制造智能化风险大增 网安意识提升刻不容缓
- 俞鸿樟/台北
-
2011年德国政府宣布堆动工业4.0政策后,全球制造业就掀起一片智能化浪潮,由于智能制造诉求IT与OT两大系统密切整合,在IT系统的开放特色下,与之链结的OT系统网安风险将会大增,然而制造智能化已成既定趋势,在此态势下,强化制造系统的网安机制,成为业者必须严正面对问题,经济部工业局新兴网安产业生态系推动计划,近年来积极推广SecPaaS网安整合服务平台,日前就举办了「智能制造网安趋势暨技术分享论坛」,邀请工研院产科国际所、资通所研究人员与产业人士,深入剖析新时代制造系统的网安技术趋势与观念。
工研院资通所阙志克所长在致词时指出,随着工业系统网络的智能化,OT系统遭受攻击的频率越来越高,这几年类似事件频传,像是美国电网受到俄罗斯黑客攻击,或是台积电因新购入的机台出现漏洞,导致大量产线停摆,这些事件都让制造业者对智能生产系统产生疑虑,对此他认为,制造业必须积极建立白名单机制,降低系统遭骇的风险。
在IT领域,白名单网安概念已成熟多时,不过由于IT系统为开放式架构,太过严格的限制会影响系统效能,不过OT系统的功能需求并不多,因此采用白名单机制,只有已授权之程序才能执行的做法相对安全。目前工研院资通所已针对工业物联网研发出白名单技术,硬件方面可支持x86与ARM,操作系统方面,在Linux和Windows均可使用,制造业者可透过此白名单应用来强化系统的安全性。
延续阙志克所长的看法,TXOne Networks技术经理林季谊在「白名单工控应用实务:场景、管理与挑战」演讲中表示,美国国土安全局的报告中曾指出,白名单是最好且最终极的防护策略,当所有的网安机制都失效时,白名单就是最后的一道墙。
在制造系统中,白名单有四种阶层,第一是操作端(Operator)的锁定,只有绑定权限的人员可以操作机台;第二层是数据端,避免关键数据被覆盖、更改;第三层是设备组态,确认机台环境设定不会被随意变动,导致制造系统停摆;第四层是笔记本电脑、U盘等外界设备可被控管,当机台供应商或厂内维修人员,需要透过其他设备连结机台时,白名单机制必须可加以控管,确保系统不被恶意程序入侵。
另外林季谊也以TXOne Networks的建置经验,将白名单建置分为两类,第一类是独立运作的机台例如ATM,这类型系统中的机台彼此之间并不串连,只与上层数据中心连结,因此白名单的建置较为简单;另一种则是智能制造系统,底层设备彼此连结为机联网,这类系统的架构复杂,必须整体系统一起测试,才能建置起完整严密的白名单机制,对此她建议由专业单位协助,成效会更佳。
网络攻击手法多变,防御机制需与时俱进
除了白名单的建置外,会中也邀请工研院产科国际所资深研究员锺铭辉,针对「制造业网安发展与市场趋势」发表演说。他指出制造系统下一阶段的布建重点会在OT制造业防护上,包含应用白名单机制端点行为、OT漏洞管理、减少攻击表面、建立可视化防御环境、身份授权管理等提升防御能力。
而随着黑客攻击模式日益复杂与各国政府对产品安全的监管压力,设备厂商必须导入国际标准产品安全设计标准,并将网安视为差异化策略,以提升产品附加价值。未来网通、工业电脑、机械设备等产业可从安全可视性作为第一步,再逐步建立微网段、OT端点防护,甚至自建安全软件开发团队,特别是提供长期稳定性、可维护性的系统,如此一来可获得制造业客户青睐。此外由于客户需要融合IT与OT的安全防御架构,对网安产业来说,则需要思考产品使用体验,避免使用太多的网安方案,提供整合管理平台,并串联更多生态系夥伴提升易用性,如:扩大与设备商合作、广泛整合第三方SIEM,将有助于提升产品市场竞争力。
此外在工研院资通所赵翊廷与王子夏两位技术副理,则分别从Linux与Windows两部分,讲解「主动式网安防御管理机制与应用案例」。赵翊廷先介绍Linux核心的安全模块SELinux,他指出SELinux的网络网安规范相当完整,且天生具备稽核功能,并符合相关标准,因此使用Linux系统的国家机关或企业如美国政府、军方或网站维运/托管公司、金融业等都已开始采用,工研院也大力投入发展,持续改善SELinux,使之更容易使用。在Windows部分,王子夏则介绍工研院研发的白名单防御技术,此技术可依安全策略,套用多层次防御机制,限制管理应用程序系统呼叫行为、脚本语言及应用程序执行,其中包括零恶意程序执行、主从式管理、应用程序更新、二阶段认证与云服务管理等功能,将可提供制造业者更安全的Windows防护机制。
可视化是网安系统的重要一环,研讨会中,椰枣科技技术副总赖冠州也为与会者讲解智能制造的网安战情室概念与设计。他表示经由广泛布建的系统元件,战情室可实时呈现网络流量与信息,让厂管人员深入了解系统状态,快速反应与处置网安事件。他特别介绍该公司的eSAF网安平台,此平台是工业物联网的最后一道防线,具备轻量级高性价比的嵌入式软件与硬件,可深入作业场域进行布署,并透过弹性化特色,达成设备与传感器的微型实体的隔离。此外eSAF网安平台也可有效收集OT场域联网设备与网络信息,且将在Frontier与eSAF系统管理服务器进行智能化的分析与检测,实时而准确的网安状态呈现与保护。目前椰枣科技的eSAF网安平台已多有应用,其中新汉科技位于桃园的华亚智能工厂战情室,就有11种功能,为两条SMT与1条DIP产线提供高可视化网安防护。
研讨会最后,工研院资通所副组长卓传育表示,网安设计早已是信息系统的必要考量,智能化成为制造业趋势后,经济部工业局所推动SecPaaS网安整合服务平台计划,也纳入制造系统,并将之视为2020年的重点领域,希望透过政策制定,紧密结合制造与网安两端产业,为我国智能制造系统提供更严密的保护。(经济部工业局广告)
