■大同世界科技 / 黃再源 資深經理
智慧製造構面
智慧製造包括IT、OT與DT三個構面,IT方面著重於營運不中斷的系統基礎架構及防護資料安全,OT的重點會放在產線設備自動化管理與生產數據資料的收集,DT就是產業知識(Domain Know-how),沒有產業知識,既使擁有再多的數據也是沒有意義的。因此,唯有結合DT、OT和IT三個領域,才能達到真正的智慧製造,DT的重點會由產業經驗出發,進行大數據的收集與分析,以及深度學習的人工智慧分析。
ST(資訊安全)涵蓋IT、OT、DT三個領域,主要是確保聯網設備與系統環境的資訊安全,要做到事前偵測阻擋,事後分析與防範。
OT網路可視化主動式資安防禦
惡意的攻擊包括:入侵、資料竊取、病毒、蠕蟲病毒傳播與感染勒索軟體,很多製造業都有發生類似的資安事件,造成非常慘重的損失。因為資訊安全危機的關係,IT/OT場域的安全已經是目前最重要的議題。
圖2中的場域網域可視化分析系統,會提供類似戰情室的看板,可以清楚瞭解場域裡面發生什麼事;場域網路偵測及控制,主要是做端點主動偵測及控制;身份識別和存取控制系統,對於使用者要進入系統時,除了通關密碼外,還會確認存取的設備是否安全,確認安全才會允許使用者進入。
端點軟體的防護不同於傳統的防毒軟體,防毒軟體使用的是特徵碼,只能針對已知的病毒做防護,沒有特徵碼防毒軟體是不會有作用的。端點防護使用的是依據行為模式,電腦的不正常的行為都會被認為是可疑的,每一個端點都會安裝軟體(Agent),隨時監控行為送到後臺做分析。整個端點防護的模式包括:識別(設備及設定)、保護、偵測、回應。
OT場域是一個比較封閉的環境,基本上會規劃在IT跟OT中間以實體防火牆隔離,做OT場域的第一層防護。因為OT場域的環境粉塵會比較多,溫度及濕度也比較無法控管,所以會建議規劃使用工業級的網路設備。
OT場域的資安防禦政策,基本上還是會沿用IT場域一樣的作法。OT場域環境大部分以控制(Controller)及感應(Sensor)的裝置居多,對於OT場域的電腦還是會規劃使用端點防護軟體進行資安防禦,連網的機臺或PLC則會使用實體的防火牆再做一次隔離,以確保整個OT場域的安全。
打造IT/OT系統營運不中斷的基礎架構
基於系統營運不中斷,要建構的是具有穩定力、保護力、備援力與安全力的IT/OT系統。圖3所示的架構稱為超融合架構,虛擬化的作業系統可以充份應用主機運算資源,每臺主機的硬碟打通變成共用儲存資源池,如果擴充主機同時也會增加運算及儲存效能。它可以依照實際的需求,設定虛擬主機資源分配及硬碟存取效能的分配,也可以設定資料存放的份數,更確保資料的安全。在這個架構下,單臺主機損壞並不會影響系統運作及資料存取。
異地備援確保企業永續營運
異地備援主要的做法是把本地端(Site A)的資料覆寫一份到異地端(Site B),當本地端發生問題時,資訊系統無法提供服務,此時會觸發異地端備援需求,異地端服務會自動接手提供服務,當然也可以讓本地端及異地端,雙向互為備援機房。
安全資料保護,杜絕勒索軟體
對於資料的保護,備份不應該只有備份功能而已,必須考慮如何讓勒索病毒不會感染備份資料,所以備份必須具備備份資料是不可修改的,備份資料是可以安全的還原;也可以透過加密來保護備份資料,既使資料被竊取,還是能夠保護資料不外洩。■
