不可諱言，從以往各自獨立運作的系統，邁入萬物皆可互聯的物聯網時代，其間轉變確實相當劇烈，而且這般的變革，對于不論是企業競爭力、人類生活質量，都可謂美事一樁。

　　在物聯網熱潮延燒下，接續繁衍工業4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產業浪潮；若以物聯網信息安全議題而論，尤其以工業4.0跳躍幅度最大，只因制造業過往采用封閉的序列通訊協議，尚可忽視安全課題無妨，如今走向IP通訊化，即需面對從零分到滿分的快速進化需求。

　　不可諱言，從以往各自獨立運作的系統，邁入萬物皆可互聯的物聯網時代，其間轉變確實相當劇烈，而且這般的變革，對于不論是企業競爭力、人類生活質量，都可謂美事一樁，此乃由于，經由物聯網設備所產生數據的分析探勘，可望從中挖掘寶貴的信息，一旦加以善用，將能提升企業組織運作效率，連帶強化運營競爭力，同時有助于促使人類生活更趨精采多姿。

　　隨著工廠內部機臺設備走向IP通訊化，固然有助于拓展諸如遠程除錯、預知保養等進階智慧應用，但同時也開始接觸網絡惡意攻擊，亟需透過防火墻捍衛工業網絡安全。

　　盡管從過去一座座筒倉(Silo)(意指獨立封閉的系統架構)，邁入萬物互聯新局，確實可望觸發無窮效益，但在轉折過程中，不乏有嚴峻挑戰亟待面對，最顯著的考驗，無疑正是信息安全，主要是由于，過去筒倉采用自成一格的通訊協議，鮮與外界溝通，黑客對這些封閉語言一無所知，所以無從出手制造任何安全威脅，今天工廠設備走向IP通訊化，不再是與世隔絕的筒倉，至此情勢出現大幅逆轉。

　　以現今熱門的工業4.0議題為例，制造業導入工業物聯網后，使以往蜷縮在一個個不同筒倉里頭的機臺設備，開始試圖藉助工業界標準語言，與外面的世界溝通，溝通的對象不僅含括異質設備、制造執行系統(MES)，同時還有更上層的ERP、云端大數據平臺，旨在滿足遠程監控與預防保養等需求；但在追求創新突破之際，也背負門戶洞開的安全風險。

　　筒倉走向開放 安全挑戰接踵而至

　　曾有廠務主管透露，伴隨工廠設備開始聯網，諸如跳電、機器故障等意外插曲，似乎也跟著增多，雖然增加的幅度看似不大，造成的停機時間也不算長，但制造企業對于產線的持續高效率運轉，一向極為倚重，只因為停機時間與次數一旦增加，輕則影響產能、壓低稼動率，重則導致制程整個報廢，讓原物料付之一炬，因而蒙受可觀財務損失，甚至造成交期延宕、沖擊商譽，后果著實不容小覷；深究個中原因，不乏肇因于病毒或惡意軟件而引發機臺設備故障之例，更可怕的是，如果諸如此類現象一再發生，合理懷疑已有黑客侵門踏戶，此時企業便需提高警覺，檢視是否有機密智財出現外泄。

　　意欲清除這些負面因子，則負責企業操作技術(Operation Technology；OT)的人士，實有必要向執掌信息科技(IT)事務的同仁看齊，認真考慮部署相關安全防護設備，從VPN與防火墻的架設作為起步；眾所周知，防火墻并非新穎技術，迄今發展歷程已超過20年，而且防護實力日益強大，但問題是，制造業者欲以一般商用VPN防火墻系統保護工業控制網絡，顯然并不適合。

　　業者解釋，一般常見商用防火墻，擅于守護Intranet之內的服務器、個人計算機等眾多運算節點，也成為這些節點通向因特網的唯一出入閘口，因進出流量大，所以防火墻不可能逐一攔阻并詳查每個封包，僅能藉由封包來源與目的地來驗證其合法與合理性；反觀工業控制網絡，與Intranet情況大異其趣，內含的設備數量相對有限，傳輸的數據量也較小，不過單一封包所蘊含的價值，卻遠比Intranet進出流量要大上許多，所以單憑商用防火墻查看封包地址與去向之模式，肯定不敷需求，必須導入工業用防火墻，藉以辨識諸如EtherCAD、Profinet等工業通訊協議，理解不同機臺設備慣用的溝通話術，從而深入剖析與細膩檢查數據流量，如此才能實時察覺異?，F象。

