如今，越來越多企業體認到，數位化是企業生存和蓬勃發展的必經之路。勤業眾信 2019 年智慧工廠研究報告指出，86% 的製造商認為未來五年內，智慧工廠計畫將是強化競爭力的主要驅動力。到了 2020 年，受全球疫情肆虐影響，製造商開始加速推展智慧工廠計畫。世界經濟論壇最近發表了一份報告：《在疫情和後疫情時期，全面增強製造與供應系統應變能力的對策》，其中指出製造商開始採用新的運作和管理方式，以提高製造業的應變能力。然而，如果僅是加速實現數位化，並不足以應付當前的危機。本文將探討如何建構靈活的工業網路，並部署網路安全防禦策略，以維持不間斷的工業運作。

加強工業網路安全的流程

隨著工業控制系統（ICS）的網路安全事件頻傳，許多企業已開始擬定其網路安全策略，以保護各項關鍵資產，進而確保業務的穩定運作。您可能想問：「有沒有可消除 ICS 中所有安全漏洞的萬靈丹？」很遺憾的，沒有這樣的事情。企業需要從不同的角度來考慮網路安全。第一步通常是評估風險。之後，企業可據此制定安全政策。為了實施安全政策，企業有必要打造一個安全架構，以利於建構安全的網路基礎設施。舉例來說，您可利用存取控制清單，來控制哪些人可以存取網路。最後，企業可在 OT 網路中實施工業網路安全對策，以便主動監控網路安全事件並做出回應。

圖：強化網路安全的各個流程
資料來源：ARC 顧問集團，https://www.arcweb.com/industry-concepts/cybersecurity-maturity-model

網路安全需要全盤考量

如前一段所述，每個工業網路安全流程都包含不同階段，而且每一階段各有不同的對策。由於沒有可涵蓋所有層面的單一解決方案，我們建議從整體的角度來考慮網路安全。傳統的對策（例如防火牆）可強化工業網路的邊界防禦能力，以提供有效的垂直防護，防止未經授權的使用者存取網路。然而，如果有人設法衝破防線，亦或是工程師不小心發送了錯誤的指令，那麼網路就沒有辦法減輕伴隨而來的風險。有鑑於此，部署虛擬補丁和 IDS 或 IPS 等橫向防護也很重要。在下面的章節中，我們將探討垂直和水平防護如何相輔相成，以共同為工業網路提供滴水不漏的安全保護。

圖：應同時將水平和垂直流量納入考量，以建立整體的網路安全對策。

垂直保護 – 建立安全的網路基礎設施，以便有效部署安全政策

網路管理

工業網路歷經不斷的變革，每一次都耗時數年甚至數十年。因此，想要清楚洞察網路及其各種元件與架構的狀態，是極具挑戰性的第一步。根據我們的經驗，可全面掃描網路並自動繪製拓撲結構的工業網路管理工具，將為 OT 工程師提供大量的實用資訊，使得他們能夠據此制定行動方案。

網路保護

網路分段是一項基本的預防措施，可確保只有特定資料能夠在指定區域內傳輸。有幾個方法可將網路分段。舉例而言，狀態防火牆可在不改變網路拓撲的情況下，建立第一道防線，對於需維持不間斷運作的 OT 環境，是非常理想的選擇。在大型網路中建立虛擬區域網路（VLAN），也是將網路分段的好方法。另一個廣為使用的方法是，透過 802.1x（AAA/Radius TACACS）進行認證，並透過 ACL 進行存取控制。最後，對於 OT 工程師而言，遠端控制、監視和維護已變成他們日常作業的一部分。因此，請務必謹記，確保安全的遠端存取，可減少資料外洩的機率。

設備安全防護

隨著企業變得更為重視網路安全，針對身分驗證和網路分段，制定並實施確實可行的安全政策，成了兩個主要挑戰。IEC 62443 等標準可協助企業制定合適的工業網路安全政策。

水平保護 – 部署工業網路安全策略，以進行主動監控並做出回應

當企業開始在工業網路中部署網路安全防護措施時，第一步通常是建立網路分段等防禦機制，以便保護垂直傳輸的網路流量。但是，這樣就夠了嗎？遺憾的是，答案是否定的。雖然南北向的流量都經過妥善管理，而且其防禦機制也很完善，但是員工、廠商和承包商，還是可以直接存取網路。如果沒有具防禦性的保護措施，企業將無意間允許這些人避開防火牆等傳統安全防護方式，甚至可能導致病毒或惡意軟體在工業網路中散布。這就是為什麼虛擬修補和入侵防禦等橫向保護，對於保護 PLC 和 HMI 等關鍵資產至關重要。

工業級 IPS 可保護重要資產

由於 PLC 和 HMI 專為控制生產流程而設計，如果 PLC 和控制中心之間的通訊中斷或 HMI 發生故障，可能使得資產受損，甚至傷及或人員。因此，請務必阻止 PLC 和 HMI 安裝任何未經授權的協定或功能。工業級 IPS（入侵防禦系統）採用以 OT 為中心的深度封包檢測技術，可識別多種工業協定，並可允許或阻擋進行讀寫存取等特定功能。如此一來，您可確定工業網路中的流量是可信任的，而且非惡意的流量。

以虛擬修補保護未經修補的設備

設備需持續更新，以阻擋任何網路威脅，是眾所周知的準則。然而，對工業網路而言，關閉系統來執行更新，有時並不可行。另一方面，這些重要資產很可能無法更新。舉例而言，由於 Windows XP 不再支援更新，一些仍使用此作業系統的 HMI 就無法進行更新。在此情況下，虛擬修補可保護重要資產，免於遭受最新的網路安全威脅。

安全管理功能使得設備狀態清晰可見

維護和快速調整運作中的網路，是個極大的挑戰。因此，安全管理軟體是管理設備和安全政策的利器，同時還可執行虛擬修補。

既然沒有任何一套網路安全解決方案，能一應俱全提供所有安全防護，企業必須檢視網路狀態，並選擇合適的解決方案組合。您可嘗試從安全的網路基礎設施，以及工業網路安全這兩個角度來思考，以建立垂直和水平安全防護。