17. 參考美國國家標準研究院(NIST)與 ISO/IEC 62443 相關規範，營運技術(Operational Technology, OT)網路環境，包含製造業、 醫療業等，在設計上的原則下列何者最為適切？
(A) 要區隔資訊環境及作業環境
(B) 可以透過主機型防火牆做區隔
(C) 可以共用同一台目錄服務跟檔案伺服器
(D) OT 環境比較封閉可以不用更新軟體弱點

這題的正確答案是 (A) 要區隔資訊環境及作業環境。

這是 OT 資安架構中最核心、最基礎的原則，對應到知名的 Purdue Model (普度模型) 以及 IEC 62443 的「區域與管道 (Zones and Conduits)」概念。

以下為您詳細解析各選項的適切性：

正確選項解析

• Option (A) 要區隔資訊環境及作業環境 ✅

  • 核心概念：網路分段 (Network Segmentation) / 縱深防禦

  • 為什麼正確： NIST SP 800-82 與 IEC 62443 都強烈建議必須將 IT 網路 (企業辦公網) 與 OT 網路 (工控網) 進行物理或邏輯上的隔離（通常透過 DMZ、防火牆或單向閘道器 Data Diode）。

  • 目的： 防止發生在 IT 端的攻擊（如勒索病毒、釣魚郵件駭客）橫向移動感染到 OT 端，導致產線停擺或工安事故。這是 OT 資安的第一道防線。

錯誤選項解析

• Option (B) 可以透過主機型防火牆做區隔 ❌

  • 風險： 雖然主機型防火牆 (Host-based Firewall) 是防護的一環，但不能作為 IT/OT 區隔的主要手段。

  • 技術限制： 許多 OT 設備（PLC、HMI、老舊機台）運作的是嵌入式系統或不再支援的作業系統（如 Windows XP/7），根本無法安裝或啟用主機型防火牆。區隔必須在「網路層」透過專用的邊界防護設備來執行。

• Option (C) 可以共用同一台目錄服務跟檔案伺服器 ❌

  • 風險： 這是資安大忌。如果 IT 與 OT 共用同一套 Active Directory (AD) 或 File Server，一旦 IT 環境的 AD 管理員帳號被攻破，駭客就直接擁有 OT 環境的最高權限。

  • 最佳實務： OT 環境應建立獨立的 AD 網域（或與 IT 網域完全不信任/單向信任），檔案交換應透過專屬的「檔案清洗區 (File Sanitization)」或中繼站進行，絕不可直接掛載共用資料夾。

• Option (D) OT 環境比較封閉可以不用更新軟體弱點 ❌

  • 風險： 這是過時的「實體隔離 (Air-gap)」迷思。現代 OT 環境多少都會有數據交換需求，且駭客可透過隨身碟或維護廠商筆電入侵（如知名的 Stuxnet 蠕蟲）。

  • 規範要求： 雖然 OT 更新修補需要配合歲修或停機時間，較為困難，但標準規範要求必須進行「漏洞管理」與「風險評估」，對於無法更新的系統應採取補償性控制措施（Compensating Controls），而非「不用更新」。

總結

根據 IEC 62443 的設計哲學，將系統劃分為不同的 安全區域 (Security Zones) 並嚴格控管區域間的 管道 (Conduits)，是確保 OT 環境安全的最優先事項。因此 (A) 是最標準的答案。