臺灣博碩士論文加值系統

隨著工業4.0的浪潮、工業自動化技術的發展、工業控制系統的自動化和智慧化，工控網路作為工業自動化的基礎網路也變得越來越複雜，其資訊安全也面臨著日益嚴重的威脅與挑戰。傳統上，生產製造過程主要關注生產效率和系統可用性，對於資安防護的重視程度相對較低。然而，隨著工控網路與企業內部IT系統的融合，以及與內外部網路的連接，工控網路也暴露於內外部攻擊的風險之中。為了解決這些問題，ISA/IEC 62443工業控制系統資安標準提供了一套完整的資安要求與措施。

本研究從IEC 62443標準的範疇架構、基礎要求的角度出發，探討工控網路在工業系統中的應用情況、網路安全架構與安全管理措施，包括工業自動化及控制系統安全與工控網路安全等方面，並運用個案研究法輔以深度訪談與文獻資料探討雙重方法蒐集資料，通過分析個案企業的背景、導入IEC 62443標準的原因和效益，以及驗證範圍，深入探討IEC 62443標準的具體實施和驗證步驟，以提供實際的驗證建議指南。希望本研究的成果將有助於提高企業對IACS資安風險的認識，並提供工控網路實際可行的資安防護措施和建議，同時也為相關領域的研究者提供參考和促進工業控制系統、網路的資安研究和發展提供貢獻。

With the wave of Industry 4.0, the development of industrial automation technology, and the automation and intelligence of industrial control systems, industrial control networks as the foundation of industrial automation have become increasingly complex, and their information security faces growing threats and challenges. To address these issues, the ISA/IEC 62443 Industrial Control System Security Standard provides a comprehensive set of cybersecurity requirements and measures.

This study takes the perspective of the scope and basic requirements of the IEC 62443 standard to explore the application of industrial control networks in industrial systems, network security architecture, and security management measures, including industrial automation and control system security and industrial control network security. The research utilizes a combination of case study methodology, in-depth interviews, and literature review to collect data. By analyzing the background of the case companies, the reasons and benefits of implementing the IEC 62443 standard, and the verification scope, it delves into the specific implementation and verification steps of the IEC 62443 standard, providing practical verification recommendations and guidelines.

摘 要 i
ABSTRACT ii
誌 謝 iii
目 錄 iv
表 目 錄 vi
圖 目 錄 vii
符號說明 viii
壹、 緒論 1
一、 研究背景與動機 1
二、 研究目的與重要性 2
貳、 文獻探討 3
一、 工業控制系統與資安風險 3
(一) 工業控制系統概述 3
(二) 工業控制系統網路架構模型 6
(三) 歷年工業控制系統領域的重大資安事件 9
二、 ISA/IEC 62443標準內容探討 11
(一) IEC 62443標準的發展背景 11
(二) IEC 62443標準的範疇架構、角色與對應關係 13
(三) IEC 62443標準的基礎要求 21
(四) IEC 62443標準的網路安全架構 24
參、 工控網路的資訊安全要項與控制措施 28
一、 IEC 62443標準於工控網路的安全要項 28
二、 IEC 62443標準於工控網路的安全管理措施 30
三、 IEC 62443標準於工控網路的安全技術作為 33
(一) 工控網路可視化 33
(二) 網路微分段 35
(三) 行為異常與威脅偵測 37
肆、 案例探討與分析 39
一、 ISA/IEC 62443的驗證方式 39
(一) IEC 62443的3種認證機制 39
(二) 認證方式的涵蓋範圍 41
二、 工控網路對應IEC 62443標準的導入案例分析 43
(一) 個案企業背景介紹 43
(二) 個案企業導入IEC 62443標準之緣由 43
(三) 個案企業導入IEC 62443標準驗證之目標效益 44
(四) 個案企業導入IEC 62443標準之驗證範圍 45
三、 IEC 62443-2-4的安全計畫需求與驗證實施步驟 48
四、 IEC 62443-3-3的安全計畫需求與驗證實施步驟 52
五、 ISA/IEC 62443驗證過程所遇困難與解決方法 55
(一) 進行ISA/IEC 62443驗證所遇困難與解決方法 55
(二) ISA/IEC 62443驗證後反饋 57
伍、 結論與未來展望 58
一、 研究結論與貢獻 58
二、 研究限制與未來展望 59
三、 實務應用建議與展望 60
參考文獻 62
附錄一 65

