建立工控网络信息安全流程并取得国际认证 将威胁风险降至最低

短短几个月内，在台湾省接连发生多起重大网络信息安全事件，包括五月期间大型石化公司和半导体封测厂遭勒索软件感染，六月期间自动化设备厂遭勒索软件感染、PCB大厂遭病毒感染，到了七月，穿戴设备大厂亦遭勒索软件攻击。同时越来越多针对工控设备设计的恶意程序被披露，例如EKANS(Snake)针对GE的Historian，LogicLocker针对PLC，Triton针对Schneider的TriconexSIS控制器等。

仲至信息科技研发总监刘建宗提醒制造业，不能忽视网络信息安全威胁趋势。这些浮上台面的事件，其实只是冰山一角，智能制造网络信息安全问题之多已超乎大家想象，平均每天就有2~4个相关攻击事件。究其主因，首先是工厂采用的OS多为Windows，所以一些被设计用于攻击办公室的病毒，同样可感染工厂；其次工厂遭遇APT攻击的频率日益提升，且往往混杂不同攻击手法，大幅增加检测难度。

再者，不少攻击事件的苦主都有共通点，其网络(含办公网络、服务网络、工控网络、开发网络等)均未依据风险情况采取适当的隔离，导致风险从一个安全缺口扩散至全部网络。此外，对于供应商的安全管理，普遍做得不到位。

OT网络信息安全事件层出不穷，促使越来越多国内外网络信息安全法规问世。例如国内半导体从业人员共同组建供应商安全联盟，进而与SEMI合作并制定半导体机台的网络信息安全标准，拟规定机台不得采用EOS的系统，并根据OT网络不关机、不干涉、不更新的运作惯性，对安全漏洞的防控出谋划策。

仲至信息科技参与智能机械信息通讯安全计划，经过研究发现，许多从业人员并非不重视网络信息安全，而是防护思维偏重「技术方案」，比较严重地忽视了管理层面的网络信息安全意识；除此之外，多数从业人员现行网络信息安全方案未经验证，亦无定期执行漏洞扫描与渗透测试的制度，而且普遍缺乏持续改善的机制，针对委托合作厂商也缺少监督管理机制，这些都亟待改善。如何循序渐进地修复和改善现有网络信息安全缺失？仲至信息科技研发总监刘建宗建议可参照IEC62443标准，当做查核清单时，如果工厂管理者想根据IEC62443来进一步强化巩固网络信息安全管理机制，则可依据IEC62443-2-4标准，并结合第三方背书。

仲至信息科技在国内成功成立了亚洲首个通过美国CTIA授权的网络信息安全实验室，这不仅是国内最早成立的嵌入式设备安全检测实验室之一，同时还是经亚马逊授权的实验室（国内仅两家）。仲至信息科技网络信息安全实验室已协助多家制造商顺利建立工控网络信息安全流程，并使其获得了国际证书。

倘若制造商有意寻求协助来强化网络信息安全，仲至信息科技可提供循序渐进的一站式服务，服务共分为四个阶段：第一阶段为「现况评估」，盘点和评估企业或制造商目前的网络信息安全成熟程度；第二阶段为「制度建立」，协助企业或制造商通过管理来实践网络信息安全防护；第三阶段为「网络信息安全验证」，提供包括整体场域检测、单一设备检测、渗透测试、红队演练等各式服务；最后为「永续网络信息安全」，协助企业将网络信息安全融入企业的文化与价值观，达到持续改善、长期安全的目标。