工业互联网，到底能干什么？

工业互联网到底是什么？为什么它能够被称为“第四次工业革命”的敲门砖。

1

什么是工业互联网

2012年，美国通用电气公司在提出“工业互联网”概念时，是这么说的：

“工业互联网，就是把人、数据和机器连接起来”。

也就是说，工业互联网的三要素，是人、数据、机器。

现在我们把这个概念丰富一下，这么说：

工业互联网的本质，就是通过开放的、全球化的通信网络平台，把设备、生产线、员工、工厂、仓库、供应商、产品和客户紧密地连接起来，共享工业生产全流程的各种要素资源，使其数字化、网络化、自动化、智能化，从而实现效率提升和成本降低。

中国有句古话：“水流则清，人动则活”。武侠片里也总是会说：“打通任督二脉，功力倍增”。

这些，都说明了“流动贯通”的重要性。

而工业互联网，就是让数据“流动”起来。

单个节点，非数字化，没有网络，它就是孤岛，是“死”的。

随着传感器等数据采集技术的升级，节点开始产生数据，有了“生命”。

与此同时，通信技术已在不断升级，像血管和神经一样，帮助无数孤立的节点，交换数据、共享数据。

最后，这些数据流会到达云端，借助云计算、大数据这些信息技术升级的产物，产生价值。

如此一来，所有节点就形成一个系统，一个更强大和完整的“生命体”。

这就是为什么，我们通常将工业互联网称为“工业技术革命”和“ICT（信息通信）技术革命”相结合的产物。

这里，我们要解释一个叫“OT”的概念。

大家搞通信的话，一定知道IT是信息技术，CT是通信技术，那么，OT是什么？

OT，就是Operation Technology，操作技术。可以把它理解为工厂车间里面的那些工业环境和设备，包括机械臂、传感器、仪器仪表、监控系统、控制系统等等。

工业互联网，就是IT、CT、OT的全面融合和升级。它既是一张网络，也是一个平台，更是一个系统，实现了工业生产过程所有要素的泛在连接和整合。

工业互联网

2

工业互联网和“红色警戒”

上面所说的内容可能比较抽象，我们还是通过一个喜闻乐见的例子来说明吧。

很多人都玩过红色警戒、星际争霸、魔兽争霸这样的电脑游戏吧？

这些游戏，都称之为即时战略游戏。说白了，就是不停地收集资源（铁矿、木头、石油等），然后建造工厂，生产和制造武器（士兵、战车、坦克、飞机等）。最后，利用这些武器，去消灭对手。

游戏的逻辑很简单，谁的武器最多最强，谁就能赢。所以，更能决定胜负的，是玩家的生产效率。

这是一个非常复杂的生产系统——资源的类型有很多种，武器和兵种也有很多种，科技树就更复杂了，此外，你还要进行能源管理（不能停电）。

但是，一名游戏玩家通过键盘、鼠标、显示器，就能够运作这一整套系统。

你有没有想过，这是为什么？

我觉得你应该已经想到了，是的，你在使用“工业互联网”的初级模型——

通过显示器展示的游戏界面（操作面板），玩家可以很清楚地看到自己当前有多少资源（铁矿、木头、石油），多少座兵工厂，兵工厂当前在生产什么，生产速度如何。玩家也可以看到自己的科技研发进度。玩家还可以看到自己有多少电厂，发电量够不够，会不会有停电的风险。

正因为玩家掌握了所有的数据（信息流），所以才能最高效率地进行决策，下达生产命令。

试想一下，如果你要玩一场没有电脑的红警游戏，会面对什么场景？

1、所有的数据都是用人传递，通过纸张才能阅读。你会被海量的纸张淹没。

2、这些数据无法进行即时统计和运算，也没办法第一时间找到其中的规律和问题。例如，你的铁矿虽然很多，当时你的石油只够用一个礼拜。再例如，你的坦克工厂开足马力生产，结果发现坦克发动机供货不足。

