工業網路安全架構 - 西門子

工業網路安全架構

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks

工業網路安全架構簡介 2

網路區段 5

資產與網路管理 6

網路保護 8

安全的遠端存取 9

訓練及意識 11

結語 12

目錄

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 2

白皮書 | 工業網路安全架構簡介

1. 工業網路安全架構簡介

過去十年來，工業自動化領域已採用乙太網路做為通用通訊

標準，以往使用的 RS232/485 序列通訊系統已不再是主流。

造成這種情況的原因很多：乙太網路除了提供不受廠商限制

的生態系統，也已證實能在工業控制系統 (ICS) 和其他裝置之

間維持通訊的可行性與即時要求。此外，工業乙太網路能以

透明的方式連接外部網路，而且速度遠高於傳統通訊系統。

連接生產作業區之外的系統，例如網際網路或第三方網路

時，會面臨最多機會和威脅（特別是安全威脅）。專業人員

在設計工業物聯網 (IIoT) 環境下的工業控制系統時，必須考

慮到這些主題。

工業網路安全架構為營運技術 (OT) 部門與資訊科技 (IT) 部

門專業人員提供網路參考指南，這些人員共同合作提供以下

服務：

- 讓原本未連線的機器連接網路

- 遠端存取工廠內的機器

- 透過邊緣運算和雲端運算處理生產資料

- 提供單元至工業骨幹等級的安全網路設計

安全網路是有適當的安全措施保護，免受攻擊者攻擊的網

路。當然，完全安全的網路並不存在。不過採取適當步驟有

助於維持網路安全。本架構建立時已根據自眾多客戶專案和

產業所獲得的經驗。

圖 1：網路架構應用範例

1 號生產廠房 2 號生產廠房

工業乙太網路

PROFINET/ 工業乙太網路

PROFINET/工業乙太網路

PROFINET/工業乙太網路

緊急停止

乙太網路

供電 (PoE)

