它和ot差异抑制集成

它与OT之间的最大技术差异是前者侧重于事务性人对应用程序的交互，后者侧重于基于事件的条件到过程系统交互。它创建工作流程，并且OT创建控制循环。它通常不会关注将响应时间减少到几十毫秒，因为人类过程通常容忍过程延迟。在OT中，有时即使是10毫秒的控制回路也很长。

IT / OT融合中的第二个问题是差异安全需求。它支持对系统采取或推荐的行动应用人为判断的工人。OT将控制命令直接馈送到工业过程中。黑客攻击他们可以立即进行真实的影响。例如，想想阻止电网。

如何调和分歧

有三种可能的方法可以解决OT的独特要求。第一个很少实用：为它创建一个完全单独的网络。第二个和第三个都可以使用与IT网络相同的技术相同的差异。第二个创建OT分区，第三个优先级优先级它框架。有时，这两者可以独立应用，但它是最好的时候一起使用。

分区IT / OT网络意味着为每个网络创建单独的虚拟网络，以隔离OT流量并管理连接。如果在虚拟网络中分开，管理员可以更轻松地优先顺序排序。

分区IT / OT网络意味着为每个网络创建单独的虚拟网络，以隔离OT流量并管理连接。

创建一个单独的IP子网对于OT流量是一个明显的步骤。OT应用程序通常会在IP子网中部署，其中每个组件将被赋予无法在Internet上路由到Internet的私有IP地址。需要外部访问的选定组件可以暴露于组织的VPN。今天的集装箱，特别是那些在Kubernetes周围建造的集装箱，使这种结构易于建立和使用。

组织通常只在IP子网中使用私有IP地址，但可以在泛应用规模上构建私有IP地址，将所有OT流量都移动到私有IP地址。只公开被应用程序或用户引用或引用其他api的api地址。这将大大增强OT的安全性，即使组织不采取其他措施。

如果在与应用程序和主机中放置在同一地址中，也可以保护传感器和控制器。然后，控制元素和OT应用之间的大多数交互将在私有虚拟网络中进行，并且没有传感器和控制器地址都不需要暴露于组织的VPN或互联网。实际上，该措施构建了一个与IT应用程序共享资源的几乎依赖的OT社区，而是从这些应用程序及其用户分区。

使用子网或私有IP地址的OT网络的划分不会使应用程序在LAN级别不可见。对于更大的IT / OT隔离，可以实际段段提供几乎完全隔离。虚拟LAN.技术包括标准802.11q规范和来自思科等供应商的专有vlan。最近，可以使用软件定义的网络构建数量和大小不限的高度灵活的vlan。OpenFlow标准提供了一种控制交换机来创建显式vpn的方法。VMware、Juniper和诺基亚等组织也提供了其他方法。

VLAN是提供LAN划分的OT主机和应用程序的最实用方法，因为它可以在数据中心内分开应用程序。对于OT网络的传感器和控制部分，有时更容易使用不同的物理LAN。使用有线以太网，Wi-Fi或组合。OT传感器和控制器通常位于有限的区域内，因此LAN分区可能更容易。

IT/OT融合需要网络分离

这听起来可能有点矛盾，但分划是让It和OT融合的最可靠方法，在这种情况下，两个系统都不知道对方。如果不能使用公共设施将OT与it分隔开来，则可能需要使用访问控制将其隔离开来。只要OT使用一个独立的和不同的地址范围，管理员就可以构建转发规则和访问控制策略，来控制谁或什么可以访问OT端，甚至在可能出现拥塞时给OT流量优先级。

IT/OT收敛的最大问题是很难认识到两者的不同之处。如果组织像对待IT应用一样对待加班应用，像对待工人一样对待加班传感器和控制器，他们将不得不执行这两者的共同实践。否则就需要不断地更改策略和访问控制表。

另一方面，如果所有OT地址都在一个特定的范围内，即使这个范围是VPN的开放部分，管理员也可以建立策略来对流量进行优先级排序，并通过检查地址范围本身来防止未经授权的访问。

企业不想浪费钱。如果管理员有充分的理由集成IT和OT，他们应该尽量不超过优势这些原因创造了集成方法的成本。如果组织没有真正的原因集成目前独立的网络，那么他们应该等到有一个原因和明确要求来指导过程。