isac 安全資訊分享與分析中心應用與發展

安全資訊分享與分析中心應用與發展安全資訊分享與分析中心應用與發展安全資訊分享與分析中心應用與發展安全資訊分享與分析中心應用與發展安全資訊分享與分析中心應用與發展安全資訊分享與分析中心應用與發展安全資訊分享與分析中心應用與發展安全資訊分享與分析中心應用與發展

顧寶裕顧寶裕顧寶裕顧寶裕顧寶裕顧寶裕顧寶裕顧寶裕, CISSP, CISA, CISSP, CISA

[email protected]@yahoo.com

20102010年年年年年年年年 12 12 月月月月月月月月

2

簡報大綱簡報大綱簡報大綱簡報大綱簡報大綱簡報大綱簡報大綱簡報大綱

引言引言引言引言引言引言引言引言

安全資訊分享與分析中心安全資訊分享與分析中心安全資訊分享與分析中心安全資訊分享與分析中心安全資訊分享與分析中心安全資訊分享與分析中心安全資訊分享與分析中心安全資訊分享與分析中心(ISAC)(ISAC)緣起與功能緣起與功能緣起與功能緣起與功能緣起與功能緣起與功能緣起與功能緣起與功能

ISACISAC應用現況應用現況應用現況應用現況應用現況應用現況應用現況應用現況

ISACISAC效益與未來發展效益與未來發展效益與未來發展效益與未來發展效益與未來發展效益與未來發展效益與未來發展效益與未來發展

問答與討論問答與討論問答與討論問答與討論問答與討論問答與討論問答與討論問答與討論

3







4

電信電信電信電信：：：：中東海纜斷裂造成歐亞大當機中東海纜斷裂造成歐亞大當機中東海纜斷裂造成歐亞大當機中東海纜斷裂造成歐亞大當機電信電信電信電信：：：：中東海纜斷裂造成歐亞大當機中東海纜斷裂造成歐亞大當機中東海纜斷裂造成歐亞大當機中東海纜斷裂造成歐亞大當機

自由時報自由時報自由時報自由時報自由時報自由時報自由時報自由時報 20082008--1212--2121

法國電信法國電信法國電信法國電信（（（（法國電信法國電信法國電信法國電信（（（（France TelecomFrance Telecom））））表示表示表示表示，，，，連接連接連接連接））））表示表示表示表示，，，，連接連接連接連接

埃及與義大利的地中海三條海底電纜十九埃及與義大利的地中海三條海底電纜十九埃及與義大利的地中海三條海底電纜十九埃及與義大利的地中海三條海底電纜十九埃及與義大利的地中海三條海底電纜十九埃及與義大利的地中海三條海底電纜十九埃及與義大利的地中海三條海底電纜十九埃及與義大利的地中海三條海底電纜十九

日斷裂日斷裂日斷裂日斷裂，，，，造成造成造成造成日斷裂日斷裂日斷裂日斷裂，，，，造成造成造成造成歐洲歐洲歐洲歐洲、、、、中東與亞洲之間的網中東與亞洲之間的網中東與亞洲之間的網中東與亞洲之間的網歐洲歐洲歐洲歐洲、、、、中東與亞洲之間的網中東與亞洲之間的網中東與亞洲之間的網中東與亞洲之間的網

路與電話通訊嚴重中斷路與電話通訊嚴重中斷路與電話通訊嚴重中斷路與電話通訊嚴重中斷路與電話通訊嚴重中斷路與電話通訊嚴重中斷路與電話通訊嚴重中斷路與電話通訊嚴重中斷。。。。電信公司發言人電信公司發言人電信公司發言人電信公司發言人。。。。電信公司發言人電信公司發言人電信公司發言人電信公司發言人

同時表示同時表示同時表示同時表示，，，，斷裂原因不太可能是遭到攻擊斷裂原因不太可能是遭到攻擊斷裂原因不太可能是遭到攻擊斷裂原因不太可能是遭到攻擊同時表示同時表示同時表示同時表示，，，，斷裂原因不太可能是遭到攻擊斷裂原因不太可能是遭到攻擊斷裂原因不太可能是遭到攻擊斷裂原因不太可能是遭到攻擊

法國電信表示法國電信表示法國電信表示法國電信表示，，，，正派遣船隻修理這些海正派遣船隻修理這些海正派遣船隻修理這些海正派遣船隻修理這些海法國電信表示法國電信表示法國電信表示法國電信表示，，，，正派遣船隻修理這些海正派遣船隻修理這些海正派遣船隻修理這些海正派遣船隻修理這些海

纜纜纜纜，，，，但是修理船但是修理船但是修理船但是修理船纜纜纜纜，，，，但是修理船但是修理船但是修理船但是修理船2222日才會抵達日才會抵達日才會抵達日才會抵達，，，，中斷情況中斷情況中斷情況中斷情況日才會抵達日才會抵達日才會抵達日才會抵達，，，，中斷情況中斷情況中斷情況中斷情況

可能從可能從可能從可能從可能從可能從可能從可能從2525日開始獲得改善日開始獲得改善日開始獲得改善日開始獲得改善，，，，日開始獲得改善日開始獲得改善日開始獲得改善日開始獲得改善，，，，3131日服務才會日服務才會日服務才會日服務才會日服務才會日服務才會日服務才會日服務才會

