1.3.3　信息物理融合带来的复杂性与一致性问题

功能安全、物理安全、信息安全的融合不可避免地会带来复杂性与一致性问题。一方面，复杂性既源自工业互联网自身的复杂性，也源自安全保障的复杂性；另一方面，OT系统和IT系统在追求可用性、机密性、完整性的目标次序上也难以达成一致。

1.融合安全设计实现的复杂性

工业互联网的安全体系能力建设与安全体系设计实施必须考虑OT和IT相互融合，通过提升各自的能力来形成一种真正具有颠覆性的技术。迄今为止，安全性主要是以IT为中心的。从安全的角度来看，IT和OT的融合是将OT环境中的安全和可靠性原则与IT环境中的网络安全原则结合。从系统性的角度来看，IT和OT的融合涉及它们的关键系统特性的融合。设计工业互联网这样的复杂系统需要深谙OT和IT技术的专家通力合作。虽然很多工业系统将IT和OT结合起来，通过软件控制设备，但这些系统通常隔离在OT侧，如果只是将这些系统简单组合在一起，可能导致IT和OT中原有的安全性实现出现偏差。在解决问题的思维和工作方式上，OT和IT也是不同的。IT人员通常采用自顶向下的方法，从总体需求出发考虑和解决问题。OT人员则习惯采用自下而上的思路，从部件出发构建复杂系统。很少有IT专家考虑设计上的安全性，而OT中的安全性不是可选的。例如，IT人员并不理解为什么OT仍然要使用传统的设备，采用专用且昂贵的解决方案去处理问题。OT人员或许并不了解SQL数据库或者现今在IT中运用的信息安全协议。

2.安全需求协调一致的困难性

IT和OT融合的复杂性还体现在满足两者的需求时难以协调一致。关键系统特性以及保证物理和数字世界的不同优先事项时必须协调，比如实时性与高流量、可用性与机密性、资源与成本等要辩证统一，还要兼顾跨越信息物理空间的控制流、物质流、能量流三流合一的特点以及保证工业大数据的纵向/横向整合的全流程安全与可信等。在OT端，通常侧重降低成本，一旦满足了系统的质量要求，就不太可能继续投入资源来改进系统的安全质量。由于这种安全需求的协调要求在IIoT系统中通盘考虑执行的各种功能，并且有可能产生新的协议、技术，因此，“工业互联网参考体系架构”（IIC-IIRA 2016）将IT和OT功能合并为一组功能域（控制、操作、信息、应用和业务），涵盖了需要做的工作，而不是做过的工作。因此，由于OT边界模糊、安全约束可被改变等原因，传统IT中用于刻画威胁的KillChain、ATT&CK、STREAD等模型中必须考虑OT常见的攻击因素（如物理攻击）及控制系统运行状态影响等。威胁模型这种内在的变化会给防御方带来更多纵深防御、内生安全防御上的新的挑战。