資安管理是保護企業營運的關鍵防線。透過個人化權限管理與資安措施，不僅防止資料洩露，更確保生產不中斷與人員安全。如何有效防範未經授權操作並提升效率？本文敘述實用技術與最佳化策略協助全面保護企業安全。

我們在重要區域使用門、鎖和鑰匙來限制存取，工業環境中的安全防護也是如此。對於企業而言，必須保護的不僅是人員（安全），還有機械設備和敏感資料（工業資安）。欠缺安全與資安可能帶來的後果包括不當操作、意外事故，甚至是嚴重的網路攻擊。因此，清晰定義存取權限並進行全方位的進入管理，有助於確保整體性安全和工業資安，保障設備的穩定運行。

圖一 : 全方位識別進入管理 (I.A.M.) 可控制對應用的存取，由此確保安全功能和措施的完整性 – 包含安全和工業資安。

全面性存取管理：保護機器與資料的雙重防線

在工業生產中，常見的場景是透過安全門向人員傳遞訊息，警示危險區域的存在。人員可以透過人機介面（HMI）或鑰匙來存取安全圍欄後的程序，但若這些人員未經授權或不具資格，便可能危及自身或他人的安全。

此外，惡意人士也可能非法修改程序，無論是透過直接操作機器還是遠端存取。這顯示出安全與工業資安的緊密關聯，而工業資安能確保機器安全的完整性。例如，工業資安可防止外部未經授權的存取，並保護敏感資料免於內部篡改或遺失。

安全與資安的雙向協作：建立清晰的權限管理

工廠與機械設備的操作人員必須明確地分配任務與權限，以有效建立識別進入管理系統。這不僅包括操作指示或定期檢查等組織性措施，還需在生產環境中整合適當的資安解決方案。

如果忽視這些措施，在發生意外事故或生產停工時，公司可能面臨嚴重責任問題。過去，這類資安措施多為自願性質，但隨著安全與資安連結的重要性被立法者認可，現在已成為強制性要求，新機械規章也規定了強制性的資安措施。

操作模式與安全性提升：確保功能安全的最佳實踐

依據各種 CE 標準，不同的操作模式必須具備對應的安全功能。這些操作模式包括自動模式、限制條件下的手動干預，以及服務模式等。

根據 EN ISO 16090-1 規範，加工中心和專用機械設備至少需要具備兩種操作模式，以確保功能安全。

最重要的是，一次只能選擇並啟用一種操作模式，且其狀態必須清楚顯示，這樣才能確保操作的安全性。

防止匿名存取：精準控管操作權限

如何決定哪些人員在特定操作模式下具備存取權限，甚至可以變更操作模式？為此，需明確定義不同的人員群組，例如操作人員、清潔人員或維護人員，並根據其任務和資格分配存取權限。

依公司規模不同，啟動和存取權限可以針對不同使用者群組或整個公司使用的機器類型設置。在風險評估期間，安全專家會評估匿名存取帶來的風險，並進行等級評分。最終，為降低風險而採取的措施將根據最新技術並符合統一標準。

簡化操作以防止擅改：提升系統可靠性

在實施資安措施時，確保操作簡便和實用性是防止擅改的關鍵。這些概念已在機器製造商的開發過程中得以應用。直覺式的操作系統可減少人員省略安全預防措施或不當操作的風險，從而提升整體系統的安全性。

同時，周全的安全系統設計有助於提高生產效率，避免不必要的停工時間。「破壞安全防護」的問題是 EN ISO 14119 的重要層面，該標準定義了安全門系統的設計和選擇原則，提供了防止擅改的實用指引。

量身打造的防護安全門：靈活與智慧的安全系統

Pilz 的 PSENmlock 等模組化安全門系統將安全門監控與防護鎖定整合在同一系統中，並提供緊急停止、逃脫釋放和機械重新啟動聯鎖等安全功能。這些系統具有高度靈活性和分散式智慧，適用於多種安全應用。

個別解決方案由感測器、逃脫釋放裝置、門把以及控制與按鈕單元組成，使用者可以根據應用需求設計專屬的安全門解決方案。隨著工業資安需求的增加，存取和權限管理已成為設計的重點。

圖二 : 具適當把手模組（左上）的安全門系統PSENmlock、具整合式存取權限系統 PITreader（右上）的按鈕單元 PITgatebox 及可程式小型安全控制器 PNOZmulti2（右下）的靈活組合，加上診斷解決方案 Safety Device Diagnostics（左下）可提供具存取權限的完整安全門解決方案。

安全與資安的整合解決方案：操作模式與存取控制

防止未經授權的存取可透過操作模式選擇與存取權限系統來實行，這種結合安全與工業資安的解決方案由 Pilz PITmode 系列產品提供。PITmode 裝置能在不同操作模式之間切換，並精準控管存取權限，所有操作直覺簡單。每位使用者都會獲得個別的傳收器，以進行清楚的身分驗證並防止擅改。

圖三 : Pilz 的 PITmode 組合版本是將安全和工業資安結合於一個系統中的模組化操作模式選擇與存取權限系統。

個別管理存取與操作模式的靈活應用

PITmode 系列提供多種版本，以便針對不同的安全需求進行個別設計。PITmode 作為小巧的全功能裝置，包含操作模式選擇按鈕與評定單元，有效節省安裝空間。模組化的 PITmode 組合版本包括 RFID 技術的讀取單元 PITreader、整合式網頁伺服器和安全評定單元（SEU）。

