14 企业在OT安全管理方面普遍存在的问题是什么？

许多工业互联网系统在安全保护建设方面存在根本性的安全缺陷，这些缺陷可以视为工业互联网系统的内部安全风险，包括以下方面。

（1）工业设备资产可视性严重不足

工业设备可视性不足严重阻碍了安全策略的实施。工业企业的IT团队一般不负责OT的资产，而是由OT团队负责OT资产。但因为生产线系统是历经多年由多个自动化集成商持续建设的，因此OT团队对OT资产的可视性十分有限，甚至没有完整的OT资产清单，关于OT资产的漏洞基本无人负责和收集，也不能及时发现安全问题。在出现问题时，也仅能靠人员经验排查，且排查过程耗费大量人力成本、时间成本。

（2）工业设备缺乏安全设计

各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等，在设计之初可能未考虑保密性、完整性、身份校验等安全需求，存在输入验证不严格，许可、授权与访问控制不严格，没有身份验证，配置维护不足，凭证管理不严，加密算法过时等安全隐患。

例如，国产数控系统所采用的操作系统可能是基于某一版本的Linux系统进行裁剪的，所使用的内核、文件系统、对外服务等，一旦稳定后均不再修改，可能持续使用多年，有的甚至超过十年，而这些内核、文件系统、对外服务多年来暴露出的漏洞并未得到更新，安全隐患长期存在。

（3）OT安全制度不完善，管理不到位

在很多大中型工业企业中，IT安全制度和管理措施一般比较到位，但OT安全制度和管理措施却较为欠缺。目前，还未形成完整的制度保障OT安全，缺乏工业控制系统规划、建设、运维、废止全生命周期的安全需求和管理，欠缺配套的管理体系、处理流程、人员责任等规定。

例如，在工业控制系统运维和使用过程中，存在随意使用U盘、光盘、移动硬盘等移动存储介质的现象，病毒、木马等易传播并威胁生产系统；一些工业控制系统在上线前未进行安全性测试，系统上线后存在大量安全风险漏洞，安全配置薄弱，甚至系统带毒工作。

（4）IT和OT安全责任模糊

很多工业企业的信息中心管理OT网络和服务器的连接与安全，但往往对于OT网络中的生产设备与控制系统的连接没有管辖权限。而这些设备、控制系统也是互联的，有些就是基于IT实现的，如操作员站、工程师站等。因此，常见的IT威胁对OT系统也有影响。OT的运维团队一般会对生产有效性负责，但往往并不会对网络安全性负责。对于很多工业企业来说，生产有效性通常都比网络安全性更重要。

（5）IT安全措施在OT领域几乎无效

较多工业企业在OT设置中使用IT安全措施，但没有考虑其对OT的影响。例如，国内某汽车企业，IT安全团队按照IT安全要求主动扫描OT网络，结果导致汽车生产线PLC出现故障，引起停产。

从实践来看，较多工业企业基本不做OT安全评估，即使做OT安全评估，也是由IT安全服务商执行。而IT安全评估通常不包括OT网络的过程层和控制层，即使对这两层进行评估，也只能采用问卷方式，而不能使用自动化工具。执行这些评估的人员通常是IT安全专家，对OT领域也不甚了解。

（6）工业主机几乎“裸奔”

工业企业的OT网络中存在着大量工业主机，如操作员站、工程师站、历史数据服务器、备份服务器等。这些PC或服务器中运行实时数据库、监视系统、操作编程系统等，向上对IT网络提供数据，向下对OT中的控制设备及执行器进行监视和控制，它们是连接信息世界和物理世界的“关键之门”。

但在实际生产环境中，这些工业主机基本没有任何安全防护措施，即使有一部分有防护措施，也常因没有及时更新而失效，工业主机几乎处在“裸奔”状态。近年来不断发生的各类工业安全事件中，首先遭到攻击或受影响的往往都是工业主机。

例如，基于Windows平台的操作员站被广泛使用，但大部分企业无移动存储介质管理、操作站软件运行“白名单”管理、联网控制、网络准入控制技术措施等，极易感染木马、蠕虫等计算机病毒。而目前普通IT防火墙无法实现工业通信协议的过滤，所以当网络中某个操作员站感染病毒时，可能会立即传播给其他计算机，容易造成所有操作员站同时发生故障或者引发控制网络风暴，造成网络通信堵塞，严重时可导致所有操作员站失控，甚至停止。

（7）设备联网混乱，缺乏安全保障

工业控制系统中越来越多的设备与网络相连，如各类数控系统、PLC、应用服务器通过有线网络或无线网络连接，形成工业网络；工业网络与办公网络连接，形成企业内部网络；企业内部网络与外部云平台、第三方供应链、客户网络连接，形成工业互联网。

但很多工业企业的IT和OT网络并没有进行有效的隔离，部分工业企业虽然进行了分隔，并设置了访问策略，但有的员工为方便，私自设置各类双网卡机器，使得IT、OT网络中存在许多不安全、不被掌握的通信通道。

OT系统往往由不同集成商在不同时间建设，使用不同的安全标准。因此，当需要集成商进行维修、维护时，工作人员经常会开放远程维护端口，而且这些端口往往不采用任何安全防护措施，甚至存在将常见端口打开后忘记关闭的情况，从而增加了工业互联网的攻击面。

工业控制系统各子系统之间没有进行有效的隔离，系统边界不清楚，边界访问控制策略缺失，尤其是采用OPC和Modbus等通信的工业控制网络，一旦发生安全问题，故障将迅速蔓延。

（8）OT缺乏安全响应预案和恢复机制

IT工作计划和OT工作计划往往是两张皮，IT安全事件响应计划与OT之间的协调往往十分有限。很多OT网络在制定生产事故应对计划时，都没有考虑过网络安全事件的处理。同时，由于缺乏备份和恢复机制，OT中的网络安全事件恢复速度往往很慢。

（9）IT和OT人员安全培训普遍缺失

随着智能制造的网络化和数字化发展，OT与IT在工业互联网中高度融合。企业内部人员，如工程师、管理人员、现场操作员、企业高层管理人员等，其“有意识”或“无意识”的行为，可能会破坏工业系统、传播恶意软件或忽略异常情况。由于网络的广泛使用，这些影响将被放大。很多企业虽然有IT组织负责IT网络安全，但其往往会忽视IT和OT之间的差异。IT和OT人员的安全培训普遍缺失。

（10）工业数据面临丢失、泄露、篡改等安全威胁

工业互联网中的生产管理数据、生产操作数据，以及客户信息和订单数据等各类数据（无论数据是通过大数据平台存储的，还是分布在用户、生产终端和设计服务器等多种设备中），都可能面临丢失、泄露和篡改等安全威胁。

（11）第三方人员管理体制不完善

大部分的企业会将设备的建设运维工作外包给设备商或集成商，尤其针对国外厂商，企业多数情况并不了解工业控制设备的技术细节，对于所有的运维操作无控制、无审计，留有安全隐患。

例如，高级过程控制（Advanced Process Control，APC）系统通常可以由软件供应商自由操作，其自身无任何防护措施，存在较高感染病毒的风险。而且APC系统的安装、调试、运行一般需要较长的时间，需要项目工程师进行不断调试、修改。期间APC系统需要频繁与外界进行数据交换，这给APC系统本身带来很大风险。一旦APC系统受到病毒感染，将对实时运行的控制系统造成极大安全隐患。