Page 53 - 清流雙月刊 NO.50

P. 53

CI 學堂

縱深防禦策略包括制定專門適用於 OT 網路系對 OT 網路和企業網路的使用者使用單獨的身分驗
統的安全政策、程序、訓練和教育材料。證機制和憑證。

● 採用 DMZ 網路架構（例如，防止企 ● 使用現代技術，例如用於使用者身
業與 OT 網路之間的資料能直接流分驗證的智慧卡

通）
● 在適當的情況下，將加密雜湊等安
● 使用多重身分驗證遠端存取 OT 網路全技術應用於 OT 資料儲存和通訊
系統
● 在測試系統（Test Bed）上測試所有
● 確保關鍵元件備援且位於備援網路修補程式後，快速部署安全性修補
上，且不與關鍵元件在同一網路程式（如果可能），然後再安裝到

OT 系統上
設計關鍵系統以實現 SLA 降級（容
●
錯），以防止災難性連帶事件發生 ● 在可行的情況下採用統一可靠且安

全的網路協定和服務
● 停用 OT 裝置上未使用的連接埠和服
務，但要確保這不會影響 OT 操作
結語

● 將 OT 使用者權限限制為執行每個使
雖然 OT 網路上的韌體與硬體大致沿
用者功能所需的最小權限
用 IT 網路，但因 IT 網路與 OT 網路在安全

對 OT 和企業網路的使用者使用單獨方面的定義與對象不同，IT 網路保護的目
●
的身分驗證機制和憑證（即 OT 網標為資料（Data），而 OT 網路保護的目

路上之帳戶或軟硬體憑證不可使用標為程序（Process/Procedure），故不宜
於企業網路，反之亦然）直接引用（CUT and PASTE）。

No.50 MAR. 2024 51

48 49 50 51 52 53 54 55 56 57 58