网络安全与IT/OT融合:数字化转型之路

如今，构成公司工业运营的技术发展速度比以往任何时候都要快。相互竞争的平台在市场主导地位和用户偏好方面相互超越，而从投资者那里获得大量资金的初创企业则撼动了既定的规范。并购可以改变创新的轨迹，并影响专家对未来的猜测，为那些试图预测未来的人创造一个移动的目标。

这些事实本身就使领导者很难把握他们的选择，但不仅仅是现有的技术和解决方案在发生变化。人们、组织和社会正在努力解决的潜在问题也在发生变化。例如，在几十年前，控制环境中的网络安全并不是最受关注的问题，用户和客户数据的隐私也不是。

当我们知道事情在快速发展时，我们可以得到安慰，它们不会发展得太快以至于我们无法理解，我们正在共同经历变化的浪潮。如果将问题归结为核心，我们回顾一下自己组织和同行的过去和现在，下一步就不难确定了。

信息技术(IT)是一个广泛的术语，但今天它用于描述企业使用的计算机系统和网络。另一方面，操作技术(OT)描述了监视或控制工业设备和过程的系统。两者都出现在相同的时间范围内，使用类似的底层技术。然而，他们是在相对孤立的情况下这样做的。有时，一方的一些创新被另一方采用。以太网就是一个很好的例子，它在商业环境中取得成功后，又被应用于工业环境。

IT和OT开始融合

随着时间的推移，互联OT系统并将其连接到互联网对组织的财务和竞争价值开始改变格局。云计算和集中式虚拟服务器基础设施承诺(也确实做到了)提供规模经济和降低运营成本。智能制造技术，如制造执行系统(MES)和预测分析，承诺(并且确实)允许组织根据工厂现场的实时情况，以知情和优化的方式做出业务决策，这使实施这些技术的组织比那些没有实施的组织更具优势。

工业系统连接起来，路由到互联网，并集成到商业网络中。在“第四次工业革命”或“工业4.0”的压力下，成立了任务组来引导组织向“现代工厂”的“数字化转型”。的趋势IT和OT的融合(又名工业IT)和利用工业物联网(IIoT)的追求已经开始。

这段历史对于理解和解释为什么事情是今天的样子，以及破译一个组织下一步应该往哪里走是至关重要的(参见图1)。遗留的面包屑通常仍然存在，这在今天仍然对我们构成挑战——工业通信协议是开放的和不安全的，孤岛网络仍然存在，需要重新联网到企业明智的架构中，工业IT基础设施的所有权通常没有完全建立。连接激增可能会使系统面临严重威胁企业健康的网络安全风险，导致工业控制系统(ICS)网络安全在底层环境首次出现几十年后迅速发展成为一个数十亿美元的行业。

识别工业IT“层”

许多组织都在努力开发稳定、安全的工业IT基础设施，并为追求智能制造技术奠定基础。常见的(有效的)原因包括:

• 投资回报率(ROI)很难计算，而且基础设施成本通常很高
• 这些技术及其好处并没有被广泛理解
• 维护基础设施的技能集很难找到。

除了这些挑战之外，或许还超越了这些挑战，组织并不总是将基础设施视为其OT系统中的自己的“层”。相反，许多人——尤其是那些不懂技术的人——把基础设施和控制系统混为一谈。通过这样做，它使得组织很难或不可能识别和投资基础设施升级。

通过考虑如何购买控制系统来证明损害的最简洁的方法。当采购一台机器或制造系统时，供应商将部署该系统以及一些网络硬件、触摸屏pc和可能的服务器来承载控制系统。另外，可能会采购不同的系统，部署不同的网络硬件、触摸屏pc和服务器等。不久之后，工厂内的工业IT就会不一致、分散、难以管理，也难以集成到一个无缝架构中。

当谈到承认工业it“层”时，一个重要的观察是，大多数组织的it部门已经了解正在使用的技术。IT部门可以通过引领工业环境的基础设施需求和标准化工作，并在采购过程的最初阶段参与对话来提供帮助。

工业IT成熟的阶段

组织——尤其是那些第一次经历变革的组织——可以从遵循行业最佳实践和跟随其他组织的脚步中受益。通过这样做，可以降低实现成熟和优化的工业IT环境所需的总成本，并且可以在更短的时间内完成部署。

