1.3.3　信息物理融合帶來的復(fù)雜性與一致性問題

功能安全、物理安全、信息安全的融合不可避免地會(huì)帶來復(fù)雜性與一致性問題。一方面，復(fù)雜性既源自工業(yè)互聯(lián)網(wǎng)自身的復(fù)雜性，也源自安全保障的復(fù)雜性；另一方面，OT系統(tǒng)和IT系統(tǒng)在追求可用性、機(jī)密性、完整性的目標(biāo)次序上也難以達(dá)成一致。

1.融合安全設(shè)計(jì)實(shí)現(xiàn)的復(fù)雜性

工業(yè)互聯(lián)網(wǎng)的安全體系能力建設(shè)與安全體系設(shè)計(jì)實(shí)施必須考慮OT和IT相互融合，通過提升各自的能力來形成一種真正具有顛覆性的技術(shù)。迄今為止，安全性主要是以IT為中心的。從安全的角度來看，IT和OT的融合是將OT環(huán)境中的安全和可靠性原則與IT環(huán)境中的網(wǎng)絡(luò)安全原則結(jié)合。從系統(tǒng)性的角度來看，IT和OT的融合涉及它們的關(guān)鍵系統(tǒng)特性的融合。設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)這樣的復(fù)雜系統(tǒng)需要深諳OT和IT技術(shù)的專家通力合作。雖然很多工業(yè)系統(tǒng)將IT和OT結(jié)合起來，通過軟件控制設(shè)備，但這些系統(tǒng)通常隔離在OT側(cè)，如果只是將這些系統(tǒng)簡單組合在一起，可能導(dǎo)致IT和OT中原有的安全性實(shí)現(xiàn)出現(xiàn)偏差。在解決問題的思維和工作方式上，OT和IT也是不同的。IT人員通常采用自頂向下的方法，從總體需求出發(fā)考慮和解決問題。OT人員則習(xí)慣采用自下而上的思路，從部件出發(fā)構(gòu)建復(fù)雜系統(tǒng)。很少有IT專家考慮設(shè)計(jì)上的安全性，而OT中的安全性不是可選的。例如，IT人員并不理解為什么OT仍然要使用傳統(tǒng)的設(shè)備，采用專用且昂貴的解決方案去處理問題。OT人員或許并不了解SQL數(shù)據(jù)庫或者現(xiàn)今在IT中運(yùn)用的信息安全協(xié)議。

2.安全需求協(xié)調(diào)一致的困難性

IT和OT融合的復(fù)雜性還體現(xiàn)在滿足兩者的需求時(shí)難以協(xié)調(diào)一致。關(guān)鍵系統(tǒng)特性以及保證物理和數(shù)字世界的不同優(yōu)先事項(xiàng)時(shí)必須協(xié)調(diào)，比如實(shí)時(shí)性與高流量、可用性與機(jī)密性、資源與成本等要辯證統(tǒng)一，還要兼顧跨越信息物理空間的控制流、物質(zhì)流、能量流三流合一的特點(diǎn)以及保證工業(yè)大數(shù)據(jù)的縱向/橫向整合的全流程安全與可信等。在OT端，通常側(cè)重降低成本，一旦滿足了系統(tǒng)的質(zhì)量要求，就不太可能繼續(xù)投入資源來改進(jìn)系統(tǒng)的安全質(zhì)量。由于這種安全需求的協(xié)調(diào)要求在IIoT系統(tǒng)中通盤考慮執(zhí)行的各種功能，并且有可能產(chǎn)生新的協(xié)議、技術(shù)，因此，“工業(yè)互聯(lián)網(wǎng)參考體系架構(gòu)”（IIC-IIRA 2016）將IT和OT功能合并為一組功能域（控制、操作、信息、應(yīng)用和業(yè)務(wù)），涵蓋了需要做的工作，而不是做過的工作。因此，由于OT邊界模糊、安全約束可被改變等原因，傳統(tǒng)IT中用于刻畫威脅的KillChain、ATT&CK、STREAD等模型中必須考慮OT常見的攻擊因素（如物理攻擊）及控制系統(tǒng)運(yùn)行狀態(tài)影響等。威脅模型這種內(nèi)在的變化會(huì)給防御方帶來更多縱深防御、內(nèi)生安全防御上的新的挑戰(zhàn)。