工控安全带来运营挑战 (工控安全的重要性)

教程大全 2025-07-17 05:46:30 浏览次

在办公室、车间及工厂里持续着一种讨论。由于信息技术与运营技术两个团队间彼此很难理解对方的安全问题，这种讨论也许会导致两个团队间彼此对峙。

难道所有的计算机与处理系统不都是一样的吗?

答案是：绝对不是!正如SANS协会工控系统安全技术总监Tim Conway在与《计算机工程》杂志2013年8月的一次访谈中所指出的：

当你接受IT背景的人，并将他们带入工控系统环境时，运营方会不理解他们为何在此，而IT方则对特定控制环境的需求缺乏理解。

随着基于TCP/IP、以太网、Linux及Windows的系统进入到了工控系统及数据采集与监控系统(SCADA)网络中，运营技术面临IT安全挑战。

IT/OT整合

绝大多数安全高管对信息技术范畴有着很好的理解;本质来说，IT是业务的关键基础—它保持信息流动、email服务运转、数据库被填充。运营技术(OT)是新近提出的术语。它涉及工控系统，保持电厂运转，管理工厂生产线，根本来说，为实现制造、运输、能源生产等工业目标而进行协作。根据技术咨询公司 Gartner 定义，OT 由软、硬件组成，通过直接监控和/或控制企业中的物理设备、流程或事件，从而检测或产生变更。

为了更好理解这些细微差别，让我们看看IT与OT系统管理员间的差异。IT部门工作在业务的”企业侧”，通常向上汇报给***信息官。IT技术人员和工程师一般工作于Windows工作站与服务器、email系统以及企业资源规划系统之上。OT技术人员则工作在运营或生产管理团队下。他们专注于工业系统设备的平滑作业，如可编程逻辑控制器;压力、温度与水平传感器;阀与电机控制器等等。

历史上，OT系统及组件为不联网的独立设备，它们历来都与业务的企业或IT侧隔离。或者，即使这些设备存在任何”计算机化”，通常也是运行专有协议，使用专用软、硬件。然而随着时间推移，IT 能力被引入到了现有的物理和 OT 系统中;例如，用于电动机和蒸汽引擎的传统机械调速器已经被嵌入式数字控件所替换。

IT/OT本质差异

用于生产的旧式工业控制系统正开始被类IT系统的OT系统所取代，但IT与OT间仍存在本质差异。美国国家标准和技术协会(NIST)SP 800-82《工控系统安全指南》(修订版1)中列出了其中一张较优的对比表，它易于理解。第25页中这张表汇总了IT与OT系统间的本质差异，且补充了一些附加观点。#p#

NIST安全对比：IT系统与工控系统

源：NIST SP 800-82《工控系统安全指南》，修订版1

正如NIST这张对比表所示，IT与OT间仍然存在显著差异，而且这些差距会产生诸多问题，涉及操作实践、软件修补、系统升级以及其他安全与网络功能。

修补IT系统相当简单，且实质已成为IT员工的日常工作。他们例行处理微软月度”星期二补丁”，持续进行软件缺陷修复。由于工业系统是系统性的，微小变更都可能产生巨大影响，所以OT工程师会先攒着这些补丁，等到车间或工厂的下一个停电期时，才会针对受影响系统安装这些修复包：一个简单的补丁包及重启在此是不容许的。工业系统也许还运行较老版本的嵌入式windows系统，这对于许多IT部门意味着安全风险，这是由于生产系统并不遵循IT环境中常见的较短升级周期所致。

厂房联网

涉及IT环境及工控系统两者的变化正在酝酿中。随着老化的生产系统坚实服务15年后最终退役，更多的工控系统正变得以TCP-IP为中心。这些较新的组件与运营计划更多类似于它们的IT表亲。

劳动力和技能也正不断演变：许多曾管理旧式 HMI 设备(采用专有软件及触摸屏)的工控系统技术人员正退休或离开劳动力市场。更年轻、受训于TCP/IP的技术人员进入OT岗位，找到经验丰富的运营人员则很困难。随着IT安全和OT两个团队间的词汇逐渐一致，这次人员更换可能有助于润滑来自两个孤立团队间的阻力。

安全高管及管理层需要意识到IT与OT间的差异之处，并管理好建立安全网络环境的预期。正如Gartner在其《OT技术成熟度》2012报告中所述：有大量机会对IT与OT进行整合，但这在短期内并不容易获得。

