24　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望

淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望

黃瓊瑩 /安碁資訊股份有限公司技術副總經理

一、 前言

依據行政院頒布之「國家資通安全發展方

案 (102 年至 105 年 )」、及行政院科技顧問

組發布之「2010年資通安全政策白皮書」，

將關鍵資訊基礎建設保護列為重要行動方案之

一。自美國 911事件後，更加凸顯關鍵資訊基

礎建設所潛藏之脆弱性，以及國家訂定相關保

護措施之必要性。近年來，歐、美各國政府均

高度重視，紛紛提撥相關預算，以加強關鍵資

訊基礎建設保護之各項措施。

2017年政府推動 8大關鍵基礎建設領域

之資安旗艦計畫，將能源、水資源、交通、通

訊、金融、醫療、政府機關及科學園區等 8大

領域列為關鍵基礎設施。安碁資訊股份有限公

司配合國家政策，最早於民國 97年即參與國

土安全部的 ISAC先導計畫，並自 107年起，

陸續承接交通、水資源及能源領域之 ISAC規

劃與建置；本文茲依長期耕耘之建置經驗與執

行心得，並參酌國際成功 ISAC營運中心建議

之建置指引，分析 ISAC關鍵成功要素，俾供

相關各界參考。

二、 情資資訊分享之需求與目的

(一 ) 情資分享之需求

面對來自四面八方之資安攻擊與威脅，全

球企業對於威脅情資資訊分享中心之需求，日

益迫切，具體因素包含：

1. 攻擊複雜度越來越高：單一企業面對複雜

之攻擊，其能力、專業知識有時而窮。透

過集體的力量，可更有效掌握攻擊活動，

有效因應。

2. 違約成本提高：各種法規對於資料外洩或

資安管理缺失造成之損害，其賠償金額與

法律責任日趨高漲。

3. 情資雜訊充斥：各種威脅情資數量龐雜多

樣，須藉助專業分析、過濾後，再將正確、

有用的情資分享予會員機構。

4. 監管機構對情資分享之重視：如美國設

立的 FS-ISAC、英國的 CiSP、及我國的

F-ISAC等。

(二 )情資分享之目的

透過情資分享機制之建立，其目的歸納

有：

1. 幫助企業降低資安風險。

2. 協助企業辨識、評估、監控及回應資安威

www.fisc.com.tw ■　25

淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望〡本期企劃

圖 1　CIIP-ISAC與其他 ISAC平台架構

脅，強化資安整體整備度。

3. 提升企業之資訊安全及整體利益。

4. 綜合跨領域知識、認知、理解及經驗，提

升企業決策之有效性。

三、 能源領域情資分享與分析概況

(一 ) 執行概況

以能源領域為例，執行之內容包含：

● 參酌歐、美、日先進國家關鍵基礎設施領

域 ISAC之建置與維運經驗，進行關鍵資

訊基礎設施領域 ISAC相關基礎研究，並

建立關鍵基礎設施基本防護政策，確保民

生基礎建設之持續營運。

● 建置「民營能源資安資訊分享與分析中

心」(以下稱 PE-ISAC)及「經濟部能源

領域關鍵資訊基礎設施資安資訊分享與分

析中心」(以下稱經濟部 CIIP-ISAC)之資

料系統及服務平台。

● 規劃經濟部 CIIP-ISAC與所屬關鍵基礎設

施，提供單位 ISAC及N-ISAC介接介面。● 完成民營能源業者關鍵基礎設施資訊資產

盤點及風險評估。

● 完成經濟部CIIP-CERT、CIIP-SOC (二線 )