SINEC NMS 作業

SINEC NMS 作業

平板電腦 平板電腦工業乙太網路

機器 3

企業網路

骨幹層

單元層

資料中心

資料中心 防火牆

工業資料中心 工業非軍事區

專案伺服器非軍事區防火牆 非軍事區防火牆

工業乙太網路

跳轉主機、邊緣管理、MQTT-Broker 等

防火牆

外部 防火牆

廣域網路/網際網路

MindSphere

維修技術人員OpenVPN 用戶端

App Store 邊緣管理， 內部部署或雲端（例如 AWS、Azure IoT Edge）

防火牆/ IDS

防火牆/ IDS

辦公室

核心

機器 1 機器 2

經常保持活動

工業安全服務

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 3

工業網路安全架構以國際工業安全規定的建議作為基礎，這

項規定強調網路安全的組織流程和技術解決方案同樣重要。

大多數國際標準（例如美國國家標準與技術研究院 (NIST) 和

ISA/IEC-62443 等）都運用多重障礙的概念，來偵測與預防可

能危及重要資訊、欲生產的貨物或資料完整性的威脅。

必須依照整體的方法（結合數項彼此支援的解決方案），才

能對目前所有工業自動化專案施行網路安全。網路安全計畫

包含下列步驟與程序：

1. 網路區段：

必須遵照功能或技術標準，將工廠的網路區分為數個獨立且

受保護的區域，如此可將故障限制在網路的特定區域，避免

失控擴大到工廠與影響營運。營運技術與資訊科技人員必須

密切合作，設計出以區域為基礎，並且最能滿足網路安全和

生產要求的架構。

2. 資產管理：

網路操作員經常面對瞭解工廠資產安裝總數的挑戰，而這也

是安全概念的先決條件。因此，強烈建議使用能自動偵測所

有現用裝置的網路管理系統 (NMS)。網路管理系統以此為基

礎，提供完整的資產清單與各個裝置的附加資訊，例如裝置

名稱、序號及韌體版本等。

3. 網路保護：

為了妥善做好網路分區，必須界定工廠不同區域之間的通訊

關係。必須根據這些關係，對每個受防火牆保護的區域施行

政策。運用能即時監控流量、偵測異常與回報事件的解決方

案，可獲得更多深入見解。

4. 安全的遠端存取管理：

為了工業控制系統的維護、診斷目的、修補及更新，不同

供應商必須能自工廠以外透過網際網路，或自其他與生產

無關的未受信任區域，存取營運技術等級單元。如此必須以

遠端解決方案，自單元至會合伺服器建立符合保護措施和安

全政策的安全連線。透過加密通訊，每位遠端使用者都有自

己的存取權限。以人工方式管理存取並不先進，而且容易

失敗。因此，建議使用結合企業存取原則的集中式安全遠

端存取工具與使用者權限管理解決方案 (User Management

Component)。

5. 訓練及意識：

設施安全的最大威脅就是缺乏知識與資訊。無論員工、商業

夥伴、訪客在公司內扮演何種角色，網路安全計畫必須時時

考慮到這些人。必須進行定期訓練，讓人員瞭解工廠的特定

安全措施與公司網路安全政策，並防止安全漏洞。

白皮書 | 工業網路安全架構簡介

圖 2：深度防禦概念

工廠安全

■實體存取保護 ■流程與準則 ■整體安全監控

深度防禦

工業環境中的安全解決方案必須考量 所有保護等級

安全威脅

必須採取行動

網路安全

■單元保護和周邊網路 ■防火牆和 VPN

系統完整性

■系統強化 ■修補程式管理 ■攻擊偵測 ■驗證和存取保護

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 4

SCALANCE XR-500

SCALANCE XR-500

ET 200SP TP 1200

SCALANCE XM-400

RCoax

SINEMA RC

SCALANCE XC-200G

SCALANCE XC-200G PoE

SCALANCE W722-1, ET 200SP CPU, CP 1543SP-1

SCALANCE XR-500

ET 200SP TP1200

SIMATIC S7-1500

