前言：

回顧以往，僅有企業(yè)區域網(wǎng)絡(luò )(LAN)管理者，需費心思索資訊安全防御，至于產(chǎn)業(yè)機臺、裝置因不具連線(xiàn)能力，或采用封閉式網(wǎng)絡(luò )，因此多無(wú)資訊安全顧慮。然今隨著(zhù)各行各業(yè)紛紛走向IP通訊化、物聯(lián)網(wǎng)化，導致資訊安全威脅驟增，如何為產(chǎn)業(yè)網(wǎng)絡(luò )做好資訊安全風(fēng)險管控已是不容忽視的重要課題。

隨著(zhù)工業(yè)4.0、智慧工廠(chǎng)或工業(yè)物聯(lián)網(wǎng)等趨勢浪潮席卷，過(guò)去大量“與世隔絕”的機臺設備，開(kāi)始向IP通訊靠攏。新漢網(wǎng)絡(luò )通訊事業(yè)群協(xié)理劉宏益指出，因遠端監控與預防保養需求，制造業(yè)者串聯(lián)工控網(wǎng)絡(luò )與網(wǎng)際網(wǎng)絡(luò )，讓資訊安全風(fēng)險急劇增高。

又例如醫療產(chǎn)業(yè)希望藉于移動(dòng)、遠距醫療照護，提高服務(wù)水準的同時(shí)，亦需將資料安全納入考量，確保病患隱私。各產(chǎn)業(yè)已開(kāi)始留意資訊安全議題，著(zhù)手導入產(chǎn)業(yè)防火墻，一來(lái)確保遠端連線(xiàn)安全，二來(lái)順勢扼阻可疑的資訊交換。

IDS/IPS智能分析 與防火墻相輔相成

防火墻是發(fā)展歷程超過(guò)20年的老技術(shù)，它僅能依據IP 或MAC位址等基本資訊，簡(jiǎn)單比對來(lái)者是否名列黑名單，如果是便加以阻攔，如果不是就予以放行；惡意人士相當嫻熟防火墻運作原理，也不斷研究如何以正常外表包覆惡意軟體的方式，借此蒙混過(guò)關(guān)。故針對防火墻日志(Log)再做進(jìn)一步檢查與分析，補防火墻之不足，方能阻止有心人士乘虛而入。

例如整合具有入侵偵測／防御(IDS/IPS)進(jìn)階功能的資訊安全設備，借助智能控制與比對引擎，自動(dòng)濾除掉防火墻難以辨識的惡意封包，甚至還能結合產(chǎn)業(yè)用特殊協(xié)定或慣性行為模式比對，進(jìn)一步阻斷可疑連線(xiàn)，使其無(wú)法潛入產(chǎn)業(yè)網(wǎng)絡(luò )與位于網(wǎng)絡(luò )底層的終端設備。

分散式架構嚴控資訊安全風(fēng)險 防制災情、遏制擴散

企業(yè)網(wǎng)絡(luò )將安全機制集中部署在網(wǎng)絡(luò )出口，即為內外資料進(jìn)出的閘道，但產(chǎn)業(yè)網(wǎng)絡(luò )的重點(diǎn)保護對象是機臺、裝置，故應將資訊安全設備分散部署在產(chǎn)業(yè)網(wǎng)絡(luò )下每個(gè)子網(wǎng)域的出入口，就近提供防護。如此一來(lái)，即使某個(gè)子網(wǎng)域中已有機臺受到惡意軟體感染，但當惡意軟體隱藏在資訊中企圖潛越，IDS/IPS一經(jīng)察覺(jué)問(wèn)題資訊，即可丟棄封包、或切斷該網(wǎng)絡(luò )對外連線(xiàn)，進(jìn)而將惡意軟體限縮在子網(wǎng)域內，不致讓病毒擴散至整個(gè)產(chǎn)業(yè)網(wǎng)絡(luò )。

曾有制造業(yè)主管透露，過(guò)去一些跳電或故障停機事件，乍看之下似有合理解釋?zhuān)羯钊肫饰?，?huì )發(fā)現機臺中毒恐怕才是問(wèn)題癥結。對于高度倚重生產(chǎn)線(xiàn)持續高效率運作的制造業(yè)者而言，病毒或惡意程式引發(fā)的機臺設備故障，輕則造成生產(chǎn)作業(yè)短暫中斷、影響產(chǎn)能，重則釀成制程報廢、原物料盡付東流，乃至于沖擊交期，損失可謂不輕。

有鑒于此，新漢推出的產(chǎn)業(yè)型防火墻，兼具VPN、防火墻與IDS/IPS功能，提供整合型防御措施，一次解決產(chǎn)業(yè)網(wǎng)絡(luò )的各種安全威脅。劉宏益表示，新漢提供的IDS/IPS引擎，擁有豐富的特征資料庫可供比對，可以透過(guò)日志分析、安全性資訊和事件管理(SIEM)關(guān)聯(lián)分析等途徑，深入挖掘出埋藏在正常表象之中的異常程式或檔案。且即便工廠(chǎng)內部的機臺采用浮動(dòng)IP，搭配虛擬私有網(wǎng)絡(luò )(VPN)穿透層層限制，總部仍能在遠端監看現場(chǎng)。

當業(yè)者勵精圖治，借由設備走向IP通訊化、物聯(lián)網(wǎng)化來(lái)提升管理、營(yíng)運效率的同時(shí)，對于產(chǎn)業(yè)網(wǎng)絡(luò )的資訊安全風(fēng)險也不能等閑視之。故應導入VPN、防火墻與IDS/IPS等整合式防御機制，將病毒、惡意程式屏蔽在產(chǎn)業(yè)網(wǎng)絡(luò )外，借以保護位于產(chǎn)業(yè)網(wǎng)絡(luò )底層的終端裝置，消彌干擾機臺設備正常運作的潛在風(fēng)險，更可防堵駭客入侵，杜絕機密智財、隱私外泄。

關(guān)于新漢（NEXCOM）

新漢電腦股份有限公司，創(chuàng )建于1992年，總部位于臺灣臺北市，事業(yè)部橫跨工業(yè)電腦、車(chē)載電腦、多媒體、網(wǎng)絡(luò )安全及智能監控五大應用市場(chǎng)，并在全球七個(gè)國家設有子公司以提供全球服務(wù)。新漢電腦專(zhuān)精于產(chǎn)業(yè)深耕，目前在無(wú)風(fēng)扇強固型電腦(NISE系列)、車(chē)載電腦(VTC系列)、網(wǎng)安平臺(NSA系列)、多媒體(NDiS系列)等皆居于領(lǐng)導地位。