IT/OT 融合需要新的安全范式

信息技术 ( IT ) 与运营技术 ( OT ) 系统的融合正在扩大攻击面，并使关键基础设施暴露于新的威胁之下。这正是一次高层专题讨论的核心议题，在讨论中，网络安全专家和业界领袖呼吁组织在保障日益互联环境的安全方面进行根本性的变革。

在新加坡最近召开的 Gitex 2025 大会上，卡巴斯基公司政府事务及公共政策副总裁 Yuliya Shlychkova （主持此次讨论）指出，“如今每一套信息通信技术 ( ICT ) 与工业系统都正受到攻击”，并补充说网络安全必须成为“数字化与创新的助力器”而非阻碍。

卡巴斯基公司创始人兼首席执行官 Eugene Kaspersky 指出，那些曾经只在电影中出现的网络破坏行为，如今正以 Stuxnet 以及涉及德国一家钢厂的事件等复杂威胁形式显现。虽然 Kaspersky 对尚未发生更大灾难性攻击感到惊讶，但他警告大家千万不要掉以轻心。

他对未来更加安全的构想依赖于对系统架构进行根本性再思考，并以卡巴斯基OS为例——这是一款凭借设计本身实现安全保障的操作系统，其安全性远超仅仅依靠安全编码实践。他表示：“我的梦想是未来的系统必须对攻击免疫。”他进一步指出，这一目标的实现将需要硬件制造商与新一代工程师通力合作，共同开发出这种系统。

柬埔寨邮政和电信部信息通信技术安全总监 Phannarith Ou 从区域视角出发，解释了为何东南亚成为运营技术攻击的重点目标。他归纳出五个关键因素：依赖功能而非安全而设计的遗留基础设施；快速数字化进程中“网络安全跟不上的现状”；运营技术人员安全意识不足；诸如能源系统等关键基础设施成为“高价值、低防护”的攻击目标；以及该地区缺乏统一的运营技术安全标准。

在此背景下，Ou 呼吁各国政府积极与厂商沟通，并采纳基于风险的政策方法。他特别指出，东盟现行网络安全法律更多侧重于保护企业 IT，而对运营技术系统的防护则存在重大漏洞。同时，他呼吁将针对运营技术安全的行业专项法规提上日程。

印度 Avadh Sugar and Energy 公司 IT 集团负责人 Rajib Roy Chowdhury 代表工业界分享了在公司某工厂部署运营技术系统的经验。他讨论了所面临的挑战，包括一种错误观念——认为运营技术安全仅关乎构建与外界物理隔离的环境，以及当前运营技术安全产品尚不成熟的问题。

尽管存在诸多挑战，Chowdhury 依然指出 IT 与 OT 融合是不可逆转的趋势。他举例说明：“如果我们实现 IT 与 OT 的整合，就能将数据转化为可供董事会决策的信息。”他以实时糖料破碎数据为例进行了说明。

新加坡国立大学 IT 安全部负责人 Ang Leong Boon 谈到了教育与协作在弥合 IT 与 OT 差距中的作用，并呼吁 IT 与 OT 团队开展更紧密的合作。例如，他提到，通过利用“网络双胞胎”——即水处理厂等运营技术环境的数字复制品来进行培训，新加坡国立大学已成功地让不同团队在一个安全的环境中共同了解和模拟现实中的运营技术安全威胁。

Ang 还建议将安全思维拓展至传统终端保护之外，主张在网络层实施虚拟补丁，同时通过提升员工对运营技术威胁的认识来强化安全的“人为防线”。他同时敦促各组织将 IT 安全中的零信任等理念应用于运营技术系统，其中包括利用微分段防止攻击者横向渗透、多因素认证，以及对第三方远程访问这一常见漏洞入口实施更严格的控制。

不过，Ang 也指出，IT 团队需要设身处地为运营技术同事着想，确保安全措施不会影响运营技术系统的可用性。他同时称赞新加坡网络安全局制定的运营技术安全能力框架，该框架明确了运营技术安全所需的各项角色，并为该领域职业发展提供了指导。“如今，人们可以期待不同的岗位并接受相应培训，”Ang 说道，“这关乎于构建能力，培养具有合适技术技能的运营技术工程师。不过，这不仅仅是技术人员的问题，首席信息安全官 ( CISO ) 也必须具备关于运营技术的正确思维。”