IT与OT间的文化融合尚需耐心。了解这种差异的高管层需要采取行动以促进IT安全团队与OT团队间的对话，从而避免两者的组织边界争议。

高管需要认识到，IT与OT两者所采用的安全策略、实践及步骤均存在差异。OT负责实时的高系统可用性，而IT专注于保护复杂的数据环境。许多信息安全专家擅长于IT安全，但并不擅长工控系统安全。目前，SANS协会正发起一项工控系统及网络安全认证计划，该计划包括培训以及全球工业网络安全专业认证。

一家主要消费品制造商的CISO认识到了这种差异。他设立了一个工控安全经理岗位，其不仅专注在OT安全问题，还要帮助两个群体进行对话。当两个团队一起工作在旧式系统并朝着更为”IT中心”控制的方向变化时，这位工控安全经理尤其重要。

安全和风险专家必须仔细审视那些在IT治理、采购、配置管理等领域已经正常运转的流程与步骤。为避免日后IT与OT间的争议，运营组织必须融入到治理流程与对话中。而且，两个群体的高管需要认识到IT系统与OT系统间的体系结构差异，并致力进行整体规划和实施计划，帮助所有团队专注于业务结果，而非技术之争。

***，Belden***技术官兼Tofino安全创始人Eric Byres，推荐了下述措施以消除IT安全与OT间的分歧：

· 年度员工调查，用于衡量IT安全与OT的合作程度，审视资源使用情况、信任问题、冲突、目标与目的的清晰程度;

· 跨部门培训，不仅提供两类技术培训，还支持有望促进合作与沟通的价值观与行为。

· 跨职能团队，从IT与OT视角共同开发政策、标准及项目。

· 越过墙，鼓励IT安全和OT两个团队相互影响，并相互有设身处地的意愿。安全和运维管理团队采取一致行动，支撑搭建这座”桥梁”。

大处着眼小处着手

花时间审视”快速点击”及未开发项目的机会，比如新建一家工厂，带着IT安全及OT团队一起为项目努力。***，我们要认识到两个各自为政的技术团队进行协同尚需时间。但是，当IT和OT员工看到安全高管层参与进来并为此努力，此举将提高士气并迅速推进合作。

