關鍵基礎設施組織為公眾提供重要服務，包括清潔水、能源和交通運輸，這些組織依靠營運技術 (OT) 來控制和管理提供這些關鍵服務的實體設備和流程。隨著關鍵基礎設施（如供水、能源、交通）日益依賴操作技術（Operational Technology, OT）來控制與管理實體設備與流程，保障 OT 的網路安全與運作安全已成為維持公共服務持續性的核心任務。
由於 OT 與關鍵基礎設施組織的技術環境廣泛集成，且這些環境的結構複雜，因此很難確定業務決策如何影響 OT 的網路安全，包括歸因於決策的具體風險。決策可能包括：向環境中引入新系統、流程或服務；選擇支援技術環境的供應商或產品；以及製定業務連續性和安全相關的計劃和方案。本文檔旨在協助組織做出設計、實施和管理 OT 環境的決策，以確保其安全可靠，並實現關鍵服務的業務連續性。
《營運技術網路安全原則》由澳洲信號局澳洲網路安全中心（ASD 的 ACSC）撰寫，並獲得美國、英國、加拿大、德國、荷蘭、日本、韓國等多國網安機構共同簽署，描述了指導創建和維護安全、可靠的關鍵基礎設施 OT 環境的六項原則：

六大 OT 網路安全原則

這份報告提出六項核心原則，作為 OT 決策者在評估新系統、流程、供應商或業務計畫時的安全指引：

原則一：安全至上（Safety is paramount）
在物理環境中，安全至關重要，營運資訊物理系統的領導者必須在日常決策中考慮生命威脅。關鍵基礎設施的一級危害包括高壓、壓力釋放或易燃爆炸、動能衝擊（例如高速列車）以及水處理中的化學或生物危害。關鍵基礎設施的互聯性意味著，無論是人為錯誤還是透過網路手段惡意破壞，故障都可能對社會的日常運作造成廣泛且不可預見的影響。
作業規劃
人類生命安全、工廠設備安全、環境安全以及保持可靠性和正常運行時間的需要是必要的系統思維方式，需要滲透到所有任務中，甚至是可能被認為不相關的基本和常見的網路衛生任務，例如：

• 如何備份？在與時間關鍵的安全控制資訊相同的（可能接近飽和的）網路上執行備份是否有風險？
• 如何進行資產發現？主動流程是否可行，還是被動是唯一方法？
• 如何打補丁？通常如何進行變更管理？系統對頻率、測試嚴謹性、範圍、推出策略和回溯策略的要求是什麼？

原則二：深入了解業務（Knowledge of the business is crucial）
企業對自身了解越多，就越能更好地防範、準備和應對網路安全事件。企業對網路風險（尤其是OT系統）的理解、可見度和報告水準越高，效果越好。
作業規劃

• 將特定於 OT 的事件回應計畫和行動手冊整合到組織的其他緊急和危機管理計畫、業務連續性計畫、行動手冊和強制性網路安全事件報告要求中。無論是在製定計劃和行動手冊時，還是在任何調查、遏製或恢復過程中，流程工程師的參與都至關重要。
• 需要在第三方參與之前或參與時向其提供一份資訊包，以便他們快速了解情況。此第三方資訊包應包含聯絡人、伺服器命名約定、資料來源、已部署工具以及可接受部署的工具等資訊。所有計畫、行動手冊和第三方資訊包都必須定期演練，由包括法務部在內的所有相關方更新，並因其對攻擊者的價值而受到保護。
• 考慮有助於員工了解OT系統的物理方面，這可能包括對電纜進行顏色編碼、在現有電纜上添加彩色條帶，或以醒目的方式標記允許在OT環境中使用的設備。
• 只有授權設備才能連接到OT環境，以協助確保只有授權代碼才能引入OT環境。
• 明顯的視覺提示使組織能夠透過識別未經授權的設備來更好地保護其環境，並允許組織快速做出正確的決策，以應對網路或情報事件。
• 對於依賴 OT 提供關鍵服務的組織而言，整合的 OT 網路安全功能是業務的必要組成部分。 OT 網路安全人員無需像電氣、化學或製程工程師那樣深入了解實體系統，但他們應該具備工廠運作的實際知識，最重要的是，與組織中負責實體工廠的人員保持工作關係。這種關係對於任何網路增強項目的成功以及在需要響應網路事件時都至關重要。

