79％的老板对工业物联网安全缺乏信心

近期盼多科技大厂接连遭黑客攻击，引起业界重视。随着智能制造逐渐普及，工厂物联网触及的范围也越来越广，然而在联网的同时，也成为黑客入侵的安全破口。然而要工厂OT导入新的IT解决方案并不容易，如何才能无痛升级呢？

因远程应用、管理优化等需求产生，依美国系统与网络安全协会（SANS Institute）的报告显示，已有72%的工业物联网应用通过IP为通信基础。然而，在联网越来越普及的情况之下，有79%的企业主对于掌握工业物联网设备的安全缺乏信心，安全问题已然成为工业物联网运营模式下的重要挑战。

保护网络安全的安全，在工厂反而被视为不稳定因素？

当深入探讨工业网络演进至今的状态时，将发现工业场景过去主要诉求“能精确控制的工业设备”、“有效传输的工业通信”、“简单省事的架构设计”与“首重可用且不能停机”的情况下，安全防护在设计阶段往往因导入前需要较多的讨论与资源，导入后需要更新维护、或防护与补丁被视为系统不稳定因素，而无法被完善的纳入设计计划中。

另一部分的现象是，业主想要自行发展出自家独有的安全配置，期望带来防护，或是让攻击者找不到弱点突破。然而未受时间或市场检验的安全配置有其盲点，一方面无法真正保障网络安全安全程度，另一方面一旦遭受突破，不容易以组织架构好的系统性方式寻求或参考外部资源进行改善。

参考国际电工委员会原则，从系统架构到技术要求都定义规范

实际上，在2002年国际自动化学会（ISA）发布的ISA-99文件中，针对从事自动化运营的企业，即提出一套防堵网络安全威胁的指导原则。当时的网络安全议题并不像现在这么热门。ISA的文件与国际电工委员会（IEC）常用的文件交相呼应，目前IEC-62443标准包含一系列的标准、报告和其他相关文件，以便明确定义通过电子方式保护工业自动化控制系统（IACS）的程序。借由遵循制定已久的IEC-62443标准准则，减少网络破口，进而降低网络遭受攻击的机会。

IEC-62443包含四个部分，其中IEC-62443-1定义系统架构和用语；IEC-62443-2定义如何创建安全管理系统，包含组织、人员、流程；IEC-62443 -3定义如何构建工业系统安全，涵盖构建安全网络、安全技术导入；IEC-62443-4属于组件层定义，制定产品供应商必须符合的产品开发要求、产品技术要求，如Moxa便是全台首家通过IEC-62443-4-1认证的企业。

工厂安全大不同，专家建议：参考准则才能无痛提升防御能力

有鉴于设计工业网络架构时的特性与要求不同于企业端网络，强化安全的手法也将需要涵盖不影响制造系统可用性的考量。Moxa建议参考IEC-62443进行系统性的规划，首先提升工业网络安全等级，强化网络各个环节，譬如激活交换机安全防护功能，或依网络架构现况导入安全路由器及工业用IPS等等做法，避开变动现有SCADA、PLC等网络系统或设备参数导致影响现场运行的疑虑，无痛且立刻提升工业现场网络的安全防御等级。