三集五大体系建设不包括哪些专业

（一）“三集”内容1.人力资源集约化管理。建设以公司总部为决策调控中心，网省公司、直属单位为管理责任主体的人力资源组织体系，统一规划计划管理，统一机构编制管理，统一劳动用工管理，统一人才培养与开发，健全完善激励与约束机制，提升管控能力和效率。总部负责人力资源战略研究、规划编制、政策制定、标准建设、资源配置和绩效考核等工作，并统一管理公司高级管理人才、高层次专业人才、高水平技能人才；各单位按照公司统一部署，落实人力资源管理各项工作。 2.财务集约化管理。构建以公司总部为决策调控中心，网省公司为管理责任主体的集约高效的财务组织体系，推行会计集中核算、资金集中管理、资本集中运作、预算集约调控、风险在线监控，切实提高财务管控能力。 3.物资集约化管理。建立总部和网省公司两级物资管理组织体系及相应的物资服务机构，推行物资统一管理，加强物资管理基础建设，推进物资标准化工作，深化招标采购管理，强化物资应急体系建设。（二）“五大”体系内容“大规划”体系。要建立公司一体化规划组织体系，制定覆盖公司各层级、各业务领域和所有电压等级的统一规划，保证规划的科学性、完整性和一致性。 “大建设”体系。要建立集约化、专业化、扁平化的建设组织体系，统一管理流程、技术规范和建设标准，提高工程质量和效益。 “大生产”体系。要建立以设备管理为核心，操作维护一体化、检修专业化的生产组织体系，推行资产全寿命周期管理，提高设备利用效率和可靠性。 “大运行”体系，要实现各级调控一体化，国调、网调一体化，提高驾驭大电网的能力和大范围优化配置资源的能力，保障电网的安全、经济、优质、高效运行。 “大营销”体系。要建立以客户需求为导向、高效协同的一体化营销组织体系，统一服务平台、业务模式和管理标准，提高服务能力和服务水平。（三）准确把握“五大”体系建设总体思路和目标任务 1.“五大”体系建设总的思路是：以科学发展观为指导，以集约化、扁平化、专业化为方向，以统一信息平台、统一管理标准、统一支撑服务为保障，按照效率优先、目标导向、因地制宜、安全稳定的原则，变革组织架构、创新管理模式、优化业务流程，推进省公司、地（市）县公司管理的扁平化，深化人财物等核心资源的集约化，实施规划、建设、运行、检修、营销等重点业务的专业化，形成管理集中高效、资源集约共享、业务集成贯通的新型电网企业运营模式，全面提升公司发展能力和运营效率，加快建设“一强三优”现代公司。 2.“五大”体系目标任务。建设大规划体系的重点是，实施全公司规划和计划统一编制、统一管理，建立包含各专业、贯穿各层级、涵盖各电压等级的统一规划体系。建设大建设体系的重点是，统一管理流程、技术规范和建设标准，加强基建关键环节管控，建立由省建设公司、地（市）建设公司按电压等级承担项目建设任务的建设管理体系。建设大运行体系的重点是，实现国调网调一体化运作，建立各级变电设备运行集中监控业务与电网调度业务高度融合的一体化调控体系。建设大检修体系的重点是，实施运维、检修一体化管理，建立由省检修公司、地（市）检修公司按电压等级承担输变电设备运维检修任务的设备检修体系。建设大营销体系的重点是，以客户和市场为导向，建立电话服务和计量检定配送业务向省级集中、业扩报装实施属地化管理的营销管理体系和24小时面向客户的营销服务系统。当前，“五大”体系建设的重点是在省公司及以下层面，要做实省公司、做优地（市）公司、做精县公司。总部和区域公司的相关工作下一步将作深入研究，总的方向是，区域公司的职能与总部职能统筹设计、科学分工、协同运作，逐步实现区域公司与总部一体化。（四）国家电网公司关于“五大”体系建设工作的要求关于“五大”体系建设，国家电网公司总的考虑是，2011年选择两家省（直辖市）电力公司进行综合试点，2012年开始推广实施，“十二五”期间在全系统基本建成。要求各级组织做到：一要统一思想认识。 “五大”体系建设是一项事关全局的重大改革，也必然会是一场困难多、挑战大、任务重的攻坚战。要深刻认识“五大”体系建设工作的重要性、复杂性和长期性，切实增强责任感和紧迫感，把思想和行动统一到公司国家电网公司党组的决策部署上来。要锐意改革、勇于创新，知难而进、迎难而上，加强组织纪律性，不折不扣地贯彻各项要求。要坚定必胜的信心，充分发挥主观能动性，创造性地解决各种困难和问题。尤其在困难和阻力面前，要态度坚决，不懈怠、不犹豫、不退却，始终坚持改革创新的方向不动摇。二要加强组织领导。国家电网公司总部要强化组织协调和工作指导，密切跟踪试点工作进展情况，及时发现问题、解决问题。试点单位要在总部指导下，制定具体详尽的方案。总部有关部门尽快修改完善“五大”体系总体方案和五个子方案，总的方案要科学、实用、符合实际。实施方案要周密考虑可能出现的各种问题，把电网安全、队伍稳定和优质服务作为“硬约束”，明确分工，落实责任，广泛发动，扎实有效地推进试点工作。非试点单位要按照“五大”体系建设总体方案，认真做好重要问题研究和有关准备工作，待公司试点工作完成后，再按照统一部署推进实施。要坚持从实效出发，在统一目标模式的前提下，考虑地区之间的差异性，不搞一刀切。改革方案的实施要严格履行审批程序，确保工作有组织、有计划、有步骤、有秩序地开展。重大问题，要提交“五大”体系建设领导小组研究决定。三要做好人力资源相关工作。 “五大”体系建设必然涉及人员的优化调整和统筹平衡，同时也有利于解决结构性缺员矛盾，提升队伍整体素质。新增业务单位要按照精干高效的原则，合理配置人力资源。对于因业务变化需要进行岗位调整的人员，要结合企业发展需要和个人实际进行统筹安排。要坚持依法合规的原则，规范企业用工管理。要采取在岗轮训、转岗培训、拓展新业务等多种途径，提升员工的岗位适应能力，积极稳妥安排好相关富余人员，通过时间逐步消化人力资源配置中的突出问题。要保护好员工的积极性，提高员工对改革的认同感和参与度，促进“五大”体系建设顺利推进。四要统筹做好“三集”和“五大”工作。 “五大”体系之间、“五大”与“三集”之间都密切相关。 “三集”重点推进对企业核心资源的集中管理和高效利用，“五大”重点推进对企业组织结构和业务流程的优化调整，两者都是公司管理体系的有机组成部分，相辅相成、相互促进。 “三集”工作要根据“五大”体系建设进展情况，及时进行优化完善，进一步提升集约化水平。 “五大”体系之间要做到有序衔接、相互支撑、协调一致。同时，要统筹开展信息平台建设和标准化建设等工作，并充分发挥国网公司科研院所的综合支撑作用