3、你的命令无法很快抵达工厂和车间。

……

简而言之，你就像回到了二战年代。在那个年代，如果想要运作庞大的战争机器，你只能依靠大量的人，还有熟练的团队协助。

如此看来，工业的信息化、数字化、网络化，是不是很有用？

3

工业互联网的架构

真正的工业互联网，当然要比红警游戏复杂得多。

我们先来看一下官方给出的工业互联网平台功能架构：

图片来自中国工业互联网联盟

上图其实可以看出，主体架构就是云计算架构。包括IaaS、PaaS、SaaS，都是云计算一模一样的概念。

多了一个边缘层，前面说过，边缘层其实就是生产现场，OT那部分。

看这个简单一点的：

根据上面的图，可以看出：

OT在底层，负责数据采集和动作执行，有点像四肢；

CT连接所有节点，负责数据传输，有点像血管和神经；

IT在上层，负责数据运算和分析，有点像大脑。

数据是双向流动的，形成了一个整体。

说来说去，就是数字化、信息流，然后从数据中挖掘价值。

4

工业互联网的应用案例

我们通过现实世界中的几个案例，来看看工业互联网到底能带来多大的价值。

第一个案例，是德国西门子。

作为工业4.0概念的提出者，德国也是第一个实践智能工厂的国家。位于德国巴伐利亚州东部城市安贝格的西门子工厂，就是一个高度数字化的智能工厂。

在占地10万平方米的厂房内，员工仅有1000名。近千个制造单元，全部通过物联网进行联络，大多数设备都在无人力操作状态下进行挑选和组装。

德国西门子安贝格工厂

在这个工厂里，每100万件产品中，次品约为15件，可靠性达到99%，追溯性更是达到100%！

再来看看瑞士的ABB集团。ABB是电力和自动化技术领域的世界级巨头企业。

他们研发了ABB Ability智能传感器技术，将生产的电机与云服务连接。该技术就像给电机佩戴了健康腕表，对电机的运行情况进行精确监测，并在云端对数据进行算法分析。一旦发现问题，就进行预警。

采用该技术之后，降低了70%的故障停工时间，延长了30%的使用期限，减少了近10%的能耗。

再来看看中国的。

美的集团，中国最大的家电制造企业之一，也打造了自己的工业互联网标杆工厂。

在它的磁控管（微波炉的核心设备）工厂里，搭建了完整的信息化应用框架，打通了各大系统的数据接口，实现了内外互联、虚实互联。

美的自研的MES（制造执行系统）首先实现了与云端上面供应商数据的对接，打通了供应商来料的入库、品质和生产计划。然后，打通了物流、质量管理系统，实现了对物流配送、品质管控的控制。接着，在产品开发上通过PLM（产品生命周期管理）实现制造和研发同步。最后，在销售端，通过CRM（客户关系管理）系统和客户对接。

这样一来，真正实现了全流程打通。

改造之后，这个数字化工厂的自动化率高达95%，关键工序不良改善达30%以上；人员效率提升88% ，空间产出效率提升79.2%。

总而言之，工业互联网带来的效率提升，是有目共睹的。节约下来的成本，也是真金白银。

5

工业互联网的应用案例

云计算和工业互联网之间，有什么关系呢？

其实前面已经都提到了。

当只有1个工厂和很少的设备时，在厂房里摆上几台服务器，建个局域网，找几个工程师，就可以管理和维护这个小型工业网络了。

这个网络太小，只能称为工业局域网，而不是互联网。

但如果是几十个工厂，几百个车间，几万个生产设备呢？显然，这个时候应该采用云计算技术。

只有上云，才有强大的运算能力、存储能力和网络带宽，能够对这么庞大的系统进行管理。

也只有通过云计算，才能让更多的企业员工及管理者接入，去使用工业互联网。也能够让开发者有更大的空间，去设计更好的应用。

云计算还可以为企业与企业之间，工厂与供应链之间，工厂与经销商之间，提供接口，进行指定数据的共享。

甚至还能提供工厂与最终消费者用户之间的接口，方便用户对产品进行个性化定制。

再来看看大数据。

前面我们一直都在说数据，不过数据和大数据是两回事。

关于大数据，可以参考小枣君之前的文章：五分钟解读“大数据”

大家都知道，消费物联网的大数据很大，例如购物数据，出行数据等。但是，实际上，工业互联网产生的数据量，远远超过消费物联网。

举个例子吧，波音飞机发动机30分钟内产生的数据，就有10TB，我们普通台式机2TB的硬盘，需要5块才能装得下。

数据就是金矿，工业互联网的大数据，就是超级大金矿。

通过大数据技术，可以对生产制造物流等所有流程的数据进行存储和分析，挖掘其中的数据价值。

人工智能又和工业互联网有什么关系呢？

其实，早在十几年前，我们玩红警，选择和电脑对战，不就是在和人工智能对战吗？只不过那个时候的人工智能，还只是很初级很“弱智”的智能，它只是按照游戏开发者设定的固定程序流程，先造什么，再造什么，最后来攻击你。