MindConnect Nano

SCALANCE XC-200G

SCALANCE XC-200G

SCALANCESC600

AGVs

SIMATIC S7-1500F, CP-1500,

SCALANCE W-700

SCALANCE W-1700

SCALANCE XR-500

PoE

SCALANCESC600

CP1545-1MQTT

SCALANCE LPE9403

SCALANCE XR-500SCALANCE XR-500

安全需求概觀：

在 IACS 所在的設施內，實行依網路安全計畫產生的必要措

施，可說是相當困難的工作。除了涵蓋全廠區的整體方法，

為包括員工在內的每一項資產定義詳細措施也很重要。結果

是產生一套能持續與全面對資產和生產，進行監控與保護的

程序與措施。根據美國國家標準與技術研究院和國際電工技

術委員會 (IEC) 等組織的建議，必須遵照深度防禦的概念，在

所有工廠層級應用分層措施。如此將產生賦予您系統全方位

深度防護的多功能概念單一措施的失誤並不會造成全系統的

失誤。實行任何措施之前，必須與公司管理層級、資訊科技

部門和營運技術部門合作進行詳細的風險分析。這項概念根

據工業自動化安全領先標準 ISA/IEC-62443 的建議，以工廠

安全、網路安全和系統完整性做為基礎。

工廠安全：

工廠安全利用不同的方法防止未經授權者實際取得重要元

件。此類措施從傳統的建築物出入開始，擴展到透過門禁卡

保護敏感區域。全面性安全監控讓生產設施的安全狀態變得

透明。藉由持續進行分析與關連現有資料，並透過威脅指標

比對資料，就能依據風險因素偵測與分類安全相關事件。以

此作為基礎，並透過定期狀態報告，工廠所有人將會收到生

產設施目前的安全狀態概觀，讓他們能夠迅速應付威脅。

網路安全：

網路安全就是避免自動化網路受到未經授權的存取，包括監

控所有介面，例如辦公室與工廠網路之間的介面，或進行遠

端維護時的網際網路存取。透過防火牆，或在狀況許可時透

過建立安全和受保護的工業「非軍事區」(DMZ) 等方式，就

能做到網路安全。工業非軍事區可用來讓其他網路使用現有

資料，無須授予自動化網路本身直接存取的權限。依安全目

的將工廠網路劃分為各自受保護的自動化單元，可將風險降

至最小，同時提升安全。根據通訊與防護的要求進行單元網

路區隔與裝置指派。舉例來說，為了預防資料間諜與資料操

縱，資料傳輸時必須以虛擬專用網路 (VPN) 加密。通訊節點

必須通過安全驗證。

系統完整性：

深度防禦的第三項要素就是保護系統完整性。此處強調保護

自動化系統、控制元件和通訊元件，以及 SCADA 和人機介面

系統，防止未經授權的存取，同時還強調滿足特殊需求，例

如保護專業知識。此外，系統完整性也包含使用者驗證、存

取與變更授權以及系統強化，換句話說，就是元件對抗潛在

攻擊的穩固性。

白皮書 | 工業網路安全架構簡介

圖 3：不同區域的網路資安措施

企業網路

骨幹層

單元層

資料中心

資料中心 防火牆

周邊實體安全

工業資料中心 工業非軍事區

SINEC NMSSINEC INSMESWIN CCTIA Portal專案伺服器UMC

非軍事區防火牆 非軍事區防火牆

工業乙太網路

工業乙太網路

PROFINET/工業乙太網路

PROFINET/ 工業乙太網路

平板電腦 作業系統安全流量控制

使用者權利政策個人電腦強化防毒軟體

應用程式強化應用程式允許清單

實體安全

網路裝置安全802.1x 通訊埠安全

流量控制使用者權限政策

強化保護ACL

網路裝置安全802.1x 通訊埠安全

流量控制使用者權限政策

強化保護ACL

營運技術部門防火牆安全允許清單加密連線

使用者權利管理狀態監控

DPI事件記錄

SAFETY 實體安全存取控制電子警報監視政策

視覺警示區

無線區域網路安全802.1x X.509 驗證

AES 加密

PLC 強化使用者驗證區塊加密複製保護法規

IDS/IPS 防火牆安全允許清單加密連線

使用者權利管理狀態監控簽名和異常

處理事件記錄防火牆備援

SINEC NMS 作業

