在物聯網熱潮延燒下，接續(xù)繁衍工業(yè)4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產業(yè)浪潮;若以物聯網信息安全議題而論，尤其以工業(yè)4.0跳躍幅度最大，只因制造業(yè)過往采用封閉的序列通訊協議，尚可忽視安全課題無妨，如今走向IP通訊化，即需面對從零分到滿分的快速進化需求。

不可諱言，從以往各自獨立運作的系統(tǒng)，邁入萬物皆可互聯的物聯網時代，其間轉變確實相當劇烈，而且這般的變革，對于不論是企業(yè)競爭力、人類生活質量，都可謂美事一樁，此乃由于，經由物聯網設備所產生數據的分析探勘，可望從中挖掘寶貴的信息，一旦加以善用，將能提升企業(yè)組織運作效率，連帶強化運營競爭力，同時有助于促使人類生活更趨精采多姿。

隨著工廠內部機臺設備走向IP通訊化，固然有助于拓展諸如遠程除錯、預知保養(yǎng)等進階智慧應用，但同時也開始接觸網絡惡意攻擊，亟需透過防火墻捍衛(wèi)工業(yè)網絡安全。

盡管從過去一座座筒倉(Silo)(意指獨立封閉的系統(tǒng)架構)，邁入萬物互聯新局，確實可望觸發(fā)無窮效益，但在轉折過程中，不乏有嚴峻挑戰(zhàn)亟待面對，最顯著的考驗，無疑正是信息安全，主要是由于，過去筒倉采用自成一格的通訊協議，鮮與外界溝通，黑客對這些封閉語言一無所知，所以無從出手制造任何安全威脅，今天工廠設備走向IP通訊化，不再是與世隔絕的筒倉，至此情勢出現大幅逆轉。

以現今熱門的工業(yè)4.0議題為例，制造業(yè)導入工業(yè)物聯網后，使以往蜷縮在一個個不同筒倉里頭的機臺設備，開始試圖藉助工業(yè)界標準語言，與外面的世界溝通，溝通的對象不僅含括異質設備、制造執(zhí)行系統(tǒng)(MES)，同時還有更上層的ERP、云端大數據平臺，旨在滿足遠程監(jiān)控與預防保養(yǎng)等需求;但在追求創(chuàng)新突破之際，也背負門戶洞開的安全風險。

筒倉走向開放 安全挑戰(zhàn)接踵而至

曾有廠務主管透露，伴隨工廠設備開始聯網，諸如跳電、機器故障等意外插曲，似乎也跟著增多，雖然增加的幅度看似不大，造成的停機時間也不算長，但制造企業(yè)對于產線的持續(xù)高效率運轉，一向極為倚重，只因為停機時間與次數一旦增加，輕則影響產能、壓低稼動率，重則導致制程整個報廢，讓原物料付之一炬，因而蒙受可觀財務損失，甚至造成交期延宕、沖擊商譽，后果著實不容小覷;深究個中原因，不乏肇因于病毒或惡意軟件而引發(fā)機臺設備故障之例，更可怕的是，如果諸如此類現象一再發(fā)生，合理懷疑已有黑客侵門踏戶，此時企業(yè)便需提高警覺，檢視是否有機密智財出現外泄。

意欲清除這些負面因子，則負責企業(yè)操作技術(Operation Technology;OT)的人士，實有必要向執(zhí)掌信息科技(IT)事務的同仁看齊，認真考慮部署相關安全防護設備，從VPN與防火墻的架設作為起步;眾所周知，防火墻并非新穎技術，迄今發(fā)展歷程已超過20年，而且防護實力日益強大，但問題是，制造業(yè)者欲以一般商用VPN防火墻系統(tǒng)保護工業(yè)控制網絡，顯然并不適合。

業(yè)者解釋，一般常見商用防火墻，擅于守護Intranet之內的服務器、個人計算機等眾多運算節(jié)點，也成為這些節(jié)點通向因特網的唯一出入閘口，因進出流量大，所以防火墻不可能逐一攔阻并詳查每個封包，僅能藉由封包來源與目的地來驗證其合法與合理性;反觀工業(yè)控制網絡，與Intranet情況大異其趣，內含的設備數量相對有限，傳輸的數據量也較小，不過單一封包所蘊含的價值，卻遠比Intranet進出流量要大上許多，所以單憑商用防火墻查看封包地址與去向之模式，肯定不敷需求，必須導入工業(yè)用防火墻，藉以辨識諸如EtherCAD、Profinet等工業(yè)通訊協議，理解不同機臺設備慣用的溝通話術，從而深入剖析與細膩檢查數據流量，如此才能實時察覺異?，F象。

