企业在 OT 安全管理方面普遍存在哪些问题
企业在 OT 安全管理方面普遍存在的问题是:
工业设备资产可视性严重不足:工业设备可视性不足严重阻碍了安全策略的实施。工业企业的 IT 团队一般不负责 OT 的资产,而是由 OT 团队负责 OT 资产。但因为生产线系统是历经多年由多个自动化集成商持续建设的,因此 OT 团队对 OT 资产的可视性十分有限,甚至没有完整的 OT 资产清单,关于 OT 资产的漏洞基本无人负责和收集,也不能及时发现安全问题。在出现问题时,也仅能靠人员经验排查,且排查过程耗费大量人力成本、时间成本。
工业设备缺乏安全设计:各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等,在设计之初可能未考虑保密性、完整性、身份校验等安全需求,存在输入验证不严格,许可、授权与访问控制不严格,没有身份验证,配置维护不足,凭证管理不严,加密算法过时等安全隐患。例如,国产数控系统所采用的操作系统可能是基于某一版本的 Linux 系统进行裁剪的,所使用的内核、文件系统、对外服务等,一旦稳定后均不再修改,可能持续使用多年,有的甚至超过十年,而这些内核、文件系统、对外服务多年来暴露出的漏洞并未得到更新,安全隐患长期存在。
OT 安全制度不完善管理不到位:在很多大中型工业企业中,IT 安全制度和管理措施一般比较到位,但 OT 安全制度和管理措施却较为欠缺。目前,还未形成完整的制度保障 OT 安全,缺乏工业控制系统规划、建设、运维、废止全生命周期的安全需求和管理,欠缺配套的管理体系、处理流程、人员责任等规定。
IT 和 OT 安全责任模糊:很多工业企业的信息中心管理 OT 网络和服务器的连接与安全,但往往对于 OT 网络中的生产设备与控制系统的连接没有管辖权限。而这些设备、控制系统也是互联的,有些就是基于 IT 实现的,如操作员站、工程师站等。因此,常见的 IT 威胁对 OT 系统也有影响。OT 的运维团队一般会对生产有效性负责,但往往并不会对网络安全性负责。对于很多工业企业来说,生产有效性通常都比网络安全性更重要。
IT 安全措施在 OT 领域几乎无效:较多工业企业在 OT 设置中使用 IT 安全措施,但没有考虑其对 OT 的影响。例如,国内某汽车企业,IT 安全团队按照 IT 安全要求主动扫描 OT 网络,结果导致汽车生产线 PLC 出现故障,引起停产。
工业主机几乎 “裸奔”:工业企业的 OT 网络中存在着大量工业主机,如操作员站、工程师站、历史数据服务器、备份服务器等。这些 PC 或服务器中运行实时数据库、监视系统、操作编程系统等,向上对 IT 网络提供数据,向下对 OT 中的控制设备及执行器进行监视和控制,它们是连接信息世界和物理世界的 “关键之门”。但在实际生产环境中,这些工业主机基本没有任何安全防护措施,即使有一部分有防护措施,也常因没有及时更新而失效,工业主机几乎处在 “裸奔” 状态。近年来不断发生的各类工业安全事件中,首先遭到攻击或受影响的往往都是工业主机。
设备联网混乱,缺乏安全保障:工业控制系统中越来越多的设备与网络相连,如各类数控系统、PLC、应用服务器通过有线网络或无线网络连接,形成工业网络;工业网络与办公网络连接,形成企业内部网络;企业内部网络与外部云平台、第三方供应链、客户网络连接,形成工业互联网。但很多工业企业的 IT 和 OT 网络并没有进行有效的隔离,部分工业企业虽然进行了分隔,并设置了访问策略,但有的员工为方便,私自设置各类双网卡机器,使得 IT、OT 网络中存在许多不安全、不被掌握的通信通道。
OT 缺乏安全响应预案和恢复机制 IT 工作计划和 OT 工作计划往往是两张皮,IT 安全事件响应计划与 OT 之间的协调往往十分有限。很多 OT 网络在制定生产事故应对计划时,都没有考虑过网络安全事件的处理。同时,由于缺乏备份和恢复机制,OT 中的网络安全事件恢复速度往往很慢。
IT 和 OT 人员安全培训普遍缺失:随着智能制造的网络化和数字化发展,OT 与 IT 在工业互联网中高度融合。企业内部人员,如工程师、管理人员、现场操作员、企业高层管理人员等,其 “有意识” 或 “无意识” 的行为,可能会破坏工业系统、传播恶意软件或忽略异常情况。由于网络的广泛使用,这些影响将被放大。很多企业虽然有 IT 组织负责 IT 网络安全,但其往往会忽视 IT 和 OT 之间的差异。IT 和 OT 人员的安全培训普遍缺失。
工业数据面临丢失、泄露、篡改等安全威胁:工业互联网中的生产管理数据、生产操作数据,以及客户信息和订单数据等各类数据(无论数据是通过大数据平台存储的,还是分布在用户、生产终端和设计服务器等多种设备中),都可能面临丢失、泄露和篡改等安全威胁。
第三方人员管理体制不完善:大部分的企业会将设备的建设运维工作外包给设备商或集成商,尤其针对国外厂商,企业多数情况并不了解工业控制设备的技术细节,对于所有的运维操作无控制、无审计,留有安全隐患。
企业在 OT 安全管理方面存在问题的解决措施如下:
落实安全规章制度:都说无规矩不成方圆,在哪里都要守规矩,这一点在企业里尤为重要,企业办法安全规章制度,员工们要严格遵守制度,包括外来人员进入企业也要遵守公司规章制度。如果企业规章制度成了一种形式,员工遵不遵守都可以,这样还能确保安全问题吗。另外,在有可能出现安全事故的地方,贴上标语等一些提醒物。避免安全事故的发生。
企业定期举行安全教育会议:安全问题是一项不可忽视的重要问题,但是这个问题往往不被人重视。只有一遍一遍的强调才能深入人心。企业可以定期举行教育会议,在会议上要不厌其烦的强调安全问题的重要性。另外还可以在通过宣传栏宣布安全生产责任制,提高员工的安全意识,同时还要派专人监督,严格实施各项措施。
从细节做起:有的时候细节决定成败。一个人如果细心,在周围能发现很多别人发现不了的事情。在安全管理上如果能注重细节,一定会减少安全事故的发生。在工厂里,像一根铁丝如果不小心同样会引发安全事故,一个未掐灭的烟头如果扔在易燃物旁边,很可能会引发火灾,到时候对企业造成的损失是不可估量的。企业里要安排人定期对线路进行排查,由于线路老化加上下雨同样有可能会引发火灾,这些都是微不足道的小事,但是往往这些小事会造成大问题。
实施安全奖惩制度:定期对安全管理的员工进行绩效检查,同时进行奖赏和惩罚,用来维护规章制度的严肃性,确保规章制度的实施。对于在公司违规的人进行处罚,不管是物质上的还是精神上的,都可以调动员工的积极性。虽然这种行为可能会造成一些员工的不满,但是这确实是一种有效的方法,可以避免很多安全问题的发生。