跳轉主機、邊緣管理、MQTT-Broker 等

防火牆

外部 防火牆

廣域網路/網際網路

MindSphere

維修技術人員OpenVPN 用戶端

App Store 邊緣管理，內部部署或雲端（例如 AWS、Azure IoT Edge）防火牆/

IDS防火牆/ IDS

辦公室

核心

機器 1 機器 2

1 號生產廠房

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 5

白皮書 | 網路分段

2. 網路區段

儘管理論上運用有線和無線區域網路能實現具有大量裝置的

透明網路，但還是建議在分離且獨立的區域做好分段，分段

時通常會因下列因素使用第 3 層安全裝置（防火牆）：

- 可用性：將裝置實體故障、設置或流量激增限制在局部區

域，可避免工廠發生更大事故。

- 安全性：根據深度防禦概念，所有區域都受到防火牆保

護，避免有安全漏洞影響整個工廠網路。

對此，ISA/IEC-62443-3-3 SR5.1 RE1 也提到：「SR 5.1 RE 1 –

實體網路分段：

控制系統應有能力實際劃分控制系統網路與非控制系統網

路，並實際劃分重要控制系統網路與非重要控制系統網

路。」

IACS 所在位置的網路在分段時必須考量下列標準：

a) 安全儀表系統和功能 (SIS & SIF)：

自動化環境中的安全涵蓋可能對人員和資產造成傷害的應用

程式。有安全相關的工業控制系統存在時，必須與工廠網路

的其他設備隔絕。

b) 自動化即時通訊：

工業自動化所需的通訊協定在控制器和裝置之間進行交換，

對於延遲（最小至微秒）和抖動有嚴格的要求。因此，必須

將隸屬於同一個自動化應用程式的裝置與工業控制系統安排

在同一區域，確保必要的確定性通訊。

c) 功能關係：

原始設備製造商通常會將整套機器交給終端客戶。如果有好

幾台機器屬於同一製程，就應該分配到具有相同安全需求的

專區。

d) 風險：

依 ISA/IEC-62443 建議的風險評估識別為重要裝置者，必須

分配到屬於自己的安全區。安全等級相同的裝置可分組到同

一區並相互連線。

在 ISA/IEC-62443-3-3 中，安全等級 2 (SL 2) 定義為「防範

以低資源、一般技能和低動機等簡單方式進行蓄意違規活

動」。為了在網路分段方面做到安全等級 2，工業網路（營

運技術部門）與企業網路（資訊科技部門）必須確實分離

(SR5.1 RE1)。

根據此需求，建議使用下列架構：

工業網路包含多個階層，請見圖 4。

單元層：

單元層拓撲取決於所需應用。不需要備援的應用，可部署成

線狀、樹狀或星狀拓撲。若製程不利於部署，須利用如環狀

拓撲的備援技術部署。在這種型態的拓撲中，必須使用可支

援備援通訊協定的管理交換器。為了在網路故障時維持正常

生產，必須考量 ICS 通訊參數設定之復原時間。在一個單元

中，所有裝置通常歸屬於同一部機器或同一功能群。如有額

外的非自動化設備（例如 WLAN 裝置）必須連線到同一單元

時，建議以 VLAN 區隔這些裝置。外加的 VLAN 必須架設單

元保護防火牆加以防護。單元保護防火牆作用如同上層網路

的安全閘道器，適用於工業資料中心和工業非軍事區的相關

通訊應用，亦適用透過 VPN 連線的遠端存取。

聚合層：

聚合層主要作用為連接單元層和骨幹層。此層中的網路裝置

必須具備密集傳輸埠的高速傳輸能力 (每秒數十億位元)。建

議在聚合層使用備援拓撲。同一製程的相關單元和機器會集

中在專用的聚合網路。除單元之外，另連接無線存取點及

網路監控系統等其他裝置。為了便於管理，並考量單元保護

防火牆和無線存取點的連線問題，建議在聚合層使用專用

VLAN。

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 6

白皮書 | 網路分段 | 資產與網路管理

圖 4：工業網路分層

1 號生產廠房 2 號生產廠房

工業乙太網路

PROFINET/ 工業乙太網路

PROFINET/工業乙太網路

PROFINET/工業乙太網路

緊急停止

乙太網路

供電 (PoE)