善用工業(yè)協議防火墻 有助遏止黑客進犯

比方說，假設工廠內部所采用的機械手臂，按常理所需執(zhí)行的作業(yè)步驟，依序包含了A、B、C、D、E等五道程序，此時如果出現黑客入侵現象，透過惡意軟件的施放，意圖控制機械手臂將執(zhí)行步驟改為A、B、C、D、F，等于更動了個中一道程序;對于這般變化，商用防火墻理當難以察覺，只因這類系統(tǒng)對于工業(yè)通訊協議的辨認能力不足，反觀工業(yè)防火墻，即可在第一時間斷然制止，不允許有人擅自更改控制規(guī)則。

事實上也有少部份商用防火墻，在成立之初，便誓言跳脫單純的TCP/IP協議，養(yǎng)成足以解析所有網絡流量內容的實力，如今得以朝向物聯網安全、工業(yè)4.0安全等領域靠攏，譬如Palo Alto Networks便是一例。制造企業(yè)若將Palo Alto Networks網關設備布建于工業(yè)控制網絡，即使面對「Modbus Read Only」(僅容許讀取Modbus端信息、不允許寫入)的規(guī)則條件，也有能力加以辨識，并且落實執(zhí)行，單憑這點，便與一般商用防火墻產品大不相同。

另一方面，Palo Alto Networks面對工業(yè)控制網絡的防護重任，不管守護對象是工業(yè)計算機、SCADA或ICS(工業(yè)控制系統(tǒng))，都堅守零信任原則，是假定所有內部使用者都是不安全的，因以每個同仁的一舉一動，都必須完全符合既定行為規(guī)范，不容許有任何差池，所以萬一有任何使用者節(jié)點，不慎遭黑客植入惡意軟件，意圖做出超乎規(guī)范的行徑，只要踏出第一步，必定立即遭到Palo Alto Networks系統(tǒng)遏阻。

借助單向網關 實現實體網絡隔離

Intel Security(原名McAfee)也是甚早跨足物聯網安全防護的業(yè)者，其標榜以白名單為管控基礎，與前述零信任架構頗有異曲同工之妙;所謂白名單，主要是透過一套動態(tài)白名單機制，用以鎖定物聯網設備的原始軟件設定，避免被納管的設備擅自執(zhí)行未經授權的程序代碼，藉此確保設備的安全性;之所以必須這么做，道理其實很簡單，因為世上沒有任何一個安全解決方案，足以100%解決現今與未來所有風險，面對發(fā)展方興未艾的物聯網應用，欲妥善管理如此大的不確定性，「強力限縮訪問權限」無疑是最理想的做法。

此外，類似像發(fā)電廠等以往走封閉路線、如今開始聯網(基于智慧電力調度)的關鍵基礎設施，由于關鍵性非同小可，完全不容許一絲一毫遭到黑客染指，故防護措施必須更加嚴謹;著眼于此，有業(yè)者開始援引Waterfall單向網絡安全網關，形塑一種訴求「實體網絡隔離」的解決方案。

據悉，現階段面對關鍵維運作業(yè)數據實時交換需求，意欲防止遭受網絡攻擊，企業(yè)通常采取兩種做法。一是藉由防火墻，將該網絡區(qū)域劃分成一個隔離的網絡環(huán)境，接著運用防火墻規(guī)則來限制個中存取行為，然而此做法的疑慮，在于隔離與非隔離網絡環(huán)境的物理層依然相通，倘若防火墻規(guī)則有所疏漏，仍可能導致兩個網絡環(huán)境的界線趨于模糊。另一做法，則是直接以實體隔離方式，切斷機敏網絡區(qū)段的對外通訊，但此舉將對內外網數據交換構成阻礙，這時企業(yè)只好以可攜式儲存設備來滿足交換需求，反而導致追蹤與稽核不易，衍生更大風險。

通過單向網絡安全網關，則迫使任何數據僅能從TX Gateway復寫到RX Gateway，完全杜絕了任何反向通訊的可能性，如此一來，黑客欲利用傳統(tǒng)三向交握機制的盲點，從中找尋可供切入的縫隙，勢將鎩羽而歸。