账号:
密码:
智动化 / 文章 /

工厂资安事件频传 你的工业控制系统够安全吗?
[作者 編輯部]   2019年08月01日 星期四 浏览人次: [1835]

工业4.0掀起全球制造业智慧化趋势,工业物联网被视为制造领域未来的核心骨干。工业物联网的运作结合企业中IT与OT两大系统,让制造系统的资讯可被最大化应用,进而提升系统效能,不过四零四科技(Moxa)亚太区物联网解决方案处产品行销经理郭彦徵表示,这两大系统各有高度专业,整合本来就不容易,而整合後也须面临过去自动化时代未曾遇过的各种问题,工业资讯安全又是其中之重,系统一旦出现漏洞,所产生的伤害有可能远高於现在的IT系统资安事件。



图1 : 四零四科技工业亚太区物联网解决方案处产品行销经理郭彦徵表示,资安是建置工业物联网的重要课题。(摄影/林鼎皓)
图1 : 四零四科技工业亚太区物联网解决方案处产品行销经理郭彦徵表示,资安是建置工业物联网的重要课题。(摄影/林鼎皓)

智慧制造时代 OT系统迎来新挑战

郭彦徵指出OT制造系统的需求与一般企业IT平台极为不同。OT系统对於稳定度、即时性有高度要求,设备选用需考量是否能在大量电磁干扰的环境下稳定使用,甚至工业系统内存在许多特殊的通讯协定(Protocols),这些通讯协定都是鲜少在IT系统中被使用的。


IT系统从网际网路风行以来,早已逐步建立了完整的资安机制。相较之下,过往OT制造系统仅需於制造现场运作,并不须要与外界系统链接,此封闭架构让工业系统专注於本身运行,带来最大化生产效能的好处。也因为此系统的封闭,骇客相对不熟悉工控系统,且很少听闻有针对工控系统设计的病毒,导致OT工程师认为安全无虞而较缺乏资安意识。但随着自动化的发展与智慧制造的技术突破,愈来愈多的设备开始连网,制造系统已不如过去OT工程师想像中的封闭,且工业物联网的架构中,无论是连上公有云或私有云,工厂进行设备及资料可视化、可预测及远端管理,且IT与OT系统的整合成为必然趋势。除了OT应用及系统环境的改变,更令人担心的是攻击者已经开始熟悉工控系统的各项设备。OT工程师已不能沈浸在过去的迷思中,认为工控系统是十分封闭且安全的环境。


现今工业设备连网已是存在的事实,OT与IT的整合等於让制造系统对外开了一道门,除了制造资讯可以出的去,外界资讯也进得来。2010 年以来,全球爆发了多起手法高超的网路攻击,例如瞄准工业控制系统(ICS)网路的攻击事件,包括震网超级病毒(Stuxnet)和工业毁坏者恶意软体(Industroyer)。这些攻击事件提醒着拥有关键应用的企业,厂内设施根本无法承受几秒钟的停工,否则会对企业营运造成莫大的负面影响。此外,这些事件背後更隐含了网路攻击的转变。资安事件已从攻击Windows/ Linux 平台下的软体服务 (如:SCADA、HMI),延伸至对於工业设备弱点的针对性攻击。此外,从美国政府机构展开的「工业控制系统网路紧急应变团队」(ICS-CERT) 研究指出,关键制造业和能源产业所遭受的网路攻击数量远高於其他产业。为此 IT和OT控制工程师急需开始共同研拟并部署各种安全措施,确保工业网路安全。


解决资安问题 OT与IT思维大不同

鉴於资安越来越重要,对资安规划向来较少接触的OT管理者,往往只能向IT业者求救。但IT与OT系统的建置目标有许多不同,因此许多IT资安方案、设备往往难以顾及OT系统所需。例如OT系统以「可用性」为主,OT管理者目标尽可能提高稼动率,减少设备停机时间,以使产能最大化。


反观IT资安系统以资讯的「机密性」及「完整性」为重,而「可用性」为??。因此IT资安方案导入时常需要大幅修改网路配置并进行长时间的测试,产线停止运行的压力往往造成OT人员无法顺利导入资安方案。


另一方面而且许多IT资安方案都为IT专业人员设计,例如: 导入IT使用的入侵侦测系统(IDS)针对网路上可疑活动进行侦测、记录与分析,如OT人员无法有能力进一步处理记录及分析的结果,往往造成大量人员及时间的投入,但无法达成方案的有效性。



