0已點贊

工業安全該如何做？這7步讓IT/OT高效協同，構建可持續安全計劃

行業科普 2026年01月23日 15:31:12來源：控制工程網 17563

摘要IT和OT團隊需要攜手合作，共同構建一個堅實的安全框架，以應對工業環境中獨特的挑戰。

　　【儀表網行業科普】隨著針對工業系統的網絡安全攻擊的不斷增多，制造企業亟需IT和OT團隊共同構建一個堅實的安全框架以應對工業環境中獨特的挑戰。

　　許多制造企業在啟動工業安全計劃時面臨重重困難，或者已有計劃運行效果不佳。制定一項工業安全計劃需要時間，同時要求企業全神貫注地投入。然而，由于信息技術(IT)和運營技術(OT)團隊通常具備不同的技能且視角各異，工業安全計劃可能會面臨失敗的風險。本文詳細探討了企業在制定一個可持續的工業安全計劃時應該采取的七個步驟。

　　第一步：查找問題

　　承認問題的存在是解決問題的第一步。許多安全計劃都跳過了這一步，認為網絡安全風險對每個人來說都是顯而易見的。但實際上，大多數人只是將網絡風險與那些備受矚目的企業系統遭遇入侵事件聯系在一起。在每天的新聞中都有商務郵件遭篡改或遭受勒索軟件攻擊的報道，然而，工業系統受到攻擊的情況卻很少被披露。

　　對于大多數IT安全計劃而言，模擬真實網絡事件的沙盤推演已成為一種標準做法。然而，這些推演通常集中在企業層面的事件上，例如人力資源系統遭入侵或遭受勒索軟件攻擊。相比之下，進行以生產線等工業資產為重點的沙盤推演能夠更有效地讓企業高層參與進來，并提高他們對OT風險的認識。

　　為了全面了解公司所面臨的風險，建議企業讓運營負責人、工廠經理以及工程團隊至少參與一次工業安全沙盤推演。此推演應聚焦于一項關鍵的工業資產，并從一個影響工業資產的重大且看似合理的網絡事件入手展開討論。

　　典型的工業安全沙盤推演可能是這樣的：一位工程集成人員將一臺筆記本電腦連接到一條關鍵的生產線上，從而引入了惡意軟件。即便公司認為已采取了相關管控措施來防止此類情況發生，但現實中這種場景仍可能出現的。隨后，惡意軟件擴散到該資產內所有基于 Windows 系統的計算機上，包括工業人機界面(HMI)、服務器和工作站，導致這些設備無法恢復正常。

　　在這個時候，保持推演內容的簡潔性十分重要。以下是一些應當討論的關鍵問題：

　　■ 這一事件會對企業業務產生何種影響？

　　■ 能否從備份中恢復該資產？備份系統的可靠性有多高？如果備份遭到蓄意破壞，會發生什么情況？

　　■ 如果所有基于Windows系統的計算機都受到感染，工業生產過程能否安全地停機？

　　■ 這一事件會對安全造成何種影響？

　　第二步：聘請OT“翻譯員”

　　制造企業中OT團隊和IT團隊之間的矛盾可能會阻礙工業安全計劃的推進。這通常是因為兩個領域各自擁有專業技能，且彼此缺乏了解，從而導致溝通不暢。許多組織都存在這樣的情況：一方的行動給另一方帶來問題，進而滋生并加劇了雙方的不信任感。

　　工程師們常常會有這樣的經歷：IT部門對系統的干預會對生產造成負面影響，他們認為IT部門并不了解實際的生產環境。而反過來，IT專業人員也能舉例說明，由于工程師缺乏網絡或服務器方面的知識，導致工業生產出現故障，最終只能在緊急關頭呼叫IT部門進行修復。

　　為了在IT團隊和OT團隊之間建立有意義的對話，工業安全計劃需要聘請一位OT “翻譯員”。OT安全計劃通常由IT安全團隊主導，但很少有IT專業人員真正了解OT系統。增加一位來自OT領域的人員，有助于增加該計劃的可信度，并促進雙方更好地溝通。以下是一些對組織行之有效的策略：

　　■ 內部招聘：如果企業內有能力出眾的工程師能夠參與到該計劃中來，這或許是最佳選擇。這位OT“翻譯員”不一定要是安全領域的專家，但應具備良好的IT基礎，并且有學習的熱情。