如今的人工智能，学习速度更快，算法更先进，变成了阿尔法狗，你想打赢它，几乎是不可能了。

我们将人工智能引入工业制造，其实就是让人工智能作为我们的代理人，帮助我们管理工厂，管理整个制造生产流程，甚至包括采购、物流和销售流程。

随着人工智能的不断演进，工业互联网这个系统将会实现工况自感知、工艺自学习、装备自执行、系统自组织。

这个，就是智能制造的最高境界。

6

工业互联网和5G

5G和工业互联网之间的关系，主要集中在接入层。

高连接速率、超低网络延时、海量终端接入、高可靠性，都是5G所具备的优点。这些优点，将非常有利于5G替代现有的厂区物联网通信技术，尤其是Wi-Fi，蓝牙等短距离通信技术。

一些以往受限于网络接入而不能实现的场景，在5G的加持下，都变得可行。

例如，高精度机械臂加工。如果采用5G对机械臂进行远程控制，时延将缩短到1ms，可以很好地满足加工精度的要求。

5G机器人

还有5G的超高带宽，在采集4K/8K设备监控影像的时候，也将发挥不可替代的作用。

除了接入层之外，5G的切片、边缘计算，都可以在工业互联网领域找到不错的应用场景。

7

工业互联网的发展现状

工业互联网蕴藏着巨大的商机，无数企业对此跃跃欲试。

如果想要成为工业互联网的玩家，想要掌握先机，当然就是从工业互联网平台入手。

工业互联网平台是工业互联网的核心。说白了，它也就是工业互联网的“操作系统”。

就像苹果iOS系统和谷歌安卓系统牢牢掌控了消费互联网一样，谁提供的工业互联网“操作系统”最好，用的人最多，谁就掌握了工业互联网发展的主动权。

但是，尽管工业互联网已经发展了这么多年，迄今为止，仍然没有任何一个平台占据了绝对领先的地位，也没有任何一个平台获得了真正的成功。

原因很有意思——

能够提供这样强大平台的公司，一定只有两种，要么是工业制造能力很强的公司，要么是信息技术能力很强的公司。

例如，美国的通用电气和德国的西门子，就属于前者。世界上第一个工业云平台Predix，就是由美国通用电气公司(GE)在2015年正式发布的。而第二个平台呢，就是德国西门子公司在2016年4月开放的MindSphere。

按理来说，这些公司很牛，做出来的东西当然非常好。但是，工业互联网有一个很大的特点，就是个性化。每个公司生产的东西不一样，流程不一样，工艺不一样，设备不一样，渠道不一样，甚至商业模式和供应链也不一样。

你想造一个通用的平台，可能吗？

想要成功，必须经过非常深入的分析，然后建模，最后开发。也就是说，高度定制化。

曾经就有业内人士说，传统的消费物联网平台开发，分析需求、建立模型、编写代码这三步的工作比例，是2:3:5。而工业互联网平台恰好相反，是5:3:2。

一个工业互联网平台项目，你需要花大量的时间在场景和需求分析上，搞懂它到底是怎么运作的。

想拿通用平台随便改改就用？扯淡！

此外，作为GE和西门子这样的大公司，虽然它们拥有雄厚的技术实力，做出了好的平台，但它们本身也是工业企业。它们的竞争对手，怎么可能会用它们的平台呢？那岂不是把自己的数据都暴露了吗？

而作为亚马逊、谷歌、微软，包括国内阿里、腾讯，虽然是互联网企业，也拥有雄厚的软件研发实力，但对工业制造过程没有深厚的技术沉淀，所以也很难做出适合的平台。

因此，现在工业互联网平台处于全面混战的一个状态。大公司做，小公司也做，很多大型制造企业孵化出来独立经营的子公司，反而在所在的专业领域做得风生水起。也有一些互联网创业企业，凭借专业知识，做出了不错的平台产品。

就在这种混战的状态下，全球工业互联网平台市场在高速增长。

根据研究机构 MarketsandMarkets 的统计数据显示，2017 年，全球工业互联网平台市场规模为 25.7 亿美元，预计 2023 年将增长至 138.2 亿美元。

