工業物聯網時代來臨 智能制造將面對的網絡信息安全挑戰與機會

隨著人工智能技術的進步，智能化(intelligentization)已經成為21世紀最重要的科技主軸。而智能制造主要的核心技術便是物聯網技術與虛實整合系統(Cyber-Physical System，CPS)，再結合大數據分析、人工智能及云計算等技術，將生產過程的每一個環節智能化，借此達到定制化的業務目標，以適應外部市場少量多樣的需求。

過去的制造概念是追求生產自動化，并以SOP(Standard Operation Procedure)標準作業流程大量生產公版化的產品。而智能制造概念則不然，為順應消費群體的購物觀念變化，可快速地定制化生產的制造方式逐漸受到歡迎，這是工業4.0當中相當重要的核心概念。未來的智能工廠將并不單指工業技術的提升，而是整合了技術、銷售以及產品體驗等，使得制造、銷售、物流、售后服務等商業概念連為一體，最終構建出一個具有感知意識的智能世界，而「需求定制化」將是智能制造所追求的主要目標之一。

快速、定制化的生產方式是工業4.0的核心概念

除了需求定制化外，結合大數據分析的智能制造甚至可以通過大量數據來分析出市場的走向、天氣預測、原物料的數量與庫存、運輸的進程及瑕疵改善等，借此精準把握生產量或調度現有資源、減少多余成本與浪費，以此達到生產最佳化。 [1]

工業4.0的來臨，使得世界各國紛紛出臺政策。工業革命的發源地英國早在2008年便提出「高價值制造戰略」，鼓勵英國本土企業制造更多世界級的高附加值產品。2013年更提出「英國工業2050年戰略」，為英國在2050年以前的制造業打造一份方針，其中的核心概念便是以高度定制化、快速響應消費者需求為主。

同樣曾是工業大國的美國也不落人后，2011年聯邦政府開始啟動「先進制造伙伴計劃」(AMP，Advanced Manufacturing Partnership)政策，同樣也是根據舊有制造業概念的不適用所提出的計劃，更于2014年提出AMP 2.0，強調具體實施對策。其中先進制造的核心重點在于，希望藉由智能制造帶來的新商業模式，使得設立于國外的廠商可以開始回流。同樣的概念也在法國綻開，就在德國正式發表工業4.0報告后，法國政府也發表了「工業新法國」的計劃，主要目的與美國相似。

除了上述老牌工業強國外，日本也提出了諸如「產業重振計劃」、「日本工業4.1J」、「社會5.0」等政策。而中國身為21世紀的制造大國，在2015年則提出了為期十年的「中國制造2025」計劃。金磚四國之一的印度同樣跟上工業4.0的潮流，祭出「印度制造計劃」以重整印度的經商環境以及制造產業的問題。[2]

智能制造伴隨而來的安全問題

然而在研究與構建的過程中，隨著系統結構的復雜度提升，網絡信息安全風險也伴隨而來。在融合物聯網、大數據、云計算及人工智能等技術后的領域，將會擴增出大量的信息流空間，而智能制造的主要實行方式，便是以物聯網作為架構基礎，將之應用于制造產業，形成「工業物聯網」(Industrial Internet of Things)體系。經布建后，網絡信息安全漏洞的分布率自然會開始上升，潛在威脅便更容易通過缺口影響到工業物聯網系統，使得整套系統即便僅有一小部分受到損毀，也會影響整體系統的運作;若遭受到黑客入侵，甚至可以癱瘓整套生產系統，造成龐大的金額損失及商譽的損害。

目前與智能制造相關的國際標準規范有國際自動化學會(International Society of Automation，ISA)與國際電工委員會(International Electrotechnical Commission，IEC)頒布的ISA/IEC 62443系列標準，針對工業化自動控制系統(Industrial Automation Control System，IACS)的政策與流程面、系統安全面、元件開發面制定相關規范與指南。美國國家標準暨技術研究院(National Institute of Standards and Technology，NIST)也頒布了NIST.SP.800-82，為SCADA(Supervisory Control And Data Acquisition)、DCS(Distributed Control System)、PLC(Programmable Logic Controller )等工業控制系統標志了相關的安全指南，除了這項指導手冊外，還有諸如NIST.IR.8200、NIST.IR.8228等規范都已發布。而歐盟網絡信息安全局(European Union Agency for Cybersecurity，ENISA)也針對物聯網與網絡安全出版許多相關指導建議以及標準。

工業物聯網面臨的網絡信息安全問題與挑戰

工業物聯網主要專注于M2M(Machine to Machine)、CPS、大數據以及機器學習等技術，也是IT(Information Technology)與OT(Operational Technology)兩大技術領域整合的開端。然而IT與OT本身各自早已具有數百種不同的協定與標準，加上物聯網本身的復雜特性，將會造成網絡安全的責任分配問題。且由于使用生命周期中涉及大量利益相關者，諸如元件供應商可能就有數十間不等，元件分別適用不同的規范或標準，設備又可能因分布在不同的地理位置而適用不同的法律約束，導致工業物聯網產生在標準規范上難以統一，造成「技術碎片化」的問題，而這些標準該如何進行整合或協作，將會是首要面臨的挑戰。 [4]