　　■ 外部招聘：從企業外部聘請工程師，帶來新的思路和必要的技能。尋找那些具備較強溝通能力且有工業安全領域經驗的人。同時精通工業控制、信息技術和安全領域的人才十分稀缺，因此組織可能需要做出一些讓步。

　　■ 借用外援：在很多情況下，借助一個在工業安全領域有經驗的咨詢團隊可能會有所幫助。在幫助團隊培養自身內部OT/IT能力的同時，這些咨詢團隊的經驗將有助于為該計劃奠定基礎。

　　第三步：了解關鍵業務和OT過程

　　一旦企業表明支持這項工作，并且OT“翻譯員”已就位，接下來的步驟就是了解企業的制造過程。如果存在多個過程，就從被認為對組織影響較大的生產過程入手。

　　為了更深入地了解，親身體驗這個過程會很有幫助。通過參觀工廠，重點關注生產過程以及控制系統在其中的作用。團隊無需了解過程的每一個細節，而應聚焦于關鍵的組件和系統。以下是在參觀過程中需要探討的一些關鍵問題：

　　■ 制造過程的目標是什么？

　　■ 如何對系統進行控制以避免安全問題的發生？

　　■ 在這個過程中，哪些是最為關鍵的系統？

　　■ 如果該系統出現故障會發生什么情況？

　　■ 是否存在其它為滿足監管要求所必需的關鍵控制系統？

　　■ 哪些人有權訪問這些系統，以及如何訪問？員工或第三方是否會為了實施、維護或提供支持而遠程訪問該系統？

　　掌握了這些信息后，工業安全計劃就可以著手對后續步驟進行優先排序了。

　　第四步：了解您的OT資產

　　一些IT安全專家認為,“資產清查”應該是工業安全計劃的第一步，然而，我將其排在了第四步。雖然資產清查很重要，但前三個步驟可以幫助團隊更好地理解資產清查工作，以及各個系統對生產過程的影響。

　　有些企業在尚未了解其生產過程以及支撐該過程的技術背景的情況下，就購買工具來幫助識別資產和漏洞。這可能導致工業安全計劃將重點放在錯誤的資產上，并設定錯誤的優先次序。

　　對于許多企業來說，在建立初步的高層次資產清單時，開源工具(通常是免費的)可能就足夠了。購買現成的工具可以顯著減少創建資產清單所需的工作量，并且往往能更精確地完成這項工作。這些自動化工具可以在資產清查過程完成后投入使用，幫助組織監測環境的變化。

　　OT“翻譯員”能夠幫助團隊安全地將資產清查工具連接到OT網絡，并且應能夠協助解讀掃描結果。如果購買的工具屬于被動型的，只能查看網絡流量，這類系統的風險可能較低，因為它們不太可能對生產系統產生負面影響。還有一些工具是主動型的，可能需要在工業系統計算機上安裝軟件，或者可能產生干擾生產的網絡流量。無論采用哪種方式，都必須格外謹慎，以確保任何資產管理工具都不會危及生產運營的安全。

　　在這個階段，ISA/IEC 62443 系列標準是企業的一個很好的資源，也是工業安全的既定標準。這一系列標準為評估工業系統風險提供了指導。此步驟的關鍵成果之一是按照區域和傳輸通道繪制當前系統的示意圖。ISA/IEC 62443 系列標準對這些概念提供了指導意見，并為開展初步風險評估提供了有用信息。這一步驟的目的是對工作進行優先排序，并確定應納入工業安全計劃的關鍵資產。

　　第五步：發現價值

　　安全計劃通常側重于降低風險，但除了減少網絡風險之外，向OT團隊展示其它方面的價值也同樣重要。如果運營技術團隊能夠從工業安全團隊的舉措中看到額外的價值，就更有可能全力參與其中。以下是工業安全計劃能夠為OT團隊帶來價值的幾個方面：

　　系統備份與故障轉移審查。對關鍵系統進行全面審查，以確保系統備份正常執行，且故障轉移機制正確運行。在初始安裝時，系統集成商通常會部署備份系統或冗余服務器解決方案；然而，隨著時間的推移，這些系統可能未得到妥善維護。及時發現并解決這些問題，可以幫助工廠避免因停機而造成的高昂損失。

