智慧工厂、工业4.0概念的崛起，让自动化设备有了与以往截然不同的改变，过去的自动化设备多为独立运作，彼此之间的互联较少，“智慧化”因讲究整合，无论是软硬体的虚实整合，或机台与机台之间的相互串连，都已成为新世代自动化系统的必要设计，而不软是机台或软硬体的整合，都必须高度倚赖通讯技术，在此趋势下，工业乙太网路顺势崛起，成为自动化系统的骨干支柱。

工业乙太网路已成**

制造现场以往的通讯架构则多为工业通讯标准，要使前后端讯息可以无缝链结，制造现场的工业乙太网路导入成为必须。

乙太网路技术在工业环境的应用优势，主要来自于其相容性，由于讯息的快速、无缝流动，是智慧工厂的首要条件，在企业的管理端，乙太网路通常是通讯主要技术，但制造现场以往的通讯架构则多为工业通讯标准，要使前后端讯息可以无缝链结，制造现场的工业乙太网路导入成为必须，以使后端管理层与现场层的资料传输规格一致，使用者只需要掌握单一网路技术即可互连，但同样的，标准化网路结构也因其透明度而带来风险，也因此让系统产生更大的挑战。

图1 : 工业乙太网路普及导入之后，网路攻击不但渐趋容易，而频率也逐渐增加。

相较于过去仅是一般终端使用者及办公室环境，在乙太网路与网路通讯的蓬勃发展，过去像是工厂自动化这类无需考量资安问题的系统，也成为观察的重点之一。

除此之外，过去由于工业现场系统多是以现场汇流排进行通讯，除非像是以国家战略思维侵入如油、水、电等重要设施来进行攻击之外，否则难度甚高；但在工业乙太网路普及导入之后，这类攻击不但渐趋容易，而类似的攻击也渐趋增加。

这类智慧化系统面对不断演变的资安威胁环境，其中一项*大的挑战就是APT进阶持续性渗透攻击（Advanced Persistent Threats；APT），它是针对“特定组织”所作出复杂且多方位的攻击，这样的攻击也逐渐进化，成为系统必须关注的主要议题。

APT来势汹汹

就资安范围来看，工业现场环境的资讯**防护，有时挑战更比在企业端办公室的防护来得大。

过去的对现场端的 APT，多像是 2009 年美国使用“震网”

传统一般企业在资讯***向，仍多依赖防毒软体的保护，但在工厂现场端却甚少考虑此一问题，工厂现场端所使用的软体系统，与办公室应用端系统的差异并不大，但在使用心态不同下，工厂现场端的资安挑战更为庞大，再加上现场端系统不易更新与升级，也让防止APT的难度更为提升；相对来说，骇客APT工控系统在如此运作模式下，因其“成本”较低，对于现场端的 APT 将会更为提高。

因此现阶段要防范恶意攻击，已经不仅只于透过防火墙或防毒软体就可达到目的，由于传统的阻隔方法仍有漏洞可钻，因此必须阻断恶意攻击在“侵入”、“下载潜伏”到“扩散攻击”的运作环节，才是解决的重点面向，只要阻断APT的任一环节，攻击就会失效，这与过去阻挡病毒进入的观点，有相当大的差距，在面对系统的复杂化，攻击的多元化的同时，思维的调整，或许才是*重要的一步。

实体隔绝还是不够 建构标准才能治本

工业物联网的*基本要求，就是现场端的资料采撷、监控与分析。

对于网通厂商对于工厂现场端以虚拟专用网路（Virtual Private Network；VPN）的方式，透过隔离网段的方式来隔绝外界系统化的APT，多数业界人士认为这的确是*基本的解决方案，实体隔离**是解决APT*实际的办法，但此一做法却并非像一般人想像的这么可靠，以工厂智慧化的架构，一定会与后端办公室应用端连结，才能针对产线进行系统化的调配，虽然这类通讯设计多是透过软硬体配置，提供*小限度的授权让应用端可以与现场端连结；但一般APT通常会经由办公室应用端进行攻击，再利用应用端与现场端的信任关系，经由双方的授权机制来侵入现场端，除非应用端也进行实体隔离，否则只要连上网际网路，就有漏洞可钻。

虽然“实体隔离”与“*小授权”的做法可能仍有漏洞，但在现场端的**防护，这仍是*基础的必要作法；至于如何确保系统的**，标准规范仍是*必要的项目，在工控系统中所强调的标准，多是涉及系统稳定的实际**需求，但对于资讯**部分仍付之阙如，由于工业乙太网路的导入，以及实际应用环境的逐渐多元化，资安政策的建构及系统**的标准，可能是后续发展的重点项目，也将会是市场后续发展的重要课题。

**刊头图片