關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 營運技術
顯示分類
2026.01.23
標準與框架/營運技術
重新思考大型造船廠的OT安全
詩經小雅:他山之石,可以為錯。週報藉由翻譯整理這篇報導,藉由大型造船廠的OT安全的分析,分析與評估組織既有OT環境的安全性,以強化OT安全防護。
在本次 Help Net Security 的訪談中,達門(Damen)造船集團首席資訊安全長 Hans Quivooij探討了造船廠的營運技術 (OT) 和工業控制系統 (ICS) 安全問題。他概述了專案製營運、輪調承包商和臨時系統如何擴大威脅面並使存取控制更加複雜。Quivooij 還涵蓋了傳統環境中的可見性以及 IT 和 OT 整合帶來的風險。
“Damen”指的是 Damen Shipyards Group(達門造船集團),一家來自荷蘭的大型家族式船舶建造與工程集團。根據公開資料,Damen 是一家成立於 1927 年 的荷蘭私人造船集團,總部位於荷蘭 Gorinchem。
其業務涵蓋 船舶設計、建造、維修及船用設備供應,產品包括拖輪、工作船、海軍巡邏船、散貨船、挖泥船、遊艇等多類型船舶。集團在全球擁有超過 35 家船廠與維修基地,員工約 12,000–12,500 人,是全球領先的造船企業之一。
以下是這篇訪談的原文翻譯整理
造船廠將使用壽命長的工業設備與週期短的專案和承包商結合。與更靜態的營運技術環境相比,這種基於專案的營運模式如何改變威脅面?
造船廠的運作始終充滿矛盾。一方面,需要建造能夠可靠運作數十年的重型工業基礎設施;另一方面,每艘在建船舶都會形成一個臨時的、專案驅動的環境,擁有自身的系統、人員和准入要求。這種組合從根本上改變了威脅面,與靜態的OT環境不同,網路很少處於真正的穩定狀態。網路會隨著專案的進展而改變。調試期間會出現臨時系統,然後又會消失。上個月還合理的訪問權限,在最初的任務完成後可能仍然保持啟用狀態。隨著時間的推移,這會造成配置漂移,而這種漂移很難被發現,直到出現問題為止。
人們常常忽略的是人的因素,造船廠的設計本身就以承包商為主。專家輪流進出,自備工具、筆記型電腦和工程環境。在專案進行期間,這些外部環境實際上就成了你實際運作的一部分。如果你把它們視為“外部環境”,那就已經犯了一個危險的錯誤。
令人不安的事實是,傳統的以邊界為中心的安防策略無法很好地應對這種現實,安全基線本身就在不斷變化。就我們而言,這意味著我們將變化本身視為一種安全訊號,而不是例外情況。因此,造船廠的安全重點不再是守衛固定的邊界,而是在一個不斷變化的環境中持續評估信任。
許多造船廠依賴老舊的PLC和專有控制系統,這些系統無法透過傳統方式進行修補或監控。實際上,如何在不中斷營運的情況下建立有效的可視性?
在營運技術(OT)中,可用性始終是首要考慮因素。如果安全控制措施干擾了運營,通常會被繞過或拒絕,而且往往理由充分。這種限制迫使我們轉變思維方式:
首先要轉變觀念,摒棄「提高可見性就必須更換設備本身」的想法,在許多傳統環境中,這根本行不通。所以,你必須另尋他法。
在實踐中,真正有效的可見性往往始於網路層面,採用被動觀察而非主動查詢的方式。透過觀察系統間的通訊方式,而不是透過干預,就能了解「正常」狀態。這樣,無需觸及控制系統,就能獲得行為基線。
這也正是與工程師密切合作至關重要的原因。在傳統的OT環境中,文件往往不完整或過時,建置或維護系統的人員通常比任何工具都更了解情況,忽視這些知識是安全團隊有時會犯的錯誤
分段有助於在這種複雜環境中理清頭緒。透過清楚劃分工程環境、承包商存取區域和核心OT系統,可以減少不必要的風險暴露,其目標是為那些實際上無法進行修補或現代化改造的系統建造一個穩定的安全屏障。
職能治療中的可視性很少能做到完美,但也不需要完美。它只需要夠好,讓你能夠注意到現實何時開始偏離你所認為的真理。
數位化造船、預測性維護和數位孿生都需要更緊密的IT和OT整合。當企業領導者過快地推進互聯互通時,您見過哪些安全控制措施失效的情況?