SINEC NMS 作業

SINEC NMS 作業

平板電腦 平板電腦工業乙太網路

機器 3

企業網路

骨幹層

單元層

資料中心

資料中心 防火牆

工業資料中心 工業非軍事區

專案伺服器非軍事區防火牆 非軍事區防火牆

工業乙太網路

跳轉主機、邊緣管理、MQTT-Broker 等

防火牆

外部 防火牆

廣域網路/網際網路

MindSphere

維修技術人員OpenVPN 用戶端

App Store 邊緣管理，內部部署或雲端（例如 AWS、Azure IoT Edge）防火牆/

IDS防火牆/ IDS

辦公室

核心

機器 1 機器 2

骨幹層：

骨幹層是連結工業網路的中心點，並提供聚合層、工業資料

中心、工業非軍事區和企業網路的備援連線。骨幹層中的裝

置是第 3 層乙太網路交換器，可靜態或動態路由。工業骨

幹、工業資料中心、工業非軍事區和企業網路間必須架設防

火牆。

工業資料中心：

工業自動化應用、工程工具 (TIA) 以及管理系統由專用的工業

非軍事區與工業資料中心管控。依照前述的安全防護理念，

此區需劃分成不同區。這些服務和應用會置於工業非軍事

區，以避免 OT 直接連線至 IT (反之亦然)。防火牆控制不同

區段間的存取，同時必須預設拒絕企業網路直接存取 OT (反

之亦然)，基本上必須由工業非軍事區內的代理裝置向 OT 網

路提出存取要求，並透過該裝置執行存取。運用這樣多重步

驟可提高 IACS 的安全性，降低直接攻擊的風險。根據工業和

風險的評估結果，整廠的網路服務和工具（例如使用者管理

伺服器、SCADA、歷史資料儲存機制、MES、工程站台、同

步伺服器、備份、防毒軟體以及程式修補更新服務），以工

業非軍事區為安全防護中心。

3. 資產與網路管理

隨著數位化和工業物聯網 (IIoT) 的發展，工業網路連線的裝

置數量正在快速增加。越多裝置相互連線意味更容易遭受網

路攻擊。當事故發生時，所有網路裝置和其組態的最新即時

記錄清單，是事故根本原因分析流程中的關鍵要素。關於資

產稽核和監控的規範要求，請見 ISA/IEC-62443-3.3 第 SR2.8

和 SR7.8 節：

「SR 2.8 - 可稽核事件：

控制系統應就下列類別提供建立安全性相關稽核記錄之功

能：存取控制、需求出錯、作業系統事件、控制系統事件、

備份及復原事件、組態變更、潛在偵查活動以及稽核日誌事

件。個別稽核記錄應包含時間戳記、來源（發起裝置、軟體

流程或人類使用者帳號）、類別、類型、事件 ID 及事件結

果。」

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 7

「SR 7.8 - 控制系統元件清單：

控制系統元件清單可包括但不限於元件 ID、功能及修訂等

級。元件清單應與待審系統一致。為了持續掌控元件清單基

準線變化，應針對組態管理部署正式處理程序。」整體 OT

基礎設施可確保資產能見度完整、提供網路實體拓撲、加速

網路問題診斷、控制資訊流向以及提供 IT 與 OT 網路不同區

之間的使用者存取控制，而此設施的共用資料庫由高度可靠

的中央網路管理系統 (NMS) 提供。此系統應以 ISO 網路管理

架構模型 FCAPS（故障、組態、會計、效能、安全管理）為

基礎，此模型針對網路管理工作有清楚的說明和分類。西門

子 SINEC NMS 的基礎是一個中央控制台以及一個以上的本地

作業。

SINEC NMS 操作台是由 OT 網路的工業資料中心於本地管

控。NMS 操作台尋找網路管理員定義的裝置，並在保證安

全前提下與之互動通訊，前述裝置可利用數種通訊協定加

以定義，例如可支援加密和驗證的簡易網路管理通訊協定

(SNMP)。NMS 操作台會自動監控及收集裝置資訊，進一步

彙整效能統計資料，並定期將報告寄給 NMS 中控台。NMS

操作台可偵測發生的事件，或由裝置發出通知及警報。透過

NMS 操作台及 NMS 中控台的集中觸發，可以執行類似裝置

設定或韌體更新的變更。

