Transcript 投影片 1
整合生命財產安全(Safety)與資訊安全(Security)
風險評鑑(Risk Assessment)平台之探討-根基
於CORAS
一、前言
二、關鍵資訊基礎建設安全防護初探
三、整合生命財產安全(Safety)與資訊安全(Security)
之風險評鑑初探
四、工業控制系統風險管理初探
五、結論
國立高雄師範大學資訊教育研究所 所長 楊中皇 教授
異術科技股份有限公司 資訊長
樊國楨 博士
中華民國九十七年三月三十一日
970330.ppt © CCISA(KJF)
p1
國立高雄師範大學資訊教育研究所學生
黃鵬羽
吳偉誠
沈宗享
賴容瑩
林侑霓
國立交通大學資訊管理研究所 學生 黃健誠
異術科技股份有限公司 工程師
朱潮昌
970330.ppt © CCISA(KJF)
p2
傅雅萍
發動攻擊所需具備之知識門檻示意圖
電子郵件繁殖的惡意程式碼
(email propagation of malicious code)
分散式阻斷服務攻擊
(DDoS attacks)
偷竊/進階掃描技術
(“stealth”/advanced scanning techniques)
蠕蟲增殖(increase in worms)
在DNS基礎建設上廣泛攻擊
(widespread attacks on DNS infrastructure)
可執行程式碼攻擊
[executable code attacks (against browsers)]
防鑑識技術(Anti-forensic
techniques)
自動廣泛攻擊(automated widespread attacks)
居家使用者目標(home users targeted)
GUI入侵工具(GUI intruder tools)
分散式攻擊工具(distributed attack tools)
攔截會談(hijacking sessions)
封包欺騙
(packet spoofing)
1990
持續增加的大規模木馬程式分佈(increase in
wide-scale Trojan horse distribution)
widespread
denial-of-service
attacks
自動化探索/掃描
(automated probes/scans)
在沒有原始碼狀態下分析程
式碼脆弱性之技術
( techniques to analyze
code for vulnerabilities
without source code)
入侵者知識(Intruder Knowledge)
攻擊精密度(Attack Sophistication)
精密的指令及控制
(sophisticated command
& control)
使用NNTP做廣泛之分散式攻擊
(widespread attacks using NNTP to distribute attack)
網際網路社交工程攻擊
(Internet social
engineering attacks )
高
視窗版的可遠端控制木馬
(後門)程式
[Windows-based remote
controllable Trojans
(Back Orifice)]
2004
資料來源:Stephen D. Crocker, (2004), Protecting the Internet From Distributed Denial-of-Service
Attacks: A Proposal, Proceedings of the IEEE, Vol. 92, No. 9, September 2004, pp. 1375-1381, Fig. 3.
970330.ppt © CCISA(KJF)
p3
低
資訊系統安全風險關連圖示意
威脅等級
攻擊手
使用
工具/技術/方法
條件:威脅成真之條件
對策:
1、阻絕型控制措施。
2、偵測型控制措施。
說明:
經由
1. 攻擊之工具/技術/方法日新月異,
駭客置換資訊產品靭體的能力
(http://research.eeye.com/html/advi
sories/published/AD20060714.html( 資訊系統暴
造成
2007-11-15))已進入實作階段。
露之脆弱性
2. 前述遠端攻擊技術於2006-02-27
通知廠商,2006-07-16於Black Hat
USA 2006中發表。
防護等級
3. 廠商發展前述修補(Patch)時間為 對策:
136天。
1、防範型控制措施。
2、反應型控制措施。
970330.ppt © CCISA(KJF)
p4
資訊資產之機密性/完整
性/可用性之損失
衝擊:威脅成真之後果
網路黑手黨例-大隻佬6號(Sobig.F)惡意程式
1、2003年8月18日,有人盜用之信用卡帳號在Easynews網站開戶,加入專
看色情資訊的討論群組。7分鐘後,一則訊息上網,使用者開啟此訊息
乍看是色情圖片之附檔,立刻被大隻佬6號(Sobig.F)入侵,大隻佬6號
就此進入數位社會。
2、2002年1月9日大隻佬1號問世以來,到2003年7月14日大隻佬5號被破解
時,大隻佬已越來越難處理,此惡意程式入侵後下載鍵盤偵測程式並安
裝後門。
3、2003年8月19日16時55分,大隻佬6號已成為數位空間世界級威脅之一。
4、2003年8月21日14時,大隻佬6號最後之區塊被解碼,得知2003年8月22
日22時,所有被大隻佬6號入侵的電腦將從分布在美國、加拿大與南韓
20部伺服機之一聯繫並被引導至一個網站下載程式。
5、2003年8月22日,經由美國聯邦調查局、微軟公司之協助的國際合作,
終於將大隻佬6號第2階段攻勢所繫之20部伺服機失能,唯大隻佬6號當
天晚上究竟要下載什麼,則未得知。
6、微軟公司懸償U.S.$250,000,徵求大隻佬6號法律證據,業界相信大隻
佬6號是一椿涉及金錢的「網路黑手黨」之行動。
970330.ppt © CCISA(KJF)
p5
關鍵基礎建設領域之內部人員資訊安全事件
1.
2.
3.
資料來源:Keeney, M.J.D. et al.(2005) Insider Threat Study: Computer System
Sabotage in Critical Infrastructure Sectors, May 2005, National Threat
Assessment Center and CERT Program。
樣本:1996~2002間之49件資訊安全事件。
損失(單位:美元):
3.1
1~20,000: 42%
3.2
20,001~50,000: 9%
3.3
50,001~100,000: 11%
3.4 100,001~200,000: 2%
3.5 200,001~300,000: 7%
3.6 1,000,001~5,000,000: 9%
3.7 10,000,000: 2%
4.
關鍵基礎建設領域比率:
4.1 金融:8%
4.2 政府:16%
4.3 國防工業:2%
4.4 食品:4%
4.5 資訊與通信:63%
4.6 郵購:2%
4.7 公共健康:4%
5.
大多數之內部員工資訊安全事件均事在資訊系統產生嚴重的異常動作或是
當機時才被發現。
970330.ppt © CCISA(KJF)
p6
資訊技術缺陷功能之資訊安全事故例
-根基於2003年8月14日北美大停電事件
1. 第1階段(電力網可靠性降級):
1.1 資訊技術事件:12時16分,電力網之監督控制與資料獲取(Supervisory Control and Data Acquisition,
簡稱SCADA)系統發生資源競逐(Race Condition)事件,13時02分開始影響電力調度。
1.2 電網(Grid)事件:13時31分~14時02分,第1個345KV區域電網失能。
2. 第2階段(電腦故障):
2.1 資訊技術事件:14時14分,電能管理系統發出警示;14時41分,電能管理系統停機;14時54分電
能管理系統備援主機停機。
2.2 電網事件:14時27分與15時05分,不同區域之345KV電網失能。
2.3 人力(Human)事件:14時32分,未更新電能管理系統僅重開機。
3. 第3階段(345KV電網解聯):
3.1 資訊技術事件:15時08分,電能管理系統主機重開機。
3.2 電網事件:15時05分、15時32分與15時41分,345KV電網分段全部解聯;15時39分,第1個138KV
電網失能。
3.3 人力事件:15時19分、15時35分、15時36分、15時42分與15時45分5次處理均未能對症投藥。
4. 第4階段(138KV電網崩潰):
4.1 資訊技術事件:自15時45分至15時50分電能管理系統相關裝置之電腦重開機。
4.2 電網事件:15時42分,超過15個138KV電網失能;16時05分,第1個345KV區域電網復能。
4.3 人力事件:15時46分(2次)、15時56分與15時57分分4次處理。
5. 教訓:事後調查之分析,含緊急處理的現場人員無人提出此次財務損失達U.S.$ 14,000,000,000.(備考:
2007年10月公布之National Strategy for HOMELAND SECURITY中,估計其成本約為 U.S.$
6,000,000,000.)的SCADA系統在大停電發生前與其期間已暴露之脆弱性的指示。
6. 在北美電力可靠性評議會(North American Electric Reliability Council,簡稱NERC)2004年2月10日,針
對814大停電建議改進之46項要求中,資訊安全佔12項。
7. 資料來源:
7.1 U.S. – Canada Power System Outage Task Force(2004) Final Report on the August 14, 2003 Blackout in
the United States and Canada: Causes and Recommendations, April 2004。
7.2 NERC(2005) North American Electric Reliability Council Status of August 2003 Blackout
Recommendations, July 14, 2005。
7.3 本研究。
970330.ppt © CCISA(KJF)
p7
貝林汗(Bellingham)輸油管(Gasoline Pipeline)失
效(Failure)災害(Accident)事故
1. 1999 年 6 月 10 日 下 午 15 時 28 分 , 美 國 華 盛 頓 州 奧 林 匹 克 管 線 公 司
(Olympic’s Pipe Line Company)之16英吋輸油鋼管於貝林汗因壓力失控洩
油237,000.加侖,造成3死8傷與至少U.S.$ 45,000,000.的安全事故;當天下
午15時左右其資料獲取與監督(Supervisory Control and Data Acquisition,
簡稱SCADA)系統因歷史資料庫更新,致系統與備援系統均失效。
2. 2002 年 10 月 8 日 , 美 國 國 家 運 輸 安 全 委 員 會 (National Transportation
Safety Board,簡稱NTSB)就此事件,建議SCADA應離線更新並測試完成
後再進行系統變更。
3. 資料來源:
3.1 NTSB(2002) Pipeline Accident Report: Pipeline Rupture and
Subsequent Fire in Bellingham, Washington June 10, 1999,
NTSB/PAR-02/02 PB2002-916502, October 8, 2002。
3.2 本研究。
970330.ppt © CCISA(KJF)
p8
貝林汗(Bellingham)輸油管(Gasoline Pipeline)失效
(Failure)災害(Accident)事故過程簡述
1.
1999-06-10 15:00 : 控 制 員 更 改 輸 油 管 分 送 點 , 資 料 獲 取 與 監 督 (Supervisory Control and Data
Acquisition,簡稱SCADA)系統管理員輸入 2筆新資料至主(Primary)控制之SCADA系統(以下簡稱
SCADA2)的歷史資料庫。
2.
1999-06-10 15:10:SCADA2生成歷史資料庫之錯誤訊息,系統管理員於檢核資料後離開15分鐘。
3.
1999-06-10 15:18:SCADA2呈現不隱定與無回應狀態。
4.
1999-06-10 15:24:SCADA2轉成離線。
5.
1999-06-10 15:27:備援之SCADA系統(以下簡稱SCADA1)成為線上控制。
6.
1999-06-10 15:28:輸油管破裂。
7.
1999-06-10 15:44:SCADA2轉回線上控制。
8.
1999-06-10 15:48:SCADA2在刪除2筆新資料後運作。
9.
1999-06-10 16:04:SCADA1回復待機狀態。
10.
1999-06-10 16:29:漏隙偵測警示。
11.
資料來源:NTSB (National Transportation Safety Board,簡稱NTSB) Pipeline Accident Report: Pipeline
Rupture and Subsequent Fire in Bellingham, Washington June 10, 1999, NTSB/PAR-02/02 PB 2002-916502,
October 8, 2002。
970330.ppt © CCISA(KJF)
p9
貝林汗(Bellingham)輸油管(Gasoline Pipeline)失效
(Failure)災害(Accident)事故之發現與建議
1.
