寫在前面:拿到地圖後,如何決定目的地?
在上一篇文章中,我們一起認識了 IEC 62443 這張工控資安的「世界地圖」,了解了它的基本構成、七大基礎要求 (FR) 以及四個安全等級 (SL)。
現在,我們手握地圖,但問題來了:我的系統究竟該前往哪個目的地?是需要輕裝簡行的 SL1,還是固若金湯的 SL4?
這篇文章的核心任務,就是教您如何像一位專業的領航員,透過「風險評估」這項工具,為您的系統選擇出最恰當、最不浪費資源的目標安全等級 (Security Level Target, SL-T)。這不僅是技術,更是一門權衡的藝術。
一、風險導向:工控資安的核心哲學
在開始之前,我們必須先建立一個核心觀念:沒有所謂「100% 的安全」。
資安的目標不是打造一個絕對無法入侵的系統 (那不切實際且成本極高),而是將風險降低到一個可接受的程度。這就是「風險導向 (Risk-Based)」方法的精髓。
想像一下醫生看診:一位病人只是輕微感冒,另一位是心臟病發。醫生絕不會給兩者開立相同的藥方。他會先診斷病情 (評估風險),然後對症下藥 (給予相應的防護)。
在工控資安中,這個「診斷」過程,就是風險評估。一個基本的風險概念可以這樣理解:
風險 = 衝擊 (Impact) × 可能性 (Likelihood)
- 衝擊 (Impact):如果壞事發生了,後果有多嚴重?(例如:產線停擺、工安意外、環境污染)
- 可能性 (Likelihood):這件壞事發生的機率有多高?(取決於威脅來源與系統的脆弱性)
我們的目標,就是找出那些「高衝擊、高可能性」的環節,並投入最多的資源去保護它。
二、第一步:劃分區域,精準防護 (Zoning)
在評估整個工廠的風險之前,直接把整座工廠當成一個單位來分析,會非常困難且不精確。IEC 62443 提供了一個聰明的方法:區域與管道 (Zones and Conduits)。
- 區域 (Zone):將功能類似、資安需求相近的設備圈在一起,形成一個個獨立的「安全區域」。
- 管道 (Conduit):連接不同區域的網路通訊路徑,就像是區域之間的「橋梁」或「通道」。
生活化比喻:設計一棟安全的豪宅
- 整棟豪宅:就是你的整個工廠系統 (System under Consideration, SUC)。
- 區域 (Zones):
- 臥室/書房 (Zone 1):存放個人貴重物品,需要較高的安全防護。
- 客廳/廚房 (Zone 2):訪客可以進入,安全需求相對較低。
- 車庫 (Zone 3):有獨立的出入口,需要特別的管理。
- 管道 (Conduits):連接各個房間的走廊、門、窗戶。你需要確保門是鎖好的,窗戶是堅固的。
為什麼要這麼做? 因為你可以為「臥室」設定 SL3 的高防護等級,同時為「客廳」設定 SL1 的基本防護。這樣既能確保重點區域的安全,又不會把成本浪費在不必要的地方。分區管理,是實現成本效益最大化的關鍵第一步。
三、第二步:系統化的風險評估流程
當區域劃分好之後,我們就可以針對每一個區域 (Zone) 進行風險評估。這個過程像是一次系統性的健康檢查,主要包含以下幾個步驟:
1. 衝擊分析 (Impact Analysis)
問自己:「在這個區域裡,最不希望發生什麼事?」
從最壞的情況開始思考,並根據對業務的影響程度來評分。通常會考量:
- 人員安全 (Health & Safety):是否會導致人員傷亡?
- 環境衝擊 (Environmental):是否會造成環境污染?
- 營運衝擊 (Operational):是否會導致生產中斷?產品品質下降?
- 財務損失 (Financial):是否會造成設備損壞?訂單延遲?