恢復正常恢復正常恢復正常恢復正常恢復正常恢復正常恢復正常恢復正常

該公司表示該公司表示該公司表示該公司表示，，，，歐洲和台灣歐洲和台灣歐洲和台灣歐洲和台灣、、、、巴基斯坦巴基斯坦巴基斯坦巴基斯坦、、、、新新新新該公司表示該公司表示該公司表示該公司表示，，，，歐洲和台灣歐洲和台灣歐洲和台灣歐洲和台灣、、、、巴基斯坦巴基斯坦巴基斯坦巴基斯坦、、、、新新新新

加坡加坡加坡加坡、、、、馬來西亞馬來西亞馬來西亞馬來西亞、、、、沙烏地阿拉伯和埃及之沙烏地阿拉伯和埃及之沙烏地阿拉伯和埃及之沙烏地阿拉伯和埃及之加坡加坡加坡加坡、、、、馬來西亞馬來西亞馬來西亞馬來西亞、、、、沙烏地阿拉伯和埃及之沙烏地阿拉伯和埃及之沙烏地阿拉伯和埃及之沙烏地阿拉伯和埃及之

間的通訊間的通訊間的通訊間的通訊，，，，受到嚴重影響受到嚴重影響受到嚴重影響受到嚴重影響。。。。間的通訊間的通訊間的通訊間的通訊，，，，受到嚴重影響受到嚴重影響受到嚴重影響受到嚴重影響。。。。卡達卡達卡達卡達卡達卡達卡達卡達7373％％％％與阿與阿與阿與阿％％％％與阿與阿與阿與阿

聯聯聯聯聯聯聯聯6868％％％％的對外聯繫受影響的對外聯繫受影響的對外聯繫受影響的對外聯繫受影響％％％％的對外聯繫受影響的對外聯繫受影響的對外聯繫受影響的對外聯繫受影響，，，，沙烏地阿拉沙烏地阿拉沙烏地阿拉沙烏地阿拉，，，，沙烏地阿拉沙烏地阿拉沙烏地阿拉沙烏地阿拉

伯伯伯伯、、、、約旦的對外聯繫約旦的對外聯繫約旦的對外聯繫約旦的對外聯繫，，，，則半數陷入斷線狀則半數陷入斷線狀則半數陷入斷線狀則半數陷入斷線狀伯伯伯伯、、、、約旦的對外聯繫約旦的對外聯繫約旦的對外聯繫約旦的對外聯繫，，，，則半數陷入斷線狀則半數陷入斷線狀則半數陷入斷線狀則半數陷入斷線狀

態態態態態態態態

5

電力電力電力電力：：：：電力電力電力電力：：：：DavisDavis--BesseBesse 核能電廠蠕蟲事故核能電廠蠕蟲事故核能電廠蠕蟲事故核能電廠蠕蟲事故核能電廠蠕蟲事故核能電廠蠕蟲事故核能電廠蠕蟲事故核能電廠蠕蟲事故

SecurityFocusSecurityFocus, Kevin , Kevin PoulsenPoulsen

2003 2003 年發生年發生年發生年發生年發生年發生年發生年發生SQL SlammerSQL Slammer蠕蟲感染蠕蟲感染蠕蟲感染蠕蟲感染，，，，電廠位於美國俄亥俄州電廠位於美國俄亥俄州電廠位於美國俄亥俄州電廠位於美國俄亥俄州蠕蟲感染蠕蟲感染蠕蟲感染蠕蟲感染，，，，電廠位於美國俄亥俄州電廠位於美國俄亥俄州電廠位於美國俄亥俄州電廠位於美國俄亥俄州– 電廠網路發生流量過載電廠網路發生流量過載電廠網路發生流量過載電廠網路發生流量過載

• 電廠內稱為「Safety Parameter Display System」的監控系統變慢，且服務中斷達 4 小時 50 分鐘

• 電廠的處理電腦（Process Computer）服務中斷達 6小時 9 分鐘

– 廠區的控制與防護系統並未受到影響廠區的控制與防護系統並未受到影響廠區的控制與防護系統並未受到影響廠區的控制與防護系統並未受到影響

感染過程感染過程感染過程感染過程感染過程感染過程感染過程感染過程– 第一能源公司的企業網路與第一能源公司的企業網路與第一能源公司的企業網路與第一能源公司的企業網路與 Davis-Besse電廠的網路相連電廠的網路相連電廠的網路相連電廠的網路相連，，，，且企業且企業且企業且企業網路對外有防火牆網路對外有防火牆網路對外有防火牆網路對外有防火牆，，，，設定阻擋對內的設定阻擋對內的設定阻擋對內的設定阻擋對內的 UDP 1434 port 連線連線連線連線。。。。該公司該公司該公司該公司的的的的外部顧問公司利用另一條外部顧問公司利用另一條外部顧問公司利用另一條外部顧問公司利用另一條 T1 專線直接連進其所開發的應用程式所專線直接連進其所開發的應用程式所專線直接連進其所開發的應用程式所專線直接連進其所開發的應用程式所在的伺服主機在的伺服主機在的伺服主機在的伺服主機，，，，此專線並無防火牆的保護此專線並無防火牆的保護此專線並無防火牆的保護此專線並無防火牆的保護

– 顧問公司的主機被顧問公司的主機被顧問公司的主機被顧問公司的主機被 SQL Slammer 蠕蟲感染後蠕蟲感染後蠕蟲感染後蠕蟲感染後，，，，透過該透過該透過該透過該T1 專線進入專線進入專線進入專線進入第一能源公司的企業網路第一能源公司的企業網路第一能源公司的企業網路第一能源公司的企業網路，，，，並感染該網路上開啟並感染該網路上開啟並感染該網路上開啟並感染該網路上開啟 1434 port 的主機的主機的主機的主機

