製造業 CIO 論壇 台中場
為實現「工業 4.0」與「智慧製造」,近年製造業積極推動 IT/OT 融合,連帶導致攻擊面擴大。此時便需要導入零信任架構,確保所有人需要通過驗證後,才可連線到對應的服務,以保障資料安全。
文/明雲青
綜觀疫情過後的近幾年,駭客攻擊事件依然頻傳,未因員工回歸公司上班而減緩。顯見無論企業採取什麼辦公模式,皆需藉助「永不信任,始終驗證」的零信任架構來維持資安防護;尤其因為推動智慧轉型、現正積極進行 IT 與 OT 融合的製造業,更迫切需要透過零信任來防護人員到設備的存取安全。
偉康科技資深解決方案經理曾心天指出,長久以來製造業 IT 與 OT 各有各的生態在維護,惟隨著「工業 4.0」與「智慧製造」興起,企業亟需透過數據驅動的決策與自動化,來優化生產流程,所以必須促使 IT 系統與 OT 系統緊密整合。
不可諱言,IT/OT 融合確實能帶來諸多優勢,除了有助提高生產效率外,亦能順勢實現提高產品品質、降低成本、改善供應鏈管理、加速創新等綜效。但世事總是一體兩面,IT/OT 融合也帶來挑戰與風險,需要企業預先評估,譬如網路安全風險增加、系統整合的複雜性、技能差距、數據管理與隱私問題等;簡言之隨著企業開放越多功能和場域,攻擊面就越大。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
曾心天說,為克服上述挑戰,製造業必須做好安全存取的基本功,其中最簡單明瞭的落實方法正是零信任。當然要實施零信任,需要有標準規範可循,此時不妨先以美國「NIST SP 800-207」文件為參考範本,它定義零信任的三要素,第一先做好身分驗證,第二確定訪客都在限定場域活動,第三軟體與軟體之間的通訊必須受限。
除 NIST SP 800-207 外,美國 CISA 定義的零信任框架更具參考價值,因為這套做法已在 2024 年獲得金管會採用,它將內容拆解得更細,涵蓋身分、設備、網路、應用程式、資料五大構面。以攻擊鏈概念而論,前述的每一面都可能是駭客入侵點,但企業若能越早阻斷駭客活動,就越能有效破解攻擊鏈,確保核心資料資產安全無虞。
為此曾心天建議企業採用「屬性類型存取控制」(ABAC)方法進行存取管理,且針對身分、網路、設備等不同驗證層面,分別引入必要控制技術。如身分層驗證的 FIDO 無密碼安全標準;網路層驗證的 SDN、網路微分段,及用以實現網路匿蹤的塔台式驗證模式;應用層驗證的設備健康檢核、端點弱點管理、端點安全管理。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