2002 年 10 月 8 日 , 美 國 國 家 運 輸 安 全 委 員 會 (National Transportation
Safety Board,簡稱NTSB)提出下列建議:
1.1 資料獲取與監督(Supervisory Control and Data Acquisition,簡稱
SCADA)系統,應離線更新並測試完成後再進行系統變更。
1.2 更新致使錯誤之結果,應在其影響運作前被識別與修復。
2.
發現此事件之SCADA系統存在:不正確的安全政策、存取控制、網路
分離、稽核、組態管理、不正確之訓練、不正確的鑑識等管理、發展、
實作與保護SCADA系統之問題。
3.
資料來源:NTSB(2002) Pipeline Accident Report: Pipeline Rupture and
Subsequent Fire in Bellingham, Washington June 10, 1999, NTSB/PAR-
02/02 PB 2002-916502, October 8, 2002。
970330.ppt © CCISA(KJF)
p10
托姆索克水壩(Taum Sauk Dam)巨災
(Catastrophic)事故(Incident)
1. 位於美國密蘇里州山區於1963年啟用,壩高27公尺之托姆索克水壩,因其
判定水位的可程式邏輯控制(Programmable Logic Control,簡稱PLC)器
等之資訊技術缺陷功能,不知造成庫水超抽溢頂而水漫其土石壩,於2005
年12月14日上午5時12分潰堤,4,000,000.立方公尺的水在12分鐘內傾瀉而
出。
2. 教訓:「千尺大壩,潰於PLC。」,業主因未通報潰壩前數週已發生之小
量溢流事件,被美國聯邦政府罰款U.S.$15,000,000.。
3. 資料來源:
3.1 FERC (Federal Energy Regulatory Commission)(2006) Taum
Sauk Pumped Storage Project (No. P-2277), Dam Breach Incident,
FERC Independent Panel of Consultants (IPOC)
Report, May 25,
2006。
3.2 本研究。
970330.ppt © CCISA(KJF)
p11
工業控制系統(Industrial Control System,
簡稱ICS)安全事件例
1. 資料來源:Smith, T. (2001) Hacker Jailed for Revenge
Attack, http://www.theregister.co.uk/2001/10/31/。
2. 2001年4月23日,澳洲警方因Vitek Boden先生自2001年1
月起經由網路入侵澳洲昆士蘭(Queensland)邦Maroochy水
處理廠之ICS,造成46次超過26萬4,000加侖的污水進入地
區供水系統,造成殘害海中生態、污染水質並發出難以
忍受之惡臭的異常事件,而予以逮捕。
3. 2001年10月31日,澳洲法院將Vitek Boden先生判刑2年。
970330.ppt © CCISA(KJF)
p12
各國重要民生基礎建設資訊保護(Critical
Infrastructure Information Protection)概況
國家
基
礎建
設類別
台
灣
奧 加
義
澳 地 拿 法 芬 德 印 大 日
洲 利 大 國 蘭 國 度 利 本
馬
紐 俄
新
韓 來 荷 挪 西 羅 瑞 加 瑞 英 美 合
國 西 蘭 威 蘭 斯 典 坡 士 國 國 計
亞
大氣控制系
*
統/航太
財務金融
*
v
v
v
v
v
v
v
v
v
v
v
v
核化工業
v
v
v
v
v
1
v
v
v
v
中央政府/
*
政府服務
v
v
v
v
v
v
v
v
v
v
v
v
v
(電)通訊/
*
資通訊技術
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
*
v
v
v
緊急/救援
*
服務
v
v
v
970330.ppt © CCISA(KJF)
v
v
v
v
v
v
v
v
v
v
v
v
p13
v
v
v
v
v
v
v
v
12
1
水壩
能源/電力 *
20
1
民防組織
(高等)教育
v
v
20
v
1
v
1
v
v
v
20
v
v
v
12
各國重要民生基礎建設資訊保護(Critical
Infrastructure Information Protection)概況(續)
國家
基
礎建
設類別
台
灣
食物/農業
澳
洲
奧
地
利
v
法
國
v
有害原料/
生化核子
芬
蘭
德
國
v
v
印
度
義
大
利
日
本
韓
國
馬
來
西
亞
荷
蘭
挪
威
紐
西
蘭
俄
羅
斯
瑞
典
新
加
坡
瑞
士
v
v
健康服務
v
(防衛)工業
/製造
v
資訊服務/
多媒體/廣
播
v
保險業
v
法律/執法
加
拿
大
v
v
v
v
v
v
v
v
v
v
國家的畫像
及紀念碑
v
核能(電廠)
*
石油及天然
氣供應
*
v
治安服務
*
v
v
v
v
v
v
v
v
v
v
*
軍防/軍隊
/防衛能力
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
英
國
美
國
合
計
v
v
7
v
v
3
v
v
15
v
8
v
v
v
v
v
v
v
970330.ppt © CCISA(KJF)
v
v
v
v
v
v
v
v
p14
4
v
6
9
v
v
v
v
v
v
11
v
v
v
v
v
3
v
3
v
13
5
各國重要民生基礎建設資訊保護(Critical
Infrastructure Information Protection)概況(續)
國家
基
礎建
設類別
台
灣
郵政系統
*
澳
洲
奧
地
利
加
拿
大
法
國
芬
蘭
德
國
印
度
義
大
利
日
本
韓
國
馬
來
西
亞
荷
蘭
挪
威
紐
西
蘭
俄
羅
斯
新
加
坡
瑞
士
英
國
v
重要公開場
合/高圖像
事件
美
國
合
計
v
2
v
民眾監督
公共秩序/
公共安全
瑞
典
v
v
*
污水/廢棄
物管理
v
v
v
社會安全/
福利
v
v
v
v
v
v
v
*
v
v
公共事業
*
v
v
水力(供給)
*
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
v
陸海空運輸
/後勤/配
送
1
v
v
v
v
v
v
v
v
4
v
6
3
v
v
v
v
v
v
v
v
v
水力/洪水
管理
v
v
v
8
18
5
v
v
v
v
15
1
備考:
1. 資料來源:International CIIP (Critical Information Infrastructure Protection) Handbook 2006
Vol.1, pp.388-389 與本研究。
2. 我國並未納入 CIIP Handbook 之研究範疇,以「*」、「v」不同符號加以區分,亦不納入合
計。
970330.ppt © CCISA(KJF)
p15
重要民生基礎建設資訊保護工作分類
1. 稽核與演習:以過去(Past)為標的。
2. 資訊安全運作中心(Security Operation Center,簡稱
SOC):以當前(Present)為標的。
3. 資訊安全分析中心(Security Analysis Center,簡稱
SAC):以未來(Future)為標的。
970330.ppt © CCISA(KJF)
p16
重要民生基礎建設之可靠度、可用度與存活度
1. 可靠度(Reliability):對一待評標的,在特定條件下、
特定時間內,其可以正常工作之機率。
2. 可用度(Availability):對一待評標的,在包含工作
(Up-time)與故障(Down-time)狀態下之運作總時間中,
其處於工作狀態的時間比例。
3. 存活度(Survivability):對一待評標的,在其處於故障
狀態下,仍能持續提供服務之能力。
970330.ppt © CCISA(KJF)
p17
資訊分享與分析中心(Information Sharing and Analysis Center,簡稱
ISAC)中稽核與演習安全運作中心(Security Operation Center,簡稱SOC)
以及安全分析中心(Security Analysis Center ,簡稱SAC)之關鍵基礎建設
資訊技術缺陷功能防護活動(Activities)
分析與評鑑
(Analysis and
Assessment)
修補
(Remediation)
指標與預警 減災
(Indications
(Mitigation)
and Warning)
關鍵基礎建設
擁有者(Critical
Asset Owners)
關鍵基礎建設
管理者(Critical
Asset Manager)
稽核與演習
重建
(Reconstruction)
SOC
SAC
回應
(Response)
資料來源:The White House(2000) National Plan for Information Systems Protection, Version 1.0與本研究。
970330.ppt © CCISA(KJF)
p18
資訊分享與分析中心(Information Sharing and Analysis Center,簡稱
ISAC)中稽核與演習安全運作中心(Security Operation Center,簡稱SOC)
以及安全分析中心(Security Analysis Center ,簡稱SAC)之關鍵基礎建設
保護工作屬性彙記
標的(Target)
改進(Improvement)
工具(Tool)
稽核與
演習
管理系統
持續改進之建議
稽核及演習計畫
SOC
網路攻擊
矯正措施
(Corrective action)
入侵偵測
資訊技術缺陷功能
預防措施
(Preventive action)
生命財產安全(Safety)
與資訊安全(Security)
組態之脆弱性評鑑
SAC
備考:資訊技術缺陷功能(Information Technology Malfunction)係指源自資
訊技術(Information Technology)機能障礙(Dysfunction)之關鍵基礎建設運作
中的任何缺陷功能(例:暫時停止服務、功能降低等)。
970330.ppt © CCISA(KJF)
p19
工業控制系統與資訊技術安全性之比較
安全議題(Security
資訊技術(Information
(工業)控制系統(Control
Topic)
Technology)
Systems)
防毒/行動碼
(Anti-virus/ Mobile
共同廣泛使用
(Common Widely used)
非共同的/不可能有效地部署
(Uncommon/ Impossible to
Code)
支援技術生命長度
(Support
Technology
deploy effectively)
2~3 年多種的供應商
(2-3 Years Diversified
vendors)
超過 20 年以上單一供應商
(Up to 20 years Single
vendor)
共同廣泛使用
(Common Widely used)
操作通常是委外的,但並非多
個提供者)
Lifetime)
委外服務
(Outsouring)
(Operations are often
outsourced, but not diverse to
various providers)
修補的應用
(Application of
Patchs)
定期的排程
(Regular Scheduled)
罕見的,非固定的排程,由供
應商定義
(Rare, Unschedule Vendor
specific)
變更管理
(Change
定期的排程
(Regular Scheduled)
被嚴格地管理且高複雜度
(Highly managed and
Management)
970330.ppt © CCISA(KJF)
complex)
p20
工業控制系統與資訊技術安全性之比較(續)
安全議題(Security
資訊技術(Information
(工業)控制系統(Control
Topic)
Technology)
Systems)
時間關鍵滿足
(Time Critical
Content)
延遲廣泛地被接受
(Generally delays accepted)
延遲是不被接受的
(Delays are unacceptable)
可用性
(Availability)
延遲廣泛地被接受
(Generally delays accepted)
24x7x365 全年無休
(24x7x365, continuous)
安全認知
(Security
在非公開及公開的部門均屬
中等的
欠缺的(除了實體之外)
(Poor except for physical)
Awareness)
(Moderate in both private
and public sector)
安全測試/稽核
良好的安全計畫的一部份
運轉中斷的臨時測試
(Security Testing/
(Part of a good security
(Occasional testing for
Audit)
program)
outages)
實體安全
安全的(例如:伺服器間)
遠端/無人為的安全
(Physical Security)
(Secure (server rooms,
(Remote/ Unmanned Secure)
etc.))
