因應工業環境特殊性 選用正確設備以強化工控安全

四零四科技(Moxa)產品行銷經理郭彥徵。

隨IIoT、智慧生產趨勢所形，讓OT環境從封閉走向開放，連帶使攻擊路徑愈趨多元；麻煩的是，雖有不少企業意識到工控系統安全議題，已開始推動相關專案，但實施成效不顯著。

四零四科技(Moxa)產品行銷經理郭彥徵分析，工控安全之所以難為，在於蘊含許多迷思，企業若未釐清這些癥結，僅沿用IT慣用方法來建立OT安全架構，極易陷入瓶頸。首先企業應顛覆一些既定認知，須知道駭客早已開始研究工控系統、多數的ICS漏洞都可被輕易利用，再者駭客攻擊對象已不再限於SCADA，舉凡PLC、I/O或Sensor都可能遭襲擊。

此外不管企業或資安方案夥伴，亦須有所體認，工業環境有特殊的資安需求，若未充分考量，很難對症下藥。比方說工控環境的首要目標是「不中斷的營運」，無論設備韌體更新、漏洞修補或資安設備升級，若會造成設備重啟、產線停頓，顯然都行不通，所以資安方案須考量對產線運行的影響，另須兼顧OT特有的通訊協定、軟硬體設計，並符合工業環境耐受性(如高溫、高濕、高震動)。

企業如何考量工業資安方案？郭彥徵建議，除應選擇適合OT的資安方案外，且應按自身技術程度、資源多寡而分階段投入。一套完整的工控資安架構，從低到高有Secure、Defend、Contain、Manage及Anticipate五大階層，層次愈高、成本愈重，企業可從基本功開始做起，先依IEC 62443-4-2標準來選用網路方案，確保所用的網通設備、Serial-to-Ethernet、遠端I/O、協議轉換器等等產品都不會淪為駭客入侵點，再循序建立區域防火牆、應用白名單、資安事件控管、入侵偵測系統等機制，逐步提升防禦力。

Moxa不僅遵循IEC 62443-4-2設計完整產品線，也在一向擅長的工業網通設備中融入網口實體控管、ACL、封包分析、VPN等基本資安功能，如今更以OT為出發點設計次世代防火牆(內含IDS/IPS、DPI、應用程式白名單等功能)，期望協助用戶破解迷思、兼顧工控環境持殊性，迅速建立真正合用的工控安全架構。