在物聯(lián)網(wǎng)熱潮延燒下，接續(xù)繁衍工業(yè)4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產(chǎn)業(yè)浪潮;若以物聯(lián)網(wǎng)信息安全議題而論，尤其以工業(yè)4.0跳躍幅度最大，只因制造業(yè)過(guò)往采用封閉的序列通訊協(xié)議，尚可忽視安全課題無(wú)妨，如今走向IP通訊化，即需面對(duì)從零分到滿分的快速進(jìn)化需求。

不可諱言，從以往各自獨(dú)立運(yùn)作的系統(tǒng)，邁入萬(wàn)物皆可互聯(lián)的物聯(lián)網(wǎng)時(shí)代，其間轉(zhuǎn)變確實(shí)相當(dāng)劇烈，而且這般的變革，對(duì)于不論是企業(yè)競(jìng)爭(zhēng)力、人類生活質(zhì)量，都可謂美事一樁，此乃由于，經(jīng)由物聯(lián)網(wǎng)設(shè)備所產(chǎn)生數(shù)據(jù)的分析探勘，可望從中挖掘?qū)氋F的信息，一旦加以善用，將能提升企業(yè)組織運(yùn)作效率，連帶強(qiáng)化運(yùn)營(yíng)競(jìng)爭(zhēng)力，同時(shí)有助于促使人類生活更趨精采多姿。

隨著工廠內(nèi)部機(jī)臺(tái)設(shè)備走向IP通訊化，固然有助于拓展諸如遠(yuǎn)程除錯(cuò)、預(yù)知保養(yǎng)等進(jìn)階智慧應(yīng)用，但同時(shí)也開(kāi)始接觸網(wǎng)絡(luò)惡意攻擊，亟需透過(guò)防火墻捍衛(wèi)工業(yè)網(wǎng)絡(luò)安全。

盡管從過(guò)去一座座筒倉(cāng)(Silo)(意指獨(dú)立封閉的系統(tǒng)架構(gòu))，邁入萬(wàn)物互聯(lián)新局，確實(shí)可望觸發(fā)無(wú)窮效益，但在轉(zhuǎn)折過(guò)程中，不乏有嚴(yán)峻挑戰(zhàn)亟待面對(duì)，最顯著的考驗(yàn)，無(wú)疑正是信息安全，主要是由于，過(guò)去筒倉(cāng)采用自成一格的通訊協(xié)議，鮮與外界溝通，黑客對(duì)這些封閉語(yǔ)言一無(wú)所知，所以無(wú)從出手制造任何安全威脅，今天工廠設(shè)備走向IP通訊化，不再是與世隔絕的筒倉(cāng)，至此情勢(shì)出現(xiàn)大幅逆轉(zhuǎn)。

以現(xiàn)今熱門的工業(yè)4.0議題為例，制造業(yè)導(dǎo)入工業(yè)物聯(lián)網(wǎng)后，使以往蜷縮在一個(gè)個(gè)不同筒倉(cāng)里頭的機(jī)臺(tái)設(shè)備，開(kāi)始試圖藉助工業(yè)界標(biāo)準(zhǔn)語(yǔ)言，與外面的世界溝通，溝通的對(duì)象不僅含括異質(zhì)設(shè)備、制造執(zhí)行系統(tǒng)(MES)，同時(shí)還有更上層的ERP、云端大數(shù)據(jù)平臺(tái)，旨在滿足遠(yuǎn)程監(jiān)控與預(yù)防保養(yǎng)等需求;但在追求創(chuàng)新突破之際，也背負(fù)門戶洞開(kāi)的安全風(fēng)險(xiǎn)。

筒倉(cāng)走向開(kāi)放 安全挑戰(zhàn)接踵而至

曾有廠務(wù)主管透露，伴隨工廠設(shè)備開(kāi)始聯(lián)網(wǎng)，諸如跳電、機(jī)器故障等意外插曲，似乎也跟著增多，雖然增加的幅度看似不大，造成的停機(jī)時(shí)間也不算長(zhǎng)，但制造企業(yè)對(duì)于產(chǎn)線的持續(xù)高效率運(yùn)轉(zhuǎn)，一向極為倚重，只因?yàn)橥C(jī)時(shí)間與次數(shù)一旦增加，輕則影響產(chǎn)能、壓低稼動(dòng)率，重則導(dǎo)致制程整個(gè)報(bào)廢，讓原物料付之一炬，因而蒙受可觀財(cái)務(wù)損失，甚至造成交期延宕、沖擊商譽(yù)，后果著實(shí)不容小覷;深究個(gè)中原因，不乏肇因于病毒或惡意軟件而引發(fā)機(jī)臺(tái)設(shè)備故障之例，更可怕的是，如果諸如此類現(xiàn)象一再發(fā)生，合理懷疑已有黑客侵門踏戶，此時(shí)企業(yè)便需提高警覺(jué)，檢視是否有機(jī)密智財(cái)出現(xiàn)外泄。