平台規劃及能源領域威脅燈號研究，作為

後續推動關鍵基礎設施資訊安全之參考。

(二 ) 技術標準與資料格式

資安情資來源多元化，跨領域情資交換需

求日益提升。透過統一之情資格式、系統自動

分享功能，建立更有效之 ISAC情資交換架構，

以提升情資分享內容之即時性、正確性及完整

性，藉由自動更新各領域之資安威脅與訊息，

達到情資快速分享、整合及有效應用之目的，

提升資訊安全整體應變與防護能力。

以經濟部 CIIP-ISAC為例，經濟部 CIIP-

ISAC 和下一階層各關鍵基礎設施提供單位 (如

台電、中油等 ) ISAC 之資訊交換介面規格，

以及上一階層 N-ISAC、國內外其他領域 ISAC

之資訊交換介面規格，其平台架構 (如圖 1)。

26　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望

圖 2　資安分享架構

表 1　情資類別與事件類別清單

為配合 N-ISAC情資交換標準，資安分享

系統採用國際標準與協定，包含 TAXII來傳輸

數據，以 STIX來作情報描述，描述內容則採

用 CybOX詞彙，資安分享架構 (如圖 2)。● 傳輸協定：Trusted Automated eXchange

of Indicator Information (TAXII) 傳 輸 協

定。

● 情報描述：Structured Threat Information

eXpression (STIX)格式，涵蓋交換資料

之類別、資料欄位名稱、資料格式、事故

通報相關時間 /IP位址 /事故屬性 /嚴重

等級 /事故通報內容 /處理狀態、防護建

議、附加網址、附加檔案、通訊協定等。

● 內容語彙：Cyber Observable eXpression

(CybOX)作為情資內容描述語彙。

(三 ) 情資類別

情資交換類型多樣，參考 N-ISAC建置指

引，情資類別彙整如表 1所列。

情報類別 編號 事件類別

ANA資安訊息情報

101 漏洞訊息

102 攻擊活動訊息

103 服務資訊

104 其他

105 中繼站黑名單

112 IP對應政府機關列表

www.fisc.com.tw ■　27

淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望〡本期企劃

情報類別 編號 事件類別

ANA資安訊息情報

114 IP位址範圍

118 惡意程式下載點清單

119 惡意程式樣本

DEF網頁攻擊情報

201 網頁置換

202 惡意留言

203 惡意網頁

204 釣魚網站

205 其他

206 網頁木馬

207 個資外洩

INT入侵攻擊情報

301 系統被入侵

302 對外攻擊

304 針對性攻擊

305 其他

306 散播惡意程式

307 中繼站

308 電子郵件社交工程攻擊

309 圾垃郵件 Spam

310 命令與控制伺服器 C&C

311 殭屍電腦 Bot

EWA資安預警情報

401 系統疑存在弱點

403 可疑連線

405 資訊疑遭洩漏

406 存在可疑程式

407 疑發起對外攻擊

409 網頁曾被攻擊

411 其他

412 疑發送垃圾郵件

FBI回饋情報

501 資安事件回饋資料

502 資安事件錯誤

503 資安事件刪除

507 惡意程式解藥

28　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望

圖 3　Circle of Trust

四、 ISAC關鍵成功要素

(一 ) 建立信任圈 (Circle of Trust)

