美国军工新势力碰到老问题

据报道，美国陆军正在研制下一代指挥与控制通信平台”（NGC2），用于实现士兵、传感器、车辆与指挥官之间的实时数据互联。研发由军工新势力安杜里尔负责，合作方包括Palantir、微软以及多家小型承包商，目的是绕开积重难返、效率底下的军工老字号，引入硅谷新势力，用商用科技开发的高效路子改革美国军工。

安杜里尔倒是不孚重望，在赢得合同仅八周后，产品就进入测试阶段，问题是在测试中发现大量“风险极高”的漏洞。

报告称：“我们无法控制谁能看到哪些信息，无法掌握用户正在进行的操作，也无法验证软件本身是否安全。……鉴于该平台当前的安全状况，以及其搭载的第三方应用程序，敌方极有可能获得对该平台的持续且无法被检测的访问权限，因此该系统必须被视为极高风险对象。”

考虑到通信系统对信息化战场的核心作用，这样的漏洞是不可接受的。路透社引述其获得的内部文件称，备忘录还指出，该系统允许任何获得授权的用户访问所有应用程序和数据，无论用户的安全许可等级或实际作战需求如何。因此备忘录强调，“任何用户都有可能访问并滥用敏感的”机密信息，且系统没有日志记录功能来追踪用户的操作行为。

备忘录还着重指出了其他缺陷，比如系统搭载的第三方应用程序均未通过美国陆军的安全评估。其中一款应用程序被检测出25个高严重性代码漏洞。另有三款正在审核的应用程序，每款都包含超过200个需要评估的漏洞。

美国陆军发现的其实是工业界早就发现的问题。

在工业上，IT vs OT一直是一个纠结。IT（Information Technology）负责公司内的办公和商务信息系统，硬件、软件、数据库统统管起来。OT（Operational Technology）负责公司内的计算机控制系统，范围没有IT那么大，但也是硬件、软件、数据库自成体系，还需要与IT打通连接，使得计算机控制系统的数据能上传到商务云里，可以在公司内共享。OT与IT打通通常需要某种“IT联络员”负责对接。

对于公司高管来说，IT和OT看起来高度重复，所以永远有强烈冲动，要把两个部门合并，一般是IT“吞掉”OT。OT一方面出于部门利益，另一方面出于实际差别，强烈抵制。事实上，IT和OT合并的都没有好下场，因为IT和OT的思维完全不同。IT强调的是可用性（availability），随时随地想用就能用，但一旦掉链子，克服克服可是可以的，天塌不下来；OT强调的是可靠性（reliability）和安全性（security），前者是自己不出毛病，后者是不会因为别人的恶意入侵而崩盘，需要一直工作的就必须一直工作，一刻也不能掉链子，但随时随地想用就能用就是不必要的奢侈，因为这样的“过分”要求可能危害可靠性和安全性。

简单粗暴地说，需要新功能、新设备时，IT会说“行，但是……”，但OT可能就是“不行，但是……”。

反过来，在“呼叫IT支援”的时候，第一个问题总是“你重启了吗？”因为重启确实“解决”很多问题，至少推迟问题的再发生。但这对OT是不可接受的，工厂必须24/7连续运转，任何重启都是不可接受的。

回到硅谷vs老军工，硅谷好比IT思维，只要系统能搭起来，能打通，就是胜利，“偶尔出点毛病”的话，该重启就重启，该打补丁就打补丁，不都是这么过来的嘛。

但老军工的思维反过来，哪怕不能都打通，也一个安全漏洞都不能有，所有已知安全漏洞途径需要统统查漏、补漏，这反映在严格的设计规范、认真要求和测试过程。这使得研发和测试非常累赘，但也非常严谨。

两者都有道理，但在现实中，都走过头了。对于硅谷来说，从商业竞争出发，“只要可能的，都是必须的”；对于老军工来说，从合规、尽责出发，“只要有安全漏洞的可能，都必须尽带黄金甲”。但要硅谷干老军工的活，就像工业界用IT“吞并”OT一样，到后来就要出毛病，美国陆军在测试中发现大量危险的漏洞几乎是必然的。