而美国、欧洲和亚太这三个地区，是当前工业互联网平台发展的焦点区域。

美国的代表，是GE、微软、亚马逊、PTC、罗克韦尔、思科、艾默生、霍尼韦尔等巨头企业。而欧洲的代表，是西门子、ABB、博世、施耐德、SAP 等企业。

中国就更多了，航天云网、海尔、树根互联、宝信、石化盈科、用友、索为、阿里、华为、浪潮、紫光、东方国信、寄云等等，都是起步比较早的平台开发企业。

国内工业互联网产业技术体系

（图片来自中国信通院）

这场混战还将继续下去，究竟谁能脱颖而出，只能让时间告诉我们答案了。

8

工业互联网的瓶颈

工业互联网的未来是美好的，但是，前进的道路并不通畅。

很多的问题和障碍摆在它的面前，例如最关键的数据安全问题。

企业对于数据安全的顾虑，严重影响了他们上云的积极性。他们害怕自己的核心数据不能得到很好的保护，一旦泄露，带来的后果是灾难性的。

保护数据的安全，既需要平台拥有可靠的技术，也需要企业本身有很好的软硬件环境和管理水平。

对于我国很多企业来说，基础设施落后，资金和技术有限，想要“速成”工业互联网，确实不太现实。就像邬贺铨院士说的，有些企业内部数据都做不到完全共享，更何况外部。

此外，工业互联网标准的缺失，以及企业ICT人才培养的不足，都是困扰工业互联网向前发展的障碍。

不仅我们国家如此，国外推进也是困难重重。就像前面说的GE通用电气，不久前也是因为旗下GE Digital（GE数字集团，专门捣鼓工业互联网业务，包括世界上第一个工业互联网平台Predix）业绩不佳，所以出售了它的部分股权。

所以说，推动工业互联网发展和普及，是全世界面临的共同难题，任重而道远。

9

结语

不管怎么说，第四次工业革命是人类发展的必然趋势，工业互联网也是工业发展的必经之路。

我们国家作为工业大国，面对人工成本上升、原材料价格波动、贸易竞争日益加剧等种种不利情况，正处在工业转型升级的关键时刻，迫切需要提高效率、降低生产成本。只有坚定不移地推动工业互联网落地，加快更多企业的数字化转型和智能化改造，才有可能让自己在全球化竞争中立于不败之地。

【免责声明】本文转载自公号：鲜枣课堂，我们非常尊重原作者的著作权，如涉及版权问题，请及时联系973374849@qq.com，谢谢！

老板发邮件说“OT”是什么意思？不知道你就麻烦了

如果你下班之前临时接到了上司的一封邮件，里面有“OT”出现，那你要注意了，千万别急着下班，恭喜你“喜提”加班~

在日常的邮件还有会话当中，总会遇到使用英文的缩写，讲话的时候也常常夹带一些英文单词。

今天C姐跟大家聊聊邮件中那些常见的英文缩写，一定要有所了解，不然就要闹笑话了！

OT

我们先从“OT”说起，原以为朝九晚五是工作常态，上班后才知道996才是常态，加班是必不可少的，“加班”你要这样表达：

Work overtime是“加班”最常见的英语说法，也可以直接用它的缩写 “OT”，有人把加班说成extra work，是不准确的，额外工作不一定就得加班，加班也不一定是额外工作。

They're working overtime to get the job done on time.

他们加班是为了准时完成工作。

You must know our working hours are very long and overtime work is frequent.

你必须知道我们的工作时长非常长，并且加班非常频繁。

有些公司会给相应的加班费，这个词还是有了解的必要的，跟HR沟通的时候可以提前询问加班是否有应得的加班费：

overtime pay

↓

加班费

If I put in extra hours, I can receive overtime pay.

如果我加班(工作), 我可以领加班费。

NB

如果你收到邮件的时候看到了“NB”这个用法，可不要一脸疑惑，它可不是你想象中的意思~

NB=Nota Bene=特别注意、划重点

NB. You should read this post more than once.

划重点，这篇文章你得多读几遍~

遇到“NB”可要注意了，其后面跟着的往往都是比较重要的内容。

TBD

职场新人在工作中经常听到这样的对话：“给客户的邮件记得CC我，告诉客户合同签订时间还TBD。”是不是有小同学以为TBD是“听不懂”这么理解可就尴尬了！

TBD=to be determined=待确认，待定

The exact date for returning to the office is TBD.

