在工業與製造環境中Industrial 系統(ICS)已被廣泛部署,但這些系統的設計初衷在於確保安全、提供確定性輸出以及維持系統正常運行時間,而非防範網路威脅。可程式邏輯控制器(PLC)、人機介面(HMI)、歷史資料庫及分散式控制系統通常需持續運作,且無法承受任何中斷。
與此同時,製造商正面臨壓力,必須在各工廠之間建立集中式監控系統,將營運技術(OT)數據與資訊技術(IT)及安全營運中心(SOC)平台整合,以實現遠端監控、診斷,甚至存取敏感網路。這種融合在各區域邊界之間帶來了風險。
諸如 IEC 62443 等標準假設,網路分段失敗不僅會導致資料外洩,更會直接引發營運風險。在營運技術(OT)環境中,網路安全事件可能導致各種災難性後果。 生產停工是最常見的後果之一:2021 年對Colonial Pipeline 的勒索軟體攻擊,迫使美國最大的精煉燃料輸油管線停運六天,引發 17 個州的燃料短缺,並導致總統宣布進入緊急狀態;而 2019 年Norsk Hydro 遭受的 LockerGoga 攻擊,則導致 40 個國家的自動化鋁生產停擺,造成 7,000 萬至 8,000 萬美元的損失。
設備損毀同樣真實存在:2014 年,駭客入侵一家德國鋼鐵廠後,從企業網路轉向生產控制系統,並阻止高爐安全停機,造成大規模的實體破壞——這是繼「震網」(Stuxnet)之後,第二起經證實造成實體損害的網路攻擊。
安全事故是最令人憂心的類別:2017 年針對 Petro Rabigh 發動的 TRITON 惡意軟體——普遍被視為首個旨在造成人員傷亡的惡意軟體——利用防火牆設定錯誤入侵安全儀表系統,若非因程式碼錯誤導致攻擊失敗,本可能引發有毒的硫化氫洩漏或爆炸事故。
2025 年波蘭能源部門遭受的網路攻擊等事件,也凸顯了此類攻擊對環境與公共安全造成的影響。在該事件中,攻擊者破壞了人機介面(HMI)資料、篡改了營運技術(OT)韌體,並導致設施與電網營運商之間失去監控與控制能力。更重要的是,某些地區已將 IEC 62443 標準納入法律:例如歐盟的《NIS2 指令》,該指令中ISA/IEC 62443 被視為工業基礎設施的主要合規框架,該指令對關鍵實體處以最高1,000 萬歐元或全球年度營收 2% 的罰款,並追究高階管理層的個人責任——這意味著任何不合規情況都可能引發重大財務與法律後果,同時高階管理層亦須承擔個人責任——這意味著任何不合規情況都可能引發重大財務與法律後果。
雖然工業防火牆和基於 VLAN 的區隔技術常被用來緩解這類風險,但它們也為操作人員帶來了重大挑戰。這些解決方案在漫長的系統生命週期中,完全仰賴正確的配置;然而,對舊式 OT 協定的支援並非總是可用,且往往缺乏足夠的驗證或認證機制。此外,防火牆的特性允許雙向通訊,導致惡意軟體得以透過受信任的回傳路徑進行傳播。
邏輯分段雖有助益,但並不能強制實現隔離。當 IT 網路或外部網路能夠主動向 OT 區域發起通訊時,便會同時引入重大風險:惡意軟體可能從 IT 系統轉移至生產系統,並利用監控路徑,透過遭竊取的憑證發送控制流量,從而繞過分段隔離機制。
IEC 62443標準明確規定:各區域必須透過可強制執行的傳輸通道進行保護。資料二極體能在物理層強制實施單向通訊,這提供了一種絕佳的解決方案,如同「快速通道」般能滿足此類要求:資料可以從較低層級的 OT 區域傳出,但無論軟體狀態如何或是否遭到入侵,皆無法回傳。這直接符合 IEC 62443 標準關於明確的區域邊界、確定性的傳輸通道,以及安全層級之間不應存在隱含信任等原則。
透過資料二極體,製造商可在不允許入站流量進入控制區域的情況下,匯出生產指標、複製歷史資料庫、串流警報與日誌,並支援集中式監控。這有助於簡化第 3-2 部分所定義的安全風險評估流程。
進一步研讀第 3-3 部分關於安全等級的內容,在設計架構中採用二極體(Diode)的作法,與 SR 5.2 — 區域與管線邊界保護、SR 5.1 — 網路分段、SR 3.1 — 通訊完整性,以及 SR 7.6 — 可用性之網路分段等規範高度吻合。 二極體不僅能透過限制對系統與網路的實體及邏輯存取來縮小攻擊面,更能將網路進行區隔,並以確定性方式控制網路間的流量。這使製造商得以採用深度防禦策略,在某些最關鍵卻無法變更的網路邊界中插入新的防護層,同時無需進行大規模的系統重建。
這種轉變是從邏輯分割轉向實體強制執行。在維持可視性的同時,控制權並未被共享。
此機制在監控外發數據的同時,確保控制系統保持隔離狀態,並使區域邊界無法被繞過。從安全態勢的角度來看,它消除了入站攻擊路徑,降低了橫向移動的風險,並針對配置錯誤和協定濫用提供卓越的防護。
透過採用此方法,製造商可確保營運連續性,既不影響即時控制,亦無需依賴舊有通訊協定的安全性,同時維持穩定且可預測的運作。此舉亦為符合 IEC 62443 區域與管線要求鋪平道路,簡化文件編製與驗證流程,並透過一套可辯護且可重複的架構,提供實質的準備就緒能力。
在必須嚴格執行區域隔離(而非僅是假設)的工業環境中,基於硬體強制執行的單向資料傳輸解決方案正被越來越廣泛地採用。 MetaDefender Optical Diode 能實質上阻斷任何通往受保護網路的回傳路徑——並非透過規則或政策,而是藉由消除任何能傳輸入站流量的光路徑來實現。
諸如MetaDefender Optical Diode 解決方案Optical Diode 提供符合工業級標準的隔離功能,同時不影響運作。
