物理隔離（Air Gap）這一概念已經(jīng)過(guò)時(shí)，在計(jì)算機(jī)系統(tǒng)與主企業(yè)環(huán)境和網(wǎng)絡(luò)之間采取物理隔離正逐漸難以為繼。物理隔離包含兩個(gè)網(wǎng)絡(luò)，它們之間被一道空氣屏障隔開(kāi)。對(duì)物理隔離的一個(gè)定義是：為實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)與其他任何網(wǎng)絡(luò)的物理隔離而在一臺(tái)或多臺(tái)計(jì)算機(jī)上采用的網(wǎng)絡(luò)安全措施。被隔離的網(wǎng)絡(luò)由于不會(huì)連接到公共網(wǎng)絡(luò)等不安全的網(wǎng)絡(luò)，因此能夠保證安全。

物理隔離能夠大幅提升網(wǎng)絡(luò)安全，使數(shù)據(jù)和威脅無(wú)法從一個(gè)網(wǎng)絡(luò)穿越到另一個(gè)網(wǎng)絡(luò)。采用物理隔離的網(wǎng)絡(luò)就像一座島嶼，它安全可靠，并且與其他安全性較低、威脅較大的網(wǎng)絡(luò)隔離。因此，物理隔離常被用于核能發(fā)電、高度機(jī)密的國(guó)防系統(tǒng)等風(fēng)險(xiǎn)極高或高度保密的環(huán)境。

但網(wǎng)絡(luò)安全也需要顧及其他方面，它存在的意義是為了推動(dòng)企業(yè)機(jī)構(gòu)數(shù)字化轉(zhuǎn)型目標(biāo)的實(shí)現(xiàn)和管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全控制措施往往與IT系統(tǒng)的可用性存在內(nèi)在沖突。網(wǎng)絡(luò)安全控制措施越嚴(yán)格，網(wǎng)絡(luò)的可用性和對(duì)業(yè)務(wù)的友好程度就越低。物理隔離會(huì)限制通信，因此無(wú)法滿足企業(yè)對(duì)通信網(wǎng)絡(luò)現(xiàn)代化、動(dòng)態(tài)化和靈活性的要求。

目前依舊存在的一個(gè)最大誤區(qū)是，關(guān)鍵基礎(chǔ)設(shè)施企業(yè)機(jī)構(gòu)仍在使用物理隔離。事實(shí)上，絕大多數(shù)工業(yè)運(yùn)營(yíng)技術(shù)（OT）環(huán)境其實(shí)已經(jīng)不再使用物理隔離，而是與IT建立物理連接并通過(guò)防火墻進(jìn)行邏輯隔離。隨著這些關(guān)鍵基礎(chǔ)設(shè)施企業(yè)機(jī)構(gòu)進(jìn)行數(shù)字化轉(zhuǎn)型，他們愈發(fā)依賴來(lái)自工業(yè)OT環(huán)境的數(shù)據(jù)來(lái)運(yùn)行IT環(huán)境的業(yè)務(wù)系統(tǒng)。事實(shí)上，IT和OT之間的連接比以往任何時(shí)候都更加緊密，然而物理隔離并不支持這種對(duì)業(yè)務(wù)至關(guān)重要的連接方式。

物理隔離已成“明日黃花”

以美國(guó)最大燃油管道運(yùn)營(yíng)商科洛尼爾管道運(yùn)輸公司（Colonial Pipeline）遭遇的勒索軟件攻擊為例。網(wǎng)絡(luò)犯罪團(tuán)伙Darkside通過(guò)勒索軟件感染了IT環(huán)境，將包括計(jì)費(fèi)系統(tǒng)在內(nèi)的關(guān)鍵業(yè)務(wù)系統(tǒng)鎖定。計(jì)費(fèi)系統(tǒng)依靠來(lái)自科洛尼爾OT環(huán)境的數(shù)據(jù)統(tǒng)計(jì)天然氣使用量并計(jì)算用戶的帳單費(fèi)用。這種從OT到IT的數(shù)據(jù)交換是保證該公司財(cái)務(wù)運(yùn)作的關(guān)鍵環(huán)節(jié)，物理隔離因?yàn)闀?huì)破壞這種對(duì)業(yè)務(wù)至關(guān)重要的通信而并不可行。由于該勒索軟件導(dǎo)致計(jì)費(fèi)系統(tǒng)無(wú)法運(yùn)行，科洛尼爾不得不停止供油，導(dǎo)致美國(guó)東南部的天然氣管道癱瘓。這次網(wǎng)絡(luò)攻擊事件也成為美國(guó)歷史之最。

