白皮書

設計工業控制系統網路安全
需考量之三面向
Alvis Chen
Moxa 產品經理
白皮書 設計工業控制系統網路安全需考量之三面向

簡介
操作技術 (OT) 包括硬體和軟體的組合，用於監視和控制網路上的實體裝置，例如閥門或泵。透過確保不同的
硬體和軟體可以在工業環境中進行通訊，OT 能夠促進工業物聯網 (IIoT) 的擴展。最常見的實例是工廠自動化
中的可編程邏輯控制器 (PLC)、製造業中的分佈式控制系統 (DCS)，以及石油和天然氣等製程自動化產業中的
SCADA 系統。當網路包括由 SCADA 系統管理的控制器和電動機以及工業技術時，被稱為 IACS(工業自動化
控制系統)。IACS 的主要優點是可以透過促進遠端管理和更自動化的流程來提高效率。不過，IACS 網路的漏
洞隨著擴展而增加，而且更多網路需要存取 IACS 網路，這在 IIoT 中很常見。

多年來，工業網路與企業網路隔離開來，這表示網路安全不是系統營運商的主要關注點，因為網路由於與其他
網路隔離而得到妥善的保護。然而，由於情況不再如此，如果系統營運商希望保持網路安全，則不得使用過時
的安全措施。本白皮書的重點是分析為什麼網路安全對 IACS 網路極為重要，以及為了建構、管理和維護安全
的 IACS 網路必須實現的目標。
白皮書 設計工業控制系統網路安全需考量之三面向

強化 IACS 網路安全需克服的挑戰
由於沒有網路完全相同，每種威脅帶來的風險都是獨一無二的，因此系統營運商面臨著許多可能的網路安全威
脅。在 IACS 網路被認為安全無虞之前，系統營運商必須徹底瞭解所有風險。本文將盡可能深入探討系統營運
商面臨的挑戰，這將有助於他們實施成功的解決方案來因應這些挑戰。

如何設計和部署安全網路

 通常工業網路的某些部份和某些裝置可以抵禦面臨的威脅。不過，若要破壞整個網路的安全性，只需
要滲透網路的一個裝置或區域。只要意圖不軌的人得以存取網路中的一個裝置，就很容易破壞和控制
網路上的其他區域和裝置。大多數網路的設計能夠阻止未經授權的使用者存取網路，不過，一旦網路
上的裝置遭滲透，網路中的其他裝置就很難瞭解這會帶來安全風險。隨著 IACS 網路透過向原始封閉網
路加入更多裝置和網路而變得不再孤立，因此更容易受到攻擊。以往僅管理隔離網路的系統營運商通
常缺乏對於如何確保 IACS 網路安全所需的知識。

如何防止針對工業網路裝置的網路攻擊

 網路攻擊所需要的只是對網路上一個裝置的即可造成損壞，而對於能控制單一設備的人而言，修改網
路上任何裝置的配置都相當容易。這可能對 IACS 網路產生毀滅性的影響。此外，隨著工業網路不斷
發展，現今科技日新月異，仍有一些舊版功能需要更新。以前，孤立的工業網路不知道哪些人存取裝
置或從哪個位置存取，只知道自動化程序已經登入。然而，由於現今工業網路經常與其他網路融合，
使得這些網路更容易受到駭客攻擊。為了對抗這種威脅，工業網路上的裝置必須記錄並保留能夠確定
何時在網路上發生潛在安全風險事件的記錄檔。這可能包括阻止通訊的防火牆或使用者三次嘗試登入
失敗等事件。確保網路裝置不受網路攻擊影響的另一個對策是資料加密。以前，系統營運商很少加密
敏感資料，因為工業網路過去通常與企業網路隔離。然而，隨著現今工業網路的不斷擴展，資料在封
閉網路外傳輸時很有可能遭竊取或遭破壞。基於這些原因，資料加密對於現今網路而言極為重要。

