資安即國安與日常生活密不可分關鍵資訊基礎設施保護

2017 / 06 / 19

編輯部

以往聽到像交通、能源這類國家重要基礎遭駭客入侵，總覺得那是電影情節，不會發生在現實生活中。但2010年伊朗發生核電廠被Stuxnet蠕蟲攻擊後，讓人不禁聯想電影情節可能在現實生活中出現。行政院資安處技術發展科科長周智禾分享今年2月在RSA大會中，有研究人員以透過改寫的勒索病毒控制淨水廠的PLC系統來進行概念驗證的例子。談到勒索病毒，今年5月12日Wanna Cry病毒在全球肆虐，台灣也成為重災區。此次傳出三峽恩主公醫院有一台醫療推車感染病毒，另外，台電大林電廠的行政電腦有近800台遭到感染，所幸未影響到供電。可見關鍵基礎設施受到攻擊已不再僅是電影情節，而是迫在眼前的安全威脅。

由資安處負責分3層架構推動CIIP工作
像上述這些醫療、能源基礎設施的運作攸關國家人民的安全，因此去年8月在行政院資安會報中，新設「關鍵資訊基礎設施安全管理組」，由行政院資安處主辦，負責規劃關鍵資訊基礎設施的安全管理機制。現已送至立院審查的「資通安全管理法草案」中，將關鍵基礎設施（CI, Critical Infrastructure）列為規範對象，目前草案中是把能源、水資源、通訊傳播、交通、金融、醫療、中央與地方機關，與高科技園區8大領域訂為關鍵基礎設施。至於關鍵資訊基礎設施（CII , Critical Information Infrastructure）指的就是用來維運這些關鍵基礎設施所需的資訊網路系統，或調度控制系統（SCADA , Supervisory Control and Data Acquisition）。

周智禾表示，目前資安處所推動的關鍵資訊基礎設施防護（CIIP, Critical Information Infrastructure Protection）架構主要有5項重點，分別是組織功能與權責、風險管理、資訊共享與合作、通報應變，與CIIP防護原則。要推動CIIP，一定要先區分出由誰負責哪些事，目前關鍵基礎設施防護的權責分為國家、關鍵領域，與設施提供者3層。國家層級由行政院資安處負責，主要實施跨領域演練、制定資安防護建議等工作。領域階層由8大領域的中央主管機關負責，例如金融領域是金管會，能源與水資源就歸屬經濟部。第3層則是關鍵設施提供者，金融設施就是銀行、證券機構，能源提供者就像台電、中油等單位。

各領域建置SOC、ISAC、CERT
資訊共享與合作的部分是以SOC（事前監控）、CERT（事中通報），與ISAC（事後分享）為3大重點。以ISAC來說，國家級ISAC主要在進行跨領域的情資分享。像政府的GISAC自2009成立，採取會員制以做為像通傳會、教育部、CERT等政府部會間即時訊息傳遞的中心平台，每年有高達6位數的情資交換，未來希望提高為國家層級的跨領域平台。為了協助各領域的主管機關建置ISAC，今年已規劃8億預算投入，目前以金管會負責的金融ISAC進展較快，尤其受之前一銀盜領事件與證券業DDoS攻擊事件影響，對金融ISAC的推動成立更顯得有其必要性。

以通訊傳播領域為例
現在的數位化生活裡，不管是手機、有線電視、線上交易等都需要依賴網路與通訊。網路一旦發生中斷異常勢必對民眾生活、企業營運產生重大衝擊，所以主管此項業務的國家通訊傳播委員會（NCC）也需要針對此領域提出資安防護規劃。其具體的措施有建置防護中心、強化通報應變、完備資安法規、查核機房安全與辦理資安演練5項。在法規上，除了在立院待審的資通安全法草案，列出8大關鍵基礎領域應採取的資安防護通則，另外針對電信事業資安上的特殊需求，則在電信管理法草案中規定。

在防護中心建置與通報應變上，國家通訊傳播委員會基礎設施事務處處長羅金賢提到，在電信自由化後，目前我國的電信事業都已是民營廠商，如有事故發生都需靠業者自行通報。像今年4月22日發生的APCN2國際海纜異常，NCC要過幾小時後才知道，就國家安全的角度來看實在太慢，也突顯建立防護中心，聯結所有相關業者的基礎設施，以便掌握業者的網路即時狀況與強化通報應變的必要。

關鍵設施提供者注意工控系統安全
在關鍵基礎設施提供者方面，經濟部國營事業委員會科長鄭春光指出，超過80%的關鍵基礎設施是依賴工業控制系統來執行自動化作業，因此工控系統的安全可說關係到國家的戰略安全。按照美國國土安全部工控系統安全小組所公布的各行業工控系統安全漏洞的數量，最多為能源業，其次為關鍵製造業，第三為水資源業。而工控系統中最常見的漏洞類型分別是，阻斷服務（29%）、遠端代碼執行（21%）、緩衝區溢出（20%）、其他（30%）。以大家最常聽到的阻斷式攻擊，鄭春光就表示重點在工控系統是否與Internet直接連接，否則影響不大。

一般來說工控系統所面臨的安全風險，主要是來自早期設計工控系統時都是在封閉環境中使用，並未預想會以網路互聯，所以較少考量安全上的防護。另外，網路上各種駭客、開源社群的興起，也讓有心人士有更多管道能取得這些封閉系統的相關資訊，再加上這些工控系統掌握著許多國家的重要基礎建設，當然也就成為敵對國家網軍，或極端勢力的攻擊目標。

3層縱深防護工控系統
以往在討論企業IT時強調的縱深防禦策略，也同樣適用在工控系統上。鄭春光建議可採用美國國家標準協會的ANSI/ISA-99.02.01，或國際電工委員會IEC-63443標準的區級防護方式，以企業管理、資訊監控與工業控制層3層方式，將組織內的網路劃分不同的安全區域。在企業管理與資訊監控層間加入的是IT防火牆，只允許2層網路間進行合法授權的資料交換，並防止病毒感染到內部的工控系統。在資訊監控與工業控制層間則是設置工業防牆，只准許系統製造商使用的專用協議通過，並設定特定操作機台才能存取指定的控制器，以防止控制器遭到惡意攻擊。

不要忽略「人」的角色
最後要提醒的是，在檢視關鍵基礎設施的安全風險時，除了法規、管理與技術設備外，不要忽略了「人」的角色。就像CPP（Certified Protection Professional）企業安全專家徐子文強調，「科技存在的目的是協助執行程序，人，才是所有事件的根本。」如果有人為了一時的方便開啟後門，即使建置再好的防護措施也會出現漏洞。因此，除了設置可見縱深聯防的具體措施外，人員資安意識的培育更是組織無形的堅強防禦。

2017資訊安全論壇關鍵資訊基礎設施保護 CIIP