援引国际规范 打造安全稳定的ICS运作环境

台湾中油炼制事业部大林炼油厂信息组经理江郁文。

工业控制系统(ICS)存在许多资通安全挑战，像是传统网安工具不适用于ICS、设备使用缺省口令、多数ICS不支持许多安全功能等。其实OT人明白这些挑战却无力改善，只因ICS全天On Line操作，无法实时更新Patch与病毒码，仅能靠物理隔绝，但随着物联网、工业4.0之开放，让阻绝愈来愈难。

台湾中油炼制事业部大林炼油厂信息组经理江郁文表示，欲提升ICS安全，可先参考国际自动化协会(ISA)的ISA-95标准，其中Level 1的控制器层、Level 2的HMI层、Level 3的MOM(制造营运管理)层三者可归类为OT层，而Level 1+2是ICS，Level 3是大家熟知的MES。至于Level 4商业规划暨逻辑层，及Level 5 PLM+ERP层，则属于IT层。

接着根据行政院技服中心的ICS网安防护网络架构，从下而上针对Control Network、Supervisory Control LAN、LAN/WAN/DMZ、Corporate Network等层与层网络的交界，架设防火墙，以防范Insider、Remote Login、ICCP Connection等易被突穿的脆弱点。

「OT与IT的重叠交集处是MES，自然是防护重心，」江郁文说，理论上靠IT技术可将MES防守好，但其实MES服务器多由OT建置、IT未涉入，以致问题一堆，是防御弱点。OT人常说，有了物理隔绝，可防止威胁进入，但事实并非如此，仍有几个亟待补强的盲点。

首先是ICCP，为两控制室之间的通讯连线，可能经过公共网络，是最容易被攻破的点。再者DCS、PLC、SCADA基于实时反应，对内通讯不加密，但基于安全考量，各环节都应设置专门通道，尤其从上层写入DCS或PLC的通道，更需遵照IEC 62443规范严加设计。

而NIST 800-82工业控制系统安全指引，是中油依循的另一项工控安全规范。中油将量测仪器、ICS控制器、作动器串联为一个循环，若设定在Auto自动模式，仅允许修改SP设定值，就算黑客打进ICS欲窜改OP输出值，也无法得逞；中油另有SIS安全保护系统做后盾，纵使黑客真的擅改OP值，后续将会因为SIS适时启动，使异常转动器失效，有效避免酿成工安危机。总括而论，中油谨守通信可控、区域隔离、警报追踪三大重点，有效确保ICS安全稳定运作。