阶段1:自动化孤岛。

在开始制造业数字化之旅时，领导者可能不熟悉增强连接的价值，或者即使他们熟悉，也被认为是一个尚不需要解决的问题。在他们看来，优先考虑的是生产以满足客户需求，并降低投资成本以保持运营精简。通常，这种思维过程的输出是安装原始设备制造商(OEM)的设备和系统，这些设备和系统在它们自己的网络环境中独立运行。

在某些位置处理系统之间的连接，但并非所有位置都处理系统之间的连接，这种情况并不少见。自动化的孤岛局限于某些领域或系统类型。例如，工厂可能确定工艺系统必须集成到全厂网络中，但材料处理不太重要，可以隔离。一般来说，智能制造技术从端到端都有利于业务，自动化孤岛会导致运营效率低下，因此经常会看到网络成熟度较低的设施区域与设施的其他部分“达到同等水平”。

第二阶段:扁平化、互联化的工业网络。

最终，拥有自动化孤岛带来的操作痛苦及其限制进展的方式迫使组织重新设计其工业it体系结构。在没有更高层次的计划的情况下，操作人员利用可用的资源和时间，并通过“阻力最小的路径”进行更改。

这表现为低成本、不受管理的交换机被安装在可以找到物理空间和需要以太网连接的任何地方。用于监视或控制工业系统的工作站可能具有互联网连接，使员工的日常工作更简单，而无需考虑安全问题。

当OEM设备被购买时，它会以预先配置的IP地址发送给所有者，因此工作人员会安装一个网关，将新设备连接到工厂的现有网络。或者为了帮助按需排除故障，在网络上安装了低安全性的蜂窝虚拟专用网络(VPN)路由器，以允许远程服务提供商对设备进行故障排除。

从功能的角度来看，一个扁平但相互连接的工业IT体系结构是对自动化孤岛的改进。基本的远程连接可以到位，更高级别的实现，如工厂范围内的数据收集和报告是可能的。然而，核电站将在可管理性和安全性方面面临新的严峻挑战。

阶段3:架构基础设施。

使用扁平、连接的工业网络运营的组织可能面临多方面的压力，需要投资于工业IT改进。组织将开始理解数字转型技术的价值，利用它们来保持竞争力，并可能意识到他们必须投资基础设施来追求这些技术。由于组织基础设施缺乏标准化和管理而导致的运营效率低下、员工沮丧和停机时间可能会说服领导者留出资金来改善基础设施。

无论压力是什么，大多数组织都会转向经过验证的体系结构和行业最佳实践，以进一步改善其连通性，并(最终)开始优先考虑安全性。在他们的计算基础设施中，投资将用于服务器虚拟化和标准化硬件。组织还可能投资于瘦客户端部署和其他远程连接解决方案，以集中跨设施托管和访问工业应用程序的方式。在组网方面，可以通过vlan (virtual local area network)划分网络，并通过dmz (demilitarized zone)进行管理和IT/OT连接。

第四阶段:受管理的ICS安全和云技术。

一旦组织拥有遵循最佳实践和标准架构的底层工业IT基础设施，他们将非常适合实现工业4.0技术并优化其运营。工厂现场数据可以被收集和分析，以提高整体设备效率(OEE)或质量，数据可以实时同步到组织的企业资源规划(ERP)，以改善业务决策，如管理供应和产品订单。

正如组织在从自动化孤岛到连接工业网络的过渡过程中所经历的那样，随着连接的扩大和基础设施的改进，ICS安全风险也在增加。仅靠技术配置(如VLAN分段)不足以管理网络安全风险，需要一个类似于安全程序的持续网络安全程序来管理持续的风险。

开启数字化转型之旅

虽然本文概述了制造商通常如何在工业IT成熟过程中取得进展，但更大的价值在于理解这些阶段，然后利用这些知识来改进您的业务计划。任何正在经历数字化转型之旅的组织，尤其是处于早期阶段的组织，都有机会从之前的错误中学习，从而做出前瞻性的决定，缩短这一过程。

从这个角度来看，不成熟的组织具有显著的优势。组织可以为明天的挑战做计划，现在进行投资，这将加速未来的增长，并避免以后限制公司选择的决定。通过这种方式，今天的组织可以比以往任何时候都更快、更经济地进行转型。

Grantek的成员吗控制系统集成商协会．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。