　　虛擬化。系統實施過程中經常會用到像VMware這樣的虛擬化技術，但許多集成商在部署這類技術時缺乏經驗，而OT人員通常在管理方面也缺乏相關經驗。團隊應針對這些環境在性能、可靠性或安全性方面的提升進行審查。在提出建議之前，需確保符合工業系統制造商的要求，并對任何變更進行嚴格測試。

　　投資支持。資產清查能夠識別出OT團隊一直無法獲得資金的風險資產。在向管理層描述老舊IT系統的風險方面，工業安全計劃團隊通常更有經驗。一旦安全計劃開始為OT團隊帶來價值，隨之而來的將是更緊密的合作。

　　第六步：實施OT治理計劃

　　安全框架是任何安全計劃的重要基礎。從根本上講，大多數IT組織都遵循某種安全框架，其中最常見的是ISO 27001或NIST 800-53。這些框架都提供了一致的安全處理方法。對于工業安全領域而言，ISA/IEC 62443系列標準是一個重要的實施依據。該系列工業安全標準既可以補充現有的安全框架，也可以在沒有IT安全框架的情況下獨立實施。

　　對于初次部署工業安全計劃的人員，可以從《ISA-62443 工業自動化和控制系統安全第 1-1 部分：術語、概念和模型》開始了解。該標準很好地概述了該框架，ISA還提供了在線培訓，以幫助加深理解。

　　接下來，查看《第 2-1 部分：工業自動化與控制系統(IACS)資產所有者的安全計劃要求》。這一標準包含了對工業安全計劃至關重要的計劃層面的要求。對于熟悉ISO 27000系列標準的人來說，這一標準與ISO 27002類似，因為它定義了具體的要求和指導方針，不過是針對工業安全領域的。

　　ISA 62443 標準第2-1部分的一些要求，與傳統的網絡安全框架存在重疊之處，但也有許多內容是工業安全領域所特有的。此外，它還包含了與 ISO 和 NIST 等傳統框架的對照關系，因此可以有效避免重復工作。

　　第七步：注重實際

　　一旦安全計劃制定完成，OT與IT團隊之間的合作關系得以建立，讓所有工業領域的員工參與其中就顯得尤為重要。這些員工包括運行人員、維護公司人員和承包商等。

　　對于制造企業來說，安全運營是其一項基本價值觀。因此，工業安全計劃應融入安全保障與安全生產的理念，以強化宣傳內容。就像重視安全生產一樣，企業需要花時間與員工探討安全保障問題，以及這些問題對其可能產生的影響。

　　安全威脅不斷演變，因此員工必須明白其決策如何有助于維護一個安全可靠的環境。為了有效吸引員工參與，不僅要通過安全意識培訓讓員工了解需要采取哪些措施，還要讓他們明白為什么要采取這些措施。通過真實的案例幫助員工了解不良后果的嚴重性，以及其行為如何避免這些后果的發生。

　　IT與OT之間的關系，是任何工業安全計劃都需要悉心培育的關鍵基礎。當IT和OT團隊能夠攜手合作，并相互欣賞對方的優勢時，他們就能共同構建一個堅實的安全框架，以應對工業環境中的獨特挑戰。

我要評論

昵稱

匿名

文明上網，理性發言。（您還可以輸入200個字符)

表情

所有評論僅代表網友意見，與本站立場無關。

儀表網首頁資訊首頁

延伸閱讀

版權與免責聲明

凡本網注明"來源：儀表網"的所有作品，版權均屬于儀表網，未經本網授權不得轉載、摘編或利用其它方式使用上述作品。已經本網授權使用作品的，應在授權范圍內使用，并注明"來源：儀表網"。違反上述聲明者，本網將追究其相關法律責任。
本網轉載并注明自其它來源的作品，目的在于傳遞更多信息，并不代表本網贊同其觀點或證實其內容的真實性，不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網站或個人從本網轉載時，必須保留本網注明的作品來源，并自負版權等法律責任。
如涉及作品內容、版權等問題，請在作品發表之日起一周內與本網聯系，否則視為放棄相關權利。
合作、投稿、轉載授權等相關事宜，請聯系本網。聯系電話：0571-87759945，QQ：1103027433。