當人們將互聯互通視為技術捷徑而非策略決策時,這種做法通常會失敗。數位化造船確實能帶來許多好處,但每一次新的連結都會改變風險狀況,無論這一點是否被明確地認識到。
在達門公司,我們發現,問題往往始於系統連接之前,而此時它們所暴露的數據尚未得到妥善分類。一旦資料開始流動,尤其是在流入更廣泛的IT或分析平台時,之後再重新建立邊界就變得非常困難。此時,安全控制措施將被迫適應在時間壓力下已經做出的決策。
另一個反覆出現的模式是我稱之為專案驅動捷徑的做法。在時間緊迫的情況下,團隊為了完成任務而創建直接集成,並假定這些集成只是臨時性的。但實際上,這些連接往往會持續遠遠超出預期的時間,因為之後移除它們會造成操作上的不便。正因如此,我們才刻意將架構和安全審查融入專案生命週期中,而不是將其視為事後才進行的環節。
在我們的環境中,可持續的IT/OT整合意味著完全避免臨時連接。當我們連接船舶、船廠和岸上系統時,我們透過精心設計的整合路徑來實現。 Triton Guard平台的使用就是一個實際的例子:安全的遠端存取、分段和監控被視為數位化解決方案本身的組成部分,而不是後期添加的可選附加功能。這使我們能夠在IT和OT不斷融合的過程中,既能保持控制,又能推動創新。
遠端供應商存取仍然是常見的薄弱環節。診斷和支援固然重要,但如果沒有強有力的身份控制、明確的時間限制以及對會話期間實際發生情況的可見性,遠端連線可能會悄悄演變成一條永久性的存取途徑。
從理論上講,這一切似乎都在可控範圍內。然而,在複雜的造船廠環境中,除非管理能夠跟上技術發展的步伐,否則這種情況很少發生。因此,在達門,我們將互聯互通視為一項經過深思熟慮的風險決策,而不是僅僅因為其能夠提高速度就默認批准的做法
造船廠是承包商眾多的環境,通常有多家供應商需要存取同一系統。當數十家外部機構需要在緊迫的時間內存取營運技術(OT)系統時,最小權限原則的實際應用應該是什麼樣子?
最小特權原則聽起來很簡單,但在造船廠裡,很快就會變得一團糟。由於許多外部合作方都面臨時間壓力,真正的挑戰不在於授予存取權限,而是確保在不再需要時立即撤銷存取權限,悄然保留的存取權限往往比主動授予的存取權限風險更大。
在實務中,最小權限原則意味著嚴格把控時間和目的,存取權限應預設過期。它應該與特定任務關聯,而不是與專案或個人角色關聯。我們發現,自動撤銷存取權限通常比在前端增加額外的審批步驟更有效。如果一個存取權限無法用一句話解釋清楚,那麼它可能就不應該存在
分段式架構再次使這種模式可行。供應商很少需要存取所有資源,他們只需要存取部分資源。相應地建構OT環境可以限制出現問題時的影響範圍。
在我看來,真正的風險不在於有人獲得了存取權限,而在於當這種存取權限悄悄變成永久性的,卻無人察覺。因此,OT中的最小權限原則與其說是限制,不如說是控制。
鑑於造船和海軍供應鏈的地緣政治敏感性,造船廠應該如何區分國家層面的威脅和以經濟利益為動機的攻擊者?