資料來源:Idaho National Laboratory (2006) Control Systems Cyber Security:
Defense in Depth Strategies, p. 8, Table 1, U.S. Department of Homeland
Security, May 2006。
970330.ppt © CCISA(KJF)
p21
關鍵基礎建設與風險管理初探
風險管理是關鍵基礎建設資訊保護之核心工作,其目的在於有效管理與降低根源於實
體(Physical)、人為(Human)與數位(Cyber)3個構面之攻擊威脅風險;其作業過程分
為下列6個項目:
1. 制定安全目標:
參照各個領域之特性,考量各自獨立的資產、系統、操作程序、營運環境與風險
管理方式,定義或描述此領域冀求達成之實體、人為及數位保護位置(Protection
Posture)。
2. 識別重要資產:
就實體、人力與數位3方面,考量各個領域及其相恃性(Interdependence)之衝擊,實
作「關鍵基礎建設生命財產安全組態資料庫」。
3. 評鑑風險:
3.1 威脅評鑑:評鑑各個重要資產遭受攻擊之可能性。
3.2 脆弱性評鑑:識別各個重要資產在設計、製造與操作過程中之資訊技
術缺陷功能可能被攻擊者使用的弱點及其修補方法。
3.3 後果評鑑:估計各個重要資產遭受攻擊可能造成之損失及其修補後之
各種情境。
4. 優先排序:
將前述評鑑之風險數據經降低不同特性與方法等造成的不確定性差異之正規化
(Normalization)分析後,識別並確認應進行風險降低的項目與宜採行之修補、矯正
及預防等改進措施優先秩序的保護計畫。
970330.ppt © CCISA(KJF)
p22
關鍵基礎建設與風險管理初探(續)
5. 實作保護計畫:
擬定並執行各個修補、矯正與預防以防阻(Deter)、降低衝擊(Devaluate)、偵測、減
災、回應及復原等措施,以達成:
5.1 全面性(Comprehensive):應涵蓋實體、人為與數位3類威脅來源及其短期、中期
和長期之相恃性後果。
5.2 充分協調(Coordinated):因關鍵基礎建設之保護計畫涉及地域分散、功能 複
雜、行業知識與專業技能等因素,必須充分協調配合方能實作。
5.3 風險管理(Risk Management):落實協調各項活動以指導、測量與控管關鍵 基
礎建設保護措施計畫之控制措施等,以追求最佳成本效益的保護措施。
6. 改進:
6.1 持續改進:最高管理階層應確保組織透過溝通、審查、稽核與演習、查證及確
認、矯正措拖、預防措施以及CIIP之更新的運用,持續改進CIIP之有效性。
6.2 CIIP之更新:最高管理階層應確保CIIP的持續更新,為達此目的,ISAC中之
SAC應定期提出危害(Hazard)評鑑與所建議的作業前提方案(Operational
Prerequisite Programme,簡稱OPRP)及危害評鑑與重要控制點(Hazard
Assessment Critical Control Point,簡稱HACCP)計畫。
備考:
1. 作業前提方案:維持關鍵基礎建設資訊安全所必要之基礎條件與控制措拖 活
動,以達成降低資訊技術缺陷功能可能性之目標。
2. 危害:損害的潛在緣由。
3. 危害評鑑與重要控制點計畫:依照危害分析之結果,確認應管制的每一個危害
與其預防、修補資訊技術缺陷功能安全危害到所界定可接受程度之適當的控
制措拖計畫。
970330.ppt © CCISA(KJF)
p23
關鍵基礎建設資訊保護功能性活動
1. 分析和評鑑:
分析和評鑑包括一系列的連續性活動:關鍵基礎建設關鍵資產確認及其特
徵化、作業衝擊分析、脆弱性分析與相恃性(Interdependence)等的分析與評
鑑工作。
2. 修補:
修補是在意外事件之前採取的預防行動,能夠改善已知的不足弱點,從而
保證關鍵基礎建設部門或關鍵資產(例:資訊系統)的運作或使其避免受到
破壞。
3. 指標與預警:
指標與預警包括了各種準備活動及對關鍵基礎建設狀態的分析,這些狀態
往往能顯示出是否存在可能的資訊事件以及事件目前的狀態(是處在計畫階
段還是已經開始)。
4. 減災:
減災是由關鍵基礎建設關鍵資產所有單位與設施及裝備基地、部門所採取
的行動,是對關鍵基礎建設事件指標與預警的回應。
5. 回應:
回應是指那些消除關鍵基礎建設事件起因或事件源池的活動,包括由第三
方(即非資產所有者和操作者)採取的應急措施,比如執法、調查、醫療、
消防和營救等。
6. 重建:
重建指在關鍵基礎建設遭到破壞之後對其進行重新組建或恢復之工作。
970330.ppt © CCISA(KJF)
p24
根基於ISO/IEC 27005與ISO/IEC 18045之
風險管理過程
建立全景(Establish Context)
風險評鑑
風險分析
風險識別
風
險
溝
通
風
險
監
視
與
審
查
風險估計
風險評估
否
否
風險評鑑是否
合意決策點
是
風險處理
風險處理是否
合意決策點
是
風險接受
說明:
1. 使用ISO/IEC 18045中之脆弱性分析評估方法的潛在攻擊定義及其引用表,以及攻擊參考路
徑,建立安全標的之風險評鑑情境。
2. 資料來源:
2.1 Guerin, F. (2006) Build CC assurance package dedicated to your risk assessment,
Presentation to the 7th ICCC Conference, 2006-09-19。
2.2 ISO/IEC FDIS 27005:2007-11-15, Figure 1。
970330.ppt © CCISA(KJF)
p25
ISO/IEC 27005:2008(E)發展中風險評鑑
過程示意
建立風險脈絡(風險準則、風險評鑑範疇)
風險評鑑
風險識別(潛在事故)
風險分析
資產識別與評價(valuation) + 營運衝擊
事故後果(consequence)
風險層級
估計
事件機率(probability)
威脅識別與評價
(risk level
estimation)
風險評估
(與先前建
立之準則
比較)
脆弱性識別與評價
資料來源:
1. Dr Elzbieta Andrukiewicz, (Co-editor of ISO/IEC 27005), Importance of Risk
Management, Presentation to the ISO/IEC JTC1/SC27 Security Workshop, 2005-12-05。
2. ISO/IEC FDIS 27005:2007-11-15, 第8節(pp.10~17)。
970330.ppt © CCISA(KJF)
p26
CORAS (Consultative Objective and Risk Assessment System)簡介
1. 2001~2003年歐盟投資,挪威、德國、英國、希臘之11個機構,完成之安
全關鍵系統(Security – Critical Systems)的風險評鑑平台(Platform)計畫
CORAS。
2. CORAS使用擴增(Extension)之UML(Unified Modeling Language),其中
的UML Profile for Modeling Quality of Service and Fault Tolerance
Charactecistics and Mechanisms已成為工業標準(de facto standard)。
3. CORAS使用塑模方法,開放成為一個物件導向之重要民生基礎建設之風
險評鑑作業平台。
4. CORAS遵循IEC 61508、ISO/IEC 17799、ISO/IEC 13335等標準,內含
Markov Analysis、FTA(Fault Tree Analysis)、FMECA(Failure Modes、
Effects and Criticality Analysis)等模型。
5. 2004~2007年,歐盟繼續投資,進行其第二期計畫,其標的為CORAS之精
進與工具集支援功能。
970330.ppt © CCISA(KJF)
p27
CORAS 框架
根基於模型之風險評鑑方法論
風險管理
文件集之
框架
RM-ODP
風險管理
過程框架
AS/NZS
4360
整合之風
險管理與
資訊系統
開發過程
UP
根基於資
訊融合之
工具集平
台
XML
說明:
1. 資料來源:http://coras.sourceforge.net/(2007-03-31)。
2. RM-ODP:Reference Model for Open Distributed Processing
(ISO/IEC 10746:1996(E)~1998(E)與ISO/IEC 15414:2006(E)
標準系列)。
3. ISO/IEC 27005即參照AS/NZS 4360起草。
970330.ppt © CCISA(KJF)
p28
CORAS 平台(Platform)架構
工具使用者
CASE
工具
風險分析
工具
CORAS
平台
GUI
CORAS XML、
XMI、IDMEF…
整合
介面
CORAS整合平台
評鑑倉儲錄
工具發展者(馬可夫分
析、FTA、FMECA、
DREAD威脅塑模與入
侵威脅等)
實證倉儲錄
(含SOC之事件)
文件文一致性檢查助理
內部資料模型(Internal data model)
說明:
1. CORAS僅提供CASE工具與風險分析工具之應用程式介面。
2. CORAS之塑模包含應用系統的全景(Context)之脆弱性。
3. 資料來源:http://coras.sourceforge.net/(2007-03-31)。
970330.ppt © CCISA(KJF)
p29
CORAS 整合層(Layer)與平台(Platform)
平台GUI
整合
介面
一致性查核
實證倉儲錄
API
評鑑倉儲錄
API
核心(Core)API
eXist XML
資料庫
資料來源:http://coras.sourceforge.net/(2007-03-31)。
970330.ppt © CCISA(KJF)
p30
CORAS 使用之歐盟科技專案成果內容
1. ENFORCE:Formalisation, analysis and enforcement of
policies within trust management。
2. SECURIS:Security analysis of component based systems。
3. TrustCoM :Workpackage on risk analysis of trust and legal
issues。
資料來源:http://coras.sourceforge.net/(2007-03-31)。
970330.ppt © CCISA(KJF)
p31
新竹科學園區積體電路廠房與桃園封裝測試
廠房歷年火災原因與損失統計(1996~2004)
災害種類
公司名稱
發生原因
發生時間
人員傷亡
財物損失
火災
華邦電子
濕式清洗機台易
燃液體著火
1996.10.14
無
70 億元以上
火災
聯瑞半導體
矽甲烷外洩
1997.10.03
無
100 億元以上
火災
天下電子
濕式清洗機台易
燃液體著火
1997.11.11
無
20 億元以上
火災
世大積體電
路
發電機過熱
1999.09.22
無
2500 萬以上
火災
聯茂電子
鍋爐間重油噴出
2000.03.31
2 死 11 傷
4000 萬以上
致易燃液體著火
火災
麗嘉半導體
矽甲烷外洩
2000.06.09
13 傷
2 億元以上
火災
燿華電子
矽甲烷外洩
2000.09.10
無
100 萬以上
火災
聯電晶圓 8
廠
發電機過熱
2000.12.25
無
3000 萬以上
火災
日月光封裝
測試工廠
蒸汽鍋爐過熱
2004.05.01
無
80 億元以上
資料來源:林利國(2003) 科技廠房防災與知識管理,科技圖書;與本研究。
970330.ppt © CCISA(KJF)
p32
工業控制之廠房製程、設備與廠務系統示意說明
防火區劃
Truss
過濾天花板
機械排煙
FAN
製程通道
非型佈置
垂直層流
500次/hr
高架地板
製程機械設備
進
料
2F↑
Sub-FAB
純水室
儲氣室
化學藥品室
新
鮮
空
氣
出
料
樓版
電纜架
電氣室
支撐
限流裝置
吸收處理
燃燒處理
洗滌處理
廢水處理
委外回收
無塵
室
中央通道 FAB 中央
空調
氣瓶櫃
P
鋼
瓶
純水
供應
裝置
高低
壓配
電盤
防震
Foundation
資料來源:張國基與陳俊瑜(2007) 高科技產業製程本質較安全設計與應
用之研究,工業安全科技,第63期,頁18。
970330.ppt © CCISA(KJF)
p33
工業控制系統(Industrial Control System,簡稱
ICS)已出版國際標準
1. 過 程 領 域 生 命 財 產 安 全 儀 控 系 統 標 準 系 列 (Process Sector Safety
Instrumented System Standards):
1.1 設 施 製 造 商 與 供 應 商 (Manufacturers and suppliers of devices):
IEC 61508 (61508-1: 1998-12~61508-7:2000-03)與IEC TR 61508-0:
2005-01。
1.2 生 命 財 產 安 全 儀 控 系 統 設 計 者 、 整 合 者 與 使 用 者 (Safety
instrumented systems designers, integrators and users): IEC
61511 (61511-1: 2003-01~61511-3:2003-1)。
2. 前述標準系列(IEC 61508與IEC 61511)將ICS生命財產安全完整性層級
(Safety Integrity Level,簡稱SIL)分成高需要(High demand)與低需要
(Low demand)2類各4個層級。
3. 相關標準:CNS 14802 (ISO/IEC 15026: 1998-11-15):資訊技術-系統與軟
體完整性層級。
970330.ppt © CCISA(KJF)
p34
工業控制系統(Industrial Control System,簡稱ICS)
資訊安全情境分析核心工作框架
社群緊急反應(Community Emergency Response)
工廠緊急反應(Plant Emergency Response)
減災(Mitigation)
ICS資安事件情境分析核心工作之一:
預防(Prevention)
ICS資安事件情境分析核心工作之一:
控制與監視(Control and Monitoring)
過程(Process)
資料來源:
1. IEC 61511-1: Functional Safety – Safety instrumented systems for the process industry
sector – Part1: Framework, definition, system, hardware and software requirements(2003-01),
Figure 9, p.89。
2. 本研究。
970330.ppt © CCISA(KJF)
p35
重要民生基礎建設資安資訊分享與分析中心(Information
Sharing and Analysis Center,簡稱ISAC)風險評鑑涉及
生命財產安全(Safety)之法規
1.