意欲清除這些負(fù)面因子，則負(fù)責(zé)企業(yè)操作技術(shù)(Operation Technology;OT)的人士，實(shí)有必要向執(zhí)掌信息科技(IT)事務(wù)的同仁看齊，認(rèn)真考慮部署相關(guān)安全防護(hù)設(shè)備，從VPN與防火墻的架設(shè)作為起步;眾所周知，防火墻并非新穎技術(shù)，迄今發(fā)展歷程已超過(guò)20年，而且防護(hù)實(shí)力日益強(qiáng)大，但問(wèn)題是，制造業(yè)者欲以一般商用VPN防火墻系統(tǒng)保護(hù)工業(yè)控制網(wǎng)絡(luò)，顯然并不適合。

業(yè)者解釋，一般常見(jiàn)商用防火墻，擅于守護(hù)Intranet之內(nèi)的服務(wù)器、個(gè)人計(jì)算機(jī)等眾多運(yùn)算節(jié)點(diǎn)，也成為這些節(jié)點(diǎn)通向因特網(wǎng)的唯一出入閘口，因進(jìn)出流量大，所以防火墻不可能逐一攔阻并詳查每個(gè)封包，僅能藉由封包來(lái)源與目的地來(lái)驗(yàn)證其合法與合理性;反觀工業(yè)控制網(wǎng)絡(luò)，與Intranet情況大異其趣，內(nèi)含的設(shè)備數(shù)量相對(duì)有限，傳輸?shù)臄?shù)據(jù)量也較小，不過(guò)單一封包所蘊(yùn)含的價(jià)值，卻遠(yuǎn)比Intranet進(jìn)出流量要大上許多，所以單憑商用防火墻查看封包地址與去向之模式，肯定不敷需求，必須導(dǎo)入工業(yè)用防火墻，藉以辨識(shí)諸如EtherCAD、Profinet等工業(yè)通訊協(xié)議，理解不同機(jī)臺(tái)設(shè)備慣用的溝通話術(shù)，從而深入剖析與細(xì)膩檢查數(shù)據(jù)流量，如此才能實(shí)時(shí)察覺(jué)異?，F(xiàn)象。

善用工業(yè)協(xié)議防火墻 有助遏止黑客進(jìn)犯

比方說(shuō)，假設(shè)工廠內(nèi)部所采用的機(jī)械手臂，按常理所需執(zhí)行的作業(yè)步驟，依序包含了A、B、C、D、E等五道程序，此時(shí)如果出現(xiàn)黑客入侵現(xiàn)象，透過(guò)惡意軟件的施放，意圖控制機(jī)械手臂將執(zhí)行步驟改為A、B、C、D、F，等于更動(dòng)了個(gè)中一道程序;對(duì)于這般變化，商用防火墻理當(dāng)難以察覺(jué)，只因這類系統(tǒng)對(duì)于工業(yè)通訊協(xié)議的辨認(rèn)能力不足，反觀工業(yè)防火墻，即可在第一時(shí)間斷然制止，不允許有人擅自更改控制規(guī)則。

事實(shí)上也有少部份商用防火墻，在成立之初，便誓言跳脫單純的TCP/IP協(xié)議，養(yǎng)成足以解析所有網(wǎng)絡(luò)流量?jī)?nèi)容的實(shí)力，如今得以朝向物聯(lián)網(wǎng)安全、工業(yè)4.0安全等領(lǐng)域靠攏，譬如Palo Alto Networks便是一例。制造企業(yè)若將Palo Alto Networks網(wǎng)關(guān)設(shè)備布建于工業(yè)控制網(wǎng)絡(luò)，即使面對(duì)「Modbus Read Only」(僅容許讀取Modbus端信息、不允許寫(xiě)入)的規(guī)則條件，也有能力加以辨識(shí)，并且落實(shí)執(zhí)行，單憑這點(diǎn)，便與一般商用防火墻產(chǎn)品大不相同。