事發時該電廠係處於下線未營運的狀態事發時該電廠係處於下線未營運的狀態事發時該電廠係處於下線未營運的狀態事發時該電廠係處於下線未營運的狀態，，，，因此並未造成生命或環因此並未造成生命或環因此並未造成生命或環因此並未造成生命或環事發時該電廠係處於下線未營運的狀態事發時該電廠係處於下線未營運的狀態事發時該電廠係處於下線未營運的狀態事發時該電廠係處於下線未營運的狀態，，，，因此並未造成生命或環因此並未造成生命或環因此並未造成生命或環因此並未造成生命或環境的損害境的損害境的損害境的損害境的損害境的損害境的損害境的損害

6

電力電力電力電力：：：：美東大停電美東大停電美東大停電美東大停電

20032003年年88月月1414日下午日下午44點點1515分，分，美東及加拿大發生大停電，數美東及加拿大發生大停電，數百萬名民眾生活秩序大亂百萬名民眾生活秩序大亂– 交通號誌失靈、交通糾結– 數千人受困在窒悶的紐約地鐵和大樓電梯內

– 店家、機場、紐約中央車站與聯合國總部均關門停擺

– 美國4個州的9座核子反應爐（Nuclear Reactors）停擺

– 聯邦航空管理局(Federal Aviation Administration)暫停6個機場的航班運作

– 每日運量達27,000車次的Detroit-Windsor隧道也因停電而關閉

估計事故損失超過數十億美元估計事故損失超過數十億美元

7

醫療醫療醫療醫療：：：：醫療醫療醫療醫療：：：：Medco Medco 邏輯炸彈案例邏輯炸彈案例邏輯炸彈案例邏輯炸彈案例邏輯炸彈案例邏輯炸彈案例邏輯炸彈案例邏輯炸彈案例

InformationWeek Sep. 19, 2007 InformationWeek Sep. 19, 2007

2005 2005 年年年年年年年年 1 1 月月月月，，，，月月月月，，，，Medco Health Solution Medco Health Solution 公司發現程式公司發現程式公司發現程式公司發現程式公司發現程式公司發現程式公司發現程式公司發現程式設計師設計師設計師設計師設計師設計師設計師設計師 Andy Lin Andy Lin 製作邏輯炸彈企圖摧毀公司的資料製作邏輯炸彈企圖摧毀公司的資料製作邏輯炸彈企圖摧毀公司的資料製作邏輯炸彈企圖摧毀公司的資料製作邏輯炸彈企圖摧毀公司的資料製作邏輯炸彈企圖摧毀公司的資料製作邏輯炸彈企圖摧毀公司的資料製作邏輯炸彈企圖摧毀公司的資料

該該該該該該該該邏輯炸彈將刪除公司內約邏輯炸彈將刪除公司內約邏輯炸彈將刪除公司內約邏輯炸彈將刪除公司內約邏輯炸彈將刪除公司內約邏輯炸彈將刪除公司內約邏輯炸彈將刪除公司內約邏輯炸彈將刪除公司內約 70 70 部伺服器上的所有資料部伺服器上的所有資料部伺服器上的所有資料部伺服器上的所有資料部伺服器上的所有資料部伺服器上的所有資料部伺服器上的所有資料部伺服器上的所有資料

該邏輯炸彈設定於特定日期該邏輯炸彈設定於特定日期該邏輯炸彈設定於特定日期該邏輯炸彈設定於特定日期、、、、時間發作時間發作時間發作時間發作該邏輯炸彈設定於特定日期該邏輯炸彈設定於特定日期該邏輯炸彈設定於特定日期該邏輯炸彈設定於特定日期、、、、時間發作時間發作時間發作時間發作– 第一次因為程式撰寫問題而未引爆第一次因為程式撰寫問題而未引爆第一次因為程式撰寫問題而未引爆第一次因為程式撰寫問題而未引爆

– 第二次發作之前第二次發作之前第二次發作之前第二次發作之前，，，，Andy Lin 的同事發現了該腳本程式的同事發現了該腳本程式的同事發現了該腳本程式的同事發現了該腳本程式（（（（Script））））並予以關閉並予以關閉並予以關閉並予以關閉

– 該腳本程式係分開儲存於不同的程式中該腳本程式係分開儲存於不同的程式中該腳本程式係分開儲存於不同的程式中該腳本程式係分開儲存於不同的程式中，，，，不易被發現不易被發現不易被發現不易被發現

攻擊成功的影響攻擊成功的影響攻擊成功的影響攻擊成功的影響攻擊成功的影響攻擊成功的影響攻擊成功的影響攻擊成功的影響

– Medco 公司所生產的醫療產品可能缺貨進而公司所生產的醫療產品可能缺貨進而公司所生產的醫療產品可能缺貨進而公司所生產的醫療產品可能缺貨進而危及某些病人的生危及某些病人的生危及某些病人的生危及某些病人的生命安全命安全命安全命安全或健康或健康或健康或健康

8

金融金融金融金融：：：：電腦病毒衝擊金融機構作業電腦病毒衝擊金融機構作業電腦病毒衝擊金融機構作業電腦病毒衝擊金融機構作業金融金融金融金融：：：：電腦病毒衝擊金融機構作業電腦病毒衝擊金融機構作業電腦病毒衝擊金融機構作業電腦病毒衝擊金融機構作業

