工業 4.0 又稱「第四次工業革命」,提倡以數碼資訊整合感應器、物聯網、大數據等技術,串連整個生產與服務的價值鏈。工業 4.0 大大加強生產效率和彈性,迎合現今市場對個性化產品的需求。例如客戶落單採購一刻,已可將客戶指定的產品規格,直接傳送到工廠的設備,自動排期生產。
生產線連網成保安隱患
舊式的工廠生產線毋須聯繫外界,大部份設備都位於同一個區域網絡(LAN),一般不會連接互聯網,保安管理較簡單。但「工業 4.0」的工廠網絡必須連接互聯網,增加了向外開放的網絡接口,並有大量數據在未必可靠的網絡上傳輸,帶來新的網絡保安隱患。
2017 年 WannaCry 大舉肆虐,顯示出黑客只須掃描互聯網上有漏洞的設備,不需借助任何用戶的互動,便可遙距入侵。根據互聯網設備掃描器 Shodan 的數據,香港在 2017 年 6 月就有 58,000 多個工業控制系統暴露在互聯網上,只要一台設備感染,就可以快速地入侵內部網絡。
事實上,近年針對工業系統的攻擊持續上升,在 2016 年便錄得超過一倍的升幅,部份攻擊更大規模影響公眾,例如 2015 年烏克蘭變電站被黑客入侵,導致在寒冬停電六小時,影響 23 萬人;當地在 2016 年再度受襲,停電約一小時。
緩衝網絡阻攻擊擴散
工業系統被黑客入侵,不單工商企業蒙受損失,更可能影響公眾,甚至危害人命 。企業該怎麼辦?最基本的保安措施是安裝工業用防火牆,以分隔工廠網絡和互聯網,攔截來自互聯網的網絡攻擊,維持系統正常運作。
不過,單靠一個防火牆並未足夠,萬一其中一台設備被黑客成功入侵,就很大機會波及同一網絡的其他設備。故此也要用防火牆把工廠網絡與辦公室網絡、管理系統網絡和生產系統網絡等分隔,避免任何一個網絡被入侵,蔓延到其他網絡。
由於管理系統分別需要與不同網絡上的辦公室及生產系統交換數據,為了加強保護,要設置一個獨立的緩衝網絡,並放置數據伺服器;只容許單向進入數據伺服器的連接,不容許從數據伺服器通向其他網絡,讓緩衝網絡成為一個阻隔區域,阻止網絡攻擊的擴散。
設計網絡安全架構
除了安裝工業用防火牆,不斷監控網絡安全狀況之外,廠商還要進行人員培訓,以加強系統管理人員對工業控制系統及物聯網保安的認識,定期審查網絡保安架構和設計,以及建立並行運作的系統,提供無間斷服務,以應對智能製造新紀元的保安挑戰。
大家緊記,網絡保安是成功推行工業 4.0 的關鍵,建立工業 4.0 營運系統,須由網絡安全架構設計做起。企業想了解如何防範工廠網絡的保安風險,可向生產力局轄下電腦保安事故協調中心查詢 (hkcert@hkcert.org)。
作者:黃家偉
生產力局 資訊科技部總經理