如何在整個系統生命週期中管理網路安全性

 現今工業網路正在不斷發展。這表示需要不斷檢查安全設定，以確保網路在整個部署過程中保持安全。
許多網路安全專家觀察到，隨著 IACS 網路加入更多裝置並連線到其他網路來獲得 IIoT 機會，這需要
更多維護和韌體升級。網路上發生的變化愈多，出現漏洞的可能性就愈大，而惡意企圖獲得存取權限
並破壞網路的人也就愈可能存在。經常出現的一個實例是將新裝置加入到網路而且未變更預設密碼設
定。一旦在網路上使用裝置的預設密碼，駭客就可以更容易存取裝置，因而導致整個網路面臨風險。
此外，隨著網路在其生命週期的持續時間內擴展，這些通常需要與系統操作員之前未遇到的不同網路
或裝置進行新類型的連線。這種情況發生時，系統操作員通常難以意識到需要做什麼來確保這些新連
線安全無虞。這將增加工業網路上潛在的弱點和漏洞的數量。

為了因應工業網路帶來的眾多網路威脅，有多種選擇可供運用。解決方案傾向於強調允許系統營運商建構安全
IACS 網路的硬體和軟體。此外，也有領先的專業人士開發的網路安全準則，例如 IEC 62443 標準、NERC
CIP 和 NIST 800-53，專為系統營運商提供如何保護自身網路的建議。這些標準都分別側重於維護人員維護
網路效能的特定部份。儘管有多種安全標準可以解決不同的安全領域，但本白皮書將重點介紹 IEC 62443 標
準中規定的準則，因為這些準則包含與工業網路安全性最相關的詳細資訊。

© 2019 Moxa Inc.

2
白皮書 設計工業控制系統網路安全需考量之三面向

IEC 62443 標準涵蓋工業網路安全的最基本挑戰。

有助於提升工業網路安全性的三個因素
必須保護工業網路免於遭受未經授權的存取，否則可能會損害工業網路並降低網路的生產率。許多網路安全專
家認為，為了提高工業網路的安全性，有三個方面需要解決。在詳細探討之前，將簡要介紹這些方面。

 設備安全：本節將重點介紹過去幾年工業網路的發展如何改變系統營運商必須執行的程序，藉以保護
網路裝置免於遭受網路攻擊。將考量的第一個問題是裝置驗證和存取保護。第二個問題是當系統營運
商在工業網路上安裝數百個裝置時，如何利用易於使用的有效密碼原則。最後，介紹如何確保所有裝
置都能夠收集和儲存事件記錄。事件記錄會警告系統操作員在網路上發生的情況和原因，以便系統操
作員能夠盡速解決問題。

 網路安全：在網路安全部份，重點將放在需要最高保護層級的裝置或系統。除此之外，也將提供深層
防禦網方法的說明，其中包括為什麼應該使用這種方法來確保網路保持安全的實例。最後，也將探討
如何透過使用防火牆和 VPN 確保安全遠端存取的挑戰。

© 2019 Moxa Inc.

3
白皮書 設計工業控制系統網路安全需考量之三面向

 安全管理：安全管理部份將考量由專家開發的安全策略和準則的建議過程清單，確保網路在整個網路
生命週期中受到保護。本節也將考量裝置安全性以及如何管理整個網路的安全性。最後，本節將考量
如何簡化安全設定的配置和管理。安全設定過於複雜時，就如同工業網路經常出現的情況一般，系統
營運商往往會忽略建議的準則而不實施安全設定。

如何實施安全的工業網路
對於實施深層防禦網安全架構時需要考量的三個方面，本節將為系統操作員提供逐步概述。

深層防禦網安全架構

設計網路時，許多系統營運商表示，防護網路的最有效方式是深層防禦網安全架構，其設計能夠保護個別區域
和單位。這些區域或單位需要進行任何通訊均須透過防火牆或 VPN 完成，佈署此類架構可降低網路故障的機
率，因為每一層都能因應不同的安全威脅。這也能夠降低整個網路的風險；如果網路的一部份發生問題，問題
只會侷限於該層，而不至於擴散到其他層。專家已經確定部署可靠的深層防禦網安全架構時應該採取的三個步
驟，下文將進行詳細探討。

© 2019 Moxa Inc.