到单位上班的具体时间待定。

经常用于商务场合，发出会议邀请或告知行程的时候，如果地点或者时间还没有最终确定，可以写上TBD，告诉对方会另行通知，待确定。

相似的表达还有“TBA”：

TBA=to be announced

↓

待定、待通知

The time that you can leave your house is TBA.

什么时候时候可以出门有待通知。

FYI

FYI=for your information所表达的意思也是相近的，就是表示“供你参考”的意思。

常常会出现在邮件当中，如果在协助同事工作的时候，只需要你提供一份文件，正文没有特别要写的，就可以附上：FYI.

还有一种表达方式与其相似：

FYR=For Your Reference

↓

供您参考的信息

This is the PnL report for last month, FYR.

这是上个月的营收损益表，供您参考。

FYI与FYR都有“供您参考”的意思，也常用于英文的Email沟通。有所不同的是，FYI还可用于表达“按您的需要，提供这些资讯给你，供您参考”的意思，而FYR不行。

前者FYI提供的是精准的信息，后者FYR提供的是相关或类似信息作为参考。

写英文邮件，最重要的是：Keep it as simple as possible. 在这个基础上掌握一些经典“套路”，你的邮件会写得又好又快。

• 基本邮件礼仪 •

1、感谢开头感谢别人回复自己邮件，不用太客套，废话少说：Thanks for the quick reply/updated information.Thanks for getting back to me.

2、道歉邮件回的晚了，或者临时通知别人事情，要先道歉：Sorry for the late reply.Apologies for the late notice.

3、附件附件英语是attachment。但是如果你说please find the attachment会显得很没有水平。一般直接用动词attached或enclosed:Attached/Enclosed please find the report.I attached the report and please take a look.

4、收尾最后收尾一般都是询问别人意下如何。不要用please tell me…这种不地道的中式英语。可以这么说：Please let me know your thoughts.Looking forward to your insight.

一种 IT 和 OT 安全融合的思路

摘\u3000要

数字化、网络化、智能化加速发展，使得信息技术（Information Technology，IT）与操作技术（Operation Technology，OT）融合成为工业数字化转型和制造业高质量发展的关键。与此同时，网络风险也不断向工业领域渗透蔓延。从多个维度分析当前 IT 和 OT 融合的现状，科学论证其带来的网络安全风险，尤其是对工业控制系统关键组件的影响。针对现状和问题，从技术维度提出一种 IT 和 OT 安全融合的思路，并给出相应建议。

内容目录：

1\u3000IT 和 OT 融合发展现状

1.1\u3000IT 和 OT 概述

1.2\u3000IT 和 OT 融合现状

2\u3000IT 和 OT 融合网络安全风险

3\u3000IT 和 OT 安全融合思路

3.1\u3000安全基础技术融合

3.2\u3000数据融合

3.3\u3000态势融合

4\u3000结\u3000语

在工业数字化转型浪潮下，“云、大、物、移、智”等新技术在工业领域不断应用，使 IT和 OT 深度融合，产生了以工业互联网为代表的数字化应用，促进了工业生产管理、运营决策与制造执行等各方面的“颠覆式”变革 。同时，从互联网传进来的各种网络风险逐渐渗透到 OT系统，近年来，IT 和 OT 结合导致的工业生产安全风险逐渐加剧，如 2018 年台积电遭病毒入侵导致重要产线停摆 ，2019 年委内瑞拉电力控制系统连续多次遭受网络攻击，2020 年钢铁制造商 EVRAZ 遭到勒索软件攻击导致多家工厂停产 ，2021 年美国最大输油管线遭勒索软件攻击，严重影响国内多地燃油供应 。因此，必须采取有效的、针对性的 IT 和 OT 安全融合措施，以保障工业生产安全运行。