2.
3.
4.
5.
6.
7.
勞動安全衛生法(2002-06-12)。
勞動檢查法(2002-05-29)。
勞動檢查法施行細則(2002-12-31)。
危險性工作場所審查暨檢查辦法(2004-06-10)。
勞動檢查法第26條規範之「油氣、高壓與具爆炸性」的「危險性工作場所」應
遵循「危險性工作場所審查暨檢查辦法」之要求,均需完成:
5.1 安全衛生管理基本資料。
5.2 製程安全評估報告書。
5.3 製程修改安全計畫。
5.4 緊急應變計畫。
5.5 稽核管理計畫。
災害防救法(2002-05-29)。
公用氣體與油料管線、輸電線路災害防救業務計畫(2002-02-16)。
970330.ppt © CCISA(KJF)
p36
工業控制系統(ICS)資訊安全評估標的暨範疇
主要控制中心
地區控制中心
操作員
HMI工作站
僅供顯示
HMI工作站
防火牆
及時伺服器
+
HMI工作站
終端伺服器
及時
伺服器
歷史
伺服器
網路作
業系統
公司企業網路
廣域網路
具序列通訊
的PLC
操作員
HMI工作站
具序列通訊 具序列通訊
的PLC
的PLC
僅供顯示
HMI工作站
操作員
HMI工作站
僅供顯示
HMI工作站
專業網站
防火牆
具IP通訊
的RTU
終端伺服器
及時
伺服器
歷史
伺服器
網路作
業系統
說明:
1、
2、
備份控制中心
970330.ppt © CCISA(KJF)
p37
具IP通訊
的RTU
表示實體安全邊界。
表示邏輯安全邊界並連結到
分離的實體邊界的。
工業控制系統(Industrial Control System,簡稱ICS)框架
層次
資訊系統
功能
第4層
營運規劃(Business Planning)與後勤(Logistics)
第3層
製造作業管理(Manufacturing Operations
Management)管理
SCADA
生產過程(Production Process)之監控
(Supervisory Control)與自動化控制
PCS /
第2層
第1層
生產過程之感測與操縱
第0層
生產過程實作
EIS
DCS
PLC
生產
設施
說明:1. DCS:Digital Control System / Distributed Control System。
2. EIS:Enterprise Information System。
3. ICS:Industrial Control System。
4. PCS:Process Control Systems。
5. PLC:Programmable Logic Controller。
6. SCADA:Supervisory Control and Data Acquisition (System)。
970330.ppt © CCISA(KJF)
p38
工業控制系統(ICS)網路隔離框架
事 業 體 (C o rp o ra te )網 路 層 次
網路系統安全政策與程序
SC AD A網 路 層 次
SC AD A系 統 外 網 安 全 政 策 與 程 序
作業系統安全政策與程序
SC AD A系 統 內 網 安 全 政 策 與
程序
E IS 安 全 政 策 與 程 序
P C S /D C S 安 全 政 策 與 程 序
SC AD A系 統 / 網
路安全政策與程序
PLC安 全 政 策 與 程
序
網路
入侵
內部
入侵
說明:
1.
2.
3.
4.
5.
D C S : D is trib u te d C o n tro l S ys te m 。
E IS : E n te rp rise In fo rm a tio n S ys te m 。
IC S : In d u stria l C o n tro l S ys te m 。
P L C : P ro g ra m m a b le L o g ic C o n tro lle r 。
S C A D A : S u p e rviso ry C o n tro l a n d D a ta A c q u is itio n 。
970330.ppt © CCISA(KJF)
p39
SCADA系統攻擊矩陣表
攻擊說明
攻擊類型
攻擊動機
受害者受到的衝
擊
衝擊評比等
級(1=最大衝
擊, 5=最小
衝擊)
攻擊所需要條件項
目
阻斷服務
攻擊
系統當機
欲促使系統
伺服器執行
下降或引起
立即當機情
況
SCADA伺服器鎖
住並需被重新開
機起動,當伺服
器回復到線上時
又會再次鎖死,
不能再進行監控
操作或者最後系
統需被迫關機
2
需具備TCP/IP呼叫, 5 min.
SCADA伺服器IP
位址及主機路徑資
訊,並擁有封包灌
爆伺服器的的能力
刪除系統
檔案(對
所有本機
驅動程式
做低階格
式化)
系統當機
欲使得伺服
器效能下降
並且引起立
即當機情況
遺失關鍵主機和
SCADA檔案並且
不能再監控流程
或控制工廠或設
備之運作
4
需具備SCADA伺
服器IP位址及主機
路徑資訊,並取得
檔案刪除許可權。
(亦可能被許可擴
大使用其他工具)
說明:SCADA (Supervisory Control and Data Acquisition)。
970330.ppt © CCISA(KJF)
p40
完成一
次危害
系統估
計所需
時間
15 min.
SCADA系統攻擊矩陣表(續)
攻擊說明
攻擊
類型
攻擊動機
受害者受到的衝擊
取得SCADA系
統控制權
獲得
控制
權
獲得SCADA系統
控制權造成工業
系統損害的衝擊,
可能引發環境的
衝擊,經由公眾
揭露可能會破壞
事業體本身信譽。
記錄按鍵動作,
使用者名稱,
通行密碼,系
統設定點,和
一般的操作資
訊。
資訊
探勘
採集。
變更SCADA系
統控制點或設
定資料
資訊
擅改
970330.ppt © CCISA(KJF)
衝擊評比
等級(1=最
大衝擊,
5=最小衝
擊)
攻擊所需要條件項目
完成一次
危害系統
估計所需
時間
高度的衝擊,由於攻
擊者可以手動控制凌
駕安全系統,關閉系
統,或者取得控制工
廠運作情況。
1
需具備SCADA伺服器
IP位址及主機路徑資
訊,並可被植入木馬
或後門程式(亦能取得
使用其他如:遠端遙
控、終端服務、或其
他主機管理程式)。
1 hr
獲得未來進一步
攻擊的資訊或滿
足好奇心。
較低的立即性衝擊,
但所獲得的資訊可作
為預備未來進一步攻
擊使用。
4
需具備SCADA伺服器
IP位址,主機路徑資
訊,及能利用側錄程
式或機制來進行鍵盤
按鍵活動記錄。
15 min
惡意欲修改事業
體的資料或流程
控制點為目的
高度的衝擊由於修改
設定或流程控制點資
料會對流程控制不利
的影響並引起潛在的
導致主機關閉情況。
2
需具備SCADA伺服器
IP位址,取得主機存
取權限,及SCADA程
式系統內部的運作知
識。
45 min
p41
SCADA系統攻擊矩陣表(續)
攻擊說明
攻擊
類型
攻擊動機
受害者受到的衝擊
為個人取得或販
賣給競爭者或持
有做為敲詐來進
行側錄任何操作
和事業體的資料
系統
當機
嘗試偷取事業體
的資料並且不是
販賣給競爭者就
是持有做為詐財
之用
較低環境或立即性危
險衝擊, 但如果攻
擊者建立對系統造成
傷害的事實所引起的
注意力可能會破壞事
業體形象。
4
需具備SCADA伺服器
和資料庫主機IP位址。
(如果可由網路協定掃
瞄器或記錄器發覺
TCP/IP通訊封包甚至
不需IP位址。)
30 min
修改SCADA圖
控資料點來欺瞞
操作人員誤判系
統超出控制狀況
並且必須關閉警
報系統。
系統
當機
工廠或設備可能
由於進行虛假警
報而關機將導致
危險。
不再信任SCADA系
統運作並且攻擊者成
功欺瞞操作人員誤以
為工廠發生一個警急
狀況。
2
需具備SCADA伺服器
IP位址,並透過公司網
路取得主機存取權限。
45 min
截取、修改、刪
除記錄在ICS資
料庫伺服器操作
資料。
資訊
擅改
惡意欲修改事業
體的資料或流程
控制點為目的。
高度衝擊因為控制流
程已遭到修改或控制
點造成不利的影響並
且會潛在導致關機情
況。
3
需具備SCADA伺服器
IP位址,到達資料庫主
機路徑,及擁有
SCADA系統架構知識。
45 min
找出存放維護資
料庫並修改或刪
除有關工業設備
測定標準和可靠
性測試資料。
資訊
擅改
欲偷取,修改,
刪除事業體的資
料。
較少立即性危險衝擊
但事業體資訊資料倉
儲將遭到危害。
4
需具備資料庫伺服器IP
位址。
30 min
970330.ppt © CCISA(KJF)
p42
衝擊評比等
級(1=最大
衝擊,5=
最小衝擊)
攻擊所需要條件項目
完成一次
危害系統
估計所需
時間
重要民生基礎建設資安資訊分享與分析中心宜遵循之規範
1. 工業控制系統方面:
1.1 ISO/IEC TR 19791: Information technology – Security techniques – Security assessment of operational
systems:2006-05-15。
1.2 NIST System Protection Profile – Industrial Control Systems, Version 1.0: 2004-04-14。
1.3 NIST Guide for the Security Certification and Accreditation of Federal Information System, NIST SP 800-37, May
2004。
1.4 Field Device Protection Profile For SCADA Systems In Medium Robustness Environments, Version 0.71:2006-05-18。
1.5 Control Center Protection Profile For SCADA Systems In Medium Robustness Environments, Version 0.50:2004-0217。
2. 風險管理系統方面:
2.1 ISO/IEC 15414: Information technology – Open distributed processing – Reference model – Enterprise language:
2006-06-15。
2.2 ISO/IEC FDIS 27005: Information technology – Security techniques – Management of information and
communications technology security risk management, 2007-11-15。
2.3 NIAC (National Infrastructure Advisory Council) Common Vulnerability Scoring System: 2004-10-12。
2.4 MITRE Open Vulnerability and Assessment Language, http://oval.mitre.org/(2007-05-15)。
2.5 ISO/IEC 27006 Information technology – Security techniques – Requirements for bodies providing audit and
certification of information security management systems: 2007-03-01。
2.6 Idaho National Laboratory Cyber Security Procurement Language for Control Systems Version 1.5 (Draft),
November 2006。
3. 管理控制系統方面:
3.1 NIST Guide to Supervisory Control and Data Acquisition (SCADA) and Industrial Control Systems Security (Second
Public Draft), NIST SP 800-82, 2007。
3.2 IT Governance Institute COBIT (Control Objectives for Information and Related Technology) 4.1,
http://www.itgi.org/(2007-05-15)。
3.3 ISO/IEC 27001 Information technology – Security techniques – Information security management systems –
Requirements 2005-10-15。
970330.ppt © CCISA(KJF)
p43
工業控制系統資訊技術脆弱性工作範疇例-通訊協定
(Protocols)
1. MODBUS協定:MODBUS TCP、MODBUS應用協定等。
2. DNP3協定:Data Link DNP、DNP Pseudotransport TCP、應用DNP3等。
3. UCA Version 2.0:IEC 61850標準系列等。
4. CIP (Common Industrial Protocol)與CAN (Controller Area Network)及
Control Net以及Device_Net等。
5. Profibus(Process Fieldbus)與FFB(Flexible function block)。
6. 資料來源:Igure, V.M. et al.(2006) Security issues in SCADA networks,
Computer & Security, Vol.25, Issue 7, pp.498~506, October 2006。
970330.ppt © CCISA(KJF)
p44
控制系統獲取(Procurement)週期
及其數位安全獲取語言
資產有者
(Asset Owner)
顧問
(Consultant)
供應商
(Vender)
徵求 建議
建議 合約
工作 設計
文件 工廠
場所
建議 書提
書審 簽署
說明 審查
審查 接受
接受
書
查
書
測試
測試
X
X
※
※
X
X
出
X
X
X
X
X
控制系統數位
安全獲取語言
X
X
X
X
X
X
X
工廠接受測試
測量
X
X
場所接受測
試測量
維護
※表示有時參與
說明:
1.