4
白皮書 設計工業控制系統網路安全需考量之三面向

步驟 1：網路區隔

網路區隔涉及將網路劃分為具有類似安全要求的實體或邏輯區域。區隔網路的優點是，每個部份都可以專注於
處理對 IACS 該部份構成的安全威脅。部署區隔方法相當有益處，因為每個裝置負責網路的特定部份，而不是
負責整個 IACS 的安全性。

步驟 2：定義區域到區域的交互，以便仔細檢查和過濾網路流量

為了增強網路安全性，必須仔細檢查和過濾在 IACS 中的區域之間傳遞的流量。網路安全專家認為，過濾流量

的最佳方法之一是資料透過非軍事區 (DMZ) 傳輸。透過使用 DMZ，安全 IACS 網路與企業網路之間沒有直接
連線，但兩者仍可存取資料伺服器。消除安全網路和企業網路之間的直接連線能夠顯著降低未授權流量可能傳
遞到不同區域的可能性，而此種傳遞可能危及整個網路的安全性。

步驟 3：支援工業網路上的安全遠端存取

最後，在 IACS 產業中，愈來愈需要對於可以執行維護等等功能的遠端站台提供存取權限。不過，這會顯著增

加惡意使用者可以從遠端位置存取網路的風險。對於要求遠端站台始終連線到 IACS 的網路，建議使用支援
IPsec 等安全加密方法的 VPN，防止未經授權的使用者存取網路。使用支援 IPsec 的 VPN 有三個主要優點。
第一個是資料在傳輸時將經過加密。第二是這強制寄件人和收件人驗證身分，這確保資料僅在經過驗證的裝置
之間傳遞。第三是透過實施加密和驗證，可以確保資料的完整性。對於許多專家而言，資料完整性是系統營運
商可靠使用資料的最重要方面。IPsec 確保安全金鑰的長度必須在 20 到 40 個字元之間，一般認為這是強度
充足的加密，可以在 IACS 上安全地傳輸資料。為了確保資料完整，系統營運商需要使用安全傳輸方法，確保
資料始終經過加密和驗證。

如何保護工業設備安全
網路獲得保護後，下一步是考量如何確保使用者無法在無意或有意的情況下錯誤變更設定。運作或管理網路的
使用者、第三方系統整合商和負責維護網路的承包商都可能發生此問題。防範此類威脅的最佳方法是提升網路
設備的網路安全，確保設備的設定不會遭變更，導致設備或網路出現風險。許多網路安全專家將 IEC 62443
標準視為保護工業網路設備最相關的標準。這項標準包含一系列的準則、報告，以及定義透過電子方式實作安
全 IACS 的程序有關的其他文件。IEC 62443 標準包含七個工業網路裝置安全性的基本要求，下文將列出這些
要求並說明其中的相關性。

IEC 62443 標準列出裝置安全性的七個基本要求。

1) 識別和驗證控制：應該使用公開金鑰驗證，確保伺服器到裝置和裝置到裝置的連線安全無虞。若要確實進
行識別和驗證控制，每個網路裝置都必須能夠透過檢查簽章的有效性來驗證安全憑證，以及憑證的撤銷狀態。

© 2019 Moxa Inc.