差別在於耐心和意圖,以經濟利益為目的的攻擊者通常追求快速見效和立竿見影的效果。而國家級攻擊者往往滿足於悄無聲息、持續有效的入侵,這種入侵方式能夠長期發揮作用。
對於造船廠而言,這改變了他們解讀訊號的方式。沒有中斷並不意味著沒有安全漏洞。長期有效的憑證、微妙的存取模式或「看似合理」的資料流,往往比明顯的惡意軟體更具參考價值。
供應鏈尤其值得關注,攻擊者很少會選擇防禦最嚴密的目標,規模較小的合作夥伴、工程環境或臨時專案往往更容易成為攻擊的切入點。
正是在這裡,韌性變得至關重要,你不能想當然地認為可以永遠阻止所有高級攻擊者。目標是儘早發現威脅,限制影響,並防止靜默訪問演變為戰略優勢。對我們而言,這意味著將網路安全視為一項常態化的管理議題,而不是僅僅在事件發生時才被重視。從這個意義上講,造船業的網路安全不僅僅是一個IT問題,而是更廣泛的風險和業務連續性管理的一部分。

以造船廠作業特性為基礎,建立 OT 安全管理指引
  1. 指導原則(Principles)
  • 變化即訊號(Change-as-a-signal)
-在專案驅動的環境中,網路與權限不斷變動是常態,偏離行為基線應被視為首要安全訊號。
-安全目標從「守住固定邊界」轉為「在動態環境中持續評估信任」。
  • 可用性優先但不犧牲可視性
-以被動觀測(網路層側錄、鏡像流量)為主,避免對舊 PLC/專有控制系統進行主動輪詢或高負載掃描。
-可視性不需完美,但要「足夠好」以辨識偏離。
  • 承包商即內部環境的一部分
-外部專家、工具、筆電與工程環境在專案期間事實上是生產系統的延伸,不得將其視為「外部」而放鬆控管。
-所有第三方均需納入身分、裝置與連線的持續信任評估。
  • 最小權限以時間與目的為核心
-權限預設到期、綁定任務(非專案/角色)、自動撤銷優先於人工審批疊加。
-真正風險在於權限悄然變成永久且無人察覺。
  • 互聯互通是風險決策,不是技術捷徑
-在資料跨邊界前需先完成資料分類與邊界設計,禁止「臨時連線」自然延命。
-安全審查與架構審核嵌入專案生命週期(非事後補救)。
  • 以韌性為底,與高階威脅長期共存
設存在靜默、長期潛伏的對手(尤其國家級),建立早期偵測、影響限縮、快速回復的作戰型態。
  1. 治理與職責(Governance & Roles)
  • OT 安全委員會(跨部門):OT/IT/工程/專案/採購/法務/資安共同治理,月會決策。
  • 資安架構審查板(ARB):所有 IT/OT 整合、資料出界、遠端存取、臨時系統上線前必經審查。
  • 專案安全責任制(PSO):每艘船/專案指定一位專案安全負責人,貫穿啟動~報廢。
  • 承包商安全官(VSO):要求主要供應商指定安全窗口,對身分、裝置、作業遵循負責。
  • RACI(示例)
-網段分段策略:R(OT 安全)、A(CISO/OT 主管)、C(工程、IT 網路)、I(專案經理)
-遠端廠商開通:R(OT 安全)、A(ARB)、C(系統負責人/專案)、I(SOC)
  1. 資產與可視性(Passive-first Visibility)
  • 被動流量觀測
-在關鍵交換器/路由器部署 SPAN/TAP,收集 OT 協議(Modbus、PROFINET、EtherNet/IP 等)不干擾式側錄。
-建立行為基線:裝置對誰說話、頻率、命令型態、作業時段,分階段學習(施工/調試/試航/移交)。
  • 多源資產盤點
-以網路觀測為主,結合工程圖紙、PLC 導出清單、工程師口述與現場巡檢。
-每個專案階段觸發小循環盤點更新,避免文件老化。
  • 變更偵測
-監看新 MAC/IP、異常路徑、額外協議、未知工控指令與權限殘留。
-對「上週合理、現在應該不存在」的連線/帳號,觸發自動告警+封存證據。
  1. 網路與分段(Network & Segmentation)
  • 標準分區
-Core OT(Level 1–3):PLC、HMI、SCADA、歷史資料庫
-Engineering Zone:工程工作站、程式上傳/調試工具
-Contractor Access Zone(CAZ):第三方跳板、工作區域(臨時)
-Remote Access Zone(RAZ):受控跳躍伺服器、錄影/命令記錄、工單核對
-IT/Analytics Zone:資料湖/分析平台/數位孿生
  • 控制要點
-白名單通訊(allow-list):以功能/作業步驟設計的最小連通矩陣。
-東西向微分段:工程區↔核心 OT 僅開放必要協議與方向。
-資料出界閘道:單向閘道或經檢查的 API 匯流排;嚴禁點對點「專案捷徑」。
-臨時系統沙箱化:調試/試航期間的臨時站點放入 CAZ,到期自動清除規則。
  1. 身分、存取與最小權限(Identity & Access)
  • 工作任務導向的存取模式
-存取與任務(ticket/work order)綁定,非人員角色或整體專案。
-Just-In-Time(JIT)+ Just-Enough-Access(JEA):藉由工單自動核發短時權限,超時自動撤銷。
