自新冠肺炎疫情爆发以来，数位转型步伐显著加快。同时，企业也日益意识到在新数字时代，良好地控制和管理现场 OT 数据才能引领发展。因此，想要在新时期勇立潮头，企业首先需要促成 IT 与 OT 部门之间的成功合作，更好地掌控 OT 数据。IT/OT 融合已然成为衡量企业未来发展潜力的一个关键性指标。但对许多企业而言仍难以实现至关重要的 IT/OT 融合，主要原因在于：网络安全。根据国际数据公司 (IDC) 一项调查，企业由于担心 IT/OT 融合会影响网络安全，往往持较为谨慎的态度。

强调网络安全的重要性可能有点老生常谈。然而，进一步调查发现，虽然 IT 将网络安全置于首位，但 OT 却并非如此。近年来，工业数位转型已将 OT 从独立的局域网推向更广阔的互联网海洋。由于互联网潜伏大量威胁，网络安全顿时成为 OT 系统亟需尽快解决的迫切问题。为助力企业避开重重威胁、安全前行，Moxa 携手马来西亚工业数字解决方案提供商和 IIoT 项目长期合作伙伴 YNY Technology 找出企业加强控制系统安全所需解决的基本问题。接下来，我们把三个常见问题(FAQ) 与问题背后的问题(QBQ)即反向问题进行对比分析，助您解决基本难题，加强网络安全策略。

FAQ 1 vs. QBQ 1

“网络安全项目由谁负责？”vs.“网络安全策略最薄弱环节在哪里？”

对企业而言，往往难以确定网络安全项目该由谁来负责。这一问题目前虽归属 OT 领域，但以往一直都是 IT 核心任务。OT 人员可能认为自己未经一定训练，无从处理网络安全问题；IT 人员同样觉得自己 OT 设备经验不足，可能影响整个系统运行。的确，没有哪个部门既全面了解网络安全又清楚知晓 OT 运维，如此一来便陷入两难境地。仅以经验为依据来界定责任似乎无解。因此，我们建议客户采用“优先定位问题”的方法。不要探究“谁有经验能够负责？”，一切应从风险和漏洞评估开始。通过客观评估，发现未列名或高风险 OT 设备、过时软件或服务、人为错误导致的管理漏洞等潜在风险。这为制定目标清单奠定良好基础，便于 OT 和 IT 部门加强合作、解决问题。

FAQ 2 vs. QBQ 2

“投资回报 (ROI) 是多少？”vs.“不作为成本 (COI) 是多少？”

企业考虑投资全新 OT 设备，ROI 是关键指标。然而，如果用 ROI 衡量网络安全的成本和收益，结果（即高层主导投资）往往不尽如人意。这是由网络安全的特性所决定。网络安全的核心是降低风险，不应将其视为以增长为中心的“投资”。因此，真正的问题是：“如果现在不作为，可能发生的最坏结果是什么？”，简称 COI。一旦涉及网络安全问题，不作为带来的风险通常比预期要大很多[1]。COI 可帮助企业从更实际角度评估潜在网络安全风险可能造成的影响，并通过优先处理加速项目决策进程。

FAQ 3 vs. QBQ 3

“最安全的解决方案是什么？”vs.“最适合的解决方案是什么？”

解决上述两个问题，发现并优先处理网络安全漏洞后，您还需评估计划、流程、系统或工具。由于现有大多数网络安全方法、工具或服务专为 IT 设计，不一定适用 OT 部署。例如，Moxa 的一个东南亚客户收到 IT 部门建议：在计算机和现场人机交互界面 (HMI) 启用锁屏保护功能，防止设备遭受攻击。但是，这一适用 IT 环境的解决方案并没有考虑到机器需要立即响应 OT 环境中的异常。例如，站点一旦出现异常，需要在几毫秒内快速响应，重获系统控制，否则可能造成巨大损失。如果等待运维人员输入正确密码花费过长时间而导致延迟，可能造成严重经济损失甚至威胁生命。因此，选择网络安全解决方案，最昂贵或最常用的可能都并非最佳。真正重要的是，根据特定需求选择最适合的解决方案。

网络安全不仅是技术问题，也是商业问题。近期，工业环境下网络安全频繁遭受挑战，不难看出网络安全为什么成为许多企业主最为担心的问题。将常规 FAQ 转变为 QBQ，夯实网络安全基础，助您构建最适合的网络安全策略。