資料來源:Idaho National Laboratory(2006) Cyber Security Procurement
Language for Control Systems Version 1.5 (Draft), November 2006。
2.
工廠接受測試:Factory Acceptance Testing(FAT)。
3.
場所接受測試:Site Acceptance Testing(SAT)。
970330.ppt © CCISA(KJF)
p45
基本安全要求
基本安全要求三種類型:
1. 保護數據在存儲、傳輸、處理過程中不被洩漏、破壞和免受未授權的修
改的生命產財安全類要求(簡紀為S(Safety))。
2. 保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統
不可用的服務保證類要求(簡紀為R(Reliability)) 。
3. 共同安全保護類要求(簡紀為C(Common)) 。
970330.ppt © CCISA(KJF)
p46
整合生命財產安全(Safety)與資訊安全(Security)風險評鑑之一:根基於IEC
60812:Analysis techniques for system reliability – Procedure for failure mode
and effects analysis(FMEA):2006-01
1. 用語釋義:
1.1 嚴重性層級(Severity Level,簡稱S)。
1.2 發生性層級(Occurrence Level,簡稱O)。
1.3 偵測性層級(Detection Level,簡稱D)。
1.4 生命財產安全(Safety)風險優先指數(Risk Priority Number,簡稱RPN),
RPN=S×O×D。
1.5 資訊技術(Information Technology,簡稱IT)脆弱性層級(Vulnerability
Level,簡稱ITV)。
1.6 風險指數(Risk Number),R=S×ITV。
970330.ppt © CCISA(KJF)
p47
整合生命財產安全(Safety)與資訊安全(Security)風險評鑑之一:根基於IEC
60812:Analysis techniques for system reliability – Procedure for failure mode
and effects analysis(FMEA):2006-01
2. FMCS之ITV例:
層級
敘述
4
可遠端操作,且最終控制元件無鑑別命令來
遠端操作系指廠區外下
源機制。
達指令之功能。
於廠區內控制中心方可操作,且最終控制元
鑑別命令來源機制又有
件無鑑別命令來源機制。
強弱等級之分。
3
備考
2
可遠端操作,惟最終控制元件具備鑑別命令
來源機制。
1
於廠區內控制中心方可操作,且最終控制元
件具備鑑別命令來源機制。
3. 遵循80/20原則,先行找出高風險優先指數中IT相關組件與高風險指數
組件,執行改善措施並重新計算RPN及R,直至風險降低至合理值且
決策者能接受之水準為止。
970330.ppt © CCISA(KJF)
p48
FMEA執行專案召集小組
界定系統分析之範圍及分析水準
整合生命財產安全(Safety)
與資訊安全(Security)風險
評鑑之二:根基於FMEA之
作業流程
列出各製程相關品質特性或潛在缺點項目
建立系統可靠性或機能性關聯圖
分析系統失效(故障)模式與失效效應
分析系統失效(故障)模式與失效效應
分析失效模式對客戶
的影響並評估其嚴重
度Severity(S)與資訊
技術脆弱性IT
Vulnerability(V)
分析引起失效模式發
生的原因並評估其發
生度Occurrence(O)
分析現行失效模式的
管制辦法並評估其難
檢度Detectability(D)
No
計算風險優先指數(RPN=S*O*D)與
風險指數(R=S*ITV)
依風險優先指數RPN與風險指數R較大者
研擬改善措施
完成FMEA分析表
執行改善並重新評定改善措施之RPN與R
執行改善並重新評定改善措施之RPN與R
RPN與R是否符合要求
Yes
依FMEA分析結果檢核各相關部門及人員是否確實依改善後措施執行
標準化文件及教育訓練
資料來源:IEC 60812:2006-01與本研究。
970330.ppt © CCISA(KJF)
p49
國稅局「稅務電子管理系統」資訊安全事件
1.
資料來源:2007年12月5日,中國時報A1/A11,陳俊雄/北縣報導等新聞3則。
2.
板橋地檢署2007年12月4日指揮台北縣調查站幹員,查獲新店稽徵所高堂全書記,涉嫌竄改電腦
資料盜領退稅款新台幣3佰餘萬元;複訊後,高書記聲押獲准,曾任新店稽徵所的高珮瑛工讀生
與劉承德電腦維修員分以N.T.$ 50,000.及N.T.$ 80,000.交保。
3.
檢周指出,高書記自2005年10月至2007年11月間,利用增加納稅人收入、親屬、列舉扣除額與免
稅額4種方式憑空創造出新台幣300餘萬元之稅款。北區國稅局表示,高書記2年來總共昌領43件
退稅支票,其中有3張支票無人領取,經新店稽徵所發現,報稅人及退稅人不相同,因而發現弊
端。
4.
此事件已確認國稅局「稅務電子管理系統」欠缺身分證字號查證功能與異常行為控制措施功能,
方讓理應僅有「審核」資料權力之3職等書記,卻能自2005年起執行「竄改」增減稅務人資料的
行為。
5.
高書記依規定僅有開立N.T.$ 100,000.以下之退稅的權限,惟存在最多N.T.$ 260,000.之退稅支票,
查核機制亦存在缺失。
6.
北區國稅局已獲頒通過ISO/IEC 27001之資訊安全管理系統(Information Security Management
System,簡稱ISMS)驗證合格之證書,其ISMS政策在此事件的「策略性風險管理全景」相校準之
建立與維持之關連是值得瞭解的問題。
970330.ppt © CCISA(KJF)
p50
推論控制(Inference Control)資訊安全事件例
1.
資料來源:2007年12月25日,中國時報A1,吳俊陵/台北報導。
2.
國內8家購物與線上遊戲網站平台,最近一再發生疑從大陸福州電信局網址
之竊取會員交易資料後,再以「推論控制(又名資料拼圖)」方式轉向購物網
站會員進行詐騙。
3.
一位楊姓小姐於2007年12月月初在一拍賣網站以N.T.$ 680.標下一件保暖外
套後,經由自動櫃員機(Automatic Teller Machine,簡稱ATM)轉帳,但一直
沒有收到衣服,只收到一封敘明轉帳出了問題,若不更改轉匯手續,則會扣
錯款項之簡訊。不久在接到自稱是郵局人員來電,謊稱她在操作ATM時按
到連續分期扣款鍵,一定要依照指示進行更改,楊小姐在確認手機來電是郵
局 金 融 卡 背 面 的 電 話 號 碼 無 誤 後 , 至 ATM 重 新 操 作 轉 帳 , 痛 失 N.T.$
160,000.。
970330.ppt © CCISA(KJF)
p51
6大購物網站與2大電視購物台資料外洩流程
資料來源:2007年12月25日,中國時報A11。
970330.ppt © CCISA(KJF)
p52
科技新星監守自盗例
1. 資料來源:2002年1月15日,聯合報13頁,大陸新聞中心/綜合報導。
2. 大陸出現超級駭客,在變電所電力故障濾波器軟體內安裝「邏輯炸彈」,
使大陸各地電力公司無法有效對電力網進行即時監測。
3. 香港文匯報報導,大陸警方目前已查出,涉及這起高科技犯罪的嫌犯是領
導開發電力故障濾波器,列入國家「火炬計畫」項目,並獲南京市政
府10萬元人民幣獎勵等多項殊榮之科技新星原南京銀山電子公司趙志
中總工程師。
4. 2001年8、9月間,趙志中和公司8名人員先後集體跳槽斯威特集團,此後
銀山公司銷售、安裝在大陸147個發電廠的兩款濾波器頻生故障。
5. 銀山公司在去(2001)年11月6日發現,有人在濾波器的線上軟體暗藏邏輯炸
彈;1個在去年9月1日零時零秒引爆,使線上軟體的註冊功能失效,軟
體不能正常運作;另一個在去年10月1日零時零秒引爆,使濾波器喪失
主要功能。
970330.ppt © CCISA(KJF)
p53
台灣地區工業控制系統(Industrial
Control System,簡稱ICS)安全事件例
1.
1996年6月4日,台北市捷運木柵線因行控中心電腦增加了1行程式執行中止行控程式
暨清除開機程式之指令,致使全線停止營運4小時36分鐘。
2.
1999年7月29日,因台南左鎮山區超高壓輸電線326號鐵塔坍陷倒塌,電纜鬆弛落地後,
山、海線兩端電驛快速跳脫而斷電,致使南部興達火力發電廠與核能三廠所產生之電
力無法北送,造成系統暫態穩定問題;台電公司電能管理系統(Energy Management
System,簡稱EMS)中,電網分析應用軟體的安全分析輸入之電廠模式過於簡化等原因,
引發電力系統自動解聯全停,僅興達火力電廠即時改為人工處理的2部發電機組繼續
發電,全台其餘發電機均停止供電14小時以上。
3.
2003年10月21日,財金公司因通訊設備路由等參數組態問題,造成跨行提領、轉帳近
2,000部自動櫃員機幾近癱瘓,財金公司在當天下午14:00時宣布排除障礙。中央銀行
同業資金調撥清算系統「關機」時間兩度應財金公司要求延至當天18時30分。當天16
時多,財金公司宣布系統恢復正常,並統計共有50萬筆資料受到影響,自動櫃員機於
當天提款失敗率19%,轉帳失敗率34%。
4.
參考資料:
4.1 Calton (1996) Taipei Subway Computer Crash, The Risks Digest, Vol.18, No.17, June 4,
1996.
4.2 監察院(1999) (八八)院台財字第882200551號公告。
4.3 經濟部七二九停電事故國際調查小組(2000)七二九停電事故原因調查及改善對策
(中文報告),2005-01-15。
970330.ppt © CCISA(KJF)
p54
風險管理國際標準簡介
1.
資料來源:Knight, K.W.(2007) Future ISO 31000 standard on risk management, ISO
Management System, Vol.7, No.4, pp.8~11。
2.
相關標準:
2.1 ISO 9001:2000(Quality management)。
2.2 ISO 14001:2004(Environmental management)。
2.3 ISO 15489:2001(Records management)。
2.4 ISO 27001:2005(Security management)。
2.5 ISO 22000:2005(Food safety)。
3.