SINEC NMS 中控台位於工業資料中心內，並負責管理設定

策略、分析診斷資料，以及提供整個 OT 網路基礎架構的概

觀。根據網路安全計畫，SINEC NMS 中控台支援管理使用者

的存取權限，及不同網路區域之間的通訊關係。同時，SINEC

NMS 中控台還提供上層連結介面，整合至外部系統及服務之

中。這些包括 Syslog 轉發（例如安全事件）、URL 存取（例

如 HMI 系統 整合）、庫存清單（例如 CSV），及電子郵件

通知。

其他資訊可以透過以下連結取得：

開始使用網路監控

深入瞭解 SINEC 網路管理系統

白皮書 | 資產與網路管理

企業網路

IT 系統 （例如 SIEM 系統）

北向介面

工業資料 中心

網路管理軟體

基礎架構 網路服務

主要網路 初始化

網路管理 系統

網路管理 系統

網路管理 系統

主要網路 初始化

操作 操作 操作

網路管理 系統

NMS 控制器工作：上層連結介面局部 NMS 管理設定原則使用者管理報表管理中央拓撲

NMS 操作台工作：網路監控網路診斷警報管理裝置管理韌體管理防火牆管理局部報表拓撲檢視局部庫存統計

骨幹層

聚合層

單元層 PROFINET 單元 1 PROFINET 單元 2 PROFINET 單元 3

圖 5：SINEC NMS 工作

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 8

白皮書 | 網路保護

4. 網路保護

從安全的角度來看，第 2 章中所述的第 3 層網路分段並不足

夠，因為它沒有限制資料交換，並且無法辨識授權的實體。

該解決方案為系統部署用來過濾網路流量、偵測未經授權的

連線，並在事件發生時將警報傳送至例如 SCADA、Syslog 或

其他診斷伺服器。

為確保必要的網路保護及事件稽核能力，可以在 ISA/IEC-

62443-3.3 的第 SR1.1 及 SR5.2 節找到以下建議：

「SR 1.1 - 人類使用者辨識及驗證：控制系統應提供辨識及驗

證所有人類使用者的能力。這種能力應對所有介面執行這種

辨識及驗證，提供人類使用者對控制系統的存取，以符合且

適用的安全策略及程序，支援區分職責與最低權限。」

「SR 5.2 - 區域邊界保護：控制系統應提供監控及控制區域邊

界通訊的能力，以強制執行風險式區域及管道模型中定義的

分區化。」

使用者及裝置驗證：做為公司政策的一環，必須控制使用者

對 IACS 每個部分的存取。建議在連接至使用者及裝置資料庫

的工業非軍事區中，使用驗證伺服器。此資料庫包含所有授

權使用者及裝置清單，以及它們各自的存取權限與憑證。

對於每個系統的登錄及連線至網路的裝置，都會要求憑證，

除非驗證的憑證正確，否則將拒絕存取網路或系統。

所有存取要求都會記錄並統計在各個裝置及驗證伺服器中。

IEEE 802.1x 具有認證式驗證及 MAC 驗證（適用於沒有認證

支援的裝置），可以結合中央 RADIUS 伺服器組成存取控制

的可行機構。

為防止雙重管理及不一致的資料，可以透過以集中部署

Active Directory (AD) 的 User Management Component

(UMC) 伺服器，將 RADIUS 伺服器同步。區域邊界的流量控

制：建議在允許清單原則之後使用防火牆，亦即所謂的「預

設拒絕，除外允許」。除非接受流量的特定規則存在，否則

防火牆將刪除所有傳入的封包。規則可以依據 MAC 位址、IP

位址、通訊協定、連接埠號碼，以及在酬載本身內容上支援

深層封包檢查功能的情況。防火牆也應該能夠監控啟用中的

連線狀態，及以顆粒狀指派規則給特定使用者。可以記錄所

有相關事件，並傳送至 Syslog 伺服器或監控系統。

圖 6：集中式 OT 防火牆管理

1 號生產廠房 2 號生產廠房

工業乙太網路

PROFINET/ 工業乙太網路

PROFINET/工業乙太網路

PROFINET/工業乙太網路

緊急停止

乙太網路

供電 (PoE)

