由英國國家網路安全中心 (National Cyber Security Centre, NCSC) 領導的全球網路安全機構聯合發布了指導文件，為企業所有者和營運商提供了一個目標導向的框架，用於在其環境中設計安全連接。該指導文件旨在幫助資產所有者應對日益增長的業務需求和監管壓力，在連接營運技術 (OT) 網路的同時，有效管理相關的網路風險。

《營運技術安全連接原則》文件列出了八項核心原則，組織可以利用這些原則來設計、保護和管理與營運技術 (OT) 環境的連結。這些原則對於關鍵服務業者尤其重要，因為不安全或管理不善的連線可能會對安全、可靠性和國家安全造成影響。這些原則旨在減少暴露和不安全的連接，並保護 OT 網路免受包括國家支持的攻擊在內的各種高能力和機會主義網路威脅行為者的攻擊。以下是指南中的八大原則摘要：

1. 原則一：平衡風險與機會（Balance the risks and opportunities）

• 核心精神：OT 連線不應只看營運效益（效率、遠端維運），而必須在導入前做風險導向決策。
• 實務重點：

―          每一條 OT 連線都必須有正式的商業與風險評估（business case）

―          明確定義可接受的資安、營運與安全風險門檻

―          特別留意過時（obsolete）設備與供應鏈依賴所帶來的長期風險

―          採用整體系統觀（whole-system view）與威脅建模，而非單點防護

2. 原則二：限制連線曝險（Limit the exposure of your connectivity）

• 核心精神：連線越少、越短、越受控，攻擊面越小。
• 實務重點：

―          OT 環境不開放直接 inbound 連線，所有連線應由 OT 端主動發起

―          使用 DMZ 與 brokered access 取代直接遠端連線

―          採用 Just-in-Time（JIT）存取，非必要不長期連線

―          特別保護管理介面（admin interfaces），必要時僅允許實體或 PAW 存取

―          主動進行 外部攻擊面管理（EASM），即時發現誤曝設備

3. 原則三：集中與標準化連線（Centralise and standardise network connections）

• 核心精神：避免零散、客製化的 OT 連線設計，降低管理與防護複雜度。
• 實務重點：集中 OT 遠端存取點（例如：統一 DMZ 遠端存取平台）

―          連線模式應具備 可重複（repeatable） 與 可分類（categorised） 特性

―          區分人對人、人對機、機對機連線並套用不同控制

―          建立變更管理與淘汰舊連線模式的流程

4. 原則四：使用標準化且安全的通訊協定（Use standardised and secure protocols）

• 核心精神：協定本身就是攻擊面，不能只靠網路邊界補救。
• 實務重點：

―          優先採用具加密、認證與完整性保護的新版工業通訊協定（如 OPC UA、DNP3-SA、Modbus Security）

―          支援 crypto agility，確保長期可更新加密演算法

―          以 schema 驗證與已知良好模型（known good） 驗證資料內容

―          不安全協定僅能例外使用，且須有補償控制與汰換路線圖

5. 原則五：強化 OT 邊界（Harden your OT boundary）

• 核心精神：OT 邊界是最關鍵的防線，必須可更新、可替換、具深度防禦能力。
• 實務重點：

―          採用現代化邊界設備（如具 L7 檢測能力的防火牆）

―          落實 最小權限、MFA、停用預設帳密

―          偏好 單向資料流，必要時採用資料二極體或 Cross Domain 架構

―          邊界設備不得過時，必須納入生命週期管理

6. 原則六：降低入侵後影響（Limit the impact of compromise）

• 核心精神：假設終將被入侵，設計目標是「限制擴散、限制破壞」。
• 實務重點：

―          採用 分區（zones）與微分段（micro-segmentation）

―          嚴格控管橫向移動（lateral movement）

―          實施 職責分離（Separation of Duties）

―          管理與操作設備需遵循 Browse-Down 原則

―          關鍵閘道、交換設備視為高價值資產加強防護

7. 原則七：全面記錄與監控（Ensure all connectivity is logged and monitored）

• 核心精神：監控是最後一道防線，也是事件回應與鑑識的基礎。
• 實務重點：

―          對所有 OT 連線進行 集中式記錄與行為基準建立

―          監控未授權操作、異常行為與資料流偏移

―          Break-glass 帳號必須觸發最高等級警示

―          製造商應提供 預設啟用的安全記錄與鑑識能力

8. 原則八：建立隔離計畫（Establish an isolation plan）

• 核心精神：在高威脅或已入侵情境下，能安全斷線比永遠在線更重要。
• 實務重點：

―          將 OT 隔離計畫納入 BCP / 災難復原規劃

―          支援多層級隔離：全站隔離、特定應用／服務隔離、保留硬體強制單向通訊的選擇

―          隔離策略需定期演練，並考量供應商與國家層級依賴

NCSC鼓勵系統整合商和設備製造商提供安全設計、易於實施和維護的產品，從而幫助企業更輕鬆地實現這些原則。系統整合商和製造商應確保提供相關文檔，以便企業評估連接風險。該指南首先敦促各組織權衡連接營運技術（OT）環境所帶來的風險和機遇，並認識到連接在帶來營運價值的同時，也可能引入新的網路安全風險。指南隨後強調，需要透過減少不必要的存取路徑和嚴格控制系統通訊方式來限制連接的風險敞口。

此外，指南還鼓勵各組織集中化和標準化網路連接，以提高營運技術 (OT) 環境的可見度、一致性和治理水準。指南呼籲使用標準化且安全的協議，以降低複雜性，並最大限度地減少配置錯誤或安全控制薄弱的可能性。

最後，該指南強調必須確保所有連接都被記錄並持續監控，以便及時發現並回應。指南最後建議各組織制定清晰的隔離計劃，以便在網路安全事件威脅到運作完整性或安全時，能夠安全地斷開系統連線。

資料來源：https://industrialcyber.co/industrial-cyber-attacks/ncsc-led-global-guidance-sets-out-principles-for-designing-secure-connectivity-into-ot-networks/