源起與進程:
3.1 AS/NIS 4360 (1995、1999 and 2004) Risk management。
3.2 ISO/IEC Guide 73 (2002) Risk management。
3.2 ISO 31000 (2008) General guidelines for principles and implementation of risk
management。
970330.ppt © CCISA(KJF)
p55
工業控制系統(Industrial Control System,簡稱ICS)風險評鑑(Risk
Assessment)初探-根基於連續式製程:以中油公司石化事業部為例
組成評鑑小組
蒐集危險性工作場所稽核內容文件
初步危害分析(資安事件情境(Scenarios)分析)
相關規範、文獻(例:ICS系統保
護剖繪、NIST SP 800-82等)
災難(I)、危機(II)、有限的風險(III)、無足輕重的
風險(IV)
III或IV
分析工作結束
II
分析工作結束
I或II
1. 攻擊樹(Attack Tree)情境分析
2. FMEA / FMECA
進階風險分析
災難(I)或危機(II)
I
失誤樹分析、事件樹分析與攻擊樹分析
1.說明:
1.1 FMEA:失誤模式與影響分析(Failure mode and effects analysis)。
1.2 FMECA:失誤模式、影響與關鍵性分析(Failure mode、effects and criticality analysis)
1.3 FTA:失誤樹分析(Fault tree analysis)。
2.參考文獻:中油公司石化事業部安全衛生工作手則(2005-05-27)與本研究。
970330.ppt © CCISA(KJF)
p56
工業控制系統(Industrial Control System,簡稱ICS)風險評鑑方法比較
特性
初步危害分析
(Preliminary Hazard
Analysis,簡稱 PHA)
問題
1. 系統性情境分析方
法。
1. 不易量化。
2. 危害分之分級排序不
2. 可做為 FMEA /
FMECA 之基礎。
易進行。
3. 需具經驗之專家參與
工作。
危害與可操作分析
1. 根基於製程偏離之系
統性腦力激盪的定性
(Hazard and Operability
Analysis,簡稱 Haz-Op)
分析方法。
1. 不易量化。
2. 需具經驗之專家參與
工作。
2. 要求文件化之過程管
理紀錄。
失誤模式與影響分析
(Failure Mode and
Effect Analysis,簡稱
1. 全面性分析裝備之定
性與半定量分析方
法。
1. 裝備間之相依性與人
為失誤分析不易。
2. 需具經驗之專家參與
FMEA)
失誤樹分析(Fault Tree
Analysis,簡稱 FTA)
2. 可分析複雜系統。
1. 全面與系統性之定性
與定量分析方罄。
2. 可分析複雜系統。
1. 故障率或人為失誤率
資料取得不易。
2. 需具經驗之專家參與
工作。
事件樹分析(Event Tree
1. 根基於事件(故)之歸
1. 延時事件(故)分析不
Analysis,簡稱 ETA)
納式之全面性分析方
法。
2. 可分析複雜系統。
易。
2. 需具經驗之專家參與
工作。
攻擊樹分析(Attack Tree
Analysis,簡稱 ATA)
1. 根基於滲透測試與整 1. 圖形龐大,繪製不
合 ETA 及 FTA 之因果
易。
分析方法。
2. 可分析複雜系統。
工作。
2. 需具經驗之專家參與
工作。
資料來源:Stephans, R.A.(2004) System Safety for the 21st Century, Wiley;
與本研究。
970330.ppt © CCISA(KJF)
p57
工業控制系統(Industrial Control System,簡稱ICS)
風險評鑑作業過程-以FMEA/FMECA為例
FMEA/CIL
工程審查小組
安全(Safety)
組態審查小組
說明:
1. FMEA:失誤模式與影響分析(Failure Mode and Effects Analysis)。
2. FMECA:失誤模式、影響與關鍵分析(Failure Mode, Effects and
Critical Analysis)。
3. CIL:關鍵項目表列(Critical Items List)。
970330.ppt © CCISA(KJF)
p58
資訊安全
組態審查小組
工業控制系統
風險評鑑
審查小組
工業控制系統
風險處理
審查小組
工業控制系統(Industrial Control System,簡稱ICS)
深度防禦(Defense in Depth,簡稱DiD)5大面向
1.
網路邊界(Network Perimeter)之維護鈎等後門(Backdoors)漏洞(Holes)。
2.
共同協定(例:EtherNet/IP、FTP、HTTP、MODBUS/TCP、OPC/DCOM、……)之脆
弱性。
3.
終端設施(Field Devices)之攻擊。
4.
資料庫攻擊(Database Attacks)。
5.
通訊之連線刧持(Hijacking)與中間人(Man-in-the-Middle)攻擊。
6.
資料來源:Idaho National Laboratory(2006) Control Systems Cyber Security: Defense in
Depth Strategies, May 2006。
970330.ppt © CCISA(KJF)
p59
工業控制系統(Industrial Control System,簡稱ICS)
風險分析(Risk Analysis)標準簡析
1.
國際標準組織(International Organization for Standardization,簡稱ISO)方立項研究中。
2.
工業(國際)標準:
2.1 IEC 60812 (2006-01) Analysis techniques for system reliability – Procedure for failure
mode:根基於裝置元件之失誤模式對系統的影響之危害分析方法。
2.2 IEC 61812 (2006-05) Hazard and operability studies (HAZOP studies) – Application
guide:根基於製程偏離之危害分析方法,其探討的範圍除裝置元件外,尚及於人
為失誤、材料劣化、程序不當等。
2.3 IEC 61025 (2006-12) Fault tree analysis:根基於不欲發生之故障狀況,以推理與圖
解的逐次分析指出系統之脆弱性及弱點以及提供評估改善的工具。
970330.ppt © CCISA(KJF)
p60
關鍵基礎建設分類初探-根基於
資訊技術攻擊後果之本體論
1. 涉及災害防救法規類:電力、油氣、自來水、水
庫、交通、電信等。
2. 涉及民眾公共安全類:健康服務、財務金融、法
務、警政、消防等。
3. 涉及國家之政務運作類:電子化政府等。
970330.ppt © CCISA(KJF)
p61
日本信樂鐵道事故
1.
1991年5月14日,日本信樂高原鐵道株式會社(以下簡稱SKR)因SKR
信樂車站信號系統之故障及作業的缺失,在當天上午10時35分左右,
從信樂車站起算5.6公里附近,西日本旅客鐵道株式會社(以下簡稱JR)
之JR信樂線下行的臨時快速列車,與一列SKR由信樂發車往貴生川
之上行普通列車正面衝撞,造成JR列車30人死亡及SKR列車12名死
亡以及614人輕重傷之事故。
2.
教訓:管理到位方能防止重大災害之發生。
3.
資料來源:陳金蓮等(2005) 重大公安事故調查運作機制之研究案(期
末審查版),行政院災害防救委員會委託研究報告。
970330.ppt © CCISA(KJF)
p62
工業控制系統資訊安全防護框架
1. 安全分區與網路專用
資訊管理區
生產控制區
控制區
資訊區
管理區
生產區
2. 橫向隔離
(嚴禁雙向)
產出(例:電力、液化天然氣、自來水等)
調度網路
產出資訊網
3. 縱向鑑別(含自動回撥)
備考:
1.產出資訊網僅經由資訊區提供營運資料至營運資訊網。
2.縱向鑑別之專家建議可使用公開金鑰技術惟不宜採用公開金鑰基礎建設,可使用金鑰憑證但不
宜採用憑證機構。
970330.ppt © CCISA(KJF)
p63
軟體保證架構示意圖
降低風險 (Risk Reduction)
與公私部門共同合作,以降低脆弱性及最小化網路攻擊的
嚴重性。
軟體保證(Software Assurance)
提昇軟體之完整性、安全性及可靠性之策略。
控制系統之採購規格(Procurement Specification
for Control Systems)
開始研發控制系統採購語言。
資料來源:Hun Kim, Deputy Director for Strategic Initiatives, National Cyber Security Division, US
Department of Homeland Security。
970330.ppt © CCISA(KJF)
p64
風險降低計畫專案
風險
威脅
採購語言
風險
維護及操作語言
威脅
風險
威脅
合約協商語言
脆弱性及保
護的測量
脆弱性及
保護的測
量
脆弱性及保
護的測量
工廠接受測試
結果
測量
安全操作及維護
結果
結果
現場接受測
試測量
970330.ppt © CCISA(KJF)
p65
專案範圍
驅策第1階段可傳送的工程以提供資產擁有者立即的價值
第1階段 範圍
技術
.控制系統網路水準
.控制中央系統
安全
工業
.高價值機會
.所有具備控制系統的工業
.工業適用性及價值將被技術/安全範
圍元素所驅動
--最高風險降低
--SCADA/EMS
--最大共識及知識
.符合性驅動需求
--管理
--工廠控制
--啟始工業指導綱要
.網路通訊
--某些標準
第2階段 可能的未來範圍
技術
安全
.位於工廠樓層的設備
.更多廣泛的安全需求
--IEDS, PLC, RTU, 控制器
.安全系統
工業
.注重於擴充以滿足更多控制系統技術
的特定應用程式
.特定技術的安全
.延伸工業指導綱要及標準開始合併
.遠端系統
.序列通訊
.無線網路
970330.ppt © CCISA(KJF)
p66
.延伸此價值及明確性至所有的工業
範例
控制系統應用程式所需之TCP及UDP埠
基礎:(安全風險/需要)
主機作業系統的埠被使用於與個人電腦間的溝通應用及服務。只有使用於控制系
統應用程式及關聯的系統服務之埠才開啟。
目的語言:
供應商應提供所有埠所需的詳細文件及適當的組態給每個與控制系統相關的電腦
系統。供應商亦需提供所有執行控制系統應用程式及控制系統應用程式界面所需
之埠。執行於工廠接受測試(FAT)期間受測系統(System-under-test)之控制系統評
鑑掃瞄應與法定之服務需求相吻合。
進階語言指導綱要:
多重TCP及UDP埠被共同使用於控制系統。某些案例使用不同的埠於不同的事件
(如:系統回復)。了解使用於不同時間之埠是網路監視的重要因素。
970330.ppt © CCISA(KJF)
p67
範例(續)
工廠接受測試(FAT) 測量:
供應商應識別流量之型態以驗證只有事前規範之TCP及UDP埠才能被使用。執行
於工廠允收測試(FAT)期間受測系統(System-under-test)之控制系統評鑑掃瞄應與
法定之服務需求相吻合。
現場接受測試(SAT)測量:
供應商應識別流量之型態以驗證只有事前規範之TCP及UDP埠才能被使用,並紀
錄所有使用於整合系統所增加之埠。
維護及操作指導綱要:
供應商應識別由入侵偵測系統(IDS)規則所產生逾越邊界警告之TCP及UDP封包型
態。
970330.ppt © CCISA(KJF)
p68
故障樹(Fault Tree Analysis,簡稱FTA)分析過程
定義FTA之
範疇
識別FTA之
目標
定義FTA之
根事件
確認FTA之
控制措施
建構FTA
評價FTA
闡明與結論
確認FTA之
遵循原則
資料來源:
1.北京知識安全工程中心(2007) 信息安全管理體系叢書:信息安全風險評估(趙戰生、謝宗暁編著),中國
標準出版社。
2.IEC(2006) Fault tree analysis(FTA), 2nd ed., IEC 61025:2006。
970330.ppt © CCISA(KJF)
p69
重要民生基礎建設攻擊樹(Attack Tree)框架示意
起始事件
(Initiating event)
中間事件
(Intermediate event)
事故
(Incident)
防護成/敗
(Barrier success)
事件結果
(Incident outcome)
成功
危害
(Hazards)
防護設施(Barrier)
後果
(Consequences)
成功
失敗
失敗
故障樹 (Fault Tree)
事件樹 (Event Tree)
資料來源:
1. Kontic B. and D. Kontic(2007) Weakness of Accidental Risk Assessment Scenarios in the Context of Spatial Planning, in
Computational Models of Risks to Infrastructure, eds. by Skanata, D.and D.M. Byrd, IOS Press。
2. Cohen, A. ed.(2001) ISO/IEC 2nd WD 15443-3: A framework for IT security assurance – Part 3: Analysis of assurance
methods: 2001-02-26, Annex A: Details on Assurance Elements, ISO/IEC JTC1/SC27 N 2741, pp.36~42。
3. 本研究。
970330.ppt © CCISA(KJF)
p70
重要民生基礎建設資訊防護計畫目標擬案
1. 短期(1~2年):縱向鑑別(雙向)與橫向隔離(單向)架構實作,以及建立工
業控制系統生命財產安全及資訊安全之管理系統。
2. 中期(3~5年):人(People)、技術(Technology)與運作(Operations)3構面之
深度防禦(Defense in Depth)策略的逐步建置。
3. 長期(5~6年):生命財產安全(Safety)與資訊安全(Security)文化之養成。
資料來源:Wenger, A. et al.(2002) International CIIP (Critical Information
Infrastructure Protection) Handbook, Center of Security Studies at ETH
Zurich 及其2004與2006年版,以及本研究。
970330.ppt © CCISA(KJF)
p71
議題簡紀
1.