图2 :  IT和OT的巨大差异
图2 : IT和OT的巨大差异

IT方案无法顺利导入,又找不到OT资安专属的解决方案,成为制造业者现在的困境。然而现今工厂早已导入大量连网设备及OT/IT系统整合的自动化控制系统,OT管理者只能让系统在极高风险的隐??中持续运作。而许多尚未导入自动化或制智慧制造的业者则在资安考量下,往往於评估阶段就先停下观??,等待最隹解决方案。


理解OT产业特点有效解决资安问题

专业问题专业解决,OT问题当然也要由OT专家来解决。郭彦徵表示,现在还没有任何方法或途径,可以100%避免网路攻击或人为疏失的资安风险。然而,最适的工业资安解决方案必需满足OT人员的考量,厂商需深入了解OT网路架构的安全弱点,提出从点到线的”纵深防御” 措施,并落实最隹实作,立即提升网路安全性,避免受到恶意攻击的机会。


首先企业内部应确保工程师充分理解工业网路安全的重要性,以及企业(IT)网路与工业(OT)网路的差异,并了解如何运用各项方案保护工业网路。网路威胁随时可能发生,基於工业设备类型、功能各异,不如Windows/ Linux有统一平台,可寻求设备厂商依其设备特性提供资讯安全方案。


四零四科技(Moxa)是工业设备连结与网通市场领导厂商。自1987年成立,32年以来就只做工业设备通讯这件事,旗下产品早已行销各国,技术也一直是产业领先者之一。长期聚焦制造业的四零四科技累积了大量OT系统经验,理解OT管理者的需求与考量。其在工业资安解决方案涵盖了设备安全防护、网路架构安全防护、及网路安全管理等3大层面。在设备安全方面,四零四科技提一系列符合国际工业控制安全标准IEC-62443的产品,产品依IEC-62443规范提供安全防护功能,如序列网路转换器、通讯闸道器、网路设备等均含其中。在网路架构安全防护上,相关产品贴近对资安功能相对不熟悉的OT人员,如采用网页点选介面配置 实体乙太网囗锁定、ACL(Access Control List;存取控制安全机制)、Firewall (防火墙)等资安功能,让OT人员不需学习如何使用命令行界面(Command-Line Interface) 即可管理网路行为,防堵病毒或有心人士的进入。最後於网路安全管理,四零四科技除了提供网路可视化方案,更提供资安确认 (Security Check)的功能,确保网路运行顺畅且设备资安功能均已启用并达到IEC-62443标准。


随着创新技术的导入,工业4.0 及智能制造的确带来生产效率及效益的提升,但同时也带来新的资安隐??,因此四零四科技除现有的资安方案外,将进一步拓展针对工业控制系统(ICS)安全布局。从现在的网通设备、网路架构层、及管理等3大面向,延伸到OT设备系统层面的保??。以提供高安全、高效能的设备连网方案为首要任务,四零四科技更与IT领域的资安专家趋势科技合资成立TXOne Networks,共同开发工业入侵防护 (Industrial IPS) 产品,目前此产品已在测试版阶段,可让营运技术 (OT) 环境俱备侦测及拦截软体漏洞攻击的能力,并提供虚拟修补防护与支援通讯协定白名单来弥补相对薄弱的认证机制。该产品於上个月已在日本IoT/M2M Expo 展会中亮相,引发热烈关注。


近年来制造业资安事件频传,及因应国内资安管理法规上路,不少业者已开始关注工业资安的议题,纷纷询问解决方案,四零四科技持续不断专注提供更安全的网路及设备防??解决方案,全方位防堵外界的恶意攻击。协助客户在OT与IT系统发挥整合效能的同时,确保整体架构及工业控制系统与设备的安全性,落实智慧化愿景。


相关文章
智慧浪潮来袭 大厂PLC展开不同布局
新世代工厂输送系统问世 电驱磁浮解决传统机械困境
协作机器人百家争呜 灵活性和感测技术定天下
逐步克服导入问题 制造业AI落地速度加快
透过网通设备中的资安DNA维护OT网路安全
comments powered by Disqus
  相关新闻
» 离岸风电发展需群策群力 绿色金融使力推动产业前进
» ?先进厂房-智联安全科技应用与管理研讨暨展示?9/25、9/27年度巡??开跑!
» 新代数控系统为核心 用联达智能平台加值
» 台湾三丰展示最新量测仪器 兼顾克服现场严苛环境条件
» 松下展出日本原装示范产线 具备IT+OT解决方案
  相关产品
» 明纬扩充EPP-500系列
» KNX用於现代建筑 可降低事後维护与火灾风险
» 瑞萨电子推出故障检测e-AI解决方案 简化马达型家电的维护
» 工控平台强势升级 敏博全新NVMe PCIe固态硬碟PT33系列进化登场
» 浩亭Han-Modular Flexbox 适合能源链条的模组化连接器


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@hope.com.tw