OT與IT融合，而IT已與云融合

正如IT與OT已經(jīng)融合且無(wú)法分離一樣，IT也已經(jīng)與云融合。遠(yuǎn)程辦公涉及的協(xié)作工具、云端業(yè)務(wù)管理系統(tǒng)和云數(shù)據(jù)中心已成為后疫情時(shí)代的IT標(biāo)準(zhǔn)配置。實(shí)際上，對(duì)眾多現(xiàn)代企業(yè)機(jī)構(gòu)而言，云與IT已經(jīng)密不可分并完全融合在一起。企業(yè)正向著更靈活的運(yùn)營(yíng)、更低的成本和更高的客戶滿意度努力，而為了實(shí)現(xiàn)這些目標(biāo)，云的角色必不可少。

相比IT，OT是本地計(jì)算的終極“堡壘”。阻礙企業(yè)機(jī)構(gòu)使用云去改變OT運(yùn)作方式的主要因素是文化，而非技術(shù)或網(wǎng)絡(luò)安全方面的原因。云提供了一個(gè)大型的可擴(kuò)展平臺(tái)，其效率和功能都是本地?cái)?shù)據(jù)中心所無(wú)法匹敵的。而OT是所有工業(yè)企業(yè)的真正核心。企業(yè)可以利用云帶來(lái)的優(yōu)勢(shì)，從最重要的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)中挖掘出最大價(jià)值。

基于風(fēng)險(xiǎn)等級(jí)，指導(dǎo)云的使用

那么如何通過(guò)改變OT內(nèi)部文化去擁抱云？其實(shí)最好的辦法是基于風(fēng)險(xiǎn)以能夠?qū)崿F(xiàn)轉(zhuǎn)型的業(yè)務(wù)成果為重點(diǎn)。OT內(nèi)部有兩種風(fēng)險(xiǎn)等級(jí)不同的主要數(shù)據(jù)類型：主控制系統(tǒng)數(shù)據(jù)和來(lái)自現(xiàn)場(chǎng)物聯(lián)網(wǎng)（IoT）設(shè)備的遙測(cè)數(shù)據(jù)。

主控制系統(tǒng)數(shù)據(jù)能夠控制或直接影響OT環(huán)境，因此具有較高風(fēng)險(xiǎn)。例如在配電領(lǐng)域，該數(shù)據(jù)被用來(lái)打開(kāi)或關(guān)閉電源，與員工和重癥監(jiān)護(hù)病人的生命安全息息相關(guān)。

物聯(lián)網(wǎng)遙測(cè)數(shù)據(jù)則是通過(guò)現(xiàn)場(chǎng)的物聯(lián)網(wǎng)傳感器提供實(shí)時(shí)操作環(huán)境視圖，它無(wú)法控制關(guān)鍵基礎(chǔ)設(shè)施，因此風(fēng)險(xiǎn)相對(duì)低得多。位于現(xiàn)場(chǎng)的物聯(lián)網(wǎng)傳感器通過(guò)采集溫度、振動(dòng)、壓力或幾乎任何可以測(cè)量的數(shù)據(jù)提供關(guān)于物理世界運(yùn)行情況的實(shí)時(shí)視圖。在云的加持下，這些數(shù)據(jù)將推動(dòng)迄今為止尚未實(shí)現(xiàn)的重大業(yè)務(wù)成果。

這些數(shù)據(jù)源帶來(lái)的風(fēng)險(xiǎn)截然不同，應(yīng)基于風(fēng)險(xiǎn)對(duì)數(shù)據(jù)進(jìn)行不同的處理。在可預(yù)見(jiàn)的未來(lái)，主控制系統(tǒng)的數(shù)據(jù)可能會(huì)保留在本地，而風(fēng)險(xiǎn)較低的物聯(lián)網(wǎng)遙測(cè)數(shù)據(jù)可以在云端處理。實(shí)際上，云計(jì)算對(duì)物聯(lián)網(wǎng)數(shù)據(jù)來(lái)講是“必需品”，因?yàn)樗鼈償?shù)量龐大且需要通過(guò)機(jī)器學(xué)習(xí)來(lái)提供洞察。