1.1\u3000IT 和 OT 概述

Gartner 关于 OT 的定义是“直接监控和 / 或控制工业设备、资产、流程和事件来检测物理过程或使物理过程产生变化的硬件和软件。”。按照概念，OT 强调“直接”作用，其实就是可编 程 逻 辑 控 制 器（Programmable Logic Controller，PLC）、分布式控制系统（Distributed Control System，DCS）、监控和数据采集系统（Supervisory Control andData Acquisition，SCADA）等工业控制系统及其应用软件的总称，包含数据采集和自动控制技术。IT 主要用于企业管理的硬件、软件、网络、通信技术以及存储、处理和向企业各个部门传输信息的系统。制造执行系统（Manufacturing Execution System，MES）/ 制 造 运 营 管 理 系 统（Manufacturing Operations Management，MOM）处于 IT 和 OT 之间。IT 和 OT 的范围如图 1 所示。

图1 IT和OT的范围

简而言之，IT 和 OT 都是为工业企业服务。目前，OT 部分主要用于控制和分析企业生产过程，促进进一步改善生产；IT 部分重点处理企业各类数据和信息，并维护企业所制造产品的质量。历史上这二者是相互独立的，随着技术的发展，IT 和 OT 相互融合必将显著改善企业运营情况，能够进一步增强工业企业管理者监控运行和过程的能力，促进工业企业提质增效，主要体现在以下几个方面：（1）降低工业资源和人力成本。引入 IT 侧的云化和虚拟化技术，在不影响 OT 侧各控制系统正常运行的情况下，将各生产区的服务器上云，减少了企业在设备成本方面的开支，并且基于云平台的统一操作入口也易于工作人员实施设备更新，简化了工业操作。（2）提高工业设备安全性与预测性维护。OT 侧借助物联网传感器和流量探针等 IT 基础设施，实时监测工业设备的状态和生产过程，并利用人工智能和大数据技术对采集的数据进行建模分析，有效识别设备异常状态并预测潜在的安全风险边界。（3）提高经营决策效率。通过业务指挥调度平台和综合态势感知平台联动，全面分析管理流程、工业业务流程和生产过程数据，进一步优化企业信息共享方式，快速响应客户订单需求，高效完成产品的开发和集成 。

1.2\u3000IT 和 OT 融合现状

整体来说，目前多数工业企业主要从以下 3个维度开展 IT 和 OT 融合。（1） 架 构 融 合 。企 业 的 IT 和 OT 部 分在物理层面多是分区域的，架构也相对独立，当前业界主要通过建设类似工业互联网平台的云架构来实现 IT 和 OT 的融合，基于平台实现SCADA 系统等在云端部署应用，实现 IT 和 OT各类软硬件资源及容器等开发工具的接入、控制和应用，实现各类多源异构设备的数据采集、传输和交互。（2）数据融合。通过智能传感器、数据采集设备等对产品在设计、研发、生产过程及在相关业务环节中产生的全域数据进行实时采集，同时整合销售运营数据、供应链管理数据、财务会计数据等工业大数据资源，并利用机器学习、深度学习等技术进行模型训练与综合分析，打通从 OT 到 IT 的全流程，实现企业生产流程优化及内部精细化运营管理。（3）虚实融合 。当前数字孪生技术广泛应用在智慧水厂、汽车生产、矿山智能巡检及自动化立体仓库等工业场景中，通过将物理场景中产生的大量数据在云端进行存储、管理和建模分析，实现全生产链要素的高度互联，有效解决各领域面临的信息孤岛统筹难、集中监管难度大、信息反馈不及时、运营维护成本高等痛点问题。

IT 和 OT 融合已成为必然趋势，使得工业网络结构、形态、协议及通信方式均在发生改变，IT 降低了攻击成本，部分 OT 系统自身也变成了联网设备，诸多因素导致 IT 和 OT 融合引发了更多的网络安全风险，主要体现在平台 / 系统的应用、网络、设备、数据等方面。

（1）应用层面。

应用主要以设计、生产、管理、服务等工业业务运行 App 的方式服务于用户，有些还集成了设备状态分析、能耗分析优化等创新应用。工业互联网使得上述应用变得共享和开放，企业内诸多业务逻辑均暴露于网络中，攻击者极易通过扫描开放应用端口并利用开放服务在身份鉴别、访问控制、安全接口和安全审计等方面的漏洞和缺陷进入网络服务器等核心基础设施，同时以办公网为跳板对控制网进行渗透和攻击，直接威胁安全生产。

