快速地解決關鍵問題,做出明智的企業決策,并能夠跨越物理和虛擬系統擴展流程。
同樣重要的是,為現代IT環境設計的網絡安全工具可能不適用于傳統的工業控制系統(ICS)。以 個ICS為例,如果其存在的已知漏洞無法修補,并且更換成本又太高,這個ICS仍然需要提供安全保護,并調查漏洞。如果IT在ICS網絡上執行端口掃描,則可能鎖閉 個PLC,并導致生產關停24小時。如果使用被動式掃描技術就可以避免這種情況,該技術不在網絡上引入新流量,而是檢查每個數據包。另外,這項技術還提供了各種工具,可以用來檢測和審計網絡資產,監督配置變化和異常行為,同時將流量源頭與目的地繪制出來。如果有數據流入或流出某個ICS,還能夠加以識別和跟蹤。
人工智能(AI)與工業物聯網(IIoT)是主導“工業4.0”對話的兩個 熱門詞匯。人工智能為物聯網系統帶來了機器學習和決策能力,增強了數據管理和分析能力,并使生產率大幅提高。目前正在使用的人工智能物聯網應用實例包括邊緣計算、自動交付機器人、數字孿生和協作機器人等。
從傳統來看,IT專業人員負責創建、存儲和保護 個組織的數據或網絡;OT主要關注物質 發生的進程,以及管理生產力、人員和機器。IT技術和OT技術長期存在于各自的 域中,相互隔離。這兩個 域都有自己的網絡、目標和要求,并且直到 近還處于這種完美的隔離狀態。
隨著新技術的興起,越來越多的組織開始愿意接受工業物聯網技術,因此各組織需要優化機器、應用程序和基礎架構收集、傳輸和處理數據的方式。如果正確實現融合,則企業將有能力更快速地解決關鍵問題,做出明智的企業決策,并能夠跨越物理和虛擬系統擴展流程。
同樣重要的是,為現代IT環境設計的網絡安全工具可能不適用于傳統的工業控制系統(ICS)。以 個ICS為例,如果其存在的已知漏洞無法修補,并且更換成本又太高,這個ICS仍然需要提供安全保護,并調查漏洞。如果IT在ICS網絡上執行端口掃描,則可能鎖閉 個PLC,并導致生產關停24小時。如果使用被動式掃描技術就可以避免這種情況,該技術不在網絡上引入新流量,而是檢查每個數據包。另外,這項技術還提供了各種工具,可以用來檢測和審計網絡資產,監督配置變化和異常行為,同時將流量源頭與目的地繪制出來。如果有數據流入或流出某個ICS,還能夠加以識別和跟蹤。
人工智能(AI)與工業物聯網(IIoT)是主導“工業4.0”對話的兩個 熱門詞匯。人工智能為物聯網系統帶來了機器學習和決策能力,增強了數據管理和分析能力,并使生產率大幅提高。目前正在使用的人工智能物聯網應用實例包括邊緣計算、自動交付機器人、數字孿生和協作機器人等。
Ignacio Bravo 伊格納西奧·布拉沃 Belden 席解決方案設計師(拉丁美洲)
隨著新技術不斷涌入自動化 域,OT專業人員 直面臨各種挑戰。在我看來,這是所謂的“IT/OT融合趨勢”的 個特征。
初始控制系統從電氣控制(以連接在龐大復雜電柜中的電氣繼電器為基礎)向可編程邏輯控制器(PLCs)的演變就是 個很好的例子。PLCs是基于微處理器的設備,因此可以直接應用那些已在IT 域使用的計算技術。這項技術在自動化應用中可以帶來諸多好處——比如利用更小巧的機柜容納更復雜的系統——但是,OT專業人員能否適應這項技術才是成功的關鍵。
梯形編程語言允許利用當時的‘OT’思維方式(電路和繼電器)對這些新系統進行編程和維護。但隨著時間推移,當高 編程語言闖入工業 域之后,便順理成章地得到專業人士的青睞。在過去幾年里,工廠車間更新IT技術的間隔時間越來越短,并且這種趨勢現在愈演愈烈。
另外,還需要考慮以下幾個 域的發展:
當MPLS-TP等通信技術出現時,其憑借各種優點以及易維護性而受到熱烈歡迎。
時間敏感網絡已經有了早期采用者。
單對以太網的多點能力。
5 G蜂窩網絡和WLAN.11ax為無線 域帶來了有意義的高帶寬和實時改進。
隨著這些基礎架構不斷擴展,利用SOPs來提供安全保護和維護的做法可以使IT和OT滿意,這就是 個很好的例子。在過去,在兩者之間設置 個正確定義的接口可能就足夠了。但是,現在這種做法已經不能再滿足需求了。在將來,各 “ 域”將不再像以往那樣劃清邊界。
??QQ:1325426082廣告業務:
