在运营技术(OT)环境中进行并购(M&A)面临着一个紧迫的挑战:即在不影响运营的情况下快速掌握所有情况。与信息技术(IT)系统不同,OT 环境无法应对意外变化,即使是微小的问题也可能导致系统停机、安全隐患或合规问题。尽管如此,企业仍需迅速审查新资产、识别风险并加以控制,而往往在缺乏全面可视性的情况下进行。
在整合与风险之间寻求平衡
并购完成后,各利益相关方的优先事项往往各不相同。例如,公司管理层力推全公司范围的仪表盘和标准化关键绩效指标(KPI),财务部门关注业绩趋势和投资回报率(ROI)的透明度,可靠性团队寻求跨资产的统一运营分析,而安全部门则坚持要求集成过程不得带来任何额外风险。在这些相互冲突的需求之间取得平衡,使得系统集成既至关重要又极为复杂。
传统的OT集成方法往往效率低下,且会带来重大风险。直接的网络连接会增加交叉污染的风险,而信任关系、路由和身份集成则可能产生新的攻击途径。IP地址空间和域名的重叠等挑战,通常会导致需要进行破坏性的IP地址重配置工作,或采用复杂的网络地址转换方案。
基于二极管的方法提供了一种更简洁、更高效的替代方案,使组织能够在无需连接网络的情况下实现数据集成。
价值主张
组织可以从已部署的环境(例如 PI 系统或 OPC-UA 数据源)中提取历史数据和过程数据,同时:
- 确保每个网络在运营上保持独立
- 避免立即重新配置IP地址、建立域名信任关系以及重新设计路由
- 降低一个环境遭到入侵后演变为另一个环境安全事件的风险
该模型符合公认的OT安全最佳实践,特别是采用单向网关和数据二极管的技术。这些技术能够实现严格控制的单向数据流,确保仅传输授权信息,同时防止上游威胁或网络间的横向移动。
具体示例:跨越单向边界的PI-to-PI
许多并购团队已经开始以“复制历史数据”为思路。这一理念与单向网关和数据二极管边界的使用场景直接对应。
PI建筑
PI 数据库复制提供了一种从被收购组织单向传输 PI 数据的方法。MetaDefender Netwall 历史补录Netwall 实时快照值传输至硬件强制边界之外。遵循最佳实践,我们提供了一种比纯软件强制控制更强大的替代方案。
OPC-UA 架构
在某些并购交易中,目标公司虽具备现代化的 OPC UA 聚合功能,但其历史数据管理实践却存在不一致或不兼容的情况。借助Netwall MetaDefender 您仍可通过其 OPC UA 连接器,并配合 AVEVA PI 的 OPC UA 连接器,安全地传输数据以集成到 PI 生态系统中。该连接器专为将 OPC UA 上下文时间序列数据复制到 PI 生态系统而设计。
“不重置IP”是一项功能,而非妥协
基于二极管的应用场景在运营技术(OT)并购整合的早期阶段尤为重要,因为它使企业能够在不立即承担风险的情况下开始创造价值。通过避免直接进行网络整合,企业既能保持被收购业务的稳定性,又能获取关键数据。
与此同时,安全团队可以采取“隔离观察”的策略,在进行深度集成之前,对已接入的环境进行监控、评估风险并识别漏洞。这种方法不会限制未来的灵活性。组织仍可选择在后续阶段实现网络的全面集成。这可以在完成资产清点、系统加固和漏洞修复之后实施。
业界领先的数据二极管及统一OT Security
MetaDefender Diode™ 解决方案可在 IT 网络与 OT 网络之间提供由硬件强制执行的单向数据传输,在确保网络隔离的同时,支持安全的数据复制和运营可视化。
如需进一步了解OPSWAT 如何在OT并购活动中OPSWAT 降低风险并保障业务连续性,请立即联系专家。
