從資安角度看SCADA遭駭客入侵

最近這則新聞把監視控制與資料擷取(SCADA, Supervisory Control and Data Acquisition)系統的安全性再次凸顯出來。該名約聘的IT顧問，原本是協助該公司建立各外點與總公司的通訊設備與網路，職務上獲得各種可以存取系統之帳號權限，這些系統是用於確保瓦斯不至於外洩與平台安全監控之用。而他在了解這樣做的嚴重後果後，還做出此違法情事，雖然未真正釀成災難，但還是被處以重刑。

再者，委外廠商的權限管理一直是大漏洞之一，尤其是IT與資安相關的委外任務，除了簽訂保密協定(NDA)之外，確實執行與列於合約中的安全管理程序和賠償責任更不可免，此案例凸顯了對於委外人員的控管不落實，甚至根本沒有管理控制可遵循，而導致此可能造成嚴重災難與人命喪失的危機。

常見的SCADA問題與資安問題相似

SCADA是系統監控和資料擷取功能的軟硬體系統總稱，常用於電力、水、溫度、空調、自動化控制等監控與回饋控制，採中央集中控管在遠端或本地的設備，像是工廠各個區域的溫度、氣壓、濕度以及機台的即時狀態資訊，透過資料擷取感應設備(sensor)將類比資料透過RS232或RS485等介面或可程式化邏輯晶片(PLC)轉為數位訊號，提供固定格式的訊息給中央控管機器，然後透過人機介面提供資訊給管理單位。在遠端設備可以用一般的網路即可串連，所以會有網路的問題，或者是撥接系統(dial-up)斷線與傳輸資料加密的問題。包含電力、交通、捷運列車、水壩、瓦斯以及各種工業製造設施，都需要依賴偵測器將實體環境參數輸入到電腦中，以方便總管系統的監督與安全管理，一旦被關閉或竄改參數將導致重要的關鍵設施癱瘓，嚴重將會危害公共安全。 

 一般SCADA會透過圖形介面來標示實體物件的各種狀態，提供即時的資料顯示，將資料存於資料庫或檔案中再加以運用，包含設定正常與異常狀態的警示條件(rules)。如果溫度或壓力超過界限(threshold)，就會產生警報，再傳送到手機、燈號或其他通報管道。SCADA監控平台軟體、感應器與被控制的硬體設備，使用相同的標準的資料交換介面，兩者就可以直接溝通，例如DDE (Dynamic Data Exchange)、OPC (OLE for Process Control)，也有透過DLL（動態連結函式庫）提供呼叫硬體裝置的API，對資訊人員來說都是再熟悉不過了，不過沒接觸之前就會覺得蒙上一層紗，也製造了商業的進入門檻和獨特性，但是越封閉的系統，在測試與稽核時就容易因為本身的問題與獨特性造成類似固有風險(inherent risk)難以轉移，變成是系統先天不良或後天整合問題。

常見的SCADA問題，與常見資安問題有得拼，包含各種裝置使用通用密碼、廠商預設密碼，存取權限根本沒有控制、未加密的資料傳輸、沒有建置防火牆的觀念、缺乏入侵偵測系統、網路品質與流量控制等，流量控制似乎是柵湖線其中一個故障原因。針對這些問題其實也已經有各種方案可用，像是SCADA所採用通訊架構的防火牆、入侵偵測與誘捕系統，以及針對平台作業系統的弱點修補。

再以台北捷運作為例子，捷運系統的電力設施、行控系統、列車開關門與例外處理均透過行控中心自動化管理與人員監控，但是仍有各種意外事故的發生，也不禁令人猜測其SCADA系統本身的整合性和資訊環境的安全性是否出問題，當然包含SCADA網路與委外廠商的資訊設備安控管制(dialup link access control)。而SCADA應該說是資安系統的祖師爺，很多控制和管理的觀念與現在資訊環境安全不謀而合，且極為相似。但是，鮮少SCADA系統建置與管理參考現行資安已臻成熟的控制措施、弱點掃描、滲透測試，並融入稽核觀念，相信均可協助改善整體系統的可靠度與安全性。

SCADA環境應該有縱深防禦(Defense In Depth)的觀念，從系統網路架構、技術、人員與作業程序等方面著手（見圖1）。首先，系統網路架構必須要有網路隔離、防火牆、入侵偵測等多層防禦思考；人員方面，包含資安意識訓練、實體安全控制、未授權行為之懲處、權責分配與管理政策等；在科技技術面，包含採用任何IT技術時要有安全政策、系統安全確保架構與標準、獲得可靠經過驗證過的產品，以及系統整合的風險評鑑、組態管理等；作業層面的安全控制則經常被忽略，包含回復與重建、政策落實、金鑰管理，系統安全評估。整體而言，偵測攻擊警示與應變(ASWR)，保護基礎建設、威脅監控、整備度評估，是重要的縱深防禦作為，可以回過頭來參考資安管理標準與規範的精神與控制方式。

實務建設與落實

從現實環境面的考量，得先認清SCADA系統環境可能遭受的威脅類型與風險，常見的案例包含分散式阻斷服務攻擊、病毒與惡意程式、人為錯誤和意外、恐怖攻擊、實體安全、電力問題等。因應這樣的威脅來源，採用的防禦方式則依照各單位環境的不同與系統主要功能而有所差異，包含實體隔離整個系統環境、考量廠商維護時是否有隱藏版後門或跳脫安控的存取介面，以及基本上要有能夠監控與偵測安全威脅的機制，例如專為SCADA通訊所設置的防火牆、入侵偵測系統；有條件下使用在中央系統伺服器與遠端測控系統(RTU, Remote Terminal Units

)的防止惡意程式擴散的偵測方式。

我們可以比較一下IT環境與SCADA環境在安全需求和控制上的先天差異，並且適度地評估採用相關安全控制。在錯誤容忍度方面，SCADA通常是要達到5個九以上的持續營運可靠度，包含資料錯誤、系統中斷、回應時間等，都幾乎無法容忍延遲或錯誤的發生，因此在系統容錯與備援上的要求更高。因為先天上的系統因素，要在SCADA環境中安裝防毒軟體、防火牆被需要審慎地評估與試行，避免因此發生更多的安全問題，像是軟硬體的修補更新多半因為不敢更動，而存在許多固有的舊型漏洞。可以考慮在周期性的弱點掃描與滲透測試上，去發掘出相關問題，利用較不影響系統功能的方式，加以偵測與阻擋針對這些漏洞的攻擊威脅。

最後，人員的資安意識強化、委外安全管理亦是提升整體SCADA環境安全的要務，才能避免發生前述之約聘承包人員把

油田工安偵測關閉的惡意破壞行為。