原則三：OT 資料極具價值（OT data is extremely valuable and needs to be protected）
從攻擊者的角度來看，了解系統的配置方式（包括所使用的設備和協定）非常有價值，因為 OT 環境很少會改變。這種程度的資訊允許惡意行為者創建和測試有針對性的惡意軟體，從而促成更多可能的惡意結果。
工程配置資料特別重要，例如網路圖、任何關於操作順序的文件、邏輯圖和示意圖（例如，位址 1250 是斷路器，或了解組織針對特定類型設備的 DNP3 位址約定）。這些資訊不太可能在五年內發生變化，並且可能會持續 20 年或更長時間。因此，工程配置資料具有持久價值，對對手來說非常有價值。對手深入了解 OT 系統的工作原理，可以類比於企業 IT 環境中的預置，尤其是在重要性和回應需求方面。
作業規劃
相對於保護智慧財產權 (IP) 和個人識別資訊 (PII) ，保護OT資料也至關重要，例如用於電力、天然氣或水計量，或用於健康領域的患者記錄。其他類型的OT數據，例如短暫的OT值、IP和PII，也需要受到保護。OT 網路應該將資料推出網絡，而不是外部網路從 OT 拉入資料。在尋求確定關鍵 OT 資料的位置時，指示性問題包括：

• 供應商和服務技術人員有副本嗎？
• 顧問有副本嗎？
• 工程師是否在企業 IT 系統中工作，這使他們能夠透過電子郵件與其他專家進行通信，然後再將工作轉移到 OT 環境？
• 資料是儲存在電子郵件、筆記型電腦、公司備份設備還是雲端？
• 資訊銷毀和處置的過程是怎樣的（例如，當可程式邏輯控制器（PLC）退役時，邏輯代碼是否會被擦除）？
• 有什麼措施可以防止端點偵測和回應 (EDR) 或防毒軟體等技術將 OT 檔案副本傳送到組織網路之外，從而導致資料意外外洩？有什麼措施可以防止員工將文件上傳到線上防毒或儲存服務？
• 與保險公司、人力資源、採購、社群媒體等分享了多少資訊？
• OT 日誌檔案儲存和分析在哪裡？
• 是否有可用的解決方案，以便所有從事 OT 工作的各方不必創建變通方法，無需為了完成工作而將資訊保存在不適當的地方？

原則四：與其他網路分隔（Segment and segregate OT from all other networks）
幾十年來，對更關鍵的功能和網路進行分段和隔離一直是常見的建議，企業實體應將 OT 網路與網際網路和 IT 網路分段和隔離，因為企業 IT 網路通常因其網路連線以及電子郵件和網頁瀏覽等服務而被評估為具有更高的入侵風險。我們在兩個主要方面補充而非修改了先前的建議。

作業規劃

• 了解第三方風險至關重要，組織不能想當然地認為其他組織擁有與自身相同的網路風險偏好、網路衛生和網路安全標準。如果組織的OT網路沒有充分保護，使其免受其他組織的OT網路的影響，包括日誌記錄和警報等常規措施，那麼該OT網路的安全邊界就將涵蓋該組織。
• 當資產和流程的關鍵性程度不同，或環境的信任度不同時，必須在 OT 網路內進行隔離。例如，配電網路中的桿頂基礎設施只能使用掛鎖保護，並且可能使用不受信任的蜂窩網路。此類基礎設施的信任度應較低，並與區域變電站內採用強大安全措施和完全加密通訊路徑保護的基礎設施隔離。
• 關鍵基礎設施組織應將其營運技術 (OT) 與所有其他網路進行劃分和隔離，包括在邏輯和物理上將OT網路與IT網路進行分段和隔離。
• 組織應明確考慮系統管理和營運服務的部署位置，並確保管理和營運介面與其IT環境對應介面充分分離。管理和營運帳戶或系統的入侵將危及其管理的系統。關鍵的OT系統不應依賴IT系統運作。
• 當存在兩個信任和安全等級不同的環境時，更關鍵的環境應始終由具有相同或更高安全態勢的網路進行管理。
• 組織需要定期評估 OT 環境中管理和管理系統及服務隔離不足的風險。