2007年12月14日,「國家資通安全會報」第14次委員會議,「通報
應變組技術服務中心」於簡報之「資安事故案例及威脅趨勢觀察」
段 落 中 , 引 用 美 國 國 土 安 全 部 2007 年 9 月 公 布 的 代 號 「 Aurora
Generator Test」之「駭客成功入侵輸電網並使一部柴油發電機冒煙
而遭破壞」等實驗結果。。
2.
2007年12月14日,「國家資通安全會報通報應變組技術服務中心」
提出:「應即早重視關鍵基礎建設之控制與資訊系統其資訊與網路
安全之議題」的結論。
970330.ppt © CCISA(KJF)
p72
資通安全政策中:「關鍵基礎建設之施行策略」
1. 建立確保基礎建設安全之資訊「安全基準」。
2. 建立關鍵基礎設施資通安全風險評估地圖。
3. 強化各關鍵基礎建設之資通安全防護能力。
資料來源:行政院科技顧問組(2008) 2008資通安全政策白皮書,2008年3月。
970330.ppt © CCISA(KJF)
p73
資訊安全管理有效性標準化計畫例
1.
計畫名稱:美國聯邦資訊安全管理法(Federal Information Security Management
Act,簡稱FISMA)計畫。
2.
執行機關:美國商務部國家標準與技術研究院(National Institute of Standards and
Technology,簡稱NIST)。
3.
階段:
3.1 第1階段(Standards and Guidelines Development):FISMA相關之安全標準與
指導綱要的發展(2003~2008)。
3.2 第2階段(Organizational Credentialing Program):安全評鑑服務提供者之驗證
與認證計畫的發展(2007~2010)。
3.3 第3階段(Security Tool Validation Program):資訊安全工具集之確認計畫的發
展(2008~2009)。
970330.ppt © CCISA(KJF)
p74
資訊安全管理之要求
1.
資料來源:美國公眾法(Public Law) 107-347,標題3(Title 3):「聯邦資訊安全管
理法(Federal Information Security Management Act,簡稱FISMA)」。
2.
立法要求:每個聯邦機關(構)必須開發、證明與實作一個機關(構)範圍之資訊安
全計畫,此計畫支持包含其他機關(構)、承包商及其他的來源之支持以及管理
的資訊與資訊系統提供安全。
3.
FISMA計畫第1階段(2003~2008)之思考議題:
3.1 攻擊者不關心FISMA,僅冀求損害資訊與資訊系統。
3.2 政策與規範不僅僅是FISMA之要求是什麼的工作,而是一個法人保護其關鍵
性業務之資訊及資訊系統如何做的細節陳述以及其承諾。
3.3 對一個法人,最危險之風險是一位無知的授權官員。
3.4 FISMA計畫之安全標準與指導綱要不是驅動資訊安全管理工作,而是支持資
訊安全管理工作。
970330.ppt © CCISA(KJF)
p75
資訊安全管理之要求(續)
3.5 FISMA計畫之安全標準與指導綱要能夠用於共同認知及識別的安全,而不是
讓使用者盲目遵循之教條。
3.6 FISMA計畫之安全標準與指導綱要之唯一強制性的要求是其風險評鑑框架,
其他任何事情均是可以磋商之參考性的要求。
3.7 在確認資訊安全分類時應考慮其對其他機關(構)之影響。
3.8 要關注於如何將FISMA計畫之標準與指導綱要運用在工業控制系統
(Industrial Control System,簡稱ICS)上。
3.9 若一個法人之使命依存於資訊系統時,則其資訊系統的可靠性必須存在適當
之保護。
3.10 如果無法具備足夠之資訊系統的保護技術,就不要使用資訊系統。
970330.ppt © CCISA(KJF)
p76
美國聯邦資訊安全管理法(Federal Information Security
Management Act,簡稱FISMA)計畫第1階段(2003~2006)之效果
政府(管理與預算
辦公室)的報告
(2006-03-01)
已完成安全控制措施
測試之系統百分比
72%
民間
之觀點
備考
(民間觀點的理由)
20%
欠缺在一個持續之基
礎上闡明其技術測
試,且此測試並未授
權資訊長管理之。
已被總檢查長查證之
FISMA 之畫面作業
行動與里程碑計畫
76%
15%
已執行驗證與認證之
系統百分比
85%
20%
90%以上
20%
已完成組態管理之資
訊系統百分比
已完成應變計畫測試
之資訊系統百分比
61%
15%
已完成認知與訓練之
員工百分比
欠缺關連至技術過程
的有效性。
驗證與認證過程欠缺
安全性之考量。
欠缺對脆弱性管理之
要求。
欠缺事件是否可以預
防與影響到什麼業務
之量測。
欠缺品質與有效性之
80%以上
10%
量測,僅僅紀錄出席
狀況。
已完成之資訊資產目
錄百分比
-10%
90%以上
欠缺地理分佈與分散
部門之紀錄。
資料來源:Paller, A. and B.A. Brody(2007) The FISMA-Should be Get an “F”,
in RSA Conference 2007。
970330.ppt © CCISA(KJF)
p77
美國民間對聯邦資訊安全管理法(Federal Information Security
Management Act,簡稱FISMA)之觀點
1.
有FISMA比沒有好,惟目前是改善FISMA之時候。
2.
FISMA必須從遵循標準與其指導綱要之過程,邁向以技術管理為基
礎的安全過程,執行改進措施。
3.
在眾議院之政府政府改革委員會中的多數成員已經對FISMA這一個
議題感興趣。
4.
實 作 從 那 些 想 要 破 壞 我 們 國 家 關 鍵 資 訊 基 礎 建 設 之 人 們, 建 立
FISMA控制措施的真正基線(Baseline)。
5.
資料來源:Paller, A. and B.A. Brody(2007) The FISMA-Should be Get
an “F”, in RSA Conference 2007。
970330.ppt © CCISA(KJF)
p78
美國聯邦政府資訊安全管理法(Federal Information Security
Management Act,簡稱FISMA)計畫第2階段(2007~2010)紀要
1.
目的:實作計畫之重心聚焦於驗證證書發布的信度與效度及其有效性,以及私部門組織對聯邦機關(構)
提供FISMA評鑑服務之發展。
2.
作法:
2.1 2006-04-26, 美國國家標準與技術研究院(National Institute of Standards and Technology,簡稱NIST)召
開第1次FISMA第2階段工作討論會(Workshop),共有450人參加,尋求其重要議題之確認。
2.2 NIST將提供FISMA評鑑驗證與認證之訓練、評估準則及服務提供者要求的草案,借由討論會之方
式建立其過程。
2.3 各項要求將參考:
2.3.1 國際標準組織(International Organization for Standardization,簡稱ISO)、美國國家標準研究院
(American National Standards Institute,簡稱ANSI)與NIST等標準機關(構)之標準及規範。
2.3.2 私部門之人員驗證(例:Certified Information Systems Security Professional,簡稱CISSP)、大學
與學院的學程以及管理系統之要求(例:ISO 14001)等。
2.3.3 其他安全評鑑計畫(例:美國國安局之IA (Information Assurance) – CMM (Capabability Mutural
Model)等)。
970330.ppt © CCISA(KJF)
p79
美國聯邦政府資訊安全管理法(Federal Information Security
Management Act,簡稱FISMA)計畫第2階段(2007~2010)紀要(續)
3.
NIST計畫中之證書發放過程
3.1 根基於客戶的證書過程(Consumer-based Credentialing Process):客戶
用建立之要求獲得安全評鑑服務並得到證書。
3.2 公 ( 部 門 ) 或 私 ( 部 門 ) 的 證 書 過 程 (Public or Private Credentialing
Process):為安全評鑑建立並提供其服務提供者之能力要求、評估準
則與訓練要求,在無NIST的贊助關係下,供需環境自行發展及操作
之證書發放過程。
3.3 NIST贊助的證書過程(NIST – Sponsored Credentialing Process):NIST
主辦或與其他人合作之公(部門)或私(部門)的證書發放過程。
970330.ppt © CCISA(KJF)
p80
美國聯邦資訊安全管理法(Federal Information Security
Management Act,簡稱FISMA)第3階段(2008~2009)之組件
1.
訓練(Training):理解FISMA與落實FISMA相關之要求及如何遵循其標
準與指導綱要的標準化工作。
2.
轉換策略(Transition Strategy):營運觀點之資訊與資訊系統的規劃要從
資訊安全管理實作要求之作法轉移至FISMA的要求。
3.
工具集(Tools):政府與民間協力創建資訊安全共同之規範化語言以闡
明組態管理的集合,並促進發展廣泛且可理解之資料庫及自動化的安
全支持工具庫。
970330.ppt © CCISA(KJF)
p81
工業控制系統(Industrial Control System,簡稱ICS)
於2006~2007年間曾發生多起入侵事件
1.
資料來源:http://www.infosec.org.cn/news/news_detail(2008-01-27)。
2.
2008-01-18,美國「系統與網路安全協會」主辦之貿易大會於新紐奧
爾良市舉行時,美國中央情報局官員湯姆唐納休(Tom Donahue)透露,
在美國境外已發生數起駭客攻擊供電網路事件。今後,駭客可能會
針對電力、交通與供水等重要民生基礎建設發起致命攻擊。
3.
美國「系統與網路安全協會」負責人阿郎.帕勒爾(Alan Paller)表示,
在過去兩年中,已發生多起駭客入侵ICS並勒索之事件。
970330.ppt © CCISA(KJF)
p82
資料驗核疏失事件例
1.
資料來源:2008年1月11日,中國時報A3(焦點新聞),黃天如/台北報導等新
聞6則。
2.
一名家住台北縣之原住民結核病少女於2002年年初,因父親確診為開放性肺
結核;經檢驗,前述少女肺部X光正常,但結核菌素皮膚測驗呈陽性,亦即
感染但未發病,2002年5月以前,即完成中央頒布的結核病「個案管理準則」
之登錄通報。2007年9月,前述少女因長期咳嗽不癒被檢驗出肺結核,同年9
月14日因肺結核合併多重器官衰竭過世。
3.