2. 威脅識別 (Threat Identification)
問自己:「誰會來攻擊?他們為什麼要這麼做?」
回想我們在第一篇文章提到的攻擊者類型,並判斷哪一類最可能對這個區域構成威脅。
- SL1 (意外):員工不小心點了釣魚郵件。
- SL2 (簡單攻擊):心懷不滿的離職員工想搞破壞。
- SL3 (專業駭客):為了勒索贖金或竊取商業機密的駭客組織。
- SL4 (國家級):針對關鍵基礎設施的網軍。
3. 弱點評估 (Vulnerability Assessment)
問自己:「我們的防禦有哪些漏洞?」
誠實地檢視目前的安全狀況,找出潛在的弱點。
- 系統是否使用預設密碼?
- 是否有設備從未更新過修補程式?
- 網路存取權限是否過於寬鬆?
- 是否有實體的防護漏洞?(例如機櫃沒上鎖)
四、最終決策:從風險到目標安全等級 (SL-T)
當我們完成了對「衝擊」、「威脅」和「弱點」的分析後,就可以做出最終的決策了。這通常是一個團隊討論的過程,將評估結果對應到一個風險矩陣上。
風險矩陣的簡化邏輯:
衝擊大小 | 事件發生的可能性 | 風險等級 | 建議的目標安全等級 (SL-T) |
---|---|---|---|
低 | 低 | 非常低 | SL 0 或 SL 1 |
低 | 高 | 低 | SL 1 |
高 | 低 | 中 | SL 2 |
高 | 高 | 高 | SL 3 |
非常高 (災難性) | 任何可能性 | 極高 | SL 3 或 SL 4 |
這不是絕對的公式,而是一個決策輔助工具。
實際案例:一座化學反應槽的控制系統
讓我們用一個具體例子來走一遍流程:
- 劃分區域:我們將「化學反應槽的 PLC 控制系統」劃分為一個獨立的 Zone。
- 衝擊分析:
- 如果比例失控,可能導致化學品外洩,危害現場人員安全 (衝擊:非常高)。
- 生產會立即中斷,造成巨大財務損失 (衝擊:高)。
- 威脅與弱點:
- 此系統透過網路與中央監控室連接,存在遠端入侵的可能 (可能性:中)。
- 經檢查,PLC 仍在使用出廠預設密碼 (弱點:高)。
- 綜合來看,一個具備 SL2 等級能力的攻擊者,就很有可能成功入侵 (可能性:高)。
- 決策:
- 我們面臨的是「非常高的衝擊」和「高的可能性」。
- 從風險矩陣來看,這屬於「極高」風險。
- 結論:此區域的目標安全等級 (SL-T) 應設定為 SL3,以確保有足夠的防護能力來應對此風險。
五、常見的誤區與提醒
- 「一刀切」的懶人做法:試圖為整個工廠設定同一個安全等級。這是最常見的錯誤,會導致重點區域防護不足,或是在次要區域浪費過多預算。
- 設定了目標卻不知現況:選擇了 SL-T 後,還需要評估系統當前的安全等級 (SL-A, Achieved)。SL-T 與 SL-A 之間的差距,就是你需要執行的改善項目清單。
- 好高騖遠,追求完美:不是每個系統都需要 SL4。選擇一個符合實際風險、公司能負擔且可維護的等級,才是明智之舉。安全是一個持續的旅程,不是一次性的專案。
結語與下一步
恭喜你,現在你已經學會了如何為你的系統「診斷病情」和「決定藥方」,也就是如何透過風險評估來選擇合適的安全等級。這是從理論邁向實踐最關鍵的一步。
但是,決定了要達到 SL3 之後,具體該做哪些事呢? FR1 (身分識別) 在 SL3 下有什麼要求?FR5 (資料流限制) 又該如何實作?
在下一篇文章**「七大基礎要求 (FR) 詳解與實踐心法」**中,我們將深入探討這七大支柱在不同安全等級下的具體要求,將抽象的目標轉化為可執行的行動指南。
本系列文章將持續更新,期待在工控資安的學習路上一同成長。若有任何疑問或想法,都歡迎留言交流!