强化关键基础设施的网路安全.PDFVIP

強化關鍵基礎設施的網路安全 ■華梵大學資管系特聘教授 朱惠中 健行科技大學資管系助理教授 陳惠娟 趨勢科技於2015 年提出「美洲關鍵基礎建設網路安全」 （CybersecurityandCriticalInfrastructureintheAmericas ）報告， 於全球20個國家的政府與民間企業進行調查，提出「 53%的受訪者認 為去年專門針對 CI的網路攻擊比以往更多」、「 44%的受訪者認為他們 曾遭到惡意的刪除與破壞式攻擊」 背景 傳統上，營運技術（OperationTechnology,OT）與資訊技術 （InformationTechnology,IT）分屬兩個不同的專業領域，彼此間鮮 少交集，但隨著網際網路與IT的精進與普及， OT 與IT環境之間的 專屬領域（ Segmentation）已逐漸消失，原本與外界網路實體隔離的 工業控制系統（ICS）逐漸必須與企業網路整合，利用IT在數據存儲、 處理和通信方面的能力，來降低成本與風險，及提升效能與靈活度。 惟水可載舟，亦可覆舟，當不安全且含有漏洞的企業網路一旦與 工控系統之專屬網路相連後，將使得工控系統暴露在網路攻擊的危險 當中，越來越多原本以 IT環境為目標的複雜網路威脅或攻擊行為， 開始滲透到包括工控系統在內的 OT環境。當此趨勢來臨後，使得仰 賴工業控制系統的國家關鍵基礎設施，以及各產業的自動化生產、製 1 造設備，受到網路攻擊的可能性大增，特別是進入工業 4.0時代，原 本可透過物聯網、大數據與雲端智慧，使IT與OT 兩者終能展開對話， 由 OT領域的感測器獲取資料，上傳 IT領域的雲端中心執行大數據分 析，繁衍各種創新應用的目標將無法達成。 如何將 IT 與OT整合 整合 IT／OT所需解決的問題，大致上可分成組織面及技術面二 類： 一、組織面的問題 （一）獨立的企業過程（BusinessSilos） 組織方面的問題源起於IT／OT的系統、人力之間皆有各 自的體系， IT 系統由CIO （ChiefInformationOfficer ）指揮， 負責公司資產、工作流程管理等等，含括電子商務 （e-Commerce）、企業資源規劃系統（ERP）、供應鏈管理系統 （SCM）、顧客關係管理系統（CRM）、產品生命週期管理系統（PLM） 等工作；而OT 系統則由COO （ChiefOperationalOfficer ）主 導，負責CI的實體操作與監控，一般而言，泛指與工廠營運 相關的技術，主要涵蓋三個類別：一是自動化；二是自動化整 合搭配操作流程整合；三是工廠自動化與資訊技術的整合，諸 如製造現場控制（ShopFloorControl,SFC ）、製造執行系統 2 （ManufacturingExecutionSystem,MES ）、監視與整合控制 （Supervisorycontrolanddataacquisition,SCADA ）等工廠資 訊系統，此類系統需與上列 IT 系統進行整合，若雙方各自為 政，將難以結合；另在串聯資訊技術與工業現場實體世界的過 程中，感測器（Sensors）扮演不可或缺的要角。為了完善整 合 IT 與OT ，在策略上CIO 與COO須達成一致 。 （二）文化上的衝突（CultureClash） IT部門往往是成本中心，需配合與支持企業客戶，故其 政策和規則因須配合客戶需求，必須要做客屬化，亦即可能會 建立自己的標準作業程序，以符合客戶需求。依此，他們只需 依照與客戶簽訂的服務協議進行，如發生非計畫停電時，按業