大紀元大紀元大紀元大紀元大紀元大紀元大紀元大紀元55月月月月月月月月33日報導日報導日報導日報導日報導日報導日報導日報導 2004/5/32004/5/3

中華郵政今天上午十點中華郵政今天上午十點中華郵政今天上午十點中華郵政今天上午十點，，，，首度遭名為首度遭名為首度遭名為首度遭名為「「「「殺手殺手殺手殺手：：：：中華郵政今天上午十點中華郵政今天上午十點中華郵政今天上午十點中華郵政今天上午十點，，，，首度遭名為首度遭名為首度遭名為首度遭名為「「「「殺手殺手殺手殺手：：：：SasserSasser」」」」的電腦病的電腦病的電腦病的電腦病」」」」的電腦病的電腦病的電腦病的電腦病毒大規模入侵毒大規模入侵毒大規模入侵毒大規模入侵！！！！有有有有毒大規模入侵毒大規模入侵毒大規模入侵毒大規模入侵！！！！有有有有近三分之一郵局電腦停擺近三分之一郵局電腦停擺近三分之一郵局電腦停擺近三分之一郵局電腦停擺近三分之一郵局電腦停擺近三分之一郵局電腦停擺近三分之一郵局電腦停擺近三分之一郵局電腦停擺，，，，改採人工作業改採人工作業改採人工作業改採人工作業！！！！中中中中，，，，改採人工作業改採人工作業改採人工作業改採人工作業！！！！中中中中華郵政表示華郵政表示華郵政表示華郵政表示：：：：包括大台北地區合計有四百二十個郵局電腦無法開包括大台北地區合計有四百二十個郵局電腦無法開包括大台北地區合計有四百二十個郵局電腦無法開包括大台北地區合計有四百二十個郵局電腦無法開華郵政表示華郵政表示華郵政表示華郵政表示：：：：包括大台北地區合計有四百二十個郵局電腦無法開包括大台北地區合計有四百二十個郵局電腦無法開包括大台北地區合計有四百二十個郵局電腦無法開包括大台北地區合計有四百二十個郵局電腦無法開機機機機，，，，郵局郵局郵局郵局目目目目前正前正前正前正在還在在還在在還在在還在全全全全力防堵力防堵力防堵力防堵以及以及以及以及搶搶搶搶修修修修當當當當中中中中！！！！機機機機，，，，郵局郵局郵局郵局目目目目前正前正前正前正在還在在還在在還在在還在全全全全力防堵力防堵力防堵力防堵以及以及以及以及搶搶搶搶修修修修當當當當中中中中！！！！

週週週週一一大一一大一一大一一大早趕著早趕著早趕著早趕著到郵局到郵局到郵局到郵局辦辦辦辦事的事的事的事的民眾都民眾都民眾都民眾都得大得大得大得大排長龍排長龍排長龍排長龍！！！！原因是上午十原因是上午十原因是上午十原因是上午十週週週週一一大一一大一一大一一大早趕著早趕著早趕著早趕著到郵局到郵局到郵局到郵局辦辦辦辦事的事的事的事的民眾都民眾都民眾都民眾都得大得大得大得大排長龍排長龍排長龍排長龍！！！！原因是上午十原因是上午十原因是上午十原因是上午十點前點前點前點前後後後後，，，，各各各各地郵局地郵局地郵局地郵局櫃臺使用櫃臺使用櫃臺使用櫃臺使用的電腦的電腦的電腦的電腦陸續陸續陸續陸續發生無法開發生無法開發生無法開發生無法開機機機機的現的現的現的現象象象象，，，，經經經經點前點前點前點前後後後後，，，，各各各各地郵局地郵局地郵局地郵局櫃臺使用櫃臺使用櫃臺使用櫃臺使用的電腦的電腦的電腦的電腦陸續陸續陸續陸續發生無法開發生無法開發生無法開發生無法開機機機機的現的現的現的現象象象象，，，，經經經經緊急研判緊急研判緊急研判緊急研判是是是是：：：：應應應應該是遭到了該是遭到了該是遭到了該是遭到了微軟微軟微軟微軟才才才才剛剛剛剛剛剛剛剛公公公公布布布布，，，，來自歐洲來自歐洲來自歐洲來自歐洲，，，，威力強威力強威力強威力強緊急研判緊急研判緊急研判緊急研判是是是是：：：：應應應應該是遭到了該是遭到了該是遭到了該是遭到了微軟微軟微軟微軟才才才才剛剛剛剛剛剛剛剛公公公公布布布布，，，，來自歐洲來自歐洲來自歐洲來自歐洲，，，，威力強威力強威力強威力強大的大的大的大的大的大的大的大的W32.sasserW32.sasser，，，，所所所所謂謂謂謂的殺手病毒入侵的殺手病毒入侵的殺手病毒入侵的殺手病毒入侵！！！！，，，，所所所所謂謂謂謂的殺手病毒入侵的殺手病毒入侵的殺手病毒入侵的殺手病毒入侵！！！！