[1]NIST, 2015, Guide to Industrial Control Systems (ICS)Security, NIST Special Publication 800-82, Revision 2, May.
[2]John Moor, 2020, Cybersecurity Standards in OT and Industrial IoT, EE Times. Retrieved May 23, 2023, from https://www.eetimes.com/cybersecurity-standards-in-ot-and-industrial-iot/
[3]陳曉莉，2010，伊朗核電廠受到Stuxnet蠕蟲感染，iThome。2023.05.23取自https://www.ithome.com.tw/news/63565
[4]吳依恂，2011，駭客入侵供水系統民生建設資安成大問題，資安人。2023.05.23取自https://www.informationsecurity.com.tw/article/article_detail.as px?aid=6492
[5]TechNews科技新報，2016，烏克蘭電力系統遭駭原因是網路釣魚，如何加強資安防護引討論，T客邦。2023.05.23取自https://www.techbang.com/posts/ 42951-ukraines-power-system-has-been-hit-by-phishing-and-discussions-about-how-to-strengthen-security
[6]台灣積體電路製造股份有限公司，2018，台積公司公布電腦病毒感染事件影響，新聞集錦。2023.05.23取自https://pr.tsmc.com/chinese/news/1969
[7]WIKIPEDIA, 2021, Colonial Pipeline ransomware attack. Retrieved May 23, 2023, from https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
[8]Eduard Kovacs, 2022, Omron PLC Vulnerability Exploited by Sophisticated ICS Malware, SECURITYWEEK NETWORK. Retrieved May 23, 2023, from https://www.securityweek.com/omron-plc-vulnerability-exploited-sophisticated-ics-malware/
[9]蕭凱元，2022，以ISO 27001輔以IEC 62443於工業自動化與控制系統之控制目標差異初探，中興大學，碩士論文。
[10]ISA, The World’s Only Consensus-Based Automation and Control Systems Cybersecurity Standards, International Society of Automation. Retrieved May 26, 2023, from https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
[11]David Lin，2021，什麼是IEC 62443？2023.05.26取自https://linchew.com/2021/04/什麼是iec-62443/
[12]ISA, 2020, Quick Start Guide: An Overview of ISA/IEC 62443 Standards Security of Industrial Automation and Control Systems.
[13]經濟部，2019，工控物聯網共通性資安指南。
[14]TWNIC，2018，隱藏在細節裡的資安魔鬼，2023.05.23取自https://blog.twnic.tw/2018/09/28/1426/
[15]IEC, 2018, Security for industrial automation and control systems –
Part 4-1: Secure product development lifecycle requirements,IEC 62443-4-1:2018.
[16]經濟部，2019，工控設備業工控物聯網資安實務指南。
[17]行政院資通安全處，2018，關鍵資訊基礎設施資安防護建議。
[18]Fairline，CLAROTY INDUSTRIAL，2023.06.09取自https://www.fairline.com.tw/product.php?act=view&id=31。
[19]Fortinet，2021，保護工業4.0 OT考慮的因素和影響白皮書。
[20]iThome，2022，零信任安全第一步: 從「最小權限-微分段」做起，2023.06.09取自https://ithome.com.tw/pr/150535
[21]Akmamai，網路分段和Zero Trust，2023.06.09取自https://www.akamai.com/zh/glossary/what-is-network-segmentation
[22]陳逸格，2023，椰棗科技推出eSAF模組化工廠資安方案，工商時報，2023.06.09取自https://ctee.com.tw/industrynews/technology/824185.html
[23]中華軟協，2022數位應用週，2023.06.09取自https://digi.cisa.tw/expo/Exhibition/Vendor?hall_id=3349372792&vendor_id=3542652934
[24]David Lin，2021，IEC 62443的3種認證機制，2023.06.11取自https://linchew.com/2021/04/3-certification-scheme-for-iec-62443/
[25]Jim Chiu，2019，必維提供IEC 62443資安解決方案助客戶建立嚴密產業安全網，2023.06.11取自https://ee.bureauveritas.com.tw/BVInternet/News/1123;main IDX=1121
[26]劉叡，2022，中華資安國際取得IEC 62443實驗室認證 可提供國際認可工控資安檢測報告，iThome，2023.06.11取自https://www.ithome.com.tw/pr/ 153840
[27]張丹鳳，2021，安華聯網獲IECEE CBTL資格協助客戶取得IEC 62443認證，DIGITIMES，2023.06.11取自https://www.digitimes.com.tw/tech/dt/n/ shwnws.asp ?cnlid=13 &id=0000619022_P441WXQV141DA7360GKOV
[28]李維楨，2023，“從IEC62443看儀器應具備的資訊安全功能“，科儀新知，234期，頁10-14，3月。
[29]經濟部標準檢驗局，2022，中華民國國家標準CNS-工業自動化及控制系統之安全性-第2-4 部: IACS服務提供者之安全計畫要求事項CNS 62443-2-4:2022 X6143-2-4。
[30]張丹鳳，2023，如何建構IEC 62443-2-4 & 3-3防護基底，DIGITIMES，2023.06.22取自https://www.digitimes.com.tw/tech/dt/n/shwnws.asp?id=000065 7043_U8719TS53PXFLM4OY34BR
[31]經濟部標準檢驗局，2022，中華民國國家標準CNS-工業通訊網路-第3-3 部: 系統安全要求事項及安全等級CNS 62443-3-3:2022 X6143-3-3。
[32]魏銪志、吳易昇、祝亞琪，2020，“資訊與工控資通安全風險管理機制評估“，資訊安全通訊，第26卷，第4期，頁17-33，12月。
[33]ISA, Applying ISO/IEC 27001/2 and the ISA/IEC 62443 Series for Operational Technology Environments. Retrieved July 2, 2023, from https://gca.isa.org/ applying-iso/iec-27001/2-and-the-isa/ iec-62443-series-for-operational-technology-environments