隨著工廠 IT/OT 融合加速,工業控制系統面臨前所未有的資安威脅。本指南從 Purdue 模型到 IEC 62443,提供台灣製造業完整 OT 資安路線圖。
OT(Operational Technology,操作技術)與 ICS(Industrial Control Systems,工業控制系統)環境的資安挑戰,與傳統 IT 環境有根本性的不同。在 IT 世界,資安優先順序是機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),即 CIA 三角。但在 OT 世界,這個順序完全顛倒:可用性永遠是第一優先,任何導致生產線停機或設備異常的資安措施都可能被拒絕。
OT 環境中的設備,如 PLC(可程式邏輯控制器)、RTU(遠端終端單元)、HMI(人機介面),通常具有以下特點:設計使用壽命長達 15-30 年、無法輕易停機進行更新、使用專有工業協議、計算資源有限難以支援傳統資安代理程式。
台灣作為全球製造業重鎮,擁有大量半導體、電子、精密機械工廠,這些設施一旦遭受攻擊,不僅影響企業本身,更可能對全球供應鏈造成嚴重衝擊。這也使台灣製造業成為國家級 APT 組織的高價值攻擊目標。
過去,OT 網路依賴「空氣隔離(Air Gap)」保持安全——與外部網路實體隔離。但智慧製造、工業 4.0 的推動,以及 COVID-19 後遠端監控需求的爆發,正在快速侵蝕這道最後的防線。
IT/OT 融合帶來的主要風險:
2021 年的殖民地管線(Colonial Pipeline)勒索攻擊事件,正是攻擊者從 IT 側入侵,迫使企業主動關閉 OT 管線的典型案例。台灣在 2022-2023 年間,也有數起針對半導體廠商 OT 網路的攻擊事件,部分被列為機密,未公開報告。
Purdue 模型(Purdue Enterprise Reference Architecture,PERA)是 OT/IT 網路分層設計的標準參考框架,將工業網路劃分為 Level 0 到 Level 5 共六層:
感測器、致動器、馬達、閥門等實體設備,直接控制生產程序。這層無法安裝任何軟體代理程式。
PLC、RTU,使用 Modbus、DNP3、PROFINET 等工業協議直接控制 Level 0 設備。
HMI、SCADA 工作站,人機介面,操作員在此監控與控制生產流程。
MES(製造執行系統)、工廠資料歷史記錄(Historian),連接上層 IT 與下層 OT。
ERP、電子郵件、Internet 存取,與 OT 層之間應設置嚴格的 DMZ 防火牆隔離。
建議在 Level 3 與 Level 4 之間部署專用工業防火牆(NGFW),形成嚴格的 IT/OT 隔離邊界,並設置跳板機(Jump Host)管理跨層的存取請求。
工業控制系統使用的專有協議,在設計之初完全不考慮資安。了解這些協議的弱點,是制定防護策略的基礎:
1979 年設計,無任何認證或加密機制。任何可連到 Modbus 設備的人,都能讀取所有寄存器,甚至直接寫入控制指令。NGFW 可透過 DPI 識別並限制 Modbus 的功能碼(Function Code)存取。
廣泛用於電力與水處理設施。雖然比 Modbus 稍有改進,但基本版本仍缺乏認證機制。Secure Authentication v5(SAv5)提供了改善,但部署率仍偏低。
現代工業協議標準,內建 TLS 加密與 X.509 憑證認證。是目前最安全的工業通訊協議,但配置不當時(如接受任意憑證)仍會引入漏洞。
IEC 62443 是工業自動化與控制系統(IACS)的國際資安標準系列,分為四大部分,涵蓋從組織政策到設備技術要求的完整框架:
台灣政府及大型製造業集團,正逐步要求供應商提供 IEC 62443 相關認證。企業可委託專業資安顧問進行 IEC 62443 差距分析(Gap Analysis)並制定合規路線圖。
SEMI E187 是專為半導體製造設備(如晶圓機台)制定的資安規範,於 2022 年正式生效。該標準對半導體設備廠商提出明確要求,包括:
台灣半導體廠(包括晶圓代工廠及其供應鏈)正積極推動設備廠商達成 SEMI E187 合規。企業可委託專業資安顧問進行 SEMI E187 合規評估,協助識別差距並提出具體改善建議。
部署 OT 資產探索工具,建立完整設備清單與網路拓撲圖。使用被動流量監控識別所有工業協議通訊。這個階段僅觀察,不做任何阻斷動作,避免影響生產。
依照 Purdue 模型建立分層網路架構,在 IT/OT 邊界部署 NGFW,啟用工業協議 DPI(深度封包檢測),設定允許清單(Allowlist)政策。分批次實施,優先從非關鍵產線開始。
建立 OT 安全運營中心(OT-SOC)或整合至現有 SOC,制定 OT 環境專屬的事件應變程序,定期進行 OT 資安演習,並持續更新工業威脅情報。