智慧工廠(Smart Factories)是工業物聯網 (IIoT) 改造傳統製造業的最佳展現，在萬物聯網、大數據與AI等技術的結合下，智慧製造、智慧醫療、智能交通已成為台灣轉型升級目標。然而，所面對的操作科技(OT)資安威脅會更嚴苛，只要遭遇一次重大網路攻擊，原本物聯裝置所帶來的效益，恐怕瞬間就會化為烏有，例如：機密資料外洩、營運生產停頓、供應鏈斷炊。近年來鎖定智慧工廠的病毒越來越多，全球都有受害的災情不斷傳出，不只影響生產線運作，更甚者會危及國家基礎設施，並要當心成為勒索軟體目標。

打破封閉內網是安全的觀念

過去多數工廠因設備老舊、缺乏專業整合人才，或因其為封閉系統而缺乏資安防護觀念。在工業物聯網的建置下，企業IT與廠房OT系統相互串連，使長久以來一直是被認為封閉網路的OT環境，暴露在可能遭受網路攻擊風險下，包括商業機密遭竊取、惡意中斷營運、攻擊基礎設施造成生產損失、甚至造成工安事件危害人員健康與安全等。 由於機台物聯網化後加速生產力，但是對於網路的管理並沒有嚴格要求與落實，容易造成後續資安維護管理上漏洞。因此在導入裝置物聯網後，聯網的機具、人員管理識別、網路流量檢測、LOG紀錄追蹤都是需改善的要點，所以需要在原來的系統上加入資訊安全的防護，除了原本防火牆基礎網路防護外，建議區隔IT與OT的網路架構、做好定期弱點掃描及人員資安教育訓練課程等，除了保護企業的資訊外也保護自己的網路財產，萬一真的不幸發生攻擊事件，可以將損害降到最低。

智能工廠(OT廠域)存在的資安威脅

攻擊的來源來自幾個地方，每個方向的目的並不一樣，歸咎系統發生威脅原因如下：

暴露在外的攻擊面越來越大ICS、SCADA

作業系統安全漏洞難以修補

身分識別、存取控制

工控常用的通訊埠支援

DDOS攻擊可能中斷生產

工控設備缺乏安全設計

IT與OT系統安全管理相互獨立，難互補

忍受極端環境溫度，並且要能支援設備系統故障救援問題

區隔IT與OT網路架構，保護OT內網安全脅

攻擊的來源來自四面八方，在資訊跟網路安全的考量下，眾至建議導入智慧聯網工廠將目前的網路架構進行調整，每一個不同目的的網路區塊，執行不同安全等級的資訊安全防護。

IT層—新世代防火牆

• DDOS、Port Scan
• VIRUS、SPAM、IPS、Sandstorm
• 惡意URL 過濾 (擋木馬、釣魚網站)

I邊界—邊界管控

• 區隔IT與OT網路環境

IOT層—內網防護

• 白名單、白協議
• OPC防護、身分識別
• 確認連線存取的方向
• 過濾連線流量

藉由端點防護設備、縱深防禦、全面管控與威脅情報，打造內外網安全

IT與OT的思維不同，IT要的是創新，OT要的是穩定。為了有效讓OT環境維持穩定運作，除了區隔IT與OT網路環境外，建議在強化威脅情報資訊通知，以達到【事前防範】、【事中阻擋】及【事後追蹤】運作目標，減少被駭客、病毒入侵及攻擊的機會讓整個網路達到可控、可管的目標，就算被癱瘓，也能把損失控制在一個小區域，不會外散到整個網路環境。