中華郵政中華郵政中華郵政中華郵政初步統初步統初步統初步統計計計計，，，，包括大台北地區有包括大台北地區有包括大台北地區有包括大台北地區有多多多多達三百個達三百個達三百個達三百個支支支支局的局的局的局的終端終端終端終端電電電電中華郵政中華郵政中華郵政中華郵政初步統初步統初步統初步統計計計計，，，，包括大台北地區有包括大台北地區有包括大台北地區有包括大台北地區有多多多多達三百個達三百個達三百個達三百個支支支支局的局的局的局的終端終端終端終端電電電電腦全腦全腦全腦全部部部部中毒無法中毒無法中毒無法中毒無法使用使用使用使用，，，，其他其他其他其他包括台中包括台中包括台中包括台中，，，，高雄高雄高雄高雄，，，，基基基基隆等縣市還隆等縣市還隆等縣市還隆等縣市還有有有有腦全腦全腦全腦全部部部部中毒無法中毒無法中毒無法中毒無法使用使用使用使用，，，，其他其他其他其他包括台中包括台中包括台中包括台中，，，，高雄高雄高雄高雄，，，，基基基基隆等縣市還隆等縣市還隆等縣市還隆等縣市還有有有有120120個個個個支支支支局局局局也也也也中毒中毒中毒中毒，，，，終端終端終端終端作業無法運作的情況下作業無法運作的情況下作業無法運作的情況下作業無法運作的情況下，，，，包括儲包括儲包括儲包括儲匯匯匯匯郵郵郵郵遞遞遞遞個個個個支支支支局局局局也也也也中毒中毒中毒中毒，，，，終端終端終端終端作業無法運作的情況下作業無法運作的情況下作業無法運作的情況下作業無法運作的情況下，，，，包括儲包括儲包括儲包括儲匯匯匯匯郵郵郵郵遞遞遞遞等等等等等等等等作業作業作業作業，，，，都只都只都只都只能改採人工處理能改採人工處理能改採人工處理能改採人工處理。。。。受病毒受病毒受病毒受病毒災災災災情情情情波波波波及的郵局達到三及的郵局達到三及的郵局達到三及的郵局達到三等等等等等等等等作業作業作業作業，，，，都只都只都只都只能改採人工處理能改採人工處理能改採人工處理能改採人工處理。。。。受病毒受病毒受病毒受病毒災災災災情情情情波波波波及的郵局達到三及的郵局達到三及的郵局達到三及的郵局達到三分之一分之一分之一分之一左右左右左右左右！！！！分之一分之一分之一分之一左右左右左右左右！！！！

9

交通交通交通交通：：：：操控火車轉轍器造成車禍操控火車轉轍器造成車禍操控火車轉轍器造成車禍操控火車轉轍器造成車禍交通交通交通交通：：：：操控火車轉轍器造成車禍操控火車轉轍器造成車禍操控火車轉轍器造成車禍操控火車轉轍器造成車禍

英國每日電訊報英國每日電訊報英國每日電訊報英國每日電訊報 2008.1.11 報導報導報導報導

一名一名一名一名 14 歲的波蘭青少年長期研究羅茲鎮歲的波蘭青少年長期研究羅茲鎮歲的波蘭青少年長期研究羅茲鎮歲的波蘭青少年長期研究羅茲鎮（（（（Lods））））的的的的火車和軌道火車和軌道火車和軌道火車和軌道，，，，並並並並修改了電視遙控器以操控火車和軌道修改了電視遙控器以操控火車和軌道修改了電視遙控器以操控火車和軌道修改了電視遙控器以操控火車和軌道

共共共共造成四列火車出軌造成四列火車出軌造成四列火車出軌造成四列火車出軌，，，，其他火車則必須緊急煞車而導致其他火車則必須緊急煞車而導致其他火車則必須緊急煞車而導致其他火車則必須緊急煞車而導致乘客受傷乘客受傷乘客受傷乘客受傷，，，，所幸該事件並未造成人員死亡所幸該事件並未造成人員死亡所幸該事件並未造成人員死亡所幸該事件並未造成人員死亡

這名青少年將移動火車的最佳連接點和如何改變信號等這名青少年將移動火車的最佳連接點和如何改變信號等這名青少年將移動火車的最佳連接點和如何改變信號等這名青少年將移動火車的最佳連接點和如何改變信號等都詳細寫在學校的作業簿上都詳細寫在學校的作業簿上都詳細寫在學校的作業簿上都詳細寫在學校的作業簿上

10

交通交通交通交通：：：：入侵地鐵收費系統入侵地鐵收費系統入侵地鐵收費系統入侵地鐵收費系統交通交通交通交通：：：：入侵地鐵收費系統入侵地鐵收費系統入侵地鐵收費系統入侵地鐵收費系統

三名三名三名三名三名三名三名三名 MIT MIT 大學部學生破解波士頓的通大學部學生破解波士頓的通大學部學生破解波士頓的通大學部學生破解波士頓的通大學部學生破解波士頓的通大學部學生破解波士頓的通大學部學生破解波士頓的通大學部學生破解波士頓的通勤付費系統勤付費系統勤付費系統勤付費系統（（（（勤付費系統勤付費系統勤付費系統勤付費系統（（（（Charlie CardCharlie Card），），），），成功的成功的成功的成功的），），），），成功的成功的成功的成功的讓卡片任意加值讓卡片任意加值讓卡片任意加值讓卡片任意加值讓卡片任意加值讓卡片任意加值讓卡片任意加值讓卡片任意加值

三名學生準備發表論文之前三名學生準備發表論文之前三名學生準備發表論文之前三名學生準備發表論文之前，，，，麻州海灣麻州海灣麻州海灣麻州海灣三名學生準備發表論文之前三名學生準備發表論文之前三名學生準備發表論文之前三名學生準備發表論文之前，，，，麻州海灣麻州海灣麻州海灣麻州海灣交通局交通局交通局交通局（（（（交通局交通局交通局交通局（（（（Massachusetts Bay Massachusetts Bay Transportation AuthorityTransportation Authority，，，，，，，，MBTAMBTA））））））））控告學生電腦詐欺控告學生電腦詐欺控告學生電腦詐欺控告學生電腦詐欺，，，，請求法院禁止學生請求法院禁止學生請求法院禁止學生請求法院禁止學生控告學生電腦詐欺控告學生電腦詐欺控告學生電腦詐欺控告學生電腦詐欺，，，，請求法院禁止學生請求法院禁止學生請求法院禁止學生請求法院禁止學生在在在在在在在在MBTAMBTA完成程式修補之前發表論文完成程式修補之前發表論文完成程式修補之前發表論文完成程式修補之前發表論文完成程式修補之前發表論文完成程式修補之前發表論文完成程式修補之前發表論文完成程式修補之前發表論文