5
白皮書 設計工業控制系統網路安全需考量之三面向

2) 使用控制：網路上出現的每個裝置都必須支援登入驗證。若要限制未經授權的使用者存取裝置或網路，應
用程式或裝置必須限制使用者在遭鎖定前可錯誤輸入密碼的次數。

3) 資料完整性：在所有 IACS 網路中，資料的完整性相當重要，因為這可以確保資料準確，而且能夠可靠處

理和擷取資料。有幾種安全措施可用來保護資料，其中的 SSL 支援網頁瀏覽器與伺服器之間的加密。

4) 資料機密性：資料透過網路儲存或傳輸時，必須安全可靠。應保護資料免於遭受各種類型的威脅，對於從
相當基本的攻擊到高度複雜的攻擊均加以防範。必須始終保護資料，以免遭受他人竊聽通訊、變更設定或竊取
資料。

5) 限制資料流：限制資料流的最有效方法之一是將網路分成不同的區域。每個不同的區域都使用特定的安全
功能，確保只有具有授權的使用者才能存取和傳送來自特定區域的資料。另一個優點是，如果某個區域遭滲透，
威脅就不會輕易擴散到網路的其他部份，這有助於限制安全漏洞造成的損害。

6) 適時回應事件：系統操作員必須能夠快速回應網路上發生的安全事件。為了實現這一點，網路必須支援在
出現問題時向系統操作員發出警報的功能，並記錄網路上發生的任何異常情況。網路上發生的所有事件應該即
時處理或至少盡速處理，確保系統營運商能夠迅速回應，防止對 IACS 網路造成進一步的損害。

7) 網路資源可用性：IACS 網路上的裝置必須能夠承受僅具備 IACS 網路基本知識的人員或由於操作員錯誤

而有機可乘的人所導致的拒絕服務攻擊。裝置也必須能夠抵禦具有高動力和高程度 IACS 特定技能的實體所發
動的攻擊。重要的是，無論哪些人攻擊網路，網路都不能停擺。

安全要求如上所述，下文將探討三個實例，說明 IEC 62443 標準的基本要求如何有助於防範安全威脅。

第一個實例涉及強式密碼驗證的重要性，這與第一個基本要求有關。

 工業網路上的大多數裝置仍然使用預設密碼，因此容易受到安全漏洞的攻擊。一些工程師之所以喜歡
使用預設密碼，是因為這會簡化工作流程。然而，這會導致裝置和整個網路處於危險之中。為了克服
此安全問題，工業網路上的裝置必須實施規定密碼長度下限和各種字元類型的密碼策略。如果密碼輸
入不正確，密碼原則也應包括使用者指南。遵守強式密碼原則的密碼將有助於防止暴力攻擊，因為這
類密碼更難以猜測。

第二個實例說明為什麼網路上的裝置必須能夠保護傳輸資料的完整性的重要性，這與第三個基本要求有關。

 增強工業網路裝置安全性的最佳方法是確保這些裝置支援 SSL、SSH 等等安全通訊協定，或支援透過

HTTPS 進行裝置配置的密碼保護。不過，IACS 網路上的大多數裝置仍然使用不安全的純文字通訊。
如果系統操作員不使用安全通訊方法，將導致裝置容易遭受駭客攻擊。另一個更危險的情況是營運商
繼續使用網路上的裝置，卻完全不知道資料已經遭破壞。這可能導致營運商根據不準確的資料做出營
運決策，這些資料會對網路造成嚴重破壞。

第三個實例是網路上的所有裝置必須支援一種方法，在網路出現故障時擷取關鍵資訊，這與第七個基本要求
有關。

 為了成功完成此操作，裝置必須能夠驗證資料是否已經可靠且準確地備份。所有網路裝置都必須使用
適當的機制來確保能夠可靠儲存資料備份，而且可以在需要時進行擷取。不僅裝置上的資料對於保持
安全相當重要，而且配置設定也相當重要。由於工業網路確實有受到攻擊的實際風險，因此強烈建議
使用可以備份網路設定和裝置配置的裝置。在有數千個裝置的 IACS 網路上，透過自動上載配置而不是
手動輸入的方式，可以節省系統操作員數小時的作業時間。

© 2019 Moxa Inc.