1. 依法令建立信任關係

ISAC成功的首要條件，是信任關係。信

任關係包含成員與成員之間、成員與 ISAC、

ISAC與合作夥伴之間。信任關係是 ISAC營

運成功最重要的基礎，需靠經營與互動累積獲

得。信任關係可依據法令強制規範，如我國資

通安全管理法，課予該法管轄範圍的組織，須

建立資通安全推動組織、專責人力及經費、資

通安全防護及控制措施、資通安全事件通報、

應變及演練相關機制等責任。

2. 設計促進信任關係的機制

除法令規範外，如能讓 ISAC成員發自

內心信任、仰賴或願意主動求助 ISAC，將是

ISAC成功營運的最高境界。要達到此目的，

ISAC要設計完善管理制度與機制，來支持、

促進與提升社群信賴機制的建立；具體做法有：

● 管理規範與成員管理

如果參與 ISAC之成員，不知道社群內有

哪些成員，或成員屢屢違反資訊分享規範，則

信任關係將遭破壞。因此管理機制應涵蓋成

員加入、退出之通知，違反資訊分享規範之處

理方法等，唯有明確之管理制度與透明之運作

規則，信任關係隨著時間的累積與互動，將愈

強化與鞏固，成員充分瞭解共同同意的內容與

責任，這樣的信任關係，稱為信任圈 Circle of

Trust (如圖 3)。

● 建立核心的種子成員

組成種子成員，主動、積極分享資訊，先

營造核心的信任圈。分享內容最好有一定的機

敏性，依照成員間之分享規範，主動分享。如

此可由小而大，漸漸擴大信任圈的範圍。

國內外其他

ISAC情資國內外資安

相關情資

N-ISAC

E-ISAC

ISACMember

建立信任 ISAC組織

trust

trust trust

trust

trust trust

trust

trust

www.fisc.com.tw ■　29

淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望〡本期企劃

● 以「交通號誌協議」實作資訊保護

基於 ISAC分享之資訊，具有相當機敏

性，資訊若遭誤用，可能招致立即危害。因

此，ISAC須有明確資訊分級規範與管理機

制，確保成員之間能以誠信、負責與公平方

式使用分享的資訊 (避免誤用 )。管理制度設

計時，可導入「交通號誌協議」(Traffic Light

Protocol，以下簡稱 TLP)，進行機密等級分類

與限制情資分享。除書面管理規範外，在平台

的功能面，亦應實作 TLP機制保護資訊內容，

以便確認文件揭露對象與管制分享範圍，TLP

是落實資訊分享管理的技術手段。

(二 ) 資訊的品質與衡量機制

分享資訊的品質，是僅次於 Trust的重要

成功要素。資訊品質包含：

1. 抵抗傳統欺詐與新型態攻擊

傳統業務 offline (legacy fraud/business)

