18. 附圖為智慧製造企業組織的網路架構圖,請問下列描述何者較「不」正確?

(A)防火牆 A 至防火牆 E 的部署主要為了強化網路的縱深防禦
(B) 為特別加強防護,屬於 DMZ 網路的網路(2)及網路(4),應特別加強保護
(C) 為確保網路安全,可考慮採用實體隔離的技術(如 Air Gap)隔離 IT 與 OT 網路
(D)因網站服務需開放外部連線,因此需要在網路防火牆 A 設定開放網際網路至網 站服務伺服器的 HTTPS 協定

答案:登入後查看
統計: A(5), B(55), C(12), D(14), E(0) #3871553

詳解 (共 1 筆)

#7437158

為什麼 (B) 是錯誤(較不正確)的?
我們來仔細檢視圖中的網路區域劃分:
網路(1):面向網際網路,放了「網站伺服器」,這才是標準的 IT DMZ。
網路(2):放了「ERP 伺服器」和「辦公電腦」,這是企業的 IT 內部辦公網路(Enterprise Zone)。
網路(3):放了「OT 資料交換伺服器」,這通常是 工控 DMZ(Industrial DMZ / IDMZ),用來安全地交換 IT 與 OT 之間的資料。
網路(4):直接連接了「PLC」、「HMI」以及實際的生產機台(風扇、輸送帶等),這是核心的 OT 製造執行與控制網路(Control/Cell Zone)。
(B) 選項指出「網路(2) 及網路(4) 屬於 DMZ 網路」,這在定義上是完全錯誤的。 辦公網路(網路 2)與核心控制網路(網路 4)都屬於內部高度信任或需要嚴密保護的區域,絕對不會將其歸類為對外緩衝的 DMZ。
? 其他選項為什麼「正確」?
(A) 防火牆 A 至防火牆 E 的部署主要為了強化網路的縱深防禦
原因:圖中從外到內一共切了 4 個防火牆關卡(A、B、C、D、E 協同切分),這種多層次過濾、區域隔離(Segmentation)的作法,就是為了實現「一關破了還有一關」的**縱深防禦(Defense in Depth)**精神。
(C) 為確保網路安全,可考慮採用實體隔離技術(如 Air Gap)隔離 IT 與 OT 網路
原因:在工控資安實務中,若該場域的生產機台極度關鍵且完全不需要與外界 IT 連線,採用**實體隔離(Air Gap,使兩者物理上完全不連通)**是最極致、最安全的防護手段,概念上完全合理。
(D) 因網站服務需開放外部連線,因此需要在網路防火牆 A 設定開放網際網路至網站伺服器的 HTTPS 協定
原因:網路(1) 是對外的網站服務,外部使用者必須能連得進來。因此,位於最外層的「防火牆 A」確實必須放行從外網到該伺服器的安全網頁流量(HTTPS, TCP 443)。

0
0