George OGeorge O‘‘Toole Toole 法官裁定法官裁定法官裁定法官裁定「「「「發表論文發表論文發表論文發表論文法官裁定法官裁定法官裁定法官裁定「「「「發表論文發表論文發表論文發表論文不違反電腦詐欺法律不違反電腦詐欺法律不違反電腦詐欺法律不違反電腦詐欺法律」」」」不違反電腦詐欺法律不違反電腦詐欺法律不違反電腦詐欺法律不違反電腦詐欺法律」」」」

三名學生三名學生三名學生三名學生三名學生三名學生三名學生三名學生 Zack AndersonZack Anderson、、、、、、、、R.J. R.J. RyanRyan、、、、、、、、Alessandro Alessandro ChiesaChiesa 因為該論因為該論因為該論因為該論因為該論因為該論因為該論因為該論文得到修課最優成績文得到修課最優成績文得到修課最優成績文得到修課最優成績文得到修課最優成績文得到修課最優成績文得到修課最優成績文得到修課最優成績

DefconDefcon 簡報簡報簡報簡報：：：：簡報簡報簡報簡報：：：：““Anatomy of a Anatomy of a subway hacksubway hack””

11

能源能源能源能源：：：：輸油管破裂洩漏輸油管破裂洩漏輸油管破裂洩漏輸油管破裂洩漏

1999年年年年6月月月月10日下午日下午日下午日下午15時時時時28分分分分，，，，美國華盛頓州奧林匹克管美國華盛頓州奧林匹克管美國華盛頓州奧林匹克管美國華盛頓州奧林匹克管線公司線公司線公司線公司(Olympic’s Pipe Line Company)之之之之16英吋輸油鋼管英吋輸油鋼管英吋輸油鋼管英吋輸油鋼管於貝林罕於貝林罕於貝林罕於貝林罕（（（（Bellingham））））因壓因壓因壓因壓力失控而破裂力失控而破裂力失控而破裂力失控而破裂– 汽油滲漏汽油滲漏汽油滲漏汽油滲漏到到到到貝林罕內貝林罕內貝林罕內貝林罕內的的的的兩兩兩兩條條條條小溪小溪小溪小溪

– 引引引引起火災起火災起火災起火災造成造成造成造成3死死死死8傷傷傷傷

– 導導導導致致致致嚴重嚴重嚴重嚴重資資資資產損產損產損產損失失失失（（（（約美約美約美約美金金金金 4500 萬萬萬萬））））

– 釋放出釋放出釋放出釋放出大約大約大約大約25萬萬萬萬加加加加侖侖侖侖之之之之汽油汽油汽油汽油，，，，造成造成造成造成嚴重的環境嚴重的環境嚴重的環境嚴重的環境污污污污染染染染

輸油管監控系統無回應輸油管監控系統無回應輸油管監控系統無回應輸油管監控系統無回應輸油管監控系統無回應輸油管監控系統無回應輸油管監控系統無回應輸油管監控系統無回應是造成是造成是造成是造成是造成是造成是造成是造成輸油管破裂最可能的原因輸油管破裂最可能的原因輸油管破裂最可能的原因輸油管破裂最可能的原因輸油管破裂最可能的原因輸油管破裂最可能的原因輸油管破裂最可能的原因輸油管破裂最可能的原因資料來源資料來源資料來源資料來源：：：：資料來源資料來源資料來源資料來源：：：：US National Transportation Safety BoardUS National Transportation Safety Board

12

供水供水供水供水：：：：水壩潰堤水壩潰堤水壩潰堤水壩潰堤托姆索克水壩托姆索克水壩托姆索克水壩托姆索克水壩（（（（Taum Sauk Dam））））位於美國密蘇里州山位於美國密蘇里州山位於美國密蘇里州山位於美國密蘇里州山區區區區，，，，壩高壩高壩高壩高27公尺公尺公尺公尺

於於於於2005年年年年12月月月月14日上午日上午日上午日上午5時時時時12分分分分，，，，上水塘發生潰堤上水塘發生潰堤上水塘發生潰堤上水塘發生潰堤，，，，4,000,000立方公尺的水在立方公尺的水在立方公尺的水在立方公尺的水在12分鐘內傾瀉而出分鐘內傾瀉而出分鐘內傾瀉而出分鐘內傾瀉而出

根據根據根據根據AmerenUE電力公司的報告電力公司的報告電力公司的報告電力公司的報告，，，，因其因其因其因其判定水位的判定水位的判定水位的判定水位的PLC失失失失效效效效，，，，不不不不知庫知庫知庫知庫水水水水已滿且溢流土石已滿且溢流土石已滿且溢流土石已滿且溢流土石壩壩壩壩，，，，最最最最後後後後發生潰堤發生潰堤發生潰堤發生潰堤

水壩下方水壩下方水壩下方水壩下方亦亦亦亦無無無無洩洪洩洪洩洪洩洪道的設計以道的設計以道的設計以道的設計以釋放突釋放突釋放突釋放突如其如其如其如其來來來來的的的的過量洪過量洪過量洪過量洪水水水水