（2）网络层面。

因 IT 和 OT 各自用到的网络通信协议或网络架构的安全性存在差异性，IT 和 OT 网络互联后，安全风险将互相渗透，加大了网络风险暴露面。例如在工业现场的安全风险，一是大量物联网终端使用全球移动通信系 统（Global System for Mobile Communication，GSM）网卡，而 GSM 存在单向认证缺陷，面临移动用户的数据信息被伪基站截获的风险；二是很多现场设备采用 Modbus、Profinet 等传统工业协议进行有线传输，这些协议自身缺乏身份认证、授权及加密等安全机制，黑客极易利用这些漏洞对设备下达恶意指令。在网络边界，诸多边缘设备采用了具有非授权组网特性的 LoRa协议，其面临报文伪造、恶意拥塞、身份伪造等安全风险。如今，“5G+ 工业互联网”得到深入应用，相比于 3G 和 4G，5G 虽然在网络架构上进行了全新设计，在网络安全方面进行了增强，但 5G 采用的公钥加密接入认证算法仍存在隐私泄露的风险。

（3）设备层面。

融合之前设备存在的安全风险在融合之后依然存在，主要包括：一是利用U 盘等移动介质进行攻击，只要移动介质连接到工业控制设备，恶意程序就会自动运行，病毒在全网进行传播，影响 IT 侧的正常业务办公和管理决策等，窃取企业核心数据，并针对 OT 侧的各控制系统实施恶意指令下发，影响安全生产；二是设备自身的漏洞缺陷，包括操作系统、设备上的应用软件及其插件、设备硬件接口等，容易被攻击者利用；三是安全管理层面，硬件设备接口未做安全防护、软件补丁更新不及时、采用弱口令、“零”或者弱安全认证机制。

（4）数据层面。

一是融合后扩大了针对海量多源异构数据的攻击面，现有基于用户身份或角色的访问控制策略难以满足大规模数据的细粒度访问控制要求；二是产品全生命周期产生的各类数据包含大量敏感信息，在设备与云端进行通信时，若 OT 侧的探针采集的数据未经加密，攻击者可通过监听的方式获取设备敏感信息，此外，数据基于平台进行流通和共享时，存在数据滥用、隐私泄露等安全威胁。具体以典型工业控制系统 SCADA、人机界面（Human Machine Interface，HMI） 和 PLC 为例来分析 IT 和 OT 融合后面临的安全挑战。

（1）SCADA 系统安全。

SCADA 系统可看成 IT 和 OT 的分界。一方面，未授权非法访问、工业控制标准协议和通用技术的开放性、工业控制软硬件产品自身缺陷、从业人员等综合因素加剧了网络安全风险；另一方面，SCADA 系统上云后，伴生由云安全延伸的安全风险。

（2）HMI 和 PLC 安全。

HMI 是上位机，从属于控制系统，界面实时显示现场系统状态。HMI 对现场系统进行控制和监视，实际上是HMI 编程人员将每个指示器和按钮编程到 PLC的指定寄存器地址中，而这个控制过程通常带有密码设置，极易被黑客破译，使得操作员失去对人机操作界面的视图控制权。利用 HMI 攻击PLC 的过程如图 2 所示，典型攻击案例是 2015年乌克兰电网事件 。

图2 工业网络攻击过程

一旦网络攻击渗透到 PLC，会直接影响到现场设备。同时，PLC 需要与控制中心通信，其自身安全是整个工业信息安全的最后防线，但当前 PLC 多是基于裁剪的嵌入式系统，加之基于扫描的工作方式和面向命令的工控协议，存在较大的安全风险隐患，以协议中的自定义命令字为例来说明，Modbus 协议的从机诊断命令会造成从机 PLC 切换到侦听模式，通用工业协议（Common Industrial Protocol，CIP）部分命令字会造成从机 PLC 直接重启，S7 协议的 StopCPU 功能会导致 PLC 程序运行停止 。

针对 IT 和 OT 融合现状及面临的诸多网络安全风险，建议企业从管理、技术和运营等方面进行综合加强，其中技术方面重点从安全基础技术、数据和态势 3 个方面开展安全融合，IT和 OT 安全融合技术架构如图 3 所示。

