帳號:
密碼:
CTIMES / 文章 /   
工業物聯網下的資安思維
平衡效益與風險

【作者: 翁家騏】   2017年02月08日 星期三

瀏覽人次:【2164】
  

工業物聯網架構中,製造端與管理端的訊息必須無縫鏈結,因此乙太網路的高相容性成為工業物聯網架構中極重要的一環,不過在消費性領域困擾用戶的資安問題,工業應用也未能避免,如何在佈建工業乙太網路同時,兼顧資安問題,已成系統業者與廠方的重要課題。


工業乙太網路的共通的介面,雖然讓溝通更為順暢,但也由於各類設備的互通性,讓資訊安全成為相當複雜的學問,而面對多元化的惡意攻擊,也不僅只於預防病毒而已,如何避免外界的惡意攻擊,也成為系統智慧化的重要課題。



圖一
圖一

智慧工廠、工業4.0概念的崛起,讓自動化設備有了與以往截然不同的改變,過去的自動化設備多為獨立運作,彼此之間的互聯較少,「智慧化」因講究整合,無論是軟硬體的虛實整合,或機台與機台之間的相互串連,都已成為新世代自動化系統的必要設計,而不軟是機台或軟硬體的整合,都必須高度倚賴通訊技術,在此趨勢下,工業乙太網路順勢崛起,成為自動化系統的骨幹支柱。


工業乙太網路已成首選


乙太網路技術在工業環境的應用優勢,主要來自於其相容性,由於訊息的快速、無縫流動,是智慧工廠的首要條件,在企業的管理端,乙太網路通常是通訊主要技術,但製造現場以往的通訊架構則多為工業通訊標準,要使前後端訊息可以無縫鏈結,製造現場的工業乙太網路導入成為必須,以使後端管理層與現場層的資料傳輸規格一致,使用者只需要掌握單一網路技術即可互連,但同樣的,標準化網路結構也因其透明度而帶來風險,也因此讓系統產生更大的挑戰。


相較於過去僅是一般終端使用者及辦公室環境,在乙太網路與網路通訊的蓬勃發展,過去像是工廠自動化這類無需考量資安問題的系統,也成為觀察的重點之一。


除此之外,過去由於工業現場系統多是以現場匯流排進行通訊,除非像是以國家戰略思維侵入如油、水、電等重要設施來進行攻擊之外,否則難度甚高;但在工業乙太網路普及導入之後,這類攻擊不但漸趨容易,而類似的攻擊也漸趨增加。


這類智慧化系統面對不斷演變的資安威脅環境,其中一項最大的挑戰就是APT進階持續性滲透攻擊(Advanced Persistent Threats;APT),它是針對「特定組織」所作出複雜且多方位的攻擊,這樣的攻擊也逐漸進化,成為系統必須關注的主要議題。


APT來勢洶洶


過去的對現場端的 APT,多像是 2009 年美國使用「震網」(Stuxnet)病毒來攻擊伊朗地下核設施,讓離心機的轉速與顯示讀數不同來干擾製程等國家戰略行為,但現在的思維的確開始走向「商業利益」。


從管理端到現場端 惡意攻擊無所不在


根據統計,有超過2/3的企業系統受到過 APT的荼毒,而且更嚴重的問題是,多數企業在被攻擊時根本渾然不知,更遑論如何防範,而且由於APT攻擊已成為駭客愛用的主流手法,不達目的絕不善罷干休,而其難以偵測的特性也讓人防不勝防,而當這些攻擊者對工業控制系統的了解程度愈來愈深時,APT 範圍也會愈來愈廣。


就資安範圍來看,工業現場環境的資訊安全防護,有時挑戰更比在企業端辦公室的防護來得大,這與兩者的設置思維有關,由於工業現場系統要求以「穩定」為最優先,在沒有必要的情況下是毋須變動也幾乎不允許變動,這樣的既定思維,也持續影響一般使用者對現場端設備的態度。


相較於辦公室應用端的系統可以允許軟體升級、補缺安全漏洞,以及增加許多軟體來進行系統監控,甚至在萬不得已的情況下,對於系統重開機這類狀況也有較大的容忍彈性;工業現場端絕對無法允許如此情況發生,尤其是隨時隨地的軟體升級這類做法相當戒慎恐懼,而在傳統系統控制應用上,除了在系統整合或擴充的情況下,系統升級的確也並非必要,不過在工廠智慧化需求導入後,狀況已然改變。


