工業(yè)物聯(lián)網(wǎng)架構(gòu)中，制造端與管理端的訊息必須無(wú)縫鏈結(jié)，因此以太網(wǎng)絡(luò)的高兼容性成為工業(yè)物聯(lián)網(wǎng)架構(gòu)中極重要的一環(huán)，不過(guò)在消費(fèi)性領(lǐng)域困擾用戶(hù)的信息安全問(wèn)題，工業(yè)應(yīng)用也未能避免，如何在布建工業(yè)以太網(wǎng)絡(luò)同時(shí)，兼顧信息安全問(wèn)題，已成系統(tǒng)業(yè)者與廠(chǎng)方的重要課題。

工業(yè)以太網(wǎng)絡(luò)的共通的接口，雖然讓溝通更為順暢，但也由于各類(lèi)設(shè)備的互操作性，讓信息安全成為相當(dāng)復(fù)雜的學(xué)問(wèn)，而面對(duì)多元化的惡意攻擊，也不僅只于預(yù)防病毒而已，如何避免外界的惡意攻擊，也成為系統(tǒng)智能化的重要課題。

智能工廠(chǎng)、工業(yè)4.0概念的崛起，讓自動(dòng)化設(shè)備有了與以往截然不同的改變，過(guò)去的自動(dòng)化設(shè)備多為獨(dú)立運(yùn)作，彼此之間的互聯(lián)較少，“智能化”因講究整合，無(wú)論是軟硬件的虛實(shí)整合，或機(jī)臺(tái)與機(jī)臺(tái)之間的相互串連，都已成為新世代自動(dòng)化系統(tǒng)的必要設(shè)計(jì)，而不軟是機(jī)臺(tái)或軟硬件的整合，都必須高度倚賴(lài)通訊技術(shù)，在此趨勢(shì)下，工業(yè)以太網(wǎng)絡(luò)順勢(shì)崛起，成為自動(dòng)化系統(tǒng)的骨干支柱。

工業(yè)以太網(wǎng)絡(luò)已成首選

以太網(wǎng)絡(luò)技術(shù)在工業(yè)環(huán)境的應(yīng)用優(yōu)勢(shì)，主要來(lái)自于其兼容性，由于訊息的快速、無(wú)縫流動(dòng)，是智能工廠(chǎng)的首要條件，在企業(yè)的管理端，以太網(wǎng)絡(luò)通常是通訊主要技術(shù)，但制造現(xiàn)場(chǎng)以往的通訊架構(gòu)則多為工業(yè)通訊標(biāo)準(zhǔn)，要使前后端訊息可以無(wú)縫鏈結(jié)，制造現(xiàn)場(chǎng)的工業(yè)以太網(wǎng)絡(luò)導(dǎo)入成為必須，以使后端管理層與現(xiàn)場(chǎng)層的數(shù)據(jù)傳輸規(guī)格一致，用戶(hù)只需要掌握單一網(wǎng)絡(luò)技術(shù)即可互連，但同樣的，標(biāo)準(zhǔn)化網(wǎng)絡(luò)結(jié)構(gòu)也因其透明度而帶來(lái)風(fēng)險(xiǎn)，也因此讓系統(tǒng)產(chǎn)生更大的挑戰(zhàn)。

相較于過(guò)去僅是一般終端使用者及辦公室環(huán)境，在以太網(wǎng)絡(luò)與網(wǎng)絡(luò)通訊的蓬勃發(fā)展，過(guò)去像是工廠(chǎng)自動(dòng)化這類(lèi)無(wú)需考慮信息安全問(wèn)題的系統(tǒng)，也成為觀(guān)察的重點(diǎn)之一。

除此之外，過(guò)去由于工業(yè)現(xiàn)場(chǎng)系統(tǒng)多是以現(xiàn)場(chǎng)總線(xiàn)進(jìn)行通訊，除非像是以國(guó)家戰(zhàn)略思維侵入如油、水、電等重要設(shè)施來(lái)進(jìn)行攻擊之外，否則難度甚高；但在工業(yè)以太網(wǎng)絡(luò)普及導(dǎo)入之后，這類(lèi)攻擊不但漸趨容易，而類(lèi)似的攻擊也漸趨增加。

這類(lèi)智能化系統(tǒng)面對(duì)不斷演變的信息安全威脅環(huán)境，其中一項(xiàng)最大的挑戰(zhàn)就是APT進(jìn)階持續(xù)性滲透攻擊（Advanced Persistent Threats；APT），它是針對(duì)“特定組織”所作出復(fù)雜且多方位的攻擊，這樣的攻擊也逐漸進(jìn)化，成為系統(tǒng)必須關(guān)注的主要議題。

APT來(lái)勢(shì)洶洶

過(guò)去的對(duì)現(xiàn)場(chǎng)端的 APT，多像是 2009 年美國(guó)使用“震網(wǎng)”(Stuxnet)病毒來(lái)攻擊伊朗地下核設(shè)施，讓離心機(jī)的轉(zhuǎn)速與顯示讀數(shù)不同來(lái)干擾制程等國(guó)家戰(zhàn)略行為，但現(xiàn)在的思維的確開(kāi)始走向“商業(yè)利益”。

從管理端到現(xiàn)場(chǎng)端 惡意攻擊無(wú)所不在

根據(jù)統(tǒng)計(jì)，有超過(guò)2／3的企業(yè)系統(tǒng)受到過(guò) APT的荼毒，而且更嚴(yán)重的問(wèn)題是，多數(shù)企業(yè)在被攻擊時(shí)根本渾然不知，更遑論如何防范，而且由于APT攻擊已成為黑客愛(ài)用的主流手法，不達(dá)目的絕不善罷干休，而其難以偵測(cè)的特性也讓人防不勝防，而當(dāng)這些攻擊者對(duì)工業(yè)控制系統(tǒng)的了解程度愈來(lái)愈深時(shí)，APT 范圍也會(huì)愈來(lái)愈廣。

就信息安全范圍來(lái)看，工業(yè)現(xiàn)場(chǎng)環(huán)境的信息安全防護(hù)，有時(shí)挑戰(zhàn)更比在企業(yè)端辦公室的防護(hù)來(lái)得大，這與兩者的設(shè)置思維有關(guān)，由于工業(yè)現(xiàn)場(chǎng)系統(tǒng)要求以「穩(wěn)定」為最優(yōu)先，在沒(méi)有必要的情況下是毋須變動(dòng)也幾乎不允許變動(dòng)，這樣的既定思維，也持續(xù)影響一般使用者對(duì)現(xiàn)場(chǎng)端設(shè)備的態(tài)度。

相較于辦公室應(yīng)用端的系統(tǒng)可以允許軟件升級(jí)、補(bǔ)缺安全漏洞，以及增加許多軟件來(lái)進(jìn)行系統(tǒng)監(jiān)控，甚至在萬(wàn)不得已的情況下，對(duì)于系統(tǒng)重開(kāi)機(jī)這類(lèi)狀況也有較大的容忍彈性；工業(yè)現(xiàn)場(chǎng)端絕對(duì)無(wú)法允許如此情況發(fā)生，尤其是隨時(shí)隨地的軟件升級(jí)這類(lèi)做法相當(dāng)戒慎恐懼，而在傳統(tǒng)系統(tǒng)控制應(yīng)用上，除了在系統(tǒng)整合或擴(kuò)充的情況下，系統(tǒng)升級(jí)的確也并非必要，不過(guò)在工廠(chǎng)智慧化需求導(dǎo)入后，狀況已然改變。

習(xí)慣不同造成缺漏 信息安全問(wèn)題影響深遠(yuǎn)

業(yè)界人士指出，工廠(chǎng)智慧化的最基本要求，就是現(xiàn)場(chǎng)端的數(shù)據(jù)挖掘、監(jiān)控與分析，一般而言多是以整合PC端的SCADA來(lái)進(jìn)行，這些系統(tǒng)的操作系統(tǒng)仍多是以嵌入式的Windows等系統(tǒng)做為底層架構(gòu)，傳統(tǒng)認(rèn)知的現(xiàn)場(chǎng)端在連上線(xiàn)后，并非想象中封閉，但使用者卻仍多以過(guò)去現(xiàn)場(chǎng)總線(xiàn)的認(rèn)知來(lái)操作，自然會(huì)忘記了這類(lèi)系統(tǒng)的缺漏，甚至連系統(tǒng)管理權(quán)限都仍然是默認(rèn)密碼的情況下，自然就形成漏洞，如果仔細(xì)觀(guān)察，會(huì)發(fā)現(xiàn)世界上使用同一家軟件系統(tǒng)的廠(chǎng)商，控怕都有相同的漏洞，而且這些問(wèn)題通常是積習(xí)難返，多數(shù)廠(chǎng)商都認(rèn)為，這將是工廠(chǎng)智慧化后帶來(lái)的最大問(wèn)題。