另一方面，Palo Alto Networks面對(duì)工業(yè)控制網(wǎng)絡(luò)的防護(hù)重任，不管守護(hù)對(duì)象是工業(yè)計(jì)算機(jī)、SCADA或ICS(工業(yè)控制系統(tǒng))，都堅(jiān)守零信任原則，是假定所有內(nèi)部使用者都是不安全的，因以每個(gè)同仁的一舉一動(dòng)，都必須完全符合既定行為規(guī)范，不容許有任何差池，所以萬(wàn)一有任何使用者節(jié)點(diǎn)，不慎遭黑客植入惡意軟件，意圖做出超乎規(guī)范的行徑，只要踏出第一步，必定立即遭到Palo Alto Networks系統(tǒng)遏阻。

借助單向網(wǎng)關(guān) 實(shí)現(xiàn)實(shí)體網(wǎng)絡(luò)隔離

Intel Security(原名McAfee)也是甚早跨足物聯(lián)網(wǎng)安全防護(hù)的業(yè)者，其標(biāo)榜以白名單為管控基礎(chǔ)，與前述零信任架構(gòu)頗有異曲同工之妙;所謂白名單，主要是透過(guò)一套動(dòng)態(tài)白名單機(jī)制，用以鎖定物聯(lián)網(wǎng)設(shè)備的原始軟件設(shè)定，避免被納管的設(shè)備擅自執(zhí)行未經(jīng)授權(quán)的程序代碼，藉此確保設(shè)備的安全性;之所以必須這么做，道理其實(shí)很簡(jiǎn)單，因?yàn)槭郎蠜](méi)有任何一個(gè)安全解決方案，足以100%解決現(xiàn)今與未來(lái)所有風(fēng)險(xiǎn)，面對(duì)發(fā)展方興未艾的物聯(lián)網(wǎng)應(yīng)用，欲妥善管理如此大的不確定性，「強(qiáng)力限縮訪問(wèn)權(quán)限」無(wú)疑是最理想的做法。

此外，類似像發(fā)電廠等以往走封閉路線、如今開(kāi)始聯(lián)網(wǎng)(基于智慧電力調(diào)度)的關(guān)鍵基礎(chǔ)設(shè)施，由于關(guān)鍵性非同小可，完全不容許一絲一毫遭到黑客染指，故防護(hù)措施必須更加嚴(yán)謹(jǐn);著眼于此，有業(yè)者開(kāi)始援引Waterfall單向網(wǎng)絡(luò)安全網(wǎng)關(guān)，形塑一種訴求「實(shí)體網(wǎng)絡(luò)隔離」的解決方案。

據(jù)悉，現(xiàn)階段面對(duì)關(guān)鍵維運(yùn)作業(yè)數(shù)據(jù)實(shí)時(shí)交換需求，意欲防止遭受網(wǎng)絡(luò)攻擊，企業(yè)通常采取兩種做法。一是藉由防火墻，將該網(wǎng)絡(luò)區(qū)域劃分成一個(gè)隔離的網(wǎng)絡(luò)環(huán)境，接著運(yùn)用防火墻規(guī)則來(lái)限制個(gè)中存取行為，然而此做法的疑慮，在于隔離與非隔離網(wǎng)絡(luò)環(huán)境的物理層依然相通，倘若防火墻規(guī)則有所疏漏，仍可能導(dǎo)致兩個(gè)網(wǎng)絡(luò)環(huán)境的界線趨于模糊。另一做法，則是直接以實(shí)體隔離方式，切斷機(jī)敏網(wǎng)絡(luò)區(qū)段的對(duì)外通訊，但此舉將對(duì)內(nèi)外網(wǎng)數(shù)據(jù)交換構(gòu)成阻礙，這時(shí)企業(yè)只好以可攜式儲(chǔ)存設(shè)備來(lái)滿足交換需求，反而導(dǎo)致追蹤與稽核不易，衍生更大風(fēng)險(xiǎn)。

通過(guò)單向網(wǎng)絡(luò)安全網(wǎng)關(guān)，則迫使任何數(shù)據(jù)僅能從TX Gateway復(fù)寫(xiě)到RX Gateway，完全杜絕了任何反向通訊的可能性，如此一來(lái)，黑客欲利用傳統(tǒng)三向交握機(jī)制的盲點(diǎn)，從中找尋可供切入的縫隙，勢(shì)將鎩羽而歸。