OT 網路分段策略：建構安全的工業網路架構

為什麼需要 OT 網路分段？

隨著工業 4.0 與數位轉型的推進，IT 與 OT 網路的融合趨勢日益明顯。然而，缺乏適當的網路分段策略，一旦 IT 環境遭到入侵，攻擊者可能直接橫向移動到 OT 環境，威脅關鍵基礎設施的安全。

網路分段是 OT 安全的第一道防線，也是最基本但最重要的安全措施之一。

Purdue Enterprise Reference Architecture

Purdue Model（又稱 Purdue Enterprise Reference Architecture, PERA）是工業網路分段的經典參考架構，將工業環境分為以下層級：

Level 0：物理過程（Physical Process）

• 實際的物理設備與感測器
• 例如：馬達、閥門、溫度感測器

Level 1：基本控制（Basic Control）

• 直接控制物理過程的設備
• 例如：PLC、RTU、安全控制器

Level 2：區域監控（Area Supervisory Control）

• 監控與操作控制系統的設備
• 例如：HMI、工程工作站、SCADA Server

Level 3：站點營運（Site Operations）

• 管理生產營運的系統
• 例如：歷史資料庫、MES（製造執行系統）

Level 3.5：非軍事區（DMZ）

• IT 與 OT 之間的緩衝區域
• 用於安全地交換數據

Level 4-5：企業網路（Enterprise）

• 企業 IT 系統
• 例如：ERP、Email、Internet

分段策略最佳實務

1. 建立 IT/OT DMZ

在 IT 與 OT 網路之間建立 DMZ 是最關鍵的第一步：

• 禁止 IT 網路直接連線到 OT 設備
• 所有跨界數據交換必須透過 DMZ 中的中間服務器
• DMZ 中部署的服務包括：跳板機、資料中繼、安全閘道

2. 細化 OT 內部分段

不要將所有 OT 設備放在同一個網路中：

• 按照功能區域（例如：不同的生產線）進行分段
• 按照安全等級（IEC 62443 SL）進行分段
• 將安全儀表系統（SIS）與基本控制系統隔離

3. 實施最小權限原則

• 僅允許必要的通訊流量通過
• 基於工控協定的功能碼進行白名單控制
• 限制管理存取的來源 IP 與時段

4. 監控跨段通訊

• 記錄所有跨段通訊的日誌
• 設定異常通訊的告警規則
• 定期審查通訊規則的有效性

常見的實施方案

工業防火牆

在 Zone 之間部署工控感知防火牆：

• 支援 OT 協定深度解析
• 工控協定白名單控制
• 不影響即時性的高性能設計

VLAN 劃分

利用工業級交換器的 VLAN 功能：

• 在 Layer 2 層級進行邏輯隔離
• 搭配 ACL 進行存取控制
• 成本較低，適合初期實施

單向安全閘道

用於高安全要求的場景：

• 透過硬體層面確保資料只能單向傳輸
• 適用於 Level 3 到 Level 3.5 的數據傳送
• 物理性地阻止外部攻擊進入 OT 環境

實施注意事項

1. 充分了解通訊需求：在實施分段前，必須完整盤點所有合法的通訊流量
2. 分階段實施：從監控模式開始，確認不影響營運後再切換到阻擋模式
3. 保持文件更新：維護完整的網路架構圖與通訊矩陣文件
4. 緊急旁路設計：確保在極端情況下可以快速恢復通訊

結語

網路分段是建構安全工業網路的基石。正確的分段策略不僅能有效阻止攻擊者的橫向移動，也為其他安全措施的部署提供了清晰的架構基礎。

CyberOT Lab 的 AI IPS 與 OPS 能夠協助您在設備交付、邊界防護與現場作業上建立更安全的分段流程。聯繫我們了解更多。