擁抱云計(jì)算，賦能工業(yè)環(huán)境

擁抱云可以給物聯(lián)網(wǎng)遙測(cè)數(shù)據(jù)等低風(fēng)險(xiǎn)數(shù)據(jù)帶來(lái)諸多好處。

●     增強(qiáng)決策的實(shí)時(shí)可見(jiàn)性

位于現(xiàn)場(chǎng)的物聯(lián)網(wǎng)傳感器會(huì)產(chǎn)生源源不斷的數(shù)據(jù)流，為工業(yè)運(yùn)營(yíng)提供實(shí)時(shí)可見(jiàn)性。無(wú)論是監(jiān)測(cè)成品缺陷還是配電網(wǎng)絡(luò)的電壓，豐富的實(shí)時(shí)數(shù)據(jù)可以增進(jìn)企業(yè)機(jī)構(gòu)對(duì)工業(yè)環(huán)境的了解和認(rèn)識(shí)，從而做出更優(yōu)的決策，提高運(yùn)營(yíng)效率。

●     通過(guò)預(yù)測(cè)性維護(hù)提高可用性

預(yù)測(cè)性維護(hù)是通過(guò)物聯(lián)網(wǎng)遙測(cè)數(shù)據(jù)監(jiān)測(cè)現(xiàn)場(chǎng)的物理資產(chǎn)，尋找資產(chǎn)故障即將發(fā)生的異常跡象。例如制造業(yè)可以通過(guò)了解關(guān)鍵生產(chǎn)機(jī)械即將出現(xiàn)故障的時(shí)間，提前進(jìn)行修復(fù)，減少計(jì)劃外的停機(jī)時(shí)間，提高工廠效率，實(shí)現(xiàn)運(yùn)營(yíng)系統(tǒng)產(chǎn)出最大化。

●     幫助客戶優(yōu)化成果

擁抱云將最終幫助提升工業(yè)運(yùn)營(yíng)的效率和可用性，通過(guò)降低成本和增加響應(yīng)為客戶帶來(lái)流動(dòng)效應(yīng)。

●     提升網(wǎng)絡(luò)安全性

擁抱云可以優(yōu)化網(wǎng)絡(luò)安全和OT系統(tǒng)的可用性。隨著針對(duì)OT環(huán)境的網(wǎng)絡(luò)威脅與日俱增，OT環(huán)境中的突發(fā)事件（或Colonial Pipeline案例中的IT環(huán)境突發(fā)事件）會(huì)影響對(duì)業(yè)務(wù)至關(guān)重要的OT系統(tǒng)與服務(wù)的可用性。

通過(guò)云增強(qiáng)的網(wǎng)絡(luò)安全系統(tǒng)能即時(shí)提高成熟度，以便最有效地保護(hù)關(guān)鍵運(yùn)營(yíng)環(huán)境。如果網(wǎng)絡(luò)攻擊者獲得了OT訪問(wèn)權(quán)，那么他們的行為將變得無(wú)法預(yù)測(cè)和控制，可能會(huì)導(dǎo)致計(jì)劃外的中斷并給工業(yè)企業(yè)的運(yùn)營(yíng)帶來(lái)不利影響。

新一代安全系統(tǒng)主要運(yùn)用被稱為“元數(shù)據(jù)”的網(wǎng)絡(luò)和終端遙測(cè)數(shù)據(jù)。它們與物聯(lián)網(wǎng)遙測(cè)數(shù)據(jù)一樣具有較低的風(fēng)險(xiǎn)。通過(guò)云增強(qiáng)的網(wǎng)絡(luò)安全系統(tǒng)能降低惡意活動(dòng)發(fā)生的概率，確保關(guān)鍵OT系統(tǒng)的可用性。

實(shí)現(xiàn)兼顧安全性和可用性的OT環(huán)境

OT可以像IT一樣通過(guò)擁抱云所實(shí)現(xiàn)的數(shù)字化轉(zhuǎn)型來(lái)提升運(yùn)營(yíng)效率、優(yōu)化洞察和決策，并提高關(guān)鍵工業(yè)系統(tǒng)的可用性，而這些只是各種益處中的一部分。因此，OT現(xiàn)在應(yīng)該克服一切文化障礙，將風(fēng)險(xiǎn)和業(yè)務(wù)價(jià)值作為云轉(zhuǎn)型的驅(qū)動(dòng)力。