工业企业正在竞相实现现代化。传感器、控制器和边缘平台被部署在工厂、厂房和仓库中，以实现实时可见性、自动化控制和更智能的运营。然而，在急于连接的过程中，许多人忽略了一个关键因素：安全性。

　　随着传统的运营技术 (OT) 系统被引入到云端，将数据输入到云分析平台和企业软件中，它们正面临一个从未设计过的安全威胁。数十年来，在封闭的门禁和隔离网络环境下安全运行的工业系统，如今却暴露在全球攻击面前。这种转变正在造成越来越大的风险，令许多企业措手不及。

　　内部漏洞

　　问题不仅仅在于这些系统陈旧。更在于它们是为隔离而设计的，而不是为互联网设计的。像 Modbus 和 OPC Classic 这样的协议在设计时从未考虑过加密或身份验证。许多仍在使用的传统设备甚至缺乏基本的凭证管理。有些系统无法更新，有些则运行在不受支持的操作系统上。

　　这些系统在当时非常可靠，从流程的角度来看，它们在很多情况下仍然可靠。但在现代工业物联网环境中，可靠性无法取代韧性。一旦连接，这些设备就很容易受到攻击。攻击者也深知这一点。

　　一些备受瞩目的事件表明，某些系统实际上是多么容易受到攻击。虽然并非每次攻击都会成为头条新闻，但威胁确实存在。勒索软件组织已经开始积极攻击工业环境，而不仅仅是IT网络。在一个案例中，攻击者入侵了一家全球化学品分销商，窃取了超过100GB的敏感文件。该公司支付了数百万美元的赎金，只是为了阻止这些数据被公开。在另一起有据可查的事件中，恶意软件被专门设计用于干扰一家石化工厂的安全系统。

　　这并非纸上谈兵。对于运营老化设备的公司来说，每一个新的数据连接，无论是用于远程访问、预测性维护还是分析，都必须被视为攻击者的潜在切入点。

　　边缘计算为何成为关键战场

　　边缘计算正处于这些挑战的交汇点。它是传统技术与现代技术的交汇点。它将工业协议转换为企业级数据流，将工厂车间连接到云端，并支持靠近资产的时间敏感型处理。

　　如果运行良好，边缘计算将是一个强大的赋能者。但如果缺乏正确的架构，它也可能成为薄弱环节。当边缘平台被纯粹视为数据网关而非关键安全控制点时，尤其如此。

　　许多组织正是因此而犯错。他们认为，如果云提供商拥有强大的安全性，那么其余的流程也一定受到保护。但部署在工厂车间的边缘设备通常缺乏适当的隔离。它们可能运行在默认配置下，通过扁平网络连接，或者由于缺乏安全的更新机制而错过固件更新。

　　这导致工业堆栈中最关键的部分之一的攻击面不断扩大。

　　工业团队现在可以做什么

　　好消息是，保护工业环境并不总是需要拆除和更换传统设备。很多情况下，关键在于在正确的位置应用现代保护措施。企业在实施过程中应关注以下几个关键领域：

　　隔离：将 OT 网络与 IT 系统分离。避免扁平化架构。使用 VLAN、防火墙和访问控制在不应相互通信的系统之间创建边界。

　　协议转换和遏制：使用安全的边缘平台，使其能够与传统设备交互，但将其与外部网络隔离。

　　可修补性和可观察性：尽可能确保系统能够安全更新。如果无法进行修补，则在边缘添加监控功能，以便及早发现异常行为。

　　供应商访问：控制和审核远程访问，尤其是对支持合作伙伴的访问。限制哪些系统可以远程访问以及在何种条件下可以访问。

　　实现此目标的一种方法是在传统设备和外部网络之间部署一个安全感知的边缘平台。例如，像 IOTech 的 Edge Central 这样的平台旨在充当传统设备和外部网络之间的安全中介层。这些系统允许工业团队维护现有设备，同时分层采用现代保护措施，包括协议转换、加密、身份验证和边缘的远程访问控制。

　　最重要的是，要认识到安全并非一次性项目。它是一个必须随着系统发展、新连接的增加以及威胁行为者的适应而持续维护的过程。

　　文化和优先级的转变

　　阻碍进步的最容易被忽视的障碍之一根本不是技术问题，而是组织问题。在许多工业公司中，网络安全对话仍然处于孤立状态。IT 部门管理公司网络，OT 部门管理工厂车间。两者之间缺乏协调，结果往往是安全实践不一致，使关键系统暴露在风险之中。

　　弥合这一差距需要的不仅仅是沟通，还需要共同承担责任。两个团队必须了解他们的决策会如何影响对方。例如，强制定期重启系统的 IT 策略可能会扰乱全天候生产环境，而 OT 部门不愿修补过时的系统，这可能会引入 IT 部门必须防御的漏洞。这些矛盾不能仅通过政策来解决。它们需要文化转变，将共享风险管理置于安全规划的核心。

　　这种转变也必须深入到高管层面。在制定数字化转型战略时，安全领导层应该发挥重要作用。采购团队评估供应商时，不仅要考虑其功能和价格，还要考虑他们与设施整体安全架构的集成程度。当安全成为一项共同责任时，组织就能构建更强大、更统一的防御体系。

　　缩小差距

　　工业领域在数字化方面取得了令人瞩目的进步。新型传感器、更智能的机器和更敏捷的分析技术正在带来真正的价值——从提高资产利用率到预测性维护和能源效率。但这些收益往往建立在缺乏抵御现代网络威胁韧性的基础设施之上。

　　缩小连接与安全之间的差距意味着要认真审视现有系统，并坦诚地认识到它们的局限性。这意味着要将安全性融入到每一个新的连接中，这并非事后诸葛亮，而是作为一项设计原则。这意味着要投资于工具和流程，使监控、访问控制和响应不仅成为可能，而且对运营团队来说切实可行。

　　最重要的是，这意味着要认识到工业安全并非一成不变。它并非产品，而是一种思维方式。将安全视为卓越运营的核心要素(如同安全性和可靠性一样)的设施，将更有能力应对日益互联的世界带来的挑战。

　　下一波工业创新将由边缘智能、实时数据和跨系统无缝集成驱动。但如果基础不牢固，这一切都将毫无意义。现在正是打好基础的时候。