智慧制造概念是透過IT與OT兩大系統的整合，讓產線的資訊價值可以進一步延伸，達到智慧化目標，在本期封面故事的上一篇，我們談到智慧制造系統中，通訊架構的選擇與導入概念，本篇則將進一步談論OT系統的智慧化進階設置，透過大數據、云端與資安等技術，讓OT系統更具智慧、更安全。

圖1 : 不同類型的云端平臺服務，讓智慧制造系統的功能更完整且多元。（source：Open Minds）

智慧制造架構大致可分為邊緣、通訊與云端等三層，這三層各司其職，在工業物聯網剛問世時，其運作方式是先由邊緣端設備負責執行各種自動化動作，并擷取設備數據，取得數據后，通訊網路再將數據傳送到上層云端，進行儲存、分析運算等工作，云端運算分析后，系統再透過通訊網路將結果送回邊緣設備執行。

PaaS產業價值逐漸浮現

這種由云端平臺負責所有運算的集中式架構，除了會造成三個問題，一是通訊網路的頻寬難以負荷，二是云端平臺的運算負載吃重，三是整體系統的反應不夠即時，因此近幾年的趨勢是賦予終端設備一定的運算能力，讓設備數據先一步在設備端或工業網路閘道器中處理后再上傳，邊緣運算可以一次解決上述三大問題。

不過，這樣并非完全沒有缺點，例如整體系統的架構會趨于復雜，而且在運算功能強化后的邊緣設備，售價也會更貴，從而墊高系統的整體成本。從趨勢發展來看，邊緣運算已成為包括工業物聯網在內的既定趨勢，不過是否適用于所有的制造系統？仍必須從即時性、成本與效益等面向評估。

除了邊緣設備的強化外，智慧制造的另一個趨勢，是各類別云端平臺的功能與定位更精準。云端平臺依服務對象可區分為IaaS、PaaS、SaaS，IaaS主要是由電信商或大型IT廠商所提供的公有云服務，例如中華電信的hicloud、Amazon的AWS或微軟的Azure等，SaaS則是針對各特定領用領域所設計的特定服務云端平臺，至于PaaS則是負責串接IaaS與SaaS。

位于IaaS與SaaS之間的PaaS，其角色在物聯網發展一段時間后開始受到質疑，部分IaaS廠商有意跳過PaaS直接與SaaS鏈結，將是整體運作方式更簡潔，也更可掌握終端客戶。

圖2 : 透過大數據、云端與資安等技術，OT系統將可落實智慧化愿景。（source：EY）

不過，在物聯網開始嘗試落地應用后不久，市場就發現此一構想并不可行，主因在于物聯網屬于垂直應用，各領域種類瑣細而且專業不一，若與SaaS直接對接，IaaS所需要負擔的工作與成本會過高。因此，以PaaS為中介，由PaaS依其產業特色，對下鏈結各類型SaaS，對上統一與IaaS串連，反而會是最具效益的物聯網模式，也因此各領域的PaaS紛紛出現，在制造業現在也已多有PaaS，研華的WISE-PaaS就是其一。

中小企業也可輕松架構私有云

可與IaaS、SaaS連結的PaaS，是目前IT與OT兩大類廠商都正在推動的系統，從目前市場狀況來看，制造業者在制造資訊的保密考量下，仍多選擇自建私有云，此一狀況在機密性極高的手機組裝或半導體等大型制造業尤其明顯。

這些產業的規模龐大、資金充裕，而且企業本身早有完善的基礎建設，要建置自用的私有云并非難事；另一方面，這些大型制造業的從業人員專業度極高，就算是已經去標簽化的數據，仍然可以透過其專業，從數據特征判斷出所屬的企業，因此對這類型制造業者來說，自建私有云才是最佳選擇。

至于規模不大的中小企業，則會在公有云與私有云之間陷入兩難，如果只從成本來看，公有云除了可免去轉型初期的系統建置與IT團隊人員成本外，公有云廠商所提供的資安防護，其等級也非一般企業能企及，相較之下會更安全。

不過，對于部分制造數據較為敏感，或是難以接受無法自主掌握制造數據的廠商來說，仍會堅持自建私有云，以往要在資源不足的情況下建置私有云，其難度相當高，不過近期已有廠商對此困境提出解決方案。

現在廠商推出的私有云解決方案，是透過不同架構與功能的附加，大幅降低PaaS的導入門檻，制造業者可依其架構區分，找出適合自己的系統。與IT系統一樣，PaaS也分為Windows與Linux兩種架構，Windows Server的特色是已為完成品，購入后不必再次開發就可使用，適合內部開發能力不足的企業，不過也由于架構與功能固定，企業必須調整內部流程，以貼合其架構。Windows Server的商業環境非常成熟，市場已有設備與系統廠商以此開發出網管、視覺化介面等各種功能套件。

至于Linux版本的PaaS則類似半成品，企業可依本身需求，在其架構上開發合適的功能，在此特性下，其硬體擴充性與應用靈活性也遠較Windows更高。

值得一提的是Linux PaaS的容器管理架構Kubernetes（簡稱為K8s），在Google與各方廠商的努力下，現在已經開發出各種效能十足且簡易好用的工具。 Kubernetes可在不同系統中快速搬移資料，解決了Linux PaaS過去必須二次開發才能搬移的問題，此一特色大幅減少了設計團隊必須針對不同架構重新開發程式的時間，讓企業的資源運用可以最佳化。

OT安全問題浮上臺面

除了云端平臺之外，智慧制造系統建置后的另一項重點考量，則是資安，四零四科技工業物聯網解決方案處亞太區產品行銷經理郭彥征表示，OT系統向來封閉，少與其他系統介接，即便有對外連結，也僅會在接口處建立簡單防火墻，系統內部各機臺之間基本上不設防，不過在工業物聯網體系下，資安問題已然浮上臺面。

圖3 : 四零四科技工業物聯網解決方案處亞太區產品行銷經理郭彥徵表示，在工業物聯網體系下，OT系統的資安問題已然浮上臺面。（照片提供／四零四科技）

工業物聯網體系是IT與OT兩大系統整合，相對于OT系統的封閉，IT系統則是訴求開放，與外部連結是最基本的訴求，由于外部系統的惡意攻擊不斷，IT系統早已累積豐富經驗，并借此建立起嚴密的防御機制，而當完善資安設計的IT與防護機制貧弱的OT整合為一時，兩套系統的資安落差迅速浮現，對整體系統帶來重大威脅，郭彥征就指出，在工業物聯網系統中，OT系統的節點越來越多，這些節點的薄弱安全性容易成為整體系統的資安破口。

觀察過去10年發生的重要駭客攻擊事件，就可以看出制造系統現在所面臨的威脅。在OT領域中，2010年伊朗核電廠遭受Stuxnet病毒攻擊OT系統，接下來2014年開始到2019年，連續6年每年至少都有一起大型的OT被駭事件。不過仔細觀察，到2016年，其手法主要都還是利用OT漏洞攻擊，但從2017年開始，像是攻擊烏克蘭電廠中東能源廠的Triton、攻擊挪威海德魯鋁業的LockerGoga、讓臺灣半導體產業深受其害的WANNACRY，其攻擊型態都已經轉換為從IT著手，間接影響OT系統。

用資安為OT設備延伸價值

由攻擊手法的轉變，可以看到OT系統未來的威脅只會越來越多，要有效防堵，除了設置各種防火墻之外，制造業網路的安全體系也要納入監控和記錄OT系統中各種系統上發生活動，其記錄網路完整封包可提供完整的事件資訊，讓團隊準確分析發生的情況、時間，并快速定義安全問題的根本原因。此外，制造業者的資安團隊也可以跟資安廠商合作定義安全基準線，依據歷史攻擊事件和威脅情資來定義系統異常，并且依據最新的威脅持續更新。

整體而言，現在產業IT端的資通防護已逐漸成熟，加上實體隔離已經難以抵抗當今復雜攻擊，因此下階段重點將在OT制造業防護上，管理者可從五大面向著手，包含：

一、應用白名單機制/端點偵測與回應；

二、OT漏洞管理；、

三、減少攻擊表面；

四、建立可視化防御環境；

五、身份授權管理等提升防御能力。

此外，隨著下游客戶面對日益復雜駭客攻擊，以及各國政府對產品安全的監管壓力，設備廠商導入國際標準產品安全設計標準（如IEC6244 3等）需求也逐漸增加，廠商除了強化產品功能外，還可將資安視為差異化策略，提升產品附加價值。

未來網通、工業電腦、機械設備等產業可從安全可視性作為第一步，再逐步建立微網段、OT端點防護（如應用程式白名單）等，或是提供長期穩定性、可維護性的系統，如此一來，可獲得制造業客戶更多青睞。至于資安產業則需要思考產品使用體驗，由于客戶需要融合IT與OT的安全防御架構，避免使用太多的資安方案，提供整合管理平臺，并串聯更多生態系伙伴提升易用性，將有助于提升產品市場競爭力。

**刊頭圖（source：IoT World Today）