许多对OT造成影响的网络攻击，其初始目标其实是IT系统。黑客试图通过钓鱼邮件突破“人为防火墙”，并利用网络漏洞趁虚而入。面对这种复杂局势，领导层必须在安全措施的落实与监控中发挥战略作用，以最大限度地降低风险，提升关键业务流程的韧性。

在生产行业处理安全事件时，IT与OT部门间的沟通匮乏是首要障碍。更为严峻的是，许多企业缺乏专注于OT环境网络安全的内部专家。因此，企业领导层必须深刻意识到自身对组织整体安全所肩负的关键责任。他们的任务不仅是提升员工的风险意识，更要创造条件，切实保障IT和OT的双重安全。NIS2、ISO 27001和IEC 62443等规范与法规，均要求最高管理层积极制定并监控安全措施。这些规范强调了采取系统性、基于风险的方法的必要性，以及管理层确保持续保障企业安全的长期责任。然而，如何将这些要求落到实处？

图1 在处理生产行业的安全事件时，IT部门与OT（运营技术）部门之间沟通不畅是最大的障碍之一

消除沟通壁垒

IT与OT的融合增加了攻击风险，因为两者在需求、技术和安全文化上存在差异。虽然IT安全传统上侧重于保护数据和系统，但OT安全则将可靠性和流程可用性置于首位。为了弥合这两个领域之间的鸿沟，填补网络防御的空白，企业需要一位通用的“哨兵”或协调员。此人需兼顾IT与OT的需求，并能跨部门指导技术和组织措施的实施。他必须具备扎实的IT安全知识，涵盖网络安全、密码学、操作系统以及ISO 27001或IEC 62443等安全标准与法规。同时，他还必须熟悉OT的特定需求和技术，特别是工业控制系统（IACS）、工业协议、过程自动化以及生产环境中的特殊威胁。这包括理解网络攻击对实体生产造成的影响，并确保设备的可用性与安全性。

在OT领域，可确立三个关键的防御步骤以提升网络韧性：

评估——没有可见性，就没有防御

第一步是对公司当前的安全状况进行全面分析。高级风险评估旨在宏观层面上识别并评估公司面临的所有潜在威胁，从而概览那些可能对组织造成最严重影响的网络风险。评估依据不仅包含经济因素，还涵盖对生命、健康和环境的影响因素，而无需深入探讨现有的保护措施或具体弱点。借此，可对最重要的风险领域进行优先排序。

随后，识别业务关键领域中的网络相关资产，并将其划分为不同的区域和过渡区。这些区域是指拥有多个资产、具备相同保护要求和威胁态势的已定义范围。通过区域划分，降低了基础设施的复杂性，从而便于规划保护措施。

接下来是详细的风险管理：针对每个区域及其包含的资产，分析具体的威胁、漏洞和潜在攻击途径。在深入评估风险时，需特别考量现有保护措施及其有效性。据此，可为每个区域推导出具体的风险缓解措施并明确安全要求。这些分析结果将被记录在案，作为实施技术和组织措施的基础。

图2  企业需要一名协调员，既能考虑IT的要求，也能考虑OT的要求

设计与实施——需要采取哪些对策？

现在将要求转化为技术和组织措施，并依据“纵深防御”（Defense in Depth）原则加以实施。这不仅仅是建立单一的保护措施，而是构建多层级、相互协调的安全控制体系。这样即使某一层被突破，仍有其他屏障存在，使攻击者难以得逞。

术语“威慑（Deter）、检测（Detect）、拒绝（Deny）、延迟（Delay）和防御（Defend）”描述了构成多级安全概念的五个防御层。以服务人员携带USB驱动器为例，可解释如下：

威慑（Deter）：包括明确的安全策略等措施，旨在防止未经授权使用USB驱动器。

现代安全架构将网络划分为具有不同保护要求的各个区域。首要步骤是清晰分离办公网络和生产网络，以防止来自办公区域的攻击蔓延至关键的生产系统。

与安全相关的资产将在一个独立区域内进行物理或至少逻辑上的隔离，以确保人身和生命安全。临时连接的设备（如USB驱动器或移动计算机）也将被集中到一个具有特殊监控和保护措施的专用区域，以最大限度地降低恶意软件引入的风险。

无线设备（如笔记本电脑或物联网组件）将获得一个独立的、受特别保护的区域，因为其无线连接提供了额外的攻击面。具有远程访问功能的设备（例如通过VPN或远程维护），也将在独立区域中运行，并通过严格的身份验证和访问控制加以保护。

通过将纵深防御与深思熟虑的网络分段相结合，形成了一种稳健且具有弹性的安全架构，确保攻击者在网络的每一层都会遇到障碍，攻击能被及早发现，并在紧急情况下启动有针对性的对策。

对IT和OT网络的异常监控可实现广泛的网络扫描、漏洞搜索以及检测未经授权的SSH连接。强大的（双因素）身份验证或本地（OT）对远程连接的授权，使得从IT网络到OT网络连接的安全性和合规性得以实现。

图3  Patrick Scholl，Infinigate公司 OT主管

维护——没有定期检查，就没有安全

安全措施实施后，并非一劳永逸。网络安全领域的威胁形势瞬息万变，攻击者不断利用新的方法和漏洞。因此，定期审查和调整所采取的保护措施至关重要。

这一过程始于对现有安全架构（包括物理安全）的持续评估。在固定的时间间隔内，以及在特定情况下——例如发生安全相关事件或出现新漏洞后——将对技术、流程和组织规则的有效性进行审查和调整。

这包括恶意代码预防、漏洞分析以及补丁和备份管理——所有这些都需兼顾信息和文档管理。另一方面，应分析安全事件并检查合规情况。

基于这些审查，识别出保护系统中的弱点、过时措施或漏洞，并有针对性地调整安全策略。只有通过这种持续的审查和调整，网络安全战略才能保持有效并应对挑战，从而确保企业长期免受新攻击向量和不断变化的框架条件的影响。

OT安全就像一场旅行，途中会不断出现新的挑战、岔路口和适应需求。只有通过系统性的、基于风险的方法，明确的责任分配以及所有相关部门的协作，才能可持续地保障安全——而这需要毅力、远见以及不断发展的意愿。