工控摘要：工控網絡采用業者自行定義的通訊協議，網絡環境封閉。然隨著智能化生產意識抬頭，加上以太網絡普及、連網成本急遽下降，封閉式工控網絡逐漸接軌開放式以太網絡。目前，封閉式工控網絡逐漸接軌開放式以太網絡。
　　
　　工業自動化促使工控網絡接軌標準化以太網絡，固然成就生產智能化，為工廠管理人員帶來實時監控、遠程管理等諸多便利，然也意味著工控網絡門戶洞開，提高蒙受惡意攻擊可能性，因此設立工控網絡防御機制已為必然。
　　
　　工控網絡采用業者自行定義的通訊協議，網絡環境封閉。然隨著智能化生產意識抬頭，加上以太網絡普及、連網成本急遽下降，封閉式工控網絡逐漸接軌開放式以太網絡，但工控網絡一旦開放，將可能讓有心人士乘隙潛入，為避免生產線受到滋擾，工控網絡應增設工業防火墻。
　　
　　深層管理、從嚴管理把關工控網絡安全
　　
　　持平而論，防火墻絕非新穎技術，防護實力愈見強悍，然新漢計算機（NEXCOM）網絡通訊事業部產品規劃處處長劉宏益指出，工控網絡的應用環境與企業網絡迥異，若擬維護工控網絡安全，便需采用工業防火墻進行深層管理、從嚴管理。
　　
　　劉宏益解釋，企業網絡架構涵蓋內網（Intranet）、工廠（PlantNetwork）、工控網絡（ControlNetwork）等三個層次。工業防火墻保護位于內層的工控網絡，其目的為控制工廠使之正常運作，數據流量不大，卻皆為操作所需的控制及監視參數，數據價值*。因此工業防火墻需能支持PROFINET等各式現場總線（Fieldbus）通訊協議，層層拆解數據封包，深入剖析封包結構與封包內容，確保封包的合法性，即所謂的深層管理。
　　
　　相比之下，商業防火墻不支持現場總線通訊協議，封包檢測偏重郵件、網頁與檔案傳輸等類別封包，并不適用工控網絡。
　　
　　以汽車組裝線為例，產在線的每個機械手臂皆為一個網絡節點，各自遵照控制參數運作。若封包夾帶可疑的動作控制參數，要求機械手臂執行標準作業程序以外的動作，工業防火墻在接獲數據封包后，進行深入封包分析時，便能阻擋該數據封包繼續傳送，協助制造業者防患于未然，避免產線因動作控制參數受到竄改，制造出大量的不良品，徒使車廠蒙受巨額財物損失。
　　
　　工控網絡安全從嚴管理則是因為生產設備有限定用途，僅執行特定應用程序，因此工業防火墻使用白名單設定，可阻擋所有不在名單內的應用程序。反觀商業防火墻為企業網絡的統一出口，通行應用程序五花八門，實行黑名單機制，僅阻擋列舉在名單上的應用程序，放行標準相對較寬，因此工業防火墻更能有效保護工控網絡。
　　
　　除此之外，虛擬私有網絡（VPN）加密通道更是工業防火墻需支持的重要功能。由于工控網絡接軌以太網絡，信息傳輸將行經公開網絡環境。為確保從遠程擷取到的現場數據完整、正確，在公開網絡上架設私有信道，并在數據傳輸前先行加密，即便資料遭到竊聽，也難以被惡意破解、竄改。
　　
　　耐受嚴苛考驗牢牢保障生產力
　　
　　工業自動化應用多元，高溫炙人的沙漠油田、火星迸射的煉鋼廠、海風鹽霧交加的風力發電廠所在多有，工業防火墻自需實行強固設計，以在高溫、高濕、高鹽的環境下維持恒常運作。再者，生產設備極為重視效能穩定，對于停機時間有嚴苛的要求，在特殊、關鍵制程甚至不容機器停機，工業防火墻自然亦需具備高可用性（HighAvailability），設有備援機制，在工業防火墻意外故障時，在極短時間內迅速切換，保護工控網絡安全。
　　
　　智能工廠采用標準化的以太網絡，實現實時監控、遠程管理，對于生產、管理效率提升有莫大價值，不容任何惡意攻擊破壞。歷經2010年伊朗核電廠遭駭等重大事件，用戶紛紛對工業設備安全有所警覺，捍衛設備生產力價值的過程中，zui可望發揮關鍵助力的工業防火墻，未來發展前景自然看俏。