  • 遠端廠商流程
-強化身分保護:多因子、受管裝置檢查(健康狀態/EDR/磁碟加密)、地理與時間條件。
-跳板代管:禁止直連 PLC;所有遠端經過 RAZ 跳板,全會話錄影、命令與檔案記錄。
-時間盒(Time-boxed):以分鐘/小時計,結束自動斷線;權限不會「留宿」。
-雙人同行(Four-eyes):高風險作業需第二人即時核可與觀察。
  • 憑證治理
-禁止共用帳號;急救帳號密封保管,取用觸發審計。
-金鑰/憑證定期輪替,長時憑證標記為高風險並重點監控「微妙存取模式」。
  1. 變更與專案生命週期(Project-Driven Change Control)
  • 將安全審查嵌入里程碑
-方案設計:資料分類、分段與邊界設計、整合路徑選型
-施工/調試:臨時系統 CAZ 佈署、JIT 開通、錄影
-驗收:權限與規則收斂、臨時資產下線、基線更新
-移交/運維:持續監控、例行盤點、例行演練
  • 禁止「臨時接就好」
有臨時連線設定必須具備自毀計時器(到期自清)。
  1. IT/OT 整合與資料安全(Data-first Integration)
  • 資料先行治理:在任何資料流動前進行分類(機敏/出口限制/軍民敏感)與最小揭露設計。
  • 標準化整合路徑:使用受管 API/資料匯流排,統一序列化、驗證、審計;避免直連 SCADA/PLC。
  • 數位孿生/預測維護:以複本資料(replicated/aggregated)為主,並設定用途限制(目的綁定)。
  • 回溯切斷(Kill-switch):分析平台一旦異常,能快速單向切斷對 OT 的回寫/控制面。
  1. 監控、偵測與事件處置(Detection & IR)
  • 行為基線偏移偵測:新裝置、非典型工序時段活動、額外協議、寫控制命令峰值。
  • 供應鏈視角:對小型合作夥伴、臨時專案與工程環境給予更高權重警戒。
  • 國家級 vs 經濟型威脅
-經濟型:求快、求立即,嘗試可見度較高。
-國家級:長期潛伏、使用合法看似合理流程與長壽憑證,無中斷≠無入侵。
  • IR 操作要點
-OT 優先:不打斷安全生產為大原則,採「隔離通道/只讀監控」先行。
-分段限縮:在分區邊界做快速阻斷,避免擴散。
-取證保全:保留流量、會話錄影、命令日誌與變更紀錄。
  1. 韌性與備援(Resilience)
  • 最低可運行工序(MLO)清單:界定故障/攻擊下維持的最小功能。
  • 離線手段:關鍵程序的紙本 SOP/急救參數/離線工具,定期演練。
  • 在地隔離能力:站點級別的本地監控與切換,不依賴雲或上游 IT。
  • 復原時間目標(RTO/RPO):針對 OT 特性設立以小時/班次為單位的務實目標。

300天的落地藍圖與績效衡量指標
  1. 落地藍圖:300 天行動計畫
  • 前 90 天(可視性與急救)
-佈署 SPAN/TAP 收集關鍵區段流量;建立初步行為基線。
-建立遠端存取跳板(會話錄影、JIT、MFA)並關閉直連。
-盤點「臨時系統」與「長壽憑證」,設定到期自清策略。
  • 91–180 天(分段與治理)
-完成核心分區(Core OT / Engineering / CAZ / RAZ / IT-Analytics)與白名單策略。
-ARB 上線;所有專案整合必經審查與資料分類。
-啟動 SOC 行為偏移偵測與供應鏈高權重監控。
  • 181–300 天(制度化與韌性)
-廠商安全基線(VSO 指定、健康檢查、裝置控管)全面要求。
-桌上推演(國家級靜默滲透情境+供應鏈跳板),修正 IR 手冊。
-發佈 KPI 儀表與月度匯報節奏,納入管理例會。
  1. 量化與稽核(Metrics & Assurance)
核心指標(示例)
  • 憑證/帳號:
-以任務綁定之JIT 開通比例 ≥ 90%
-存取權限自動到期覆蓋率 ≥ 95%,殘留權限 0(或 < 1%)
  • 變更與可視性:
-臨時系統到期自清率 100%
-新裝置到可見時間(Mean Time to Visibility, MTV) ≤ 24 小時
  • 事件偵測:
-基線偏移到告警平均時間 ≤ 15 分鐘
-會話錄影覆蓋率(遠端高風險操作)= 100%
  • 韌性與演練:
-OT 斷網演練(含離線 SOP)每半年 ≥ 1 次
-供應鏈桌上推演每年 ≥ 1 次

資料來源:https://www.helpnetsecurity.com/2026/01/12/hans-quivooij-damen-shipyards-group-securing-shipyard-ot-ics/
 
解析達門造船集團 (Damen Shipyards Group) 的 OT 安全策略。面對專案制營運、頻繁的承包商存取與老舊 PLC 系統,CISO Hans Quivooij 分享如何透過被動監測、動態信任評估與 IT/OT 整合架構,打造具備韌性的造船業資安防線。