CI 學堂








                 類生命，當系統被綁架，

                 資安長應知道如何處理？
                 當系統無法運作時，緊急

                 應變計畫應如何規劃？


            三、操作員發送給系統的不準
                 確訊息，要麼是為了掩蓋
                 未經授權的更改，要麼是

                 導致操作員發起可能產生

                 各種負面影響的不當操作，
                 緊急應變計畫應規劃維持
                 OT 網路可接受最低的服務                               當前工業系統與 IT 的連接性不斷增強，OT 網路中資訊流
                                                             若受阻或延遲，可能會干擾 OT 操作，資安長需要跨 IT 和
                 級別協定（SLA）。                                  OT 整合安全操作。


            四、須防止干擾設備保護系統的運行，這                                  二、限制對 OT 網路和裝置的實體存取。

                 可能會危及昂貴且難以更換的設備。                                   對組件未經授權的實體存取可能會嚴
                                                                    重破壞 OT 的功能，應使用實體存取控
            五、須防止干擾安全系統的運行，因可能
                                                                    制的組合，例如鎖、讀卡機和端點偵
                 造成或危及人的生命。
                                                                    測防護裝置（Endpoint Detection and

                                                                    Response, EDR）。
               OT 網路實施的主要安全目標

               （技術面）                                            三、保護各個 OT 元件免遭利用。如在現場
                                                                    條件下測試安全補丁後儘快部署安全
            一、使用單向網閘（Diode）觀念、利用帶
                                                                    補丁、關閉所有未使用的端口（Port）
                 有雙防火牆（工業用防火牆及商業用
                                                                    和服務並確保它們保持禁用狀態、將
                 防火牆）的非軍事區（Demilitarized
                                                                    OT 用戶權限限制為每個用戶角色所需
                 Zone, DMZ）網路架構來防止網路流
                                                                    的最小權限、稽核和監控，並在技術
                 量直接在企業網路（Internet）和 OT
                                                                    可行的情況下使用安全控制（例如防
                 網路（Intranet）之間傳遞來限制對
                                                                    毒軟體和文件完整性檢查軟體）來預
                 OT 網路、網路活動和系統的邏輯存取；
                                                                    防、阻止、檢測和減輕惡意軟體對資
                 以及為企業 OT 網路的用戶提供單獨的
                                                                    料完整性的攻擊。另 OT 資產的部署關
                 身分驗證機制和憑證。另 OT 網路系統
                                                                    鍵，例如可程式邏輯控制器（PLC）和
                 也應該使用多層網路拓撲，最核心的
                                                                    安全系統應始終處於「運行」位置，
                 通訊應規劃在最安全（最接近核心）
                                                                    除非正在主動編碼。
                 的一層。




                                                                                                 No.50 MAR. 2024  49