在辦公室、車間及工廠里持續著一種討論。由于信息技術與運營技術兩個團隊間彼此很難理解對方的安全問題，這種討論也許會導致兩個團隊間彼此對峙。

難道所有的計算機與處理系統不都是一樣的嗎?

答案是：絕對不是!正如SANS協會工控系統安全技術總監Tim Conway在與《計算機工程》雜志2013年8月的一次訪談中所指出的：

當你接受IT背景的人，并將他們帶入工控系統環境時，運營方會不理解他們為何在此，而IT方則對特定控制環境的需求缺乏理解。

隨著基于TCP/IP、以太網、Linux及Windows的系統進入到了工控系統及數據采集與監控系統(SCADA)網絡中，運營技術面臨IT安全挑戰。

IT/OT整合

絕大多數安全高管對信息技術范疇有著很好的理解;本質來說，IT是業務的關鍵基礎—它保持信息流動、email服務運轉、數據庫被填充。運營技術(OT)是新近提出的術語。它涉及工控系統，保持電廠運轉，管理工廠生產線，根本來說，為實現制造、運輸、能源生產等工業目標而進行協作。根據技術咨詢公司 Gartner 定義，OT 由軟、硬件組成，通過直接監控和/或控制企業中的物理設備、流程或事件，從而檢測或產生變更。

為了更好理解這些細微差別，讓我們看看IT與OT系統管理員間的差異。IT部門工作在業務的”企業側”，通常向上匯報給***信息官。IT技術人員和工程師一般工作于Windows工作站與服務器、email系統以及企業資源規劃系統之上。OT技術人員則工作在運營或生產管理團隊下。他們專注于工業系統設備的平滑作業，如可編程邏輯控制器;壓力、溫度與水平傳感器;閥與電機控制器等等。

歷史上，OT系統及組件為不聯網的獨立設備，它們歷來都與業務的企業或IT側隔離。或者，即使這些設備存在任何"計算機化"，通常也是運行專有協議，使用專用軟、硬件。然而隨著時間推移，IT 能力被引入到了現有的物理和 OT 系統中;例如，用于電動機和蒸汽引擎的傳統機械調速器已經被嵌入式數字控件所替換。

IT/OT本質差異

用于生產的舊式工業控制系統正開始被類IT系統的OT系統所取代，但IT與OT間仍存在本質差異。美國國家標準和技術協會(NIST)SP 800-82《工控系統安全指南》(修訂版1)中列出了其中一張較優的對比表，它易于理解。第25頁中這張表匯總了IT與OT系統間的本質差異，且補充了一些附加觀點。#p#

NIST安全對比：IT系統與工控系統

源：NIST SP 800-82《工控系統安全指南》，修訂版1

正如NIST這張對比表所示，IT與OT間仍然存在顯著差異，而且這些差距會產生諸多問題，涉及操作實踐、軟件修補、系統升級以及其他安全與網絡功能。

修補IT系統相當簡單，且實質已成為IT員工的日常工作。他們例行處理微軟月度”星期二補丁”，持續進行軟件缺陷修復。由于工業系統是系統性的，微小變更都可能產生巨大影響，所以OT工程師會先攢著這些補丁，等到車間或工廠的下一個停電期時，才會針對受影響系統安裝這些修復包：一個簡單的補丁包及重啟在此是不容許的。工業系統也許還運行較老版本的嵌入式Windows系統，這對于許多IT部門意味著安全風險，這是由于生產系統并不遵循IT環境中常見的較短升級周期所致。

廠房聯網

涉及IT環境及工控系統兩者的變化正在醞釀中。隨著老化的生產系統堅實服務15年后最終退役，更多的工控系統正變得以TCP-IP為中心。這些較新的組件與運營計劃更多類似于它們的IT表親。

勞動力和技能也正不斷演變：許多曾管理舊式 HMI 設備(采用專有軟件及觸摸屏)的工控系統技術人員正退休或離開勞動力市場。更年輕、受訓于TCP/IP的技術人員進入OT崗位，找到經驗豐富的運營人員則很困難。隨著IT安全和OT兩個團隊間的詞匯逐漸一致，這次人員更換可能有助于潤滑來自兩個孤立團隊間的阻力。

安全高管及管理層需要意識到IT與OT間的差異之處，并管理好建立安全網絡環境的預期。正如Gartner在其《OT技術成熟度》2012報告中所述：有大量機會對IT與OT進行整合，但這在短期內并不容易獲得。

IT與OT間的文化融合尚需耐心。了解這種差異的高管層需要采取行動以促進IT安全團隊與OT團隊間的對話，從而避免兩者的組織邊界爭議。

高管需要認識到，IT與OT兩者所采用的安全策略、實踐及步驟均存在差異。OT負責實時的高系統可用性，而IT專注于保護復雜的數據環境。許多信息安全專家擅長于IT安全，但并不擅長工控系統安全。目前，SANS協會正發起一項工控系統及網絡安全認證計劃，該計劃包括培訓以及全球工業網絡安全專業認證。

一家主要消費品制造商的CISO認識到了這種差異。他設立了一個工控安全經理崗位，其不僅專注在OT安全問題，還要幫助兩個群體進行對話。當兩個團隊一起工作在舊式系統并朝著更為”IT中心”控制的方向變化時，這位工控安全經理尤其重要。

安全和風險專家必須仔細審視那些在IT治理、采購、配置管理等領域已經正常運轉的流程與步驟。為避免日后IT與OT間的爭議，運營組織必須融入到治理流程與對話中。而且，兩個群體的高管需要認識到IT系統與OT系統間的體系結構差異，并致力進行整體規劃和實施計劃，幫助所有團隊專注于業務結果，而非技術之爭。

***，Belden***技術官兼Tofino安全創始人Eric Byres，推薦了下述措施以消除IT安全與OT間的分歧：

· 年度員工調查，用于衡量IT安全與OT的合作程度，審視資源使用情況、信任問題、沖突、目標與目的的清晰程度;

· 跨部門培訓，不僅提供兩類技術培訓，還支持有望促進合作與溝通的價值觀與行為。

· 跨職能團隊，從IT與OT視角共同開發政策、標準及項目。

· 越過墻，鼓勵IT安全和OT兩個團隊相互影響，并相互有設身處地的意愿。安全和運維管理團隊采取一致行動，支撐搭建這座”橋梁”。

大處著眼 小處著手

花時間審視”快速點擊”及未開發項目的機會，比如新建一家工廠，帶著IT安全及OT團隊一起為項目努力。***，我們要認識到兩個各自為政的技術團隊進行協同尚需時間。但是，當IT和OT員工看到安全高管層參與進來并為此努力，此舉將提高士氣并迅速推進合作。