　　善用工業協議防火墻 有助遏止黑客進犯

　　比方說，假設工廠內部所采用的機械手臂，按常理所需執行的作業步驟，依序包含了A、B、C、D、E等五道程序，此時如果出現黑客入侵現象，透過惡意軟件的施放，意圖控制機械手臂將執行步驟改為A、B、C、D、F，等于更動了個中一道程序；對于這般變化，商用防火墻理當難以察覺，只因這類系統對于工業通訊協議的辨認能力不足，反觀工業防火墻，即可在第一時間斷然制止，不允許有人擅自更改控制規則。

　　事實上也有少部份商用防火墻，在成立之初，便誓言跳脫單純的TCP/IP協議，養成足以解析所有網絡流量內容的實力，如今得以朝向物聯網安全、工業4.0安全等領域靠攏，譬如Palo Alto Networks便是一例。制造企業若將Palo Alto Networks網關設備布建于工業控制網絡，即使面對「Modbus Read Only」(僅容許讀取Modbus端信息、不允許寫入)的規則條件，也有能力加以辨識，并且落實執行，單憑這點，便與一般商用防火墻產品大不相同。

　　另一方面，Palo Alto Networks面對工業控制網絡的防護重任，不管守護對象是工業計算機、SCADA或ICS(工業控制系統)，都堅守零信任原則，是假定所有內部使用者都是不安全的，因以每個同仁的一舉一動，都必須完全符合既定行為規范，不容許有任何差池，所以萬一有任何使用者節點，不慎遭黑客植入惡意軟件，意圖做出超乎規范的行徑，只要踏出第一步，必定立即遭到Palo Alto Networks系統遏阻。

　　借助單向網關 實現實體網絡隔離

　　Intel Security(原名McAfee)也是甚早跨足物聯網安全防護的業者，其標榜以白名單為管控基礎，與前述零信任架構頗有異曲同工之妙；所謂白名單，主要是透過一套動態白名單機制，用以鎖定物聯網設備的原始軟件設定，避免被納管的設備擅自執行未經授權的程序代碼，藉此確保設備的安全性；之所以必須這么做，道理其實很簡單，因為世上沒有任何一個安全解決方案，足以100%解決現今與未來所有風險，面對發展方興未艾的物聯網應用，欲妥善管理如此大的不確定性，「強力限縮訪問權限」無疑是最理想的做法。

　　此外，類似像發電廠等以往走封閉路線、如今開始聯網(基于智慧電力調度)的關鍵基礎設施，由于關鍵性非同小可，完全不容許一絲一毫遭到黑客染指，故防護措施必須更加嚴謹；著眼于此，有業者開始援引Waterfall單向網絡安全網關，形塑一種訴求「實體網絡隔離」的解決方案。

　　據悉，現階段面對關鍵維運作業數據實時交換需求，意欲防止遭受網絡攻擊，企業通常采取兩種做法。一是藉由防火墻，將該網絡區域劃分成一個隔離的網絡環境，接著運用防火墻規則來限制個中存取行為，然而此做法的疑慮，在于隔離與非隔離網絡環境的物理層依然相通，倘若防火墻規則有所疏漏，仍可能導致兩個網絡環境的界線趨于模糊。另一做法，則是直接以實體隔離方式，切斷機敏網絡區段的對外通訊，但此舉將對內外網數據交換構成阻礙，這時企業只好以可攜式儲存設備來滿足交換需求，反而導致追蹤與稽核不易，衍生更大風險。

　　通過單向網絡安全網關，則迫使任何數據僅能從TX Gateway復寫到RX Gateway，完全杜絕了任何反向通訊的可能性，如此一來，黑客欲利用傳統三向交握機制的盲點，從中找尋可供切入的縫隙，勢將鎩羽而歸。

責任編輯：韓希宇