2010年10月，震網（Stuxnet）蠕蟲病毒席捲全球工業界，在短時間內威脅到了眾多企業的正常運行。全球超過45000個網絡被感染，伊朗、印尼、美國等多地均不能倖免。其中，以伊朗遭到的攻擊最為嚴重，該病毒已經造成伊朗核電站推遲發電。

網路病毒的威力已不可同日而語，以前只要重灌電腦、損失一些來不及備份的檔案就可以解決，現在失去的不只是金錢，小至硬體設備受損，大至在國際市場上的企業形象的重創，甚至是大量人員傷亡。許多企業的資安系統不堪一擊，但是決策者猶不自知，因此讓工廠成為駭客眼中待宰的肥羊。近期研究證實，35% 的工業網路故障事件由網路攻擊引發，這對工業構成巨大威脅。企業必須妥善保管自己至關重要且極其敏感的業務數據，還要確保其工業控制系統免受干擾，讓生產過程能夠不因為被中斷並連續性和安全性。

 

為什麼製造業也要考慮網路安全？

德國萊因TÜV大中華區工業服務部總經理趙斌表示，與傳統意義上的安全威脅不同，工業物聯網帶來的安全威脅除了有持續演變發展的特性，它的來源相當多元，如：技術方面的危險（例：軟體缺陷）、人為因素的危險（例：犯罪集團、駭客等等）。這些威脅都會危害系統的機密性、完整性及功能的有效性。為了防範於未然，企業應對網路威脅進行分析：

第一，要識別該企業面臨哪些威脅

第二，分析這些威脅對業務構成哪些風險

第三，研擬如何預防和解決這些風險的措施

 

哪些設備系統需要考慮網路安全？

現代的製造業是由先進的技術、硬體、軟體交融而成的生命體，牽一髮而動全身，用傳統的方法，只防護設備本身（例：底層硬體元件、作業系統或應用程式），是無法保護系統的機密性、完整性及功能有效性的。除了基本的物理隔離和保護設施，網路安全產品和系統方案也是製造業亟需重視的地方。打從產品開發階段（零件、產品和系統開發期），小至需求規格、設計、研發，大至系統實施、營運和維護的階段，都需要請教第三方驗證機構，善用他們在測試與驗證這方面豐富的資源與經驗，有效保護智慧工廠，並讓它在功能安全和網路安全方面更加完善。

 

有哪些網路安全標準可以幫助工廠更安全？

若想充分保護導入物聯網技術的智慧工廠，必須在符合網路安全標準和產品功能安全的前提之下，確保產品性能的可靠性，能達到如此標準的企業才能夠既保護自己的監控系統，又能充分利用物聯網的優勢。
網路安全相關的自動化解決方案必須在功能上是安全的（即功能安全）。在工業功能安全這方面，則要確保產品要夠可靠和安全，才能合乎相關標準（如IEC 61508、 IEC 61511、 ISO 13489-1) 所規定的安全等級要求，如安全完整性等級(SIL)、性能等級(PL)等等，而且產品必須適用於安全相關的應用程式，才能充分保護人類和環境。

在工業網路安全領域，最主要確保的是，根據安全生命週期以及功能要求考慮國際通用標準IEC 62443和ISASecureTM系列標準的要求，企業能夠按照安全等級要求（安全等級SL1-SL4）有效保護未經許可的操縱和干擾。主要相關網路安全標準有IEC 62443-3-3（系統的安全要求和級別）、IEC 62443-4-1（產品開發標準）、IEC 62443-4-2（工業控制系統組件的技術安全要求）及ISASecure EDSA系列標準。

 

該怎麼設計符合網路安全的產品，並完成評估？

工業感測器、工業通訊網路、控制單元的處理器等等工業用控制系統和設備都面臨著嚴苛的挑戰，其設計人員既要用最小的空間來部屬這些系統和硬體，還要讓系統功耗降到最低，同時在安全標準上也要嚴謹遵守國際安全標準，這樣才能長期保證工業企業的產品和系統的可靠性。趙斌表示，無論對功能安全還是網路安全，測試與驗證機構都必須嚴格按照國際安全標準進行測試和驗證，例：開發產品和系統的時候必須防範網路威脅，這套技術必須符合國際安全標準的具體要求，並且透過智慧與自動化的工具去測試。

除了技術上佈署的挑戰，趙斌強調，如何改變決策者的認知和觀念也是一大挑戰。把國際領先的工業安全標準引入台灣市場時，由於大部分企業對網路安全框架及標準認知仍不夠完整，認知上的不足很有可能會造成企業不瞭解安全產品和系統對自身的重要性和緊迫性，在安全措施的佈署上速度會是一個格外令人擔憂的環節，畢竟網路攻擊是24小時不停歇，若想有效防衛自己的企業，速度會是最關鍵的一環之一。因此作為協力廠商測試及驗證機構，除了在技術上要協助企業和工廠測試技術設計、產品開發及系統安全的功能以外，還需要對企業的管理和操作人員進行心理建設和資安觀念的培訓，提升他們對工業安全的認知。

德國萊因TÜV已將驗證服務範圍拓展至工業自動化與控制網路安全標準IEC 62443的領域，並且是ISASecure EDSA驗證機構認可的EDSA CRT 實驗室，透過德國萊因TÜV 驗證及測試，同時符合歐洲和北美的網路安全要求。服務範圍包括人員資格的培訓、證照鑒定，產品的功能和網路安全驗證，其中也包括全生命週期的功能安全和網路安全的管理系統評估。

工業控制的網路安全事件層出不窮，無論是病毒的種類或是攻擊手法都日趨成熟且複雜，對企業所造成的損失也像滾雪球一樣，規模一次比一次大，這絕對是我們絕對要正視的問題，協力廠商和驗證機構必須時刻關注工業相關的網路安全和功能安全標準，才能抵禦持續變化升級的網路攻擊。

 

質者介紹

趙斌

職稱：德國萊因TÜV 大中華區工業服務總經理

德國萊因功能安全及網路安全專家，中國標準制定委員，有著近20年實務經驗，涵蓋核電、煉油石化、工廠自動化、機器人、車用電子、網路安全等領域，專長培訓、測試、檢驗及認證，投入安全技術發展不遺餘力。