再者，工業物聯網是一項新興技術，目前仍然在研發及測試階段，針對過去已在OT領域工作數十年的技術人員該如何建立足夠的工業物聯網相關網絡信息安全意識，投入合適的人員培訓將會是另一項值得研究的課題。

人員安全意識不足的問題，同樣也涉及到公司制度層面。目前仍有許多企業對于信息安全的議題不夠重視，未來智能制造建構后伴隨而來的風險將有別以往，然而企業的高級管理層對于網絡信息安全的認識不足，會是未來對工業物聯網的一大挑戰。因為進行網絡信息安全防護工作較難以察覺甚至難以量化其效益值，且還需投入相當成本，所以管理層容易忽視信息安全這項要素，并不將網絡信息安全的重要性與具業務價值的建設并列。這樣的弊端并不是因工業4.0的發展而出現的，而是一個老問題。

對網絡信息安全的認識不足是未來工業物聯網的一大挑戰

以上問題屬建設階段所面臨的困難，建設的過程中如果沒有針對這些問題做出適當的措施，將可能使系統未來承受巨大的網絡信息安全風險。而建置成熟的工業物聯網即便事先排除了上述困難，也不代表風險就此消失。在大量且豐富的信息流不斷相互傳輸運作之下，一旦發生資料外泄，或者資料遭到惡意篡改，便會對工業物聯網系統造成不良的連鎖反應。且智能制造將會使虛擬與實體兩個世界做出更緊密的連接，如物聯網系統發生網絡信息安全事件，對于實體世界的破壞也會相當顯著。

由于智能制造的環境會變得更為復雜多端，加上物聯網系統本身的互聯性，使得攻擊面也將擴大許多，除了一些非人為的風險外，還須特別注意人為造成的威脅，其中黑客入侵便是一種典型的狀況。不安全的連接端口、久未更新的組件、不完整的更新機制等，都會是黑客可能下手的缺口。尤其傳統的工業領域對于更新的接受度相當低落，因為一次更新所引起的停運將會造成企業虧損，所以對于工業物聯網來說，安全的更新會是一項重要的議題。

此外，網絡通訊通道如果疏忽了網絡信息安全防護，諸如分布式阻斷服務攻擊(Distributed Denial-of-Service attack，DDoS)、信息竄改、竊聽、植入惡意程序等網絡攻擊也會是黑客很可能使用的手法，這些攻擊都會造成資產的嚴重破壞或是資料外泄。

領域在轉型的過程當中，一些老舊的設備、傳統的工業系統也會是一項需要關注的網絡信息安全漏洞，在舊有系統的基礎上構建新系統后，可能導致過時的保護措施仍然被使用，以及舊有系統中出現多年未被發現的未知漏洞，這可能使攻擊者找到一種新的方式來危害系統。 [5]

最后，應用程序在開發和設計上如果沒注意安全開發的觀念，軟件上的漏洞也將是黑客入侵系統的大門。而硬件設備在設計中若沒有將網絡信息安全元素納入，也會是攻擊者入侵的缺口。從以上種種示例可以得知，工業物聯網可能遭受的攻擊面十分廣泛，且無論在工業物聯網的哪一端進行破壞皆可能癱瘓整體系統，最后造成的損害甚至傷亡將難以估計。 [6]

自2020年物聯網技術開始全面進行布建。隨著科技日新月異，人們的生活也變得越來越便利。也因科技所帶來的效益，過去數十年間各企業全力追趕將信息技術深入全球各大領域，卻忽略長期穩定運作所須滿足的安全要求，一次次重大網絡信息安全事故的爆發已經證明，僅靠安裝防護軟件無法保證組織的安全以及生產系統的運營安全。

未來智能制造的建設架構將比現在大多數的生產架構都更為錯綜復雜，然而水能載舟、亦能覆舟，一味地追求創新科技所帶來的營利和效果，卻忽略背后隱藏的巨大風險，那么網絡信息安全威脅終會重蹈覆轍，成為一顆不定時炸彈，一旦觸發，損害勢必更勝以往，智能制造所帶來的益處也將化為烏有。

若在危害發生以前便做好完善的網絡信息安全管理措施及方案，且人員具備足夠的網絡信息安全意識，軟硬件設備皆在開發時便將信息安全要素納入考量，那么智能制造將會是一紙美好的藍圖，也會是值得你我共同努力的未來。

媒體報導

·物聯網世界

參考資料:

[1] http://topic.cw.com.tw/2016industry4.0/article.html.

[2] https://scitechvista.nat.gov.tw/c/skZM.htm.

[3] http://class.nchu.edu.tw/bulletin/MOE/105_MoE_re_allr.pdf.

[4] ENISA，“Industry 4.0 - Cybersecurity Challenges and Recommendations”，2019.05。

[5] ENISA，“Good Practices for Security of Internets of Things”，2018.11。

[6] https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/the-iot-attack-surface-threats-and-security-solutions.

來源：仲至信息科技