網絡安全等級保護2.0現在已經為大多數單位所知，在《網絡安全等級保護基本要求》的擴展要求部分，有專門的針對工業控制系統的測評要求。伴隨著我國工業制造技術的升級，未來信息化必然不斷助推工業4.0發展，信息安全必然更加凸顯。而傳統工業控制系統使用場合，IT與OT之間總存在著不可逾越的隔閡。未來IT-OT如何更好合作參與信息安全和生活生產中來，共同推進生產與信息安全工作，最終找到一個完美的平衡點，一直是網絡安全領域的話題，當下世界各國也都將關鍵信息基礎設施的保護，看成重中之重。

很多人也知道，在《網絡安全法》中既有對常規網絡的保護要求，也有對關鍵信息基礎設施增強保護要求。關鍵信息基礎設施，大多集中在工業控制系統領域，所以了解一些IT-OT融合還是有點意義的。

這些問題IT方面的信息管理人員很難回答，因為你不能保護你不了解的東西。大多數工業組織的首席信息官和首席信息安全官員對其運營技術（OT）環境并沒有太多的了解。他們在IT領域擁有專業知識，包括構成這個動態環境的網絡、服務器、端點和應用程序，主要側重于保護信息。工業控制系統，重點保護工業系統的可用性，服務于工業生產。

與IT不同，OT環境中的技術是專門用于監視和控制物理過程和設備的。環境配置往往是相對靜態的，除非發生故障或操作參數的變化是必要的，否則配置不會更改。意味著這些設備和網絡通常可能保持持續數十年，更新換代可能比IT的三到五年的時間要長幾代。此外，在OT工作的人員的主要關注點是保持正常運行，并確保產出符合設計規格，并按計劃交付。

隨著惡意行為者越來越關注制造業和其他工業目標，IT和OT必須共同努力，以更好地保護業務。但是將傳統的IT安全方法直接應用于工業系統業務的OT方面，并不一定能很好地轉化。作為一名安全從業人員，需要考慮的一個基本問題是，如何在運營領域獲得你需要的可見性和影響力，以解決你的領導層所提出的關于IT在工業信息化過程中支持OT的問題？

根據國外的專題文章，我們總結以下三點供大家一起探討

1.與OT協作，根據更廣泛的安全戰略和目標，為運營領域創建量身定制的安全計劃。

該想到IT和OT環境之間存在的差異，然后接受這樣的現實：即使IT方面你做的很成功，也不能把IT在方面的經驗，直接轉化成OT。您需要綜合考慮總體安全目標，然后與OT通力合作制定專門針對該領域的信息安全計劃。通過在企業范圍內包含OT安全的計劃，可以優先考慮投資以符合業務部門目標，而不是IT驅動因素。

2.圍繞網絡安全建立一個共同的術語表和參考框架。

意味著要考慮IT安全人員所熱衷的事情（例如，威脅和漏洞），不能將其轉化為運營領域的擔憂（例如，停機時間和質量受損），以顯示正確的安全投入如何能夠真正改善運營成果。可以降低不安全OT事件的可能性，以及采取保護措施建立共同安全基礎。

3.采取一些近期的安全措施，獲得短期可見利益。

使用您共同創建的OT安全計劃，通過合作伙伴關系來識別和實施一些當前未實現能夠顯著改善環境的安全保護措施，同時不會對操作造成負面影響。一些可以支持關鍵業務部門目標短期勝利，可以幫助建立初步信任。

最終，IT-OT融合的目標是通過有效的網絡保護使OT方面更具彈性，并為高級管理人員提供信心。通過展示使用一系列主動的方法，盡可能地改善OT安全性，同時滿足業務優先級，更有可能獲得所需的投入。這些投入將允許實施與企業組織的預期業務成果相一致的長期戰略，并大大增加OT環境的安全狀況。

接觸工業控制系統過程中，必然會接觸OT這個專有名詞，他在工業控制系統信息化中，作用是非常重要的，也是在工業系統信息化過程中無法逾越的關鍵。那么在談OT，先把OT的名詞解釋再做一遍說明，OT是兩個英文單詞Operational Technology 的首字母，翻譯過來就是運營技術、操作技術。我們在此就用“運營技術”稱之。

IT和OT 為降低不同層面的風險以及成功解決攻擊問題，必須不可避免的需要協同工作。在國外某專欄中，他提供了有關IT和OT環境融合過程中出現的一些障礙，提供了一些見解，以及給出融合初期的一些實際步驟。從看埃森哲咨詢公司（Accenture Consulting）所做的調查，認為克服不同部門間的文化障礙和組織孤島，是當前IT-OT整合的最大挑戰，融合需要進一步深入研究探討。

消除IT和OT在實踐環境之間的脫節，需要受到兩個主要因素的驅動。

第一個催化劑是監管要求。當評估和審計發現某個組織不符合某些標準或新出現的要求時，董事會和高管團隊將要求IT和OT領域的領導者共同遵守，監管要求基本上與我們常說的合規性要求同方向的。