原則五：供應鏈安全不可忽視（The supply chain must be secure）
許多出版物都涵蓋了提高供應鏈安全性的建議，包括需要為設備和軟體供應商、廠商以及託管服務提供者 (MSP) 制定供應鏈保障計劃，尤其是在他們能夠使用 OT 提供支援的情況下。提高供應鏈安全性的要求通常會導致對組織 OT 環境中的主要供應商進行嚴格評估。雖然組織仍應遵循現有建議，但我們也指出了 OT 環境中一些需要特別關注的額外領域。
作業規劃

• 應了解 OT 環境中所有設備的來源和來源，這包括連接到 OT 網路的任何供應商或顧問筆記型電腦，這些筆記型電腦可能用於存取其他明確禁止的內容，例如電子郵件或網頁瀏覽。

• 應考慮這些設備連接到了哪些其他網路（例如供應商的其他客戶），以及這些網路是否與 OT 網路處於相同的信任等級。這包括將來自信任度較低的企業 IT 網路的網路或其他裝置重新用於信任度較高的 OT 網路的情況。
• 在評估設備時可以進行的一項小型技術檢查，將設備插入捕獲流量的資料包分析器，並檢查設備是否意外嘗試與遠端位址通訊。
• 如果設備的韌體或配置發生變化，設備可能執行的操作。如果設備經常或偶爾連接到可以更新韌體的供應商，這一點尤其重要。為了防止第三方乾擾，實體應確保韌體來自可信位置，經過加密簽名，並且簽名經過檢查。
• 在評估供應商產品或服務的適用性時，應將供應商外部連接活動請求，納入網路安全成熟度計入負面因素。

原則六：人才是關鍵（People are essential for OT cybersecurity）

如果沒有具備必要工具和培訓的人員來建立防禦機制並主動發現事件，則無法在 OT 中預防或識別網路相關事件。一旦在 OT 中識別出網路相關事件，就需要訓練有素且能力出眾的人員進行回應。

工作人員，特別是現場技術人員和所有其他操作人員，通常是組織防禦和檢測的第一線。基於安全的網路安全文化對於OT系統持續的網路彈性至關重要，每個組織都需要將這些原則的要求重新定義為工作場所安全要求，而不是網路安全要求。
作業規劃
培養員工安全意識和網路安全文化的潛在策略包括：

• 需要建立一套流程，確保能夠快速提出與網路安全相關的意見，並營造一種知曉這些意見會被重視的文化氛圍。
• 將網路安全納入安全評估、工廠驗收測試 (FAT)、現場驗收測試 (SAT) 和工程變更管理流程。成熟的方法包括網路資訊工程 (Cyber-Informed Engineering)、網路物理危害分析 (PHA) 或危險源與風險評估 (HAZCADS)。
• 創建鼓勵本地員工識別和報告可疑行為的環境和流程，常見的反模式 (anti-pattern) 是工程師在不通知現場工作人員的情況下進行遠端維護。現場操作員會觀察到工程師的活動，例如滑鼠在本地機器上移動或與人機介面 (HMI) 的可見互動。本地員工會逐漸忽略此類行為，認為它們是正常且合法的。
• 指導現場操作員在發現操作故障時，考慮網路攻擊的可能性。以往，惡意網路行為從未被考慮在內，這意味著網路安全事件可能被誤認為是操作故障而忽略，甚至完全被忽略。
• 列出處理錯誤過程，會重置通訊鏈路並擦除易失性記憶體的傳統補救措施，這有助於網路安全調查。

如何使用本文檔

制定機構 (The authoring agencies) 建議 OT 決策者運用本文檔中提出的六項原則，以協助確定所做出的決策是否可能對 OT 環境的網路安全產生不利影響。如果一項決策影響或違反了本文檔中概述的一項或多項 OT 網路安全原則，則很可能會為 OT 環境帶來漏洞。
因此，需要更仔細地審查此類決策，以確保實施了正確的網路安全控制措施，並且控制措施實施後的剩餘風險在可接受範圍內。或者，重新考慮該提案。快速篩選決策以識別影響 OT 安全的決策，將有助於在設計、實施和管理 OT 環境時做出穩健、明智且全面的決策，從而促進安全性、保障性和業務連續性。
制定機構建議 OT 決策者閱讀並理解每項原則。本文件旨在幫助所有需要篩選影響 OT 決策的人員，從組織領導層（包括制定策略決策的高階主管和董事會成員）到製定戰術和營運決策的技術人員。

資料來源：https://www.cyber.gov.au/business-government/secure-design/operational-technology-environments/principles-operational-technology-cyber-security