業業業業主主主主因未通報潰壩前因未通報潰壩前因未通報潰壩前因未通報潰壩前數週已數週已數週已數週已發生之發生之發生之發生之小量溢流小量溢流小量溢流小量溢流事件事件事件事件，，，，被聯邦被聯邦被聯邦被聯邦能能能能源源源源管管管管制委制委制委制委員員員員會會會會（（（（FERC））））罰款罰款罰款罰款美美美美金金金金 1500 萬萬萬萬

資料來源資料來源資料來源資料來源：：：：US Federal EnergyRegulatory Commission

13

污水處理污水處理污水處理污水處理：：：：內賊造成廢水污染內賊造成廢水污染內賊造成廢水污染內賊造成廢水污染

澳澳澳澳洲洲洲洲昆士蘭省黃金昆士蘭省黃金昆士蘭省黃金昆士蘭省黃金海海海海岸岸岸岸的馬的馬的馬的馬盧奇郡盧奇郡盧奇郡盧奇郡（（（（Maroochy Shire））））政政政政府府府府，，，，其其其其新新新新建建建建的的的的污水污水污水污水處理處理處理處理系統系統系統系統發生問題發生問題發生問題發生問題– 被攻擊的標的是一套工業控制系統被攻擊的標的是一套工業控制系統被攻擊的標的是一套工業控制系統被攻擊的標的是一套工業控制系統，，，，涵蓋涵蓋涵蓋涵蓋142個污水抽水站個污水抽水站個污水抽水站個污水抽水站、、、、2個監個監個監個監控站與控站與控站與控站與3個無線電頻道個無線電頻道個無線電頻道個無線電頻道(Radio Frequencies)

污水抽水站污水抽水站污水抽水站污水抽水站的無線電的無線電的無線電的無線電傳播傳播傳播傳播訊訊訊訊號消失號消失號消失號消失，，，，使幫浦使幫浦使幫浦使幫浦無法正常運作無法正常運作無法正常運作無法正常運作，，，，且用且用且用且用來來來來警警警警示工作人示工作人示工作人示工作人員員員員的的的的警警警警報報報報器亦失效器亦失效器亦失效器亦失效前前前前任承任承任承任承包包包包商商商商利利利利用筆記型用筆記型用筆記型用筆記型電腦與無線電發電腦與無線電發電腦與無線電發電腦與無線電發射器射器射器射器（（（（Radio Transmitter)控制控制控制控制142個個個個污水抽水站污水抽水站污水抽水站污水抽水站3個月個月個月個月內內內內造成造成造成造成46次次次次、、、、超超超超過過過過26萬萬萬萬4,000加加加加侖侖侖侖的的的的污水污水污水污水進入地區進入地區進入地區進入地區供水系統供水系統供水系統供水系統– 殘害海域生態殘害海域生態殘害海域生態殘害海域生態– 污染水質污染水質污染水質污染水質– 發出難以忍受之惡臭發出難以忍受之惡臭發出難以忍受之惡臭發出難以忍受之惡臭

法法法法院判決院判決院判決院判決此次此次此次此次系統系統系統系統攻擊事攻擊事攻擊事攻擊事件件件件是因為是因為是因為是因為承承承承包包包包商失去商失去商失去商失去馬馬馬馬盧奇郡盧奇郡盧奇郡盧奇郡政政政政府府府府的工的工的工的工作而報復作而報復作而報復作而報復

14

工業生產工業生產工業生產工業生產：：：：工廠毒氣外洩事故工廠毒氣外洩事故工廠毒氣外洩事故工廠毒氣外洩事故工業生產工業生產工業生產工業生產：：：：工廠毒氣外洩事故工廠毒氣外洩事故工廠毒氣外洩事故工廠毒氣外洩事故太太太太陽陽陽陽報報報報太太太太陽陽陽陽報報報報 10/01/200810/01/2008

重重重重慶慶慶慶發生重大毒發生重大毒發生重大毒發生重大毒氣洩漏氣洩漏氣洩漏氣洩漏事事事事故故故故。。。。該該該該市市市市巴巴巴巴南南南南區一間區一間區一間區一間化學化學化學化學原原原原料料料料公司公司公司公司，，，，昨昨昨昨重重重重慶慶慶慶發生重大毒發生重大毒發生重大毒發生重大毒氣洩漏氣洩漏氣洩漏氣洩漏事事事事故故故故。。。。該該該該市市市市巴巴巴巴南南南南區一間區一間區一間區一間化學化學化學化學原原原原料料料料公司公司公司公司，，，，昨昨昨昨日下午二時日下午二時日下午二時日下午二時左右左右左右左右，，，，發生發生發生發生日下午二時日下午二時日下午二時日下午二時左右左右左右左右，，，，發生發生發生發生有毒有毒有毒有毒氣體硫化氫洩漏氣體硫化氫洩漏氣體硫化氫洩漏氣體硫化氫洩漏，，，，造成造成造成造成五五五五人人人人死亡死亡死亡死亡十一十一十一十一有毒有毒有毒有毒氣體硫化氫洩漏氣體硫化氫洩漏氣體硫化氫洩漏氣體硫化氫洩漏，，，，造成造成造成造成五五五五人人人人死亡死亡死亡死亡十一十一十一十一人受人受人受人受傷傷傷傷人受人受人受人受傷傷傷傷。。。。當當當當局局局局隨即疏散隨即疏散隨即疏散隨即疏散廠區人廠區人廠區人廠區人員員員員，，，，情況情況情況情況已已已已。。。。當當當當局局局局隨即疏散隨即疏散隨即疏散隨即疏散廠區人廠區人廠區人廠區人員員員員，，，，情況情況情況情況已已已已得到得到得到得到控制控制控制控制得到得到得到得到控制控制控制控制

據消防隊員稱據消防隊員稱據消防隊員稱據消防隊員稱，，，，已已已已關閉關閉關閉關閉化化化化工廠的工廠的工廠的工廠的硫化氫閥門硫化氫閥門硫化氫閥門硫化氫閥門，，，，所有人所有人所有人所有人員均已疏員均已疏員均已疏員均已疏據消防隊員稱據消防隊員稱據消防隊員稱據消防隊員稱，，，，已已已已關閉關閉關閉關閉化化化化工廠的工廠的工廠的工廠的硫化氫閥門硫化氫閥門硫化氫閥門硫化氫閥門，，，，所有人所有人所有人所有人員均已疏員均已疏員均已疏員均已疏散散散散。。。。傷者傷者傷者傷者被被被被送往送往送往送往重重重重慶市慶市慶市慶市第第第第七七七七人人人人民民民民醫醫醫醫院院院院和巴和巴和巴和巴南南南南區區區區花溪花溪花溪花溪醫醫醫醫院院院院接受接受接受接受治治治治散散散散。。。。傷者傷者傷者傷者被被被被送往送往送往送往重重重重慶市慶市慶市慶市第第第第七七七七人人人人民民民民醫醫醫醫院院院院和巴和巴和巴和巴南南南南區區區區花溪花溪花溪花溪醫醫醫醫院院院院接受接受接受接受治治治治理理理理。。。。巴巴巴巴南南南南區區區區官員官員官員官員表示表示表示表示，，，，事事事事故故故故發生發生發生發生後後後後，，，，公安公安公安公安、、、、消防消防消防消防、、、、安安安安監監監監、、、、環環環環保保保保、、、、理理理理。。。。巴巴巴巴南南南南區區區區官員官員官員官員表示表示表示表示，，，，事事事事故故故故發生發生發生發生後後後後，，，，公安公安公安公安、、、、消防消防消防消防、、、、安安安安監監監監、、、、環環環環保保保保、、、、泎泎泎泎生生生生等部門等部門等部門等部門人人人人員迅速趕赴員迅速趕赴員迅速趕赴員迅速趕赴現現現現場施救場施救場施救場施救，，，，截至昨截至昨截至昨截至昨日下午三時日下午三時日下午三時日下午三時許許許許，，，，事事事事故故故故泎泎泎泎生生生生等部門等部門等部門等部門人人人人員迅速趕赴員迅速趕赴員迅速趕赴員迅速趕赴現現現現場施救場施救場施救場施救，，，，截至昨截至昨截至昨截至昨日下午三時日下午三時日下午三時日下午三時許許許許，，，，事事事事故故故故被基本被基本被基本被基本控制控制控制控制，，，，現現現現場已聞場已聞場已聞場已聞不到不到不到不到刺鼻刺鼻刺鼻刺鼻的的的的臭臭臭臭被基本被基本被基本被基本控制控制控制控制，，，，現現現現場已聞場已聞場已聞場已聞不到不到不到不到刺鼻刺鼻刺鼻刺鼻的的的的臭臭臭臭雞蛋味雞蛋味雞蛋味雞蛋味雞蛋味雞蛋味雞蛋味雞蛋味

據悉據悉據悉據悉，，，，肇肇肇肇事的事的事的事的特特特特斯拉斯拉斯拉斯拉化學化學化學化學原原原原料料料料有有有有限限限限公司公司公司公司，，，，主要主要主要主要生產生產生產生產軟磁鐵氧體軟磁鐵氧體軟磁鐵氧體軟磁鐵氧體原原原原據悉據悉據悉據悉，，，，肇肇肇肇事的事的事的事的特特特特斯拉斯拉斯拉斯拉化學化學化學化學原原原原料料料料有有有有限限限限公司公司公司公司，，，，主要主要主要主要生產生產生產生產軟磁鐵氧體軟磁鐵氧體軟磁鐵氧體軟磁鐵氧體原原原原料料料料。。。。該公司該公司該公司該公司目目目目前前前前已已已已被被被被當當當當局局局局要求要求要求要求料料料料。。。。該公司該公司該公司該公司目目目目前前前前已已已已被被被被當當當當局局局局要求要求要求要求停產停產停產停產整頓整頓整頓整頓停產停產停產停產整頓整頓整頓整頓

15

全面攻擊全面攻擊全面攻擊全面攻擊：：：：資訊戰資訊戰資訊戰資訊戰全面攻擊全面攻擊全面攻擊全面攻擊：：：：資訊戰資訊戰資訊戰資訊戰

鉅亨鉅亨鉅亨鉅亨網網網網鉅亨鉅亨鉅亨鉅亨網網網網 2009/11/182009/11/18

網路安全業網路安全業網路安全業網路安全業者者者者網路安全業網路安全業網路安全業網路安全業者者者者 McAfee 17 McAfee 17 日公日公日公日公佈最佈最佈最佈最新報新報新報新報告告告告，，，，全全全全球主要球主要球主要球主要國國國國家已家已家已家已進入進入進入進入日公日公日公日公佈最佈最佈最佈最新報新報新報新報告告告告，，，，全全全全球主要球主要球主要球主要國國國國家已家已家已家已進入進入進入進入

「「「「網路網路網路網路冷戰冷戰冷戰冷戰「「「「網路網路網路網路冷戰冷戰冷戰冷戰 (Cyber Cold War) (Cyber Cold War) 時時時時代代代代」」」」時時時時代代代代」