此外，PITmode flex 版本則將 PITreader 與 Pilz 控制器及安全評定的軟體模塊結合使用，讓存取權限與操作模式選擇整合到現有控制臺中，並可利用現有按鈕選擇操作模式，操作簡易。PITreader 負責進行傳收器識別，PITmode 和組合版本能提供高達 PLd 等級的安全操作模式選擇與存取控制。

簡單身分驗證 – 支援遠端操作

若要選擇操作模式，使用者只需將傳收器直接連接至 PITmode，並按下 HMI 上設定的操作模式按鈕或對應按鈕。若使用者擁有相應權限，即可存取系統程序。同樣地，維修員工可透過遠端維護來存取機器，但僅在現場人員授權並啟用對應權限的情況下進行。

維護作業完成以後，系統會在機器重新啟動之前關閉存取權限，以避免未經授權的操作或在維護後意外開放的端口。這樣一來，營運公司能夠精準控制誰擁有何種權限，進一步提升工業資安。

?

完整的進入管理解決方案：靈活應用與整合

如果僅需要進行存取控制，PITreader 也可作為獨立裝置或與 Pilz 控制器結合使用，形成存取權限管理系統。結合 PNOZmulti 2 可程式小型控制器，系統管理員能透過 PNOZmulti Configurator 工具進行簡單的「拖放」配置，來設定工廠和機械設備的存取權限。這些設定會透過讀取單元 PITreader 傳輸至 RFID 傳收器密鑰。

圖四 : RFID 傳收器密鑰將在 PITreader 中讀取與教導。使用相關聯網頁伺服器，輕鬆即可進行存取權限和操作模式的分配。

此外，PITreader S 版本支援 OPC UA 標準，能與其他製造商的設備整合使用，使其應用不受限於 Pilz 控制器。PITmode 裝置也能輕鬆整合至現有的控制面板中，進一步提升系統的靈活性。

選擇鑰匙、卡或貼紙：靈活應用的身分驗證

PITreader 卡單元為操作人員和使用者提供額外的靈活性。支援 RFID 的卡和貼紙可與 RFID 傳收器密鑰一起或取代其使用。如果公司已在使用支援 RFID 的卡，這些卡片也可以搭配 PITreader 使用，使得使用者僅需一張卡即可完成多項功能。這些 RFID 傳收器（無論是密鑰、卡片或貼紙）具有結合多種功能的優勢，讓使用者只需攜帶一個識別媒體，方便實用。此外，系統管理員在管理和維護密鑰時也能節省大量時間和工作量。

提供更多資安：強化操作的透明度

資安層面同樣考量使用者身分驗證、資格和存取保護。即使在所有安全措施都已到位的情況下，若意外事故或資安事件發生，RFID 傳收器也能讀取相關信息，以判定誰進行了哪些變更。如果需要，控制系統還可利用內部不可修改的審核軌跡記錄存取時間，確保操作透明並提高安全性。

謹慎管理的關鍵：確保全生命週期安全

為了確保安全和工業資安在應用的整個生命週期中得以保障，系統管理員在維護權限方面需投入大量精力。為了簡化管理，Pilz 提供了適當的軟體工具來支援使用者和傳收器的組織管理。這意味著複雜的權限矩陣或群組層級規範可以被隱藏在小型 RFID 密鑰中。透過整合的 PITreader 網頁伺服器，系統管理員可以對 PITmode 或 PITreader 的 RFID 傳收器進行編程，並將使用者資料和權限儲存在其上。所有重要的設定皆直接在讀取單元上完成，這不僅加速了試運轉，還包括介面的配置，大大提高了管理效率。

限制存取介面：強化 USB 連接埠的安全性

識別進入管理的應用可擴展至特殊工業 USB 連接埠，這些介面往往是資安事件中的主要漏洞之一。透過將存取權限系統 PITreader 與具備 USB 2.0 主機介面的 PIT oe USB 操作元件結合，此解決方案能有效防止未經授權的程式匯入、資料外流，以及鍵盤或滑鼠的非法連接。由於 USB 介面僅能在相應權限啟用的情況下使用，因此生產設施的資料流量能得到有效保護。搭配 Pilz 的 SecurityBridge 工業防火牆，可以進一步防止未經授權的存取和擅改，確保工業自動化網路的安全性。

現有機械設備 – 安全且可靠的升級

若現有機械設備需更新至最新技術，或在風險評估中被識別為需要安全升級的一部分，存取權限系統 PITreader 可輕鬆進行翻新。該裝置可直接安裝於標準 22.5 mm 直徑的鑰匙開關切口。與 Pilz 控制器結合後，所需的資安功能可以直接設置。

圖五 : 維護安全防護系統「隨身鑰匙」是由存取權限系統 PITreader、按鈕單元 PITgatebox 及可程式小型控制器 PNOZmulti 2或自動化系統 PSS 4000 等 Pilz 控制器構成。

若使用第三方控制器，則 PITmode 組合版本可用於整合存取權限和操作模式的評定。依據使用的傳收器媒體，公司現有的 RFID 密鑰卡也可以用於身分驗證。

結論

為了保護最重要的資產（即我們的安全），有必要設計整體性的安全概念，並定期檢驗其是否隨時符合最新要求。清楚規定公司內部的權限與存取管理是至關重要的要素。

這一解決方案包含適當的措施和規範，並整合了全面的安全與資安功能。當輔以組織使用者和傳收器的輔助軟體元件，PITreader 等存取權限系統能成為理想的硬體模塊。安全門系統、控制器及相關軟體等附加元件，以及操作模式選擇等功能，能強化整體性安全與工業資安的概念，使系統對使用者來說操作簡便，並確保每位使用者都能掌握其所需的鑰匙。