图3 IT和PT融合安全技术加购

3.1\u3000安全基础技术融合

融合安全技术成为 IT 和 OT 融合的必然选择。从安全自主可控角度出发，通过采用轻量级的国产密码技术及安全可信技术等，实现安全加密防护技术与 PLC/ 远程终端设备（Remote Terminal Unit，RTU）等工控核心部件深度融合，形成一体化的安全 PLC/ 安全 RTU，在满足工业控制系统实时性和环境适应性的前提下，实现自身与上位机通信的加密保护，网络通信的协议识别和内容检测，以及对自身存储固件和数据完整性的保护等，本质上实现了内生安全，既能防护 OT 内部威胁，也能防护 IT 威胁。

3.2\u3000数据融合

数据融合工作主要从数据采集层面和数据处理层面开展。

（1）数据采集层流量探针功能融合。IT 探针主要采集通用网络设备、安全设备以及终端等的数据；OT 探针主要采集现场工业控制设备、自动化设备、控制监控系统以及终端等的数据。以上数据构成了涵盖网络原始流量数据、资产数据、终端行为数据、审计数据和元数据等各种信息的工业信息安全大数据源。此时有两种方法实现融合：一是研究分析 IT 和 OT 数据在资产、事件、漏洞以及告警等方面的共性与特性，形成独立于网络协议 / 工控场景的工控网络数据统一表征方法，并开发一款具备此方法的“前置探针”，即实现融合功能的前置，同时采集 IT和 OT 的数据；二是 IT 和 OT 在采集时仍然使用各自常用的探针，但是采集之后对数据进行功能层面的融合分析，抽象共性功能和特性功能。

（2）数据分析处理模型融合。IT 和 OT 都需要将各自的数据进行统一清洗、入库。对于数据分析的技术和方法，也都采用关联分析、机器学习等技术，并根据各自不同的特征向量和使用场景进行训练，构建专用规则模型，再结合各自威胁情报库，进行异常行为分析和风险研判。可见对于数据分析层，IT 和 OT 采用的技术类同，只是数据模型、规则和协议不同，可建立通用分析模型。

（3）威胁情报库融合。IT 和 OT 网络威胁情报分别揭示了 IT 和 OT 网络资产可能存在或出现的风险、威胁，并给出相关联的环境、机制、指标、内涵及可付诸行动的建议，可为企业响应相关威胁或风险提供决策帮助。但目前，IT和 OT 各自网络威胁情报库还未很好地共享，难以实现安全威胁的协同感知和统一处置，可对IT 和 OT 各自情报库的情报类别、条目以及数据结构等内容抽象分离，设计统一的数据结构，进行两套情报库的格式转换、统一存储和发布，以实现对安全事件和威胁事件的深度识别 。

3.3\u3000态势融合

IT 系统和 OT 系统在呈现层均有对企业系统资产、漏洞、威胁、日志、告警和态势等情况的展示，功能类同，主要以可视化界面为主，可融合为统一的展示效果，对高安全风险进行协同响应和处置。同时，可向上预留应用接口，满足国家部委网络安全监管需求，实现统一数据上报及统一威胁情报的接收。

IT 和 OT 融合作为推动制造业转型升级的重要抓手，目前仍处于艰难的探索阶段，当下还无非常成熟的模式。针对 IT 和 OT 的安全融合，建议考虑具体行业的实际需求，加强 IT 和OT 技术融合的标准化建设。另外，加强安全保障体系建设。IT 和 OT 融合必须具备 IT 安全、OT 安全以及 IT 和 OT 融合安全技术，如安全PLC、工业虚拟专用网、工业网络地址转换、工业入侵检测、工控网络接入控制、无须依赖外部特征库的 AI 智能分析与检测等才能满足融合安全建设目标。建议高效实施系统防护，加大对重要资产的保护力度，从融合系统中分离网络通信功能及加强 AI 技术在融合安全方面的赋能作用。

引用格式：万乔乔 , 钟一冉 , 周恒 , 等 . 一种 IT 和 OT 安全融合的思路 [J]. 信息安全与通信保密 ,2023(1):79-86.

作者简介 >>>

万乔乔，女，硕士，工程师，主要研究方向为网络安全、工业信息安全；

钟一冉，男，硕士，工程师，主要研究方向为网络安全；

周\u3000恒， 男， 硕 士， 工 程 师，主要研究方向为工业信息安全、密码安全；

邹盛唐，男，硕士，研究员，主要研究方向为工业信息安全。

选自《信息安全与通信保密》2023年第1期（为便于排版，已省去原文参考文献）

本文链接：https://www.lezhuanwang.net/kepu/77926.html『转载请注明出处』