关键基础建设工业控制系统资讯安全管理系统之研究.PDFVIP

關鍵基礎建設工業控制系統資訊安全管理系統之研究 林侑霓1 樊國楨2 楊中皇 3 1 國立高雄師範大學資訊教育研究所 jenny450@ 2 異術科技股份有限公司 kjf@.tw 3 國立高雄師範大學資訊教育研究所 chyang@ 摘要 隨著資訊技術的進步，製造業大量運用開放式資訊系統取代傳統的人工作業模式。 在享受資訊科技所帶來的便利與利益之餘，同時也得面臨開放系統所帶來的組態設定、 病毒感染以及駭客入侵等種種安全性的問題。 有效的制定工業控制系統（Industrial Control System ，簡稱ICS ）資訊安全標準將有 助於安全事件的防範。惟資訊安全標準必須配合ICS的環境，選擇適合的標準內容與規 範。 重要民生基礎建設工業控制系統之資訊安 全管理已擴及生命財產安全（Safety ）的 範疇，於 2008 年3月 14日正式發行之「 2008資通安全政策白皮書」中已正式公布我國 「關鍵基礎建設之施行策略」。根基於此，本研究整合工業控制系統已公布暨發展中之 資訊安全管理相關標準以擴增 ISO/IEC27001:2005(E)的控制措施於工業控制系統領域， 期能提供ICS資訊安全管理系統實作之參考。 關鍵詞：關鍵基礎建設 (Critical Infrastructure) 、工業控制系統(Industrial Control Systems) 、資訊安全管理系統(Information Security Management Systems) 、生 命財產安全 (Safety) 、標準化(Standardization) 。 1 關鍵基礎建設工業控制系統資訊安全管理系統之研究 1. 前言 隨著時代的演進與資訊科技的進步，資訊已成 為現代化國家重要資源之一。同時， 個人通訊設備和網路通訊科技大幅地進步與改善效率的必要，製造業間，紛紛湧起一股 使用一般資訊設備裝置以取代傳統專用的控制裝置。 因此，基礎建設變得更加自動化和彼此相連結。藉此，公司內部網可彼此互通，甚 至與網際網路連結。另一方面而言，這種自動化的功能也帶來了潛在的脆弱性。 因為工業控制系統的本質，工業控制系統的特性和傳統網路不同，資訊處理系統以 網路為基礎。另外，工業控制系統故障所帶來的潛在風險也比資訊系統所帶來的風險更 加地嚴重，其中包含對人類生命財產安全深遠的影響、對環境造成嚴重的破壞、產生財 金問題如生產損失和對國家經濟負面的影響。 關鍵基礎建設倚賴實體與數位為基礎的系統進行每日的運作，包含通訊、能源、銀 行業務、金融、交通、供水系統和包含政府與私人機構的緊急服務。數位入侵將影響關 鍵基礎建設正常的運作。 美國總統於 2003 年 12 月 17日發佈國土安全總統行政命令 (Homeland Security Presidential Directive (HSPD)–7) 以加強對美國關鍵基礎建設的保護，其中表示，聯邦各 部會將協助美國國土安全局與私人企業、學術單位與政府機關改善數位系統技術與促進 其他關鍵基礎建設的安全，包含使用美國國防生產局的授權以確保工業產品、原料和服 務的可取得性能達到美國國土安全要求(George W. Bush ，2003) 。 現今，隨著控制系統在關鍵基礎建設上的使用，實體和數位攻擊日益增加，實體攻 擊在政府機構和私人企業是顯示易見的。實體攻擊經常伴隨著財產損失或人員傷亡，新 聞媒體將會報導實體攻擊事件。但是，另一方面，數位攻擊並非容易辨識，更何況大部 份的公司都不會報告、報導他們所遭受的數位攻擊和他們的數位脆弱性資訊。 數位入侵、攻擊可能來自於公司的內部或外部。內部這一方面，入侵者可能是一個 無意犯錯的操作員或心懷惡意的員工，處心積慮地攻擊。外部這一方面，入侵者可能是 離職員工、電腦病毒和帶著敵意的外部攻擊