傳統(tǒng)一般企業(yè)在信息安全面向，仍多依賴(lài)防病毒軟件的保護(hù)，但在工廠(chǎng)現(xiàn)場(chǎng)端卻甚少考慮此一問(wèn)題，工廠(chǎng)現(xiàn)場(chǎng)端所使用的軟件系統(tǒng)，與辦公室應(yīng)用端系統(tǒng)的差異并不大，但在使用心態(tài)不同下，工廠(chǎng)現(xiàn)場(chǎng)端的信息安全挑戰(zhàn)更為龐大，再加上現(xiàn)場(chǎng)端系統(tǒng)不易更新與升級(jí)，也讓防止APT的難度更為提升；相對(duì)來(lái)說(shuō)，黑客APT工控系統(tǒng)在如此運(yùn)作模式下，因其「成本」較低，對(duì)于現(xiàn)場(chǎng)端的 APT 將會(huì)更為提高。

因此現(xiàn)階段要防范惡意攻擊，已經(jīng)不僅只于透過(guò)防火墻或防病毒軟件就可達(dá)到目的，由于傳統(tǒng)的阻隔方法仍有漏洞可鉆，因此必須阻斷惡意攻擊在「侵入」、「下載潛伏」到「擴(kuò)散攻擊」的運(yùn)作環(huán)節(jié)，才是解決的重點(diǎn)面向，只要阻斷APT的任一環(huán)節(jié)，攻擊就會(huì)失效，這與過(guò)去阻擋病毒進(jìn)入的觀(guān)點(diǎn)，有相當(dāng)大的差距，在面對(duì)系統(tǒng)的復(fù)雜化，攻擊的多元化的同時(shí)，思維的調(diào)整，或許才是最重要的一步。

實(shí)體隔絕還是不夠 建構(gòu)標(biāo)準(zhǔn)才能治本

對(duì)于網(wǎng)通廠(chǎng)商對(duì)于工廠(chǎng)現(xiàn)場(chǎng)端以虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual Private Network；VPN）的方式，透過(guò)隔離網(wǎng)段的方式來(lái)隔絕外界系統(tǒng)化的APT，多數(shù)業(yè)界人士認(rèn)為這的確是最基本的解決方案，實(shí)體隔離絕對(duì)是解決APT最實(shí)際的辦法，但此一做法卻并非像一般人想象的這么可靠，以工廠(chǎng)智慧化的架構(gòu)，一定會(huì)與后端辦公室應(yīng)用端連結(jié)，才能針對(duì)產(chǎn)線(xiàn)進(jìn)行系統(tǒng)化的調(diào)配，雖然這類(lèi)通訊設(shè)計(jì)多是透過(guò)軟硬件配置，提供最小限度的授權(quán)讓?xiě)?yīng)用端可以與現(xiàn)場(chǎng)端連結(jié)；但一般APT通常會(huì)經(jīng)由辦公室應(yīng)用端進(jìn)行攻擊，再利用應(yīng)用端與現(xiàn)場(chǎng)端的信任關(guān)系，經(jīng)由雙方的授權(quán)機(jī)制來(lái)侵入現(xiàn)場(chǎng)端，除非應(yīng)用端也進(jìn)行實(shí)體隔離，否則只要連上因特網(wǎng)，就有漏洞可鉆。

雖然「實(shí)體隔離」與「最小授權(quán)」的做法可能仍有漏洞，但在現(xiàn)場(chǎng)端的安全防護(hù)，這仍是最基礎(chǔ)的必要作法；至于如何確保系統(tǒng)的安全，標(biāo)準(zhǔn)規(guī)范仍是最必要的項(xiàng)目，在工控系統(tǒng)中所強(qiáng)調(diào)的標(biāo)準(zhǔn)，多是涉及系統(tǒng)穩(wěn)定的實(shí)際安全需求，但對(duì)于信息安全部分仍付之闕如，由于工業(yè)以太網(wǎng)絡(luò)的導(dǎo)入，以及實(shí)際應(yīng)用環(huán)境的逐漸多元化，信息安全政策的建構(gòu)及系統(tǒng)安全的標(biāo)準(zhǔn)，可能是后續(xù)發(fā)展的重點(diǎn)項(xiàng)目，也將會(huì)是市場(chǎng)后續(xù)發(fā)展的重要課題。