之詐偽或攻擊多與行業本身之業務本質直接相

關，須具備深厚的領域專業。而目前新型態之

攻擊 online (new/cyber)多為網路、IT與新興

業務衍生之風險。

這兩類型態所需之知識、從業人員與養成

不同，一直以來雙方交集有限。良好的 ISAC

應能同時滿足此兩種型態威脅之分析能力，而

分析人員應由熟悉業務領域的專家參與。

2. 資訊品質之衡量

ISAC提供會員之資訊，須事先瞭解接收

端是否有能力處理。因此分析人員須先過濾數

量眾多之情資來源，加以比對、驗證或測試，

確認其真實性。在分享平台也應內建「情資回

饋功能」，會員可給予情資正評、負評或提出

問題。ISAC分析人員則可透過會員的回饋，

進行情資內容調整，或瞭解會員是否需要協助。

3. 豐富與多樣的情資來源

根據以往經驗，新種攻擊手法有先於臺灣

實施之實例。如能將與駭客交手之過程，於第

一時間彙整威脅情資，便可預先防堵或強化，

將資安風險降至最低。情資來源應包含本土

情資，有別於國際採購之情資來源，已於本地

發生之資安事件或潛在威脅，更具參考價值。

ISAC的夥伴，應具備足夠的情資分析能力，

調查與數位鑑識能量。

實務上 ISAC應有本地 SOC業者配合，

源源不絕提供查獲之案例，成為一個與時俱

進、不斷充實的有機體。

(三 ) 與SOC / CERT整合

根據國際間關鍵基礎設施資安事件的處理

經驗，其影響範圍經常是由小變大，發展速度

通常是由慢變快。愈早發現潛在的威脅與風

險，就愈有機會可以採取即時、資源充沛及具

充分策略的處理方式。因此，及時預警或早期

預警是確保重要基礎設施正常運作所不可或缺

的重要環節。否則，當控制某個重要處理環節

的資訊系統或網路失效，將不免輕忽認定為暫

時、不常發生、易於掌握，以及特殊地點所發

生的單一事件。然而，這些被認定為對於國家

經濟與安全僅有些許影響的單一事件，最後卻

可能擴大成為關鍵基礎設施的資安事件。因

此，ISAC與SOC/CERT之整合，密不可分 (整

合架構如圖 4)，俾建立更廣泛之預警與通報方

式，以完備跨體系通報機制。

30　■ 財金資訊季刊 / No.94 / 2018.12

本期企劃〡淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望

圖 4　ISAC/SOC/CERT整合架構

此外，資安威脅通報機制係為確保與資訊

系統有關的資安事件與弱點，皆備有相對應的

處理程序，並且能夠正確、及時地傳達通報，

包括系統管理者、供應商及使用者，皆須瞭解

各類事件與弱點的通報程序、聯絡方式和正確

的聯絡窗口，以便在最短時間內進行因應與處

理。一個完整的通報機制，包含：指定一個正

式的聯絡人與代理人，並備妥文件化的資安威

脅事件通報程序與相關表單，使通報人員能夠

依照設計好的通報流程與指示，記錄和資安威

脅有關的重要細節，例如：發生的時間、地點、

系統錯誤訊息、參數，以及其他主觀判定的異

常行為，以作為事件處理的參考依據。

其次，資安威脅通報的機制，首須建立適

當的責任區分與作業程序，才能迅速有效地回

應資安威脅與資安事件；實務上，須針對資安

威脅與事件區分不同的等級或類型，俾分別

建立不同的因應辦法，例如：針對單機的電腦

中毒，就會有其需要通報的內容說明與處置；

而針對來自網路的阻斷服務攻擊 (Denial-Of-

Service attack, DoS attack)，在通報層級和

處置方面，也會有不同的因應與處理方式。至

於整體的資安威脅管理程序，建議還要包括事

件的原因分析與鑑別、如何進行事件預防與矯

正措施的規劃，以及是否需要蒐集相關證據，

以便向主管機關進行通報，或是作為損害求償

的證明。為讓人員熟悉資安事件通報的作業流

程，亦應定期舉辦教育訓練，讓新進人員都能

具備必要的認知，或定期地實施事件模擬演

練，以便在事件真正發生時，不會因手忙腳亂

而忽略訊息通報。

在資安事件發生後，應針對資安事件本身

進行資訊與資料的蒐集、保存及提交相關證

據，以符合法庭在審判時的佐證要求。最後，

企業可自資安威脅事件的處理過程中學習到寶

貴的經驗，一旦資安事件效應擴大，演變成為

對於企業營運有害的事故，就須有足夠資訊，

針對事件發生的頻率、損害情形、營業損失，

來選擇額外控制措施，以防止事件再次發生；

因此，企業應有適當的機制，評估與監控資安

www.fisc.com.tw ■　31

淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望〡本期企劃

圖 5　國家資安聯防體系

事故的過程、以及所造成之衝擊，作為因應未

來事件的參考依據。

五、 結語－未來展望

我國對於關鍵基礎設施防護，已經逐步推

動，亦有相當成果。運作良好之威脅情資資訊

分享中心，隨著各領域之 ISAC/CERT/SOC

成熟運作，將建構完整之國家資安聯防體系

(如圖 5)。

政府揭示「資安就是國安」，是施政計畫

的重要環節，也是蔡英文總統執政後積極推動

的政策方向。而建構整體聯防體系，亦將結合

民間強大的資安能量，未來「資安也是一個產

業」，將資安產業發展視為與數位產業等重的

另一個臺灣發展方向。(本論述不代表本刊或

財金資訊公司立場 )

※參考文獻 /資料來源：1. ISAO 100-2 - Guidelines for Establishing

an Information Sharing and Analysis.Organization (ISAO), v1.0, ISAO Standards Organization, September 30, 2016。

2. ISAO 300-1 Introduction to Information Sharing, v1.01, ISAO Standards Organization, October 14, 2016。

3. Information Sharing Success Story, John Carlson, Chief of Staff, FS-ISAC, October 31, 2017.

4. 106年 3月，106年國家資通安全防護整合服務計畫領域 ISAC實務建置指引(V1.0)。

5. Gora Gangopadhyay, Executive Director, Morgan Stanley, Financial Service, ISAC, 2018 Summit US.。