習慣不同造成缺漏 資安問題影響深遠


業界人士指出,工廠智慧化的最基本要求,就是現場端的資料採擷、監控與分析,一般而言多是以整合PC端的SCADA來進行,這些系統的作業系統仍多是以嵌入式的Windows等系統做為底層架構,傳統認知的現場端在連上線後,並非想像中封閉,但使用者卻仍多以過去現場匯流排的認知來操作,自然會忘記了這類系統的缺漏,甚至連系統管理權限都仍然是預設密碼的情況下,自然就形成漏洞,如果仔細觀察,會發現世界上使用同一家軟體系統的廠商,控怕都有相同的漏洞,而且這些問題通常是積習難返,多數廠商都認為,這將是工廠智慧化後帶來的最大問題。


傳統一般企業在資訊安全面向,仍多依賴防毒軟體的保護,但在工廠現場端卻甚少考慮此一問題,工廠現場端所使用的軟體系統,與辦公室應用端系統的差異並不大,但在使用心態不同下,工廠現場端的資安挑戰更為龐大,再加上現場端系統不易更新與升級,也讓防止APT的難度更為提升;相對來說,駭客APT工控系統在如此運作模式下,因其「成本」較低,對於現場端的 APT 將會更為提高。


因此現階段要防範惡意攻擊,已經不僅只於透過防火牆或防毒軟體就可達到目的,由於傳統的阻隔方法仍有漏洞可鑽,因此必須阻斷惡意攻擊在「侵入」、「下載潛伏」到「擴散攻擊」的運作環節,才是解決的重點面向,只要阻斷APT的任一環節,攻擊就會失效,這與過去阻擋病毒進入的觀點,有相當大的差距,在面對系統的複雜化,攻擊的多元化的同時,思維的調整,或許才是最重要的一步。


實體隔絕還是不夠 建構標準才能治本


對於網通廠商對於工廠現場端以虛擬專用網路(Virtual Private Network;VPN)的方式,透過隔離網段的方式來隔絕外界系統化的APT,多數業界人士認為這的確是最基本的解決方案,實體隔離絕對是解決APT最實際的辦法,但此一做法卻並非像一般人想像的這麼可靠,以工廠智慧化的架構,一定會與後端辦公室應用端連結,才能針對產線進行系統化的調配,雖然這類通訊設計多是透過軟硬體配置,提供最小限度的授權讓應用端可以與現場端連結;但一般APT通常會經由辦公室應用端進行攻擊,再利用應用端與現場端的信任關係,經由雙方的授權機制來侵入現場端,除非應用端也進行實體隔離,否則只要連上網際網路,就有漏洞可鑽。


雖然「實體隔離」與「最小授權」的做法可能仍有漏洞,但在現場端的安全防護,這仍是最基礎的必要作法;至於如何確保系統的安全,標準規範仍是最必要的項目,在工控系統中所強調的標準,多是涉及系統穩定的實際安全需求,但對於資訊安全部分仍付之闕如,由於工業乙太網路的導入,以及實際應用環境的逐漸多元化,資安政策的建構及系統安全的標準,可能是後續發展的重點項目,也將會是市場後續發展的重要課題。


相關文章
NFC技術 為物聯網搭起橋樑
可攜式健康護理之旅
東元、高聖智慧轉型
萬物聯網時代來臨
無線通訊啟動物聯網應用新格局
comments powered by Disqus
相關討論
CB
  相關新聞
» 自行車大廠野寶科技以資通 ciMes 啟動智能製造
» 研華攜手Stratus推出Always-on解決方案
» 波音與達梭系統宣佈深化合作夥伴關係
» IDTechEx:2028年3D金屬印刷市場規模將達120億美元
» 德國萊因大中華區發佈《工業機器人和網路安全白皮書》
  相關產品
» PTC推出新版ThingWorx製造業應用程式
» 西門子計畫推出全新數位化零件製造平台
» MAKEVR將專業設計、模型製作、3D列印帶入虛擬實境
» PTC新版PTC Mathcad Prime 4.0可提升產品開發計算效率與安全
» 研華推出全新系列EIS軟硬整合解決方案

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2017 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw