WEBVTT

1
00:00:08.240 --> 00:00:10.519
世界上的各家製造商正在採用
[Text on screen: CIP Security]

2
00:00:10.519 --> 00:00:12.669
一種數位轉型策略以
[Text on screen: CIP Security]

3
00:00:12.669 --> 00:00:15.400
協助將其營運方式現代化並滿足未來的需求
[Text on screen: 防禦縱深]

4
00:00:16.289 --> 00:00:18.379
該策略的一項關鍵部分即為
[Text on screen: 防禦縱深
裝置、應用程式、電腦、網路、實體以及原則、流程和感知]

5
00:00:18.379 --> 00:00:20.440
採用防禦縱深原則
[Text on screen: 防禦縱深
裝置、應用程式、電腦、網路、實體以及原則、流程和感知]

6
00:00:20.440 --> 00:00:21.789
的網路安全
[Text on screen: 防禦縱深
裝置、應用程式、電腦、網路、實體以及原則、流程和感知]

7
00:00:22.250 --> 00:00:23.280
這代表什麼意思？
[Text on screen: 防禦縱深
裝置、應用程式、電腦、網路、實體以及原則、流程和感知]

8
00:00:23.850 --> 00:00:26.059
它包含了堅實的原則、實體
[Text on screen: 防禦縱深
裝置、應用程式、電腦、網路、實體以及原則、流程和感知]

9
00:00:26.059 --> 00:00:28.649
防護、網路基礎建設
[Text on screen: 防禦縱深
裝置、應用程式、電腦、網路、實體以及原則、流程和感知]

10
00:00:28.750 --> 00:00:30.449
以及保護您的設備安全
[Text on screen: 防禦縱深
裝置、應用程式、電腦、網路、實體以及原則、流程和感知]

11
00:00:31.260 --> 00:00:33.369
保護您設備安全的第一步是
[Text on screen: 您需要確保設備類別的安全性]

12
00:00:33.369 --> 00:00:35.420
使用 IEC 62443-3-3 定義
[Text on screen: 您如何測量「安全」？]

13
00:00:35.420 --> 00:00:37.929
您機器的安全程度
[Text on screen: IEC 62443-3-3 定義了安全等級]

14
00:00:40.829 --> 00:00:42.880
該標準是最可靠的業界標準，
[Text on screen: 您需要確保設備類別的安全性
您如何測量「安全」？
IEC 62443-3-3 定義了安全等級]

15
00:00:43.429 --> 00:00:45.780
其中具有一般定義與指標，
[Text on screen: 最佳實作與網路資安標準
IEC 62443]

16
00:00:45.789 --> 00:00:47.789
可用來量化工業自動化及
[Text on screen: 最佳實作與網路資安標準
IEC 62443]

17
00:00:47.799 --> 00:00:50.219
控制系統的
[Text on screen: 最佳實作與網路資安標準
IEC 62443]

18
00:00:50.219 --> 00:00:50.929
網路安全
[Text on screen: 最佳實作與網路資安標準
IEC 62443]

19
00:00:51.840 --> 00:00:54.560
此標準著重在關鍵的需求，
[Text on screen: 最佳實作與網路資安標準
IEC 62443-3-3 要求的範例]

20
00:00:54.619 --> 00:00:57.490
例如身分識別、完整性、
[Text on screen: 最佳實作與網路資安標準
IEC 62443-3-3 要求的範例
SR 1.2 – 軟體程序與裝置識別和認證
SR 3.1 – 通訊完整性與真實性
SR 4.1 – 透過未受信任網路傳送時達到保密性
系統安全需求與安全等級]

21
00:00:57.890 --> 00:01:00.600
真實性與保密性
[Text on screen: 最佳實作與網路資安標準
IEC 62443-3-3 要求的範例
SR 1.2 – 軟體程序與裝置識別和認證
SR 3.1 – 通訊完整性與真實性
SR 4.1 – 透過未受信任網路傳送時達到保密性
系統安全需求與安全等級]

22
00:01:01.700 --> 00:01:03.759
業界通訊標準
[Text on screen: 最佳實作與網路資安標準
IEC 62443-3-3 要求的範例
SR 1.2 – 軟體程序與裝置識別和認證
SR 3.1 – 通訊完整性與真實性
SR 4.1 – 透過未受信任網路傳送時達到保密性
任何更多相關的需求...
系統安全需求與安全等級]

23
00:01:03.759 --> 00:01:05.769
皆為裝置供應商之間的
[Text on screen: 最佳實作與網路資安標準
IEC 62443-3-3 要求的範例
SR 1.2 – 軟體程序與裝置識別和認證
SR 3.1 – 通訊完整性與真實性
SR 4.1 – 透過未受信任網路傳送時達到保密性
任何更多相關的需求...
系統安全需求與安全等級]

24
00:01:05.769 --> 00:01:07.189
一般通訊所必要
[Text on screen: 最佳實作與網路資安標準
IEC 62443-3-3 要求的範例
SR 1.2 – 軟體程序與裝置識別和認證
SR 3.1 – 通訊完整性與真實性
SR 4.1 – 透過未受信任網路傳送時達到保密性
任何更多相關的需求...
系統安全需求與安全等級]

25
00:01:07.750 --> 00:01:10.000
因此對於所有
[Text on screen: 挑戰需求
您將如何解決這些挑戰？]

26
00:01:10.000 --> 00:01:11.549
控制系統設計商而言，
[Text on screen: 挑戰需求
您將如何解決這些挑戰？]

27
00:01:11.980 --> 00:01:14.359
要實作安全通訊而不接受
[Text on screen: 挑戰需求
您將如何解決這些挑戰？]

28
00:01:14.370 --> 00:01:16.750
其自動化裝置供應商的協助，幾乎是天方夜譚
[Text on screen: 挑戰需求
您將如何解決這些挑戰？]

29
00:01:17.340 --> 00:01:18.849
加入 ODVA
[Text on screen: 挑戰需求
ODVA]

30
00:01:19.739 --> 00:01:22.030
ODVA 是一個全球協會
[Text on screen: 挑戰需求
ODVA]

31
00:01:22.049 --> 00:01:24.120
集結了世界上頂尖的自動化
[Text on screen: 挑戰需求
ODVA]

32
00:01:24.120 --> 00:01:24.799
公司
[Text on screen: 挑戰需求
ODVA]

33
00:01:25.340 --> 00:01:27.780
它處於標準開發組織
[Text on screen: 挑戰需求
ODVA]

34
00:01:27.780 --> 00:01:29.980
在將網路安全
[Text on screen: 挑戰需求
ODVA]

35
00:01:29.980 --> 00:01:32.480
機制整合至其自動化
[Text on screen: 挑戰需求
ODVA]

36
00:01:32.480 --> 00:01:33.180
網路方面的最前線
[Text on screen: 挑戰需求
ODVA]

37
00:01:33.549 --> 00:01:35.579
目的是確保設備安全
[Text on screen: 挑戰需求
ODVA]

38
00:01:36.290 --> 00:01:38.480
憑藉其成員社群的努力，ODVA
[Text on screen: 挑戰需求
ODVA]

39
00:01:38.480 --> 00:01:40.549
開發出 CIP Security
[Text on screen: 挑戰需求
CIP Security]

40
00:01:41.459 --> 00:01:43.870
來協助終端使用者更徹底且更快速地
[Text on screen: 挑戰需求
CIP Security]

41
00:01:43.870 --> 00:01:45.879
實施網路安全措施
[Text on screen: 挑戰需求
CIP Security]

42
00:01:46.230 --> 00:01:48.560
ODVA 與其成員已編寫
[Text on screen: 挑戰需求
CIP Security]

43
00:01:48.560 --> 00:01:51.159
並發佈了 CIP Security 規範，適用於
[Text on screen: 挑戰需求
CIP Security]

44
00:01:51.250 --> 00:01:52.579
EtherNet/IP，
[Text on screen: 挑戰需求
CIP Security 與 EtherNet/IP ODVA]

45
00:01:53.010 --> 00:01:55.480
這是世界上規模最大的工業自動化網路
[Text on screen: 挑戰需求
CIP Security 與 EtherNet/IP ODVA]

46
00:01:55.480 --> 00:01:56.200
之一
[Text on screen: 挑戰需求
CIP Security 與 EtherNet/IP ODVA]

47
00:01:57.140 --> 00:01:59.530
本影片重點介紹了
[Text on screen: 挑戰需求
CIP Security 與 EtherNet/IP ODVA]

48
00:01:59.530 --> 00:02:01.650
EtherNet/IP 保密性方面的特色
[Text on screen: 挑戰需求
CIP Security 與 EtherNet/IP ODVA]

49
00:02:02.640 --> 00:02:05.269
銀行與電子郵件系統長久以來已有
[Text on screen: 裝置識別碼
業界標準信任機制]

50
00:02:05.280 --> 00:02:07.409
經實證的方法
[Text on screen: 裝置識別碼
業界標準信任機制]

51
00:02:07.409 --> 00:02:08.469
可透過密碼保護方式建立信任
[Text on screen: 裝置識別碼
業界標準信任機制]

52
00:02:09.039 --> 00:02:11.169
而工業控制系統亦採用
[Text on screen: 裝置識別碼
業界標準信任機制]

53
00:02:11.169 --> 00:02:12.349
相同的方式
[Text on screen: 裝置識別碼
業界標準信任機制]

54
00:02:13.069 --> 00:02:15.409
多數使用 CIP Security 的供應商
[Text on screen: 裝置識別碼
多數裝置在製造時將安裝業界標準的 X.509v3 認證]

55
00:02:15.419 --> 00:02:17.490
在裝置中內嵌認證
[Text on screen: 裝置識別碼
多數裝置在製造時將安裝業界標準的 X.509v3 認證]

56
00:02:17.490 --> 00:02:18.439
以進行識別
[Text on screen: 裝置識別碼
多數裝置在製造時將安裝業界標準的 X.509v3 認證]

57
00:02:18.789 --> 00:02:21.099
認證能提供可驗證的
[Text on screen: 裝置識別碼
多數裝置在製造時將安裝業界標準的 X.509v3 認證]

58
00:02:21.099 --> 00:02:22.050
信任根(root of trust)
[Text on screen: 裝置識別碼
多數裝置在製造時將安裝業界標準的 X.509v3 認證]

59
00:02:22.969 --> 00:02:25.030
當您在設定系統時，您可以
[Text on screen: 裝置識別碼
有許多方式可建立裝置、區域與供應商之間的信任]

60
00:02:25.030 --> 00:02:27.129
控制要信任
[Text on screen: 裝置識別碼
有許多方式可建立裝置、區域與供應商之間的信任
供應商 A
供應商 B
供應商 C]

61
00:02:27.129 --> 00:02:27.840
哪些機器或系統
[Text on screen: 裝置識別碼
有許多方式可建立裝置、區域與供應商之間的信任
供應商 A
供應商 B
供應商 C]

62
00:02:28.460 --> 00:02:30.599
例如其他單一裝置或
[Text on screen: 裝置識別碼
有許多方式可建立裝置、區域與供應商之間的信任
供應商 A
供應商 B
供應商 C]

63
00:02:30.599 --> 00:02:33.110
企業等級的公開金鑰基礎架構
[Text on screen: 裝置識別碼
有許多方式可建立裝置、區域與供應商之間的信任
供應商 A
供應商 B
供應商 C]

64
00:02:33.180 --> 00:02:34.800
或是兩者之間的任何項目
[Text on screen: 裝置識別碼
有許多方式可建立裝置、區域與供應商之間的信任
供應商 A
供應商 B
供應商 C]

65
00:02:35.400 --> 00:02:37.550
當初始化連線時
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

66
00:02:37.550 --> 00:02:39.900
「TLS 交握」會用於交換
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

67
00:02:39.900 --> 00:02:40.750
認證
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

68
00:02:41.330 --> 00:02:43.650
這與網頁瀏覽器的運作方式類似
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

69
00:02:44.340 --> 00:02:46.389
這些認證會用於識別
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

70
00:02:46.389 --> 00:02:48.629
裝置並判斷裝置之間是否存在
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

71
00:02:48.639 --> 00:02:49.819
信任關係
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

72
00:02:50.539 --> 00:02:52.849
在程序尾聲，裝置會
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

73
00:02:52.849 --> 00:02:55.060
共用可能會使用的密碼金鑰
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

74
00:02:55.060 --> 00:02:56.699
以確保通訊的安全
[Text on screen: 裝置識別碼
方法 1 認證型識別碼]

75
00:02:57.759 --> 00:02:59.990
當您在維護期間委託系統
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

76
00:02:59.990 --> 00:03:01.620
或取代裝置時
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

77
00:03:01.909 --> 00:03:03.889
您需要建立其識別碼
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

78
00:03:04.669 --> 00:03:07.000
若要建立識別碼，您可以使用
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

79
00:03:07.000 --> 00:03:08.449
裝置認證
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

80
00:03:08.840 --> 00:03:10.259
或使用手動方式，
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

81
00:03:10.539 --> 00:03:12.860
即使用預先共用金鑰
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

82
00:03:12.870 --> 00:03:13.479
來建立信任
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

83
00:03:14.460 --> 00:03:16.810
此手動方式在應用於超小型系統時
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

84
00:03:16.810 --> 00:03:19.009
可能更為簡易，但
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

85
00:03:19.009 --> 00:03:20.949
它需要提前仔細規劃
[Text on screen: 裝置識別碼
方法 2 手動信任建立]

86
00:03:21.710 --> 00:03:23.759
無論使用哪一種方法，密碼金鑰
[Text on screen: 裝置驗證與資料完整性]

87
00:03:23.759 --> 00:03:26.199
皆可用來驗證每個訊息
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]

88
00:03:26.199 --> 00:03:28.030
是否已從正確的裝置送出
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]

89
00:03:28.400 --> 00:03:30.400
以及資料是否完好未經修改
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

90
00:03:31.050 --> 00:03:33.050
CIP Security 標準使用
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

91
00:03:33.050 --> 00:03:35.319
雜湊訊息驗證碼
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

92
00:03:35.409 --> 00:03:36.409
（即 HMAC）
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

93
00:03:36.689 --> 00:03:38.849
通常會搭配 TLS
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

94
00:03:38.860 --> 00:03:40.860
以及 DTLS 通訊使用
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

95
00:03:42.039 --> 00:03:44.150
若冒名的裝置嘗試傳送
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

96
00:03:44.150 --> 00:03:46.169
資料，或是中間人
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

97
00:03:46.169 --> 00:03:47.689
試圖修改資料時，
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

98
00:03:47.979 --> 00:03:49.669
HMAC 便會失效
[Text on screen: 裝置驗證與資料完整性
EtherNet/IP ODVA
雜湊演算法搭配密碼金鑰]
CIP Security

99
00:03:50.520 --> 00:03:52.659
然而，並非所有網路上的自動化資料
[Text on screen: 資料機密性
網路交換器]

100
00:03:52.659 --> 00:03:53.919
皆需進行加密
[Text on screen: 資料機密性
網路交換器]

101
00:03:54.250 --> 00:03:56.629
因此若要避免通訊程序方面的支出
[Text on screen: 資料機密性
網路交換器
CIP Security]

102
00:03:56.629 --> 00:03:58.750
可自行選擇是否加密
[Text on screen: 資料機密性
CIP Security 搭配 HMAC 提供認證
CIP Security
網路交換器]

103
00:03:59.639 --> 00:04:02.039
若您擁有機密程序資訊
[Text on screen: 資料機密性
密碼資料
CIP Security
CIP Security 搭配 HMAC 提供認證
CIP Security
網路交換器]

104
00:04:02.039 --> 00:04:03.280
或密碼配方
[Text on screen: 資料機密性、密碼資料與 CIP Security]

105
00:04:03.599 --> 00:04:05.680
則您可以使用 TLS 與 DTLS 加密
[Text on screen: 資料機密性
密碼資料
CIP Security
CIP Security 搭配 HMAC 提供認證
CIP Security
網路交換器]

106
00:04:05.680 --> 00:04:07.750
來確保每個封包的安全
[Text on screen: 資料機密性
CIP Security
CIP Security 搭配 HMAC 提供認證
CIP Security
網路交換器]

107
00:04:08.759 --> 00:04:10.800
支援 CIP Security 的裝置
[Text on screen: 資料機密性
密碼資料]

108
00:04:10.800 --> 00:04:13.039
可在防禦縱深策略中
[Text on screen: 資料機密性
CIP Security
CIP Security 搭配 HMAC 提供認證
CIP Security
網路交換器
密碼資料]

109
00:04:13.039 --> 00:04:14.159
扮演重要的角色
[Text on screen: 資料機密性
CIP Security
CIP Security 搭配 HMAC 提供認證
CIP Security 搭配加密增加認證的保密性
CIP Security
網路交換器
CIP Security]

110
00:04:14.530 --> 00:04:16.610
協助強化控制系統的最後一層
[Text on screen: 資料機密性
CIP Security
CIP Security 搭配 HMAC 提供認證
CIP Security 搭配加密增加認證的保密性
CIP Security
網路交換器
CIP Security]

111
00:04:16.610 --> 00:04:17.750
防線
[Text on screen: 資料機密性
CIP Security
CIP Security 搭配 HMAC 提供認證
CIP Security 搭配加密增加認證的保密性
CIP Security
網路交換器
CIP Security]

112
00:04:19.329 --> 00:04:21.410
若要瞭解如何讓您的產品
[Text on screen: 深入瞭解：]

113
00:04:21.410 --> 00:04:23.490
或系統更加安全，請聯絡
[Text on screen: 深入瞭解：聯絡 ODVA]

114
00:04:23.490 --> 00:04:25.990
ODVA 或造訪
[Text on screen: 深入瞭解：或造訪 www.ODVA.org]

115
00:04:25.990 --> 00:04:28.089
www.odva.org
[Text on screen: 或造訪 www.ODVA.org]