第二個催化劑是惡意行為者。惡意行為者越來越關注工業目標如電網、基礎制造工業和其他關鍵基礎設施。IT 和 OT必須通力合作才能有效的降低風險并成功解決攻擊，是不可回避的一個現實問題。

等到領導下達命令或正處于攻擊的壓力下，再去嘗試處理與其中一方的文化障礙和組織孤島，是很不明智的選擇。那么從IT從業人員角度，再一起討論作為一名IT安全從業人士，可以嘗試以下五項建議，幫助你更加積極有效的與對應的OT方通力合作，以更加優越的姿態保護生產業務安全、網絡信息安全。

1.讓正確的人參與進來。

從開始，你需要確保正確的人參與到討論的桌面上來。通常情況下，由執行管理層建立了推動政策、程序、要求和愿景。然后高級IT人員必須確保正確的安全控制措施符合業務需求和要求。OT們必須為支持更廣泛的安全策略和目標，在運營領域制定計劃，同時不會對運營產生負面的影響。這應該與OT領導者及技術支持領導共同創建，這些人員來自表現最好或最關鍵的部門。無論是內部還是外部，都需要值得信賴的顧問。顧問可以在討論過程中，幫助促進建立聯系，在提供解決問題的創新解決方案方面發揮重要作用。

2.尋找其他基于技術的解決方案。

IT人員尋找解決威脅和漏洞最有效的方法，可能是直接修補系統。但是這種方法可能需要將系統每次脫機幾個小時，而這在OT環境中的任務關鍵型系統中通常是不可行的。相反，想想所需的結果，并尋找替代方法來達到預期目標。通常在實現安全目標的同時，還有另一種可選技術項，并做到尊重OT環境中系統的局限性。例如，如果您不能直接接觸系統，則將其隔離并僅允許通過授權的通信。

3.可以欣賞的技術并不總是唯一的答案。

有許多方法不需要基于技術的控制，可以支持實現安全策略和目標。例如，建立簡單且行之有效的安全管理規定，每當用戶訪問公司PC時就必須顯示一個登錄身份標識，對可能的入侵者予以警告，防止系統的非法使用，建議合法用戶使用可接受的安全策略，并對使用策略進行監控。在OT環境下，系統連續運行，授權用戶在每個班次都不能重新登錄，改變系統。那么你如何解決這個需求呢？一個簡單的解決方案，不涉及任何IT投資，不用昂貴的軟件，是打印提醒警示語，并將警示語粘貼到物理顯示器上，以示驚醒。

4.不要擔心重復。

IT和OT環境都有自己的技術人員，所以技能組合必然會有一些重疊，可能會導致彼此雙方視對方為一種威脅。當然，一般都不愿意承擔另一個團隊的責任，可以通過了解兩個團隊的責任分工不同，劃分權限責任來解決。OT不愿意接受IT領域的關鍵業務服務，包括電子郵件，互聯網訪問和備份，這些都在IT團隊領域的擅長的內容。另一面，IT不準備承擔OT環境中可能造成嚴重后果的系統故障。現實情況是，IT和OT技能集應該是相互磨合和補充的作用。

5.應該擴大對OT的支持。

對于整個基礎架構的更好的保護，可見性至關重要。但是，所謂術業有專攻，當每個專業的人使用不同的技術時，要全面了解運營領域技術確實是一個挑戰。IT方面的最新系統如Windows和Mac OS環境不一定能直接轉化為OT領域來使用。新系統一般是不能直接適應多年來已有并已經適應運營的OT環境中來。這些系統中的有許多是需要運行Linux或Unix。在這里，對IT方面的投資，就應該區分對工具和人員，并進行一個優先級排序，擴大整個企業的可見性，IT人員應有能力支持運營領域依賴的系統。

世界唯有變是不變的，不過有些改變從來就不是一件容易的事情，在整個OT環境中，改變的欲望一般都很低。所有事情一樣，時間就是一切。你必須選擇你的時刻，例如，當針對工業部門的攻擊研究變得可行時或正在國家政府在制定新的法規時，必須提前做好準備抓住這些改變機會的窗口。通過合作伙伴關系，展示OT環境和業務的真正利益聯系，你開啟機會的窗口將保持更長的時間。

接上面一句話“當針對工業部門的攻擊研究變得可行時或正在國家政府在制定新的法規時，必須提前做好準備抓住這些改變機會的窗口”，其實我們從國內外媒體上，領略了伊朗核電站“震網”攻擊事件、烏克蘭國家電網大面積停電事件、WannaCry勒索病毒有可能影響工業控制系統、黑客演示攻擊風能發電場等新聞報道，其實正是針對工業系統攻擊研究變成了事實，其可行性已經確鑿無疑了。也正說明了，這啟示全世界工業控制運營技術人員攻擊窗口開啟，IT與OT必須通力合作，抓住轉變的機遇，更好的服務工業控制信息系統安全。