SINEC NMS 作業

SINEC NMS 作業

平板電腦 平板電腦工業乙太網路

機器 3

企業網路

骨幹層

單元層

資料中心

資料中心 防火牆

工業資料中心 工業非軍事區

專案伺服器非軍事區防火牆 非軍事區防火牆

工業乙太網路

跳轉主機、邊緣管理、MQTT-Broker 等

防火牆

外部 防火牆

廣域網路/網際網路

MindSphere

維修技術人員OpenVPN 用戶端

App Store 邊緣管理，內部部署或雲端（例如 AWS、Azure IoT Edge）防火牆/

IDS防火牆/ IDS

辦公室

核心

機器 1 機器 2

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 9

白皮書 | 網路保護 | 安全的遠端存取

集中式 OT 防火牆管理：為避免橫跨多個防火牆的設定不一

致，並提供防火牆原則概觀，建議在工業資料中心設置中央

防火牆管理。藉此，全新的安全政策可以從單一受信任位置

套用至所有裝置，同時隨著時間的推移記錄所有變更的設

定。防火牆管理可以只針對該項工作，也可以集中管理，例

如透過 SINEC NMS，提供一個圖形介面，自動將使用者定

義的通訊關係轉譯為特定的防火牆規則，並且在相關裝置上

強制執行。入侵偵測及預防系統 (IDS/IPS)：這些軟體式解決

方案提供比規則式防火牆更高階的保護層級。除了行為如同

防火牆之外，IDS 還是一個監控系統，能即時分析傳送的流

量，並檢查已知的威脅模式（簽名式）或與預期流量的偏差

（異常式）。若是偵測到異常，IDS 會產生對應的警報。警

報需要以手動方式跟進。IPS 則執行相同功能，但是不需要人

為干預。在發生異常活動或攻擊時，系統可以主動阻斷相關

的通訊流。由於此種威脅的自動預防，會有誤報產生（有效

通訊，將遭到錯誤阻斷）的風險，可能會影響正常流量或是

拒絕存取 IACS。OT 及 IT 經理有責任彼此協作，選擇採用 IDS

或 IPS 解決方案，分析哪個方案最適合業務需求。

由於連接至不受信任的外部網路，這些 IDS/IPS 系統通常都

安裝在 OT 骨幹與 IT 核心之間。如果風險分析指明需要其他

的 IDS/IPS，則可以安裝在安全區之間的每個轉換處。這些

解決方案的有效性在很大程度上取決於它們的模式與異常資

料庫，這需要系統持續更新。如果這些安裝在 OT 單元內的

系統是用來監控通訊，則必須考慮即時要求的自動化解決方

案。為了避免過高的潛伏及延遲，建議在不影響生產的情況

下將相關的流量鏡像。

為了瞭解更多的網路保護，請造訪產業的網路安全解決方案

網站：

西門子工業安全

影片：工業安全內的網路資安

5. 安全的遠端存取

對 IACS 網路中裝置的安全遠端存取已成為設定、維護及更新

生產相關裝置的基本服務。節省差旅費用與時間是遠端存取

工業裝置的主要原因。此外，在某些產業，出於保密的原因

或是基於員工安全的考量，禁止人員進入生產區域。

這一點反應在 ISA/IEC-62443-3-3 文件的 SR1.14 及 SR4.1

中：

「SR 1.13 – 透過不受信任的網路存取：控制系統應提供監控

及控制可透過不受信任的網路存取控制系統的所有方法。」

「SR 4.1 – 資訊保密：控制系統應提供保護靜態資訊和穿越

過不受信任網路與任何區域邊界的遠端存取會話的保密能

力。」

全球網路安全計畫必須考慮遠端存取。從外部存取企業網路

的遠端使用者，可以是公司的員工，也可以是外部的業務合

作夥伴。使用不受信任的終端裝置時，需要將這些使用者視

為未知者。為了能夠識別這些使用者及終端裝置，需要執行

一些程序，授權安全存取的權限。

從技術的角度來看，通訊時也必須以安全的方式進行。VPN

通道是加密遠端存取解決方案最常用的方法。每位遠端使用

者都必須為已知，並且經過正確的驗證。最有效的解決方案

是安裝在工業非軍事區中的集中式 VPN 通道伺服器，用作控

制遠端使用者、裝置及通訊關係的會合伺服器。此伺服器提

供整合 UMC 及 AD 伺服器的介面，以進行驗證。

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 10

白皮書 | 安全的遠端存取

欲建立遠端存取連接，使用者的 VPN 用戶端要啟動與會合伺

服器之間的加密通道。同時，單元的 VPN 端點（例如單元保

護防火牆）要建立一個與相同會合伺服器之間的獨立通道。

根據伺服器的設定，遠端使用者可以存取 OT 網路。與遠端

存取伺服器的每個連接都會記錄下來，並且可以匯出以供進

一步分析。

如果風險評估結果需要更高的安全層級，則必須執行跳轉主

機式解決方案。存取跳轉主機的成功授權之外部使用者，可

以取得工業非軍事區內的 PC 或託管 VM，而不是直接存取

OT IACS。欲建立此項存取必須透過遠端桌面連接。使用者遠

端操作工作所需的所有工具及程式，都必須在跳轉主機上提

供。為了能夠存取 OT IACS，因此建立了從跳轉主機至會合

伺服器的第二個 VPN 用戶端連接。根據使用者權限，授權存

取 OT 網路。

跳轉主機解決方案可以將惡意軟體或安全威脅影響 OT 網路

的風險降至最低。四眼存取原則可透過控制執行哪些工作，

為跳轉主機解決方案添加以人工進行干預的可能性。

