因应工业环境特殊性 选用正确设备以强化工控安全

四零四科技(Moxa)产品行销经理郭彦徵。

随IIoT、智能生产趋势所形，让OT环境从封闭走向开放，连带使攻击路径愈趋多元；麻烦的是，虽有不少企业意识到工控系统安全议题，已开始推动相关专案，但实施成效不显着。

四零四科技(Moxa)产品行销经理郭彦徵分析，工控安全之所以难为，在于蕴含许多迷思，企业若未厘清这些症结，仅沿用IT惯用方法来建立OT安全架构，极易陷入瓶颈。首先企业应颠覆一些既定认知，须知道黑客早已开始研究工控系统、多数的ICS漏洞都可被轻易利用，再者黑客攻击对象已不再限于SCADA，举凡PLC、I/O或Sensor都可能遭袭击。

此外不管企业或网安方案夥伴，亦须有所体认，工业环境有特殊的网安需求，若未充分考量，很难对症下药。比方说工控环境的首要目标是「不中断的营运」，无论设备韧体更新、漏洞修补或网安设备升级，若会造成设备重启、产线停顿，显然都行不通，所以网安方案须考量对产线运行的影响，另须兼顾OT特有的通讯协定、软硬件设计，并符合工业环境耐受性(如高温、高湿、高震动)。

企业如何考量工业网安方案？郭彦徵建议，除应选择适合OT的网安方案外，且应按自身技术程度、资源多寡而分阶段投入。一套完整的工控网安架构，从低到高有Secure、Defend、Contain、Manage及Anticipate五大阶层，层次愈高、成本愈重，企业可从基本功开始做起，先依IEC 62443-4-2标准来选用网络方案，确保所用的网通设备、Serial-to-Ethernet、线上I/O、协议转换器等等产品都不会沦为黑客入侵点，再循序建立区域防火墙、应用白名单、网安事件控管、入侵侦测系统等机制，逐步提升防御力。

Moxa不仅遵循IEC 62443-4-2设计完整产品线，也在一向擅长的工业网通设备中融入网口实体控管、ACL、封包分析、VPN等基本网安功能，如今更以OT为出发点设计次时代防火墙(内含IDS/IPS、DPI、应用程序白名单等功能)，期望协助用户破解迷思、兼顾工控环境持殊性，迅速建立真正合用的工控安全架构。