重要基礎建設IT缺陷 功能控制措施初探

重要民生基礎建設之運轉控制已全面電腦化，其IT缺陷功能的控制措施，已成為工業控制系統資訊安全管理研究的焦點之一。

千禧年前，重要民生基礎建設運轉操作均已經由資訊與通信技術，及整個社會其他的經濟、民生及政府運作等活動緊密聯結在一起，其工業控制系統(ICS, Industrial Control System)之資訊安全事故已闡明其關鍵性；ICS 的資訊安全，因其特性與IT之間存在著差異，如何安全的管理ICS，已成為先進國家正進行中之工作項目。

台灣地區已發生之重要民生基礎建設安全事故
自1996年起，台灣地區發生一連串之重要民生基礎建設的安全事故，其中1999年7 月29日之大停電事件更造成新台幣54.5億元的損失。
1996年之台北市捷運木柵線停止營運事件的原因是悍客(Cracker)入侵，1999年台南左鎮山區之大停電事件涉及IT的可靠性與脆弱性之風險管理之驗證、認證及安全評鑑的議題，2003年財金公司因通訊設備路由器等參數組態問題，導致近2,000部自動櫃員機幾近癱瘓，原因歸類為變更管理之問題。一般而言，深度防禦(DiD, Defense in Depth)是ICS數位安全宜遵循的策略，其實作涵蓋資訊安全管理系統要求中之「人力資源安全」、「實體與環境安全」、「通訊與作業管理」、「存取控制」以及「資訊系統獲取、開發及維護」等5個安全控制措 施節次中26項主要安全種類的控制措施。可靠性與脆弱性風險管理，宜遵循行政院風險管理作業手冊
之要求，並遵循ICS安全規範，於ISMS要求中之「容量管理」控制措施亦宜強化。在變更管理方面，除「變更控制程序」，亦涉及「資訊安全認知、教育及訓練」、「安全要求分析與規格」與「輸入資料確認」等控制措施；惟ICS之營運環境不同於一般資訊系統，源自IT機能障礙(Dysfunction)之重要民生基礎建設運作中的任何功能（如暫時停止服務、功能降低等）均有可能釀成災難。工業控制系統對「變
更管理」的安全評鑑高於財金公司ISMS驗證之「變更控制程序」的要求；換言之，我國重要民生基礎建設資訊防護(CIIP, Critical Infrastructure Information
Protection)遵循的ISMS標準宜參照先進國家之規範。

工業控制系統資訊安全防護框架
除前述控制措施外，2004年1月6日「財金資訊股份有限公司」ISMS之驗證機構，經由答覆一金控公司，詢問2003年10月20日及21日2天全國自動櫃員機交易系統當機事件，財金公司表示，約50萬筆自動提款機交易異常，真正造成民眾提款與匯款損失的交易約僅900筆，理賠金額在新台幣100萬元左右。並表示此事故非安全上的議題；回答某金控公司的書面答覆衍生出我國ICS資訊安全管理之ISMS稽核員能力或倫理等控制措施的問題，惟超越本文
之範疇，僅敘明現象，並不討論。
ISMS之驗證，根基於其輸入；重要 民生基礎建設的控制系統之資訊安全管
理，則著重在IT安全核心能力的結果。前者在台灣幾已成為營利事業，後者以防範巨災成真之同儕自發性非營利之審查，考量營運與法規，以及契約與社會責任的安全義務等，已成為ICS應遵循之ISMS稽核準繩，我國重要民生基礎建設ISMS驗證的現況是否適當？宜進一步分析、探討。

工業控制系統風險評鑑初探
台灣地區自2004年6月10日起要求「危險性工作場所」均需依勞動安全衛生法、勞動檢查法等相關法規，應完成： 1.安全衛生管理基本資料、2. 製程安全評估報告書、3. 製程修改安全計畫、4. 緊急應變計畫、5. 稽核管理計畫。已替ICS之安全建立一定的基礎，根基於此，於重要民生基礎建設ICS的「控制與監視」及「預防」層之脆弱性以攻擊難易度之高、中、低提出情境分析，ICS風險評鑑框架，並擇其攸關性逐步改善ICS的資訊安全，進而界定關鍵基礎建設的優先順序對策，並擘畫政府對重大資安事件因應對策及具體建議推動方案，增進其保護能力，以提升國家整體資通安全能量。
所謂「失誤模式與影響分析(FMEA, Failure Mode and Effects Analysis)」是一種防患於未然之為工業生產或運轉過程中成立一系統的跨功能小組進行事先預防之整備過程，其目的在於鑑別一個製程或系統之潛在失誤模式及其影響，據以驗核與確認可以消除或減少失效發生的控制措施，並將此過程文件化，本文提出的整合生命財產安全(Safety)與資訊安全(Security)之FMEA作業流程，表3是其說明。如圖4所示之FMEA若能落實執行，不但可以有效防止失效的發生以提昇安全性；同時能據以採取風險評估之結果來決定資源投入的優先順序，期能以量測之結果獲得安全性有效改善。

結論
「居安思危，思則有備，有備無患，敢以此規」，CIIP已是歐盟、美國、日本等國家努力之目標。以792大停電的南電不能北送為例，若北部能停電45%，而南部相對應之發電 機組停止發電，則其損失估計可以減少達50%以上，亦即大於新台幣27.25億元；此即ICS的ISMS之「存活度(Survivability)：對一待評標的，在其處於故障狀態下，仍能持續提供服務之能力」的要求，亦即CIIP降低IT缺陷功能之可能性的風險管理等CIIP之ISMS工作要項。
2008年3月18日，台灣公布之「2008資通安全政策白皮書」中，正式提出：1. 建立確保基礎建設安全之資訊「安全基準」；2. 建立關鍵基礎建設資通安全風險評估地圖；3. 強化各關鍵基礎建設之資通安全防護能力等3項「關鍵基礎建設之施行策略」。本文上述之整合生命財產安全與資訊安全的ICS風險評鑑方法將有
助於前述CI施行策略之推動及實作。
我國開始關心數位社會資訊安全之作業，時間尚短經驗的累積不多，許多應建立的價值、觀念、制度，大家都還在摸索之中。隨著資訊技術的一日千里，在「運籌於虛擬實境之外，決勝在網頁方寸之中。」的數位社會資訊系統安全之環境下，如何因應我國民生息息相關的資訊基礎建設之資訊系統安全之作業等之議題，實應展開更深入的思考與討論。