有關安全遠端存取解決方案的其他資訊，如下所示：

SINEMA 遠端連線

技術影片 SINEMA 遠端連線

跳轉主機設定

圖 7：遠端存取 – SINEMA RC 設定範例

維修技術人員（手機）

SINEMA 遠端連線

服務中心

工業乙太網路VPN 通道有線網際網路

DSL 路由器

客戶 A 客戶 B 客戶 C 客戶 D

OpenVPN 用戶端

行動 無線網路

網際網路 連線

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 11

白皮書 | 訓練及意識

6. 訓練及意識

網路安全計畫中最重要的部分是人員，而非裝置。與作業系

統的漏洞相比，人為錯誤所導致的網路資安事件更多。

因此，在 ISA/IEC-62443-2-1 的第 4.3.2.4 章中可以找到下列

聲明：

「為所有人員（包括員工、契約員工及第三方承包商）提供識

別、檢視、針對性，以及適當情況下補救 IACS 漏洞及威脅所

需的資訊，並協助確保其使用有效對策以進行自身的工作實

務。」

OT 及 IT 網路的公司管理階層、風險經理及技術經理，必須

制定一套持續性訓練計畫，確保員工有最新的知識。這裡

包括對網路及資產完整性的威脅，以及如何面對網路資安

事件。該訓練計畫做為公司網路資安政策的一部分，必須定

期檢視，使其能在生產設施中安全可靠地整合新技術所需的

知識。

訓練計畫包括下列元件：

- 實體安全：必須依據工作環境，告知員工必要的安全措

施，無論是在辦公室或是生產區域內。該計畫應包括每個

員工均可存取的區域，以及存取控制政策的相關資訊。

- 一般網路資安意識：公司的所有員工都必須接受訓練，以

避免安全事故，包括正確使用網際網路存取、電腦、電

話、USB 裝置及社交工程規劃保護。

- 與角色相關的技術訓練：依據每個員工的技術職責，必須

在其工作範圍內進行與裝置網路資安有關的特定訓練。對

於 OT 網路管理員而言，訓練應包括裝置強化基礎知識、

防火牆設定、安全的 VPN 連線、備份、修補程式及維護

政策。

以下連結提供其他資訊：

西門子 SITRAIN 課程

西門子專業服務

西門子工業安全服務

白皮書 | 結語

7. 結語

西門子提供具有工業安全功能的產品及解決方案，支援工

廠、系統、機器及網路的安全操作。為保護工廠、系統、機

器及網路免受網路威脅，請務必長期採行全面而先進的工業

安全概念。西門子產品及解決方案構成此概念的一部分。

客戶有責任防止對其工廠、系統、機器及網路等未經授權的

存取。此類的系統、機器及元件僅應在必要時才連線至企業

網路或網際網路，並且只有在必要且適當的安全措施（例如

防火牆及/或網路分段）到位時，才能進行連接。

有關可能執行工業安全措施的其他資訊，請造訪本公司的

工業安全頁面。

西門子不斷研發產品及解決方案，以極大的限度提高安全

性。西門子強烈建議在產品更新可用時，立即套用並使用最

新的產品版本。使用不再支援的產品版本，以及未能套用最

新的更新，可能會使客戶受到網路威脅的風險提高。

西門子是第一家在研發西門子自動化及驅動器產品（包括工

業軟體）的跨學科過程中，榮獲 TÜV SÜD 認證（依據 ISA/

IEC-62443-4-1）的公司。透過其他產品專屬的 TÜV SÜD

認證，西門子得以證明其產品研發過程完全符合 ISA/IEC-

62443-4-1，並且應用的實質技術產品要求完全符合 ISA/IEC-

62443-4-2。

有關認證標準的其他資訊

西門子工業安全 RSS 摘要

下列連結提供有關工業自動化應用的各種網路資安主題的其

他見解：

工業自動化網路資安入門

安全的遠端存取管理

用於挑戰性應用的工業無線區域網路

網路裝置的安全強化檢查清單

工業工廠的雲端連線

工業網路管理及監控

下列連結提供西門子在不同產業分支中，一些有關研發安全

網路的方法範例：

I&C 系統的網路資安

餐飲業的產線整合

風力發電的工業網路

製程產業的工業網路

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 12

© 西門子股份有限公司 2021 | siemens.com/ot-it-networks 13

西門子股份有限公司數位產業 製程自動化

115 台北市南港區園區街 3 號 8 樓

顧客諮詢/客戶服務專線：0800-355-188

傳真 Fax：(02) 7747-8824

E-mail：[email protected]

© 西門子股份有限公司 2021

安全資訊

為保護工廠、系統、機器及網路免受網路威脅，請務必長期採行全

面而先進的工業安全概念。西門子產品和解決方案僅構成此概念的

一部分。

有關工業安全的更多資訊，請造訪

https://www.siemens.com/industrialsecurity

如有變更或錯誤，恕不另行通知。本文所含資訊僅為一般性描述，

或是效能特性之說明，實際使用時並不一定適用，或者會因為產品

研發進展而有所變動。所需的效能特性只有在合約中明確約定時才

具有約束力。可用性與技術規格之變更，均不另行通知。

所有產品標示可能是西門子股份有限公司或供應商公司的商標或

產品名稱，第三方為本身目的使用這些名稱，可能侵犯擁有者的

權利。