6
白皮書 設計工業控制系統網路安全需考量之三面向

如何實施安全監控與管理
確定網路裝置和網路拓樸安全無虞之後，需要建立網路管理原則，確保網路在整個網路生命週期中保持安全。
為了實現這個目標，系統營運商應該遵循一系列準則。系統營運商將能夠實施遵循最佳實務的程序，確保盡可
能順利可靠地進行網路的安全監控和管理。

Moxa 的 MXview 網路管理軟體可供使用者快速檢查工業網路的安全層級並設定與安全相關的參數。

維護工業網路

在整個自動化系統生命週期中，當地工程人員或系統整合商通常需要進行維護。此維護通常包括變更，更換或
更新網路中的裝置。需要注意的是，只要裝置的某些設定被修改，就有可能不再安全，很容易遭受網路攻擊。
隨著網路不斷發展和變化，尤其是 IACS 網路，需要不斷監控網路以及網路上的所有裝置。由於許多維修人員
負責監控和維護網路的不同設備，不適合由所有維修人員依據自身的知識或資歷進行安全設定。因此，應該始
終遵循明確界定如何進行設備設定的正確標準作業程序。務必確定持續監控網路，確保不會發生任何問題，防
止網路遭受任何安全威脅。此外，系統營運商經常會詢問裝置供應商，如果在網路上發現漏洞，需要多久時間
才能進行韌體升級。對於此類要求的快速回應時間對於確保工業網路的安全性相當重要。因此，如果發生安全
風險，網路營運商應該知道等待韌體升級或裝置更換需要多久時間。

運作工業網路

既然已經建立一些確保 IACS 網路安全的最佳實務，接下來將考量如何簡化這個過程的問題。在幾乎每個 IACS

網路上，網路上的所有不同裝置都有多個安全設定選項。因此，藉由系統操作員監控每個裝置的安全狀態相當
有挑戰性。為了克服這個困難，系統操作員經常使用的一種方法是將所有裝置的配置設定匯出到儲存裝置。需
要更換或重設裝置時，系統整合商會從儲存裝置將裝置的設定直接匯入網路裝置。如此即可避免上述問題，工
程師不需要依靠自己的經驗或知識來配置裝置設定，而且可節省時間並避免人為錯誤。系統操作員必須選擇合
適的裝置，以便安全地儲存配置設定，並且可靠地將配置設定上傳到裝置而不出現任何錯誤。

重要的是要記住，所有網路裝置都支援必要的安全功能以及在整個網路生命週期中遵循這些功能時，工業網路
才安全無虞。此外，系統操作員必須能夠相當快速地回應網路上發生的任何事件，並確保安全準確地完成任何
配置變更。能夠有效維護和操作網路將有助於系統操作員在整個網路生命週期中以安全的方式監視和管理網路。

© 2019 Moxa Inc.

7
白皮書 設計工業控制系統網路安全需考量之三面向

結論
確保網路和網路上安裝的裝置安全無虞並不容易，因為對工業網路構成的威脅正在不斷變化和發展。為了盡可
能保護網路，系統營運商應該採用深層防禦網架構。除了良好的整體網路設計之外，系統操作員也應該選擇符
合 IEC 62443-4-2 標準的強化裝置。整體而言，系統營運商應該全面瞭解網路可能面臨的威脅，並具備網路
設計和維護最佳實務的深厚知識。最後，確保在整個網路生命週期中持續監控網路，將減少網路發展過程中出
現的任何安全風險。

免責聲明
本文件僅供參考，內容可能隨時變更，恕不另行通知。本文件不保證毫無錯誤，也不提供口頭明確約定或法律
上暗示的其他任何擔保或條件，包括適銷性或特定用途適用性的暗示擔保和條件。我們特此聲明對於本文件不
擔負任何責任，而且本文件並未直接或間接構成任何合約責任。

© 2019 Moxa Inc.

8