2008年1月9日,行政院衛生署公布前述14少女枉死悲劇,並坦承此個案6年
前之結核菌素陽性資料未電腦建檔(?),書面資料又不慎遺失。
970330.ppt © CCISA(KJF)
p83
14歲原住民少女不幸死於結核病事件簿
時間
2002 年 1 月
事件
原住民少女的父親經檢驗證實罹患開放性肺結核,當時少
女年僅 8 歲。
2002 年 2、3 月間
個案少女及其媽媽、姊姊受衛生所檢驗;少女肺部 X 光正
常,但結核菌素皮膚測驗呈強陽性,亦即感染但未發病。
2002 年 9 月
個案父親未規則服藥,遲遲無法完治,複驗仍呈痰陽。
2003 年 5 月
個案父親經都治計劃「送藥到手、服藥到口、吃完再走」,
終於完治。
2007 年 8 月
地方發現個案家庭因經濟困窘繳不出健保費,一家四口已
無健保資格多時,經協助後,個案家庭恢復健保身份。
2007 年 9 月
少女因長期咳嗽不癒,體重一路狂掉,只剩 26 公斤。
2007 年 9 月 9 日
少女在家中浴室昏倒送醫,到院前一度已無呼吸、心跳、
血壓,後經全力搶救終於恢復生命跡象,並確診為肺結核
末期,雙肺皆出現空洞。
2007 年 9 月 10 日 因原急診醫學中心已無加護隔離病房,少女被轉送另一家
醫學中心之 ICU(加護病房)。
2007 年 9 月 14 日 少女因肺結核合併多重器官衰竭過世。
2008 年 1 月 9 日
衛生署為推動 12 歲以下潛伏性結核病患預防性投藥政
策,始披露 14 歲原住民少女不幸犧牲的悲劇;並坦承個
案 6 年前的結核菌素陽性資料未電腦建檔,書面資料又不
慎遺失。
資料來源:2008 年 1 月 11 日,中國時報 A3(焦點新聞)。
970330.ppt © CCISA(KJF)
p84
涉密系統存取控制實作之一:安全模型及其背景
1.
資料來源:任錦華(2007) 建設信息系統安全保護體系(簡報資料),2007年6
月。
2.
中國2002年17號文件(國家信息化小組關於我國電子政務建設指導意見)之12
個重點計畫中:「辦公業務資源系統」計畫中的4個增補計畫之一,預算為
人民幣8508萬元,2007年10月完成;此計畫提出:「防內為主,防外為輔」、
「三權分立」與「權限模型」之存取控制實作安全模型。
3.
中國「國家保密局」書面批准:「可以存儲各種密級信息」,並推薦此計畫
成為:「黨政機關涉密綱示範計畫」;「信息產業部」批准其承擔:「電子
政務建設全系列軟件國產化解決方案」之課題,「國家檔案局」與「中央檔
案館」批准其承擔:「中央國家機關在線檔案歸檔計畫」與「機關共性辦公
綜合應用平台建設」的課題。
970330.ppt © CCISA(KJF)
p85
涉密系統存取控制實作之二:三棵樹關係模型圖
(中聯部 任錦華 2004年5月8日設計 2006年2月6日修訂)
樹冠
支撐類軟件、綜合應用類軟件
基於三棵樹體系權限控制策略
三棵
樹的
不同
層次
枝樹
信息分類樹
權限分類樹
機構分類樹
業務模型
保密模型
技術模型
網絡與微機
硬體系統
認證加密
安全技術
安全防護
安全技術
系統類軟體
技術支待
樹根
.Net技術架構框架
Windows環境下B/S與智能客戶端
Java技術架構框架
Liunx環境下B/S與智能客戶端
資料來源:任錦華(2007) 建設信息系統安全保護體系(簡報資料),2007年6月。
970330.ppt © CCISA(KJF)
p86
涉密系統存取控制實作之三:以三權分立為核心的安全保密管理模型圖
(中聯部 任錦華 2004年5月8日設計 2006年6月6日修訂)
只讀保密檢查
不顯示信息正文
機要保密權
安全設備
信息系統
內容控制權
內部安全機制
權限分配策略
信息系統
安全設備
信息內容
控制權
涉密信息內容
後台維護信息
打不開信息內容
技術支撐權
資料來源:任錦華(2007) 建設信息系統安全保護體系(簡報資料),2007年6月。
970330.ppt © CCISA(KJF)
p87
電能管理系統(Energy Management System,簡稱EMS)組件
1.
監督控制與資料獲取(Supervisory Control and Data Acquisition,簡稱
SCADA)。
2.
自動發電控制功能(Automatic Generator Control,簡稱AGC)。
3.
經濟調度控制功能(Economic Dispatch,簡稱ED)。
4.
安全分析功能(Security Analyze,簡稱SA)。
5.
EMS = SCADA + ED + SA。
6.
資料來源:翁伯東(2003) 電力調度自動化簡介,2003-02-28。
970330.ppt © CCISA(KJF)
p88
台灣電力公司電力系統監控架構
台灣電力公司全面自動化工程係採階層調度控制系統,分
中央調度中心(CDCC)、4個區域調度中心(ADCC)及
12個配電調度中心(DDCC)三個階層分別負責345KV、
161KV、69KV、22KV、11KV系統調度控制。
970330.ppt © CCISA(KJF)
p89
台灣電力公司電力調度階層圖
中央調度控制中心
資料傳送
自動發電 資料傳送
控制
變電所
161KV資
核能G/S
水力火
料傳送
CDCC
161KV 系
統調度指令
力G/S
電廠
資料傳送與控制
P/S
一
次
變
電
所
二
次
變
電
所
161
69/11
KV
超高壓變
電所及發
電廠
161KV資
料傳送
161
22/11
KV
資料傳送與控制
69/11
69/11
KV
KV
S/S
G/S
KV E/S
超高壓變電所
調度指令
11
22K
V饋
線斷
路器
控制
指令
11/22 KV
資料傳送
饋線調
度中心
配電調度控制中心
DDCC
饋線操作指令
p90
345/161
資料傳送與控制
區域調度控制中心
ADCC
D/S
970330.ppt © CCISA(KJF)
資料傳送與控制
線
路
開
關
小水力SCADA
主 站
資料傳送
與控制
小水力 G/S
台灣地區目前輸配電線路電壓
35萬5仟伏特
超高壓輸電線
16萬1仟伏特
一次輸電線
6萬9仟伏特
二次輸電線
1萬1仟伏特
配電線
發電場
開關場
超高壓
變電所
一次
變電所
16萬1仟伏特
地下電纜
970330.ppt © CCISA(KJF)
二次
變電場
6萬9仟伏特
地下電纜
p91
220/110
伏特
1萬1仟伏特
地下電纜
自來水淨水生產處理流程示意
970330.ppt © CCISA(KJF)
p92
液化天然器
資料來源:中國石油學會(1990)液化天然氣技術手冊,1990年11月。
970330.ppt © CCISA(KJF)
p93
存活性(Survivability)
1. 存活性:一個系統、子系統、設備處理或程序的特性,其提供一定義良好的保
證程度使被命名的實體在遭受自然或人為干擾期間及之後,尚能持續其功能,
例如:核爆炸。註:對於某一特定應用程式而言,存活度必須具備下列之條
件:經定義之實體存活條件區間、最小可接受水準或干擾後之功能性、及最
大的可接受中斷時間。
2. Survivability: A property of a system, subsystem, equipment process, or procedure
that provides a defined degree of assurance that the named entity will continue to
function during and after natural or man-made disturbance; e.g., nuclear burst. Note:
for a given application, survivability must be qualified by specifying a range of
conditions over which the entity will survive, the minimum acceptable level or postdisturbance functionality, and the maximum acceptable outage duration.
3.資料來源:U.S. Department of Commerce(1996) National Telecommunications and
Information Administration, Institute for Telecommunications Services, Federal
Standard 1037 C。
970330.ppt © CCISA(KJF)
p94
具存活性之系統(Survivable System)
1. 具存活性之系統(Survivable system):一個即使在重要的部分因為被攻
擊或是災害事故而喪失能力之狀態下,仍能夠以及時的方式繼續提供
服務的系統。
2. Survivable system: A system that is able to continue providing service in a
timely manner even if significant portions are incapacitated by attacks or
accidents.
3. 資料來源:M. Barbacci. Survivability in the age of vulnerable systems.
IEEE Computer, 29(11):8, Nov 1996.
970330.ppt © CCISA(KJF)
p95
國土安全與資訊分享與分析中心(Information Sharing and Analysis
Center,簡稱ISAC)核心工作-台灣國土安全產業的範疇
國土安全產業範疇
(一)依國土安全產業範疇區分商機涵蓋範圍
• 資通訊安全與基礎設施保護
–
–
–
–
–
–
–
•
資通訊安全
緊急準備與反應
邊境暨運輸安全
緊急準備與反應
–
–
–
•
網路安全及網路資料儲存中心
新型防火牆設置
資訊分析與模擬系統
關鍵基礎設施之資產調查與工程承包
法規與標準研擬
檢驗與認證系統
人才訓練
機
場
安
全
緊急醫療與醫院防護系統
疫苗研發與儲存設備
核生化污染排除
邊
境
安
全
海
域
安
全
與
基
礎
設
施
保
護
邊境暨運輸安全
–
–
–
–
機場與港口安全器材與安檢系統
貨櫃安全檢查器材與系統
消防與巡防器材與機具
知慧型邊界系統與空中監視系統
註:台灣國土安全產業範疇係參酌美國
國土安全部規劃,並依國情而訂定之。
資料來源:
1. 左峻德 (2007) 台灣國土安全產業前景(簡報資料),頁4,2007台灣國土安全產業國際研
討會,2007-11月13~14日。
2. 本研究。
970330.ppt © CCISA(KJF)
p96
兩張內含英國近2仟5佰萬筆國民個人資料光碟
郵寄遺失
1. 資料來源:2007年11月22日,自由時報A6,編譯羅彥傑/綜合倫敦二十
一日外電報導。
2. 英國首相布朗於2007-11-21為政府稅務機關在郵寄過程中遺失725萬戶
申請兒童福利金之近2仟5佰萬筆英國國民個人資料的兩片受密碼保護
之光碟的資訊安全事件,向全民道歉。
3. 英國稅務暨海關署一名年輕職員,自行拷貝前述資料下載至光碟後,
於2007-10-18將光碟放在包裹中交給未立案之郵遞公司寄送,過程中
無任何紀錄;在英國審計部於2007-10-24再度通知後,該署再度寄出
資料,順利送達;3週後,相關人員方呈報已遺失光碟,英國財政大臣
於2007-11-10獲報此事件;英國稅務暨海關署署長於2007-11-20引咎辭
職。
970330.ppt © CCISA(KJF)
p97
關鍵基礎建設資訊防護之目的與目標
1. 目的:
1.1 居安思危,思則有備。有備無患,敢以此規。
2. 目標:
2.1 分析:創造資訊價值。
2.2 分享:提昇資訊效率。
970330.ppt © CCISA(KJF)
p98
1948年諾貝爾文學獎得主艾略特
(Thomas S. Eliot, 1888~1965)警語
在理想與現實之間,…,橫亙著蔭暗的鴻溝。
Between the idea and the reality, …, falls the shadow.
970330.ppt © CCISA(KJF)
p99
敬請指教
970330.ppt © CCISA(KJF)
p100