首頁 > 焦點新聞

資安即國安與日常生活密不可分 關鍵資訊基礎設施保護

作者:編輯部 -2017 / 06 / 19 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
以往聽到像交通、能源這類國家重要基礎遭駭客入侵,總覺得那是電影情節,不會發生在現實生活中。但2010年伊朗發生核電廠被Stuxnet蠕蟲攻擊後,讓人不禁聯想電影情節可能在現實生活中出現。行政院資安處技術發展科科長周智禾分享今年2月在RSA大會中,有研究人員以透過改寫的勒索病毒控制淨水廠的PLC系統來進行概念驗證的例子。談到勒索病毒,今年5月12日Wanna Cry病毒在全球肆虐,台灣也成為重災區。此次傳出三峽恩主公醫院有一台醫療推車感染病毒,另外,台電大林電廠的行政電腦有近800台遭到感染,所幸未影響到供電。可見關鍵基礎設施受到攻擊已不再僅是電影情節,而是迫在眼前的安全威脅。

由資安處負責 分3層架構推動CIIP工作
像上述這些醫療、能源基礎設施的運作攸關國家人民的安全,因此去年8月在行政院資安會報中,新設「關鍵資訊基礎設施安全管理組」,由行政院資安處主辦,負責規劃關鍵資訊基礎設施的安全管理機制。現已送至立院審查的「資通安全管理法草案」中,將關鍵基礎設施(CI, Critical Infrastructure)列為規範對象,目前草案中是把能源、水資源、通訊傳播、交通、金融、醫療、中央與地方機關,與高科技園區8大領域訂為關鍵基礎設施。至於關鍵資訊基礎設施(CII , Critical Information Infrastructure)指的就是用來維運這些關鍵基礎設施所需的資訊網路系統,或調度控制系統(SCADA , Supervisory Control and Data Acquisition)。

周智禾表示,目前資安處所推動的關鍵資訊基礎設施防護(CIIP, Critical Information Infrastructure Protection)架構主要有5項重點,分別是組織功能與權責、風險管理、資訊共享與合作、通報應變,與CIIP防護原則。要推動CIIP,一定要先區分出由誰負責哪些事,目前關鍵基礎設施防護的權責分為國家、關鍵領域,與設施提供者3層。國家層級由行政院資安處負責,主要實施跨領域演練、制定資安防護建議等工作。領域階層由8大領域的中央主管機關負責,例如金融領域是金管會,能源與水資源就歸屬經濟部。第3層則是關鍵設施提供者,金融設施就是銀行、證券機構,能源提供者就像台電、中油等單位。 

各領域建置SOC、ISAC、CERT
資訊共享與合作的部分是以SOC(事前監控)、CERT(事中通報),與ISAC(事後分享)為3大重點。以ISAC來說,國家級ISAC主要在進行跨領域的情資分享。像政府的GISAC自2009成立,採取會員制以做為像通傳會、教育部、CERT等政府部會間即時訊息傳遞的中心平台,每年有高達6位數的情資交換,未來希望提高為國家層級的跨領域平台。為了協助各領域的主管機關建置ISAC,今年已規劃8億預算投入,目前以金管會負責的金融ISAC進展較快,尤其受之前一銀盜領事件與證券業DDoS攻擊事件影響,對金融ISAC的推動成立更顯得有其必要性。 

1
推薦此文章
3
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…