工联网消息(IItime) 到2021年，中国已连续11年成为世界第一制造业大国。

完善的工业门类、巨大的市场空间、齐全的配套设施、高素质的产业工人等，都促使中国制造不断变强。而伴随着数字化浪潮的机遇，新一代信息技术和制造业加速融合发展，工业互联网推动着制造业数字化、网络化、智能化发展水平，中国正由制造业大国向制造业强国转变。

工业互联网是IT与OT技术的融合，融合带来的管理体系和协议方式以及管理接口，都会给传统OT带来很多的挑战。尤其是在OT安全方面，在与IT融合过程中，如何有效防御网络攻击减少损失，成为工业企业迫切需要解决的难题。

Fortinet 中国区总经理李宏凯认为，工业数字化转型过程中，工业企业需要一个成体系的联动机制，能够将安全检测和威胁探测等能力实现全面融合，随时理解业务中潜在问题，防患于未然，打造网络安全防御“航母群”。

敏捷业务升级，推动IT与OT加速融合

在工业领域中，IT(Information Technology)与OT(Operation Technology )之间天然存在着种种差异，两者沿着不同的路径发展，并各有各的生态体系。因此，长期以来IT与OT之间都是相互隔离的状态。随着工业信息化建设的不断深入，近年来OT开始逐渐拥抱IT，IT也开始更多的融入到各种工业环境当中。尤其是随着工业互联网、智能制造的出现及运用，IT与OT之间的融合也愈发紧密。

IDC中国助理研究总监王军民认为，IT和OT的融合就会成为一个必然的趋势。在IDC看来，未来的企业运营的核心就是弹性的决策。将IT和OT融合在一起才可以深度的挖掘前端客户的需求和我们生产的规划，使制造企业可以更好的发展。

为什么OT要做转型？李宏凯认为是由业务驱动造成的，随着数字化业务推动现代产业，现代物流、现代制造等都走向可视化，敏捷业务要求企业必须要用数字化的体系完善前端和后端以及供应、物流，整体完成对市场的敏锐捕获和供应链的升级。

李宏凯指出，工业数字化转型是当前中国发展的重中之重，OT/IT的融合带来了产业结构和体系建设的巨变，由此而来的“勒索事件”等网络安全“黑天鹅”情况在工业领域频发。传统体系如何实现产业结构的变化和安全防护，是很大的挑战。而在当下的工业企业而言，针对IT的安全防护已经做的相对完善。但针对OT的安全防护用户仍心存疑虑，比如OT业务做安全的风险融合，包括国内面临的一个问题是，OT的部门和IT的部门，经常是比较孤立的，对他们来说稳健是很重要的。

对于OT与IT融合下如何建立有效的安全体系，Fortinet建议生产型企业建立OT和IT防御，可以先从安全隔离入手，保持从监控网络到流程控制的可视化，最大化的识别攻击平面，并为快速响应提供指南。实现可联动的体系化安全，是最佳的实践，随时的理解业务当中遇到的各种潜在的问题，检测能力以及探测的互相支持，包括软件和硬件升级带来的风险和安全防护的能力。

体系化安全，构建工业互联网的安全防线

未来数字化转型的企业，包括制造企业，必须要构建可信任的生态，以及可信任的能力。企业要从风险以及社会责任和安全合规上加强自身建设，这样才可以构建一个值得合作伙伴信赖的数字化企业。上下游都是可信的，才可以构建一个数字化经济的可信生态。

如何构建安全可信生态？IT/OT全面融合下的体系化安全又是怎样的？

当前市场上主要的工业安全的解决方案，都是一些工业防火墙和工业网闸以及工业态势感知等，是把传统的IT安全的一些产品加上一些OT的功能和特性，以此来进行防御。其本质还是防守，在面对新的OT威胁的时候还在慢慢补课。所以在做OT安全的时候一定要有前瞻性，要用最先进的理念和技术武装OT安全。

传统的“补课”思路和方法已经跟不上层出不穷的网络攻击手法。为了帮助用户构建工业互联网的安全防线，Fortinet 提出了IT/OT 融合下的体系化安全解决方案。Fortinet北亚区首席技术顾问谭杰表示，建设一个业务紧密集成的强壮的体系在OT安全当中是重中之重，所以要用最前沿的IT的安全的思路和架构，来适配OT的数字环境。Fortinet用现在最前沿的零信任框架ZTA，投射到OT网络和Purdue模型当中来，以这样的思路来为OT做体系化的安全。

谭杰介绍，零信任的框架包含两大组成部分：

一个是数据平面的PEP（策略执行点Policy Enforcement Point, PEP），建设目标是使PEP无处不在，网络的任何节点都有控制手段，在端、管、云里结合各种OT和IT的应用，以此来建设安全的网络。无论是对于公有云、私有云以及SDN，Fortinet都具备相应的安全能力，通过云原生的集成，和云平台进行深度联动，实现全面的管控能力以及自动化的编排响应和管理。

“工业应用里面大量的使用HTTP的协议，随着云计算和人工智能的应用，API化的趋势也非常的明显。Web应用和API安全，也需要具备PEP能力，保护应用和API的安全，这也是典型的零信任方案场景。”

另一个是控制平面的PDP（策略决策点 Policy Decision Point，PDP），主要有两方面的功能。一个是高级威胁防御，ATP，可以利用AI和机器学习的技术识别未知的危险，而不像传统安全只能基于特征识别已知威胁；另一个是自动的编排和响应，包括控制平面和数据平面的沟通，所有的指令下发应动态地实现。整个零信任体系中，PDP是收集数据，通过AI和机器学习进行分析，得出结论做出决策之后进行自动化的响应，完成AI驱动的安全运营。

“我们面对的OT的安全威胁是最前沿的，以及最严峻的。我们需要做的就是以最前沿的IT安全架构，就是零信任的架构，结合OT的模型打造可信任的OT数字空间。在此前提下，我们也需要强调OT的安全特色，比如，OT特有的安全需求（倒置的CIA模型），以及工业系统应用及威胁以及生产环境适应性。这几者结合在一起，可以帮助我们打造一个最全面最强壮的OT体系。”谭杰总结说。

Fortinet中国区技术总监张略介绍，Fortinet遵循NIST模型打造前瞻性的零信任OT安全基础架构和方案，也就是Security Fabric，应对无处不在的威胁。

在服务芯片、汽车、电器等制造行业企业的过程中，Fortinet充分考虑已知和未知威胁，结合IoT和工业互联网体系各层需求，在检测、保护、发现、响应、恢复等各个环节帮助客户建立安全防护能力。比如，Fortinet 提出的IT/OT 融合下的体系化安全解决方案，在台耀科技已经得到了稳步的推进与落实，通过隔离、认证和识别等方法，将安全融入到运维中，保护工业网络的稳定运行。

在工业互联网快速落地、重大安全事故风险持续增长的背景下，Fortinet有服务50多万用户，几百万台设备部署的“硬实力”，同时为了要满足现在OT发展的需要，还有咨询团队、实施团队、服务团队，帮助工业互联网的客户，更好地设计和部署的“软实力”。依托于IT/OT 融合下的体系化安全解决方案，并协同合作伙伴构建工业互联网安全生态，Fortinet正助力工业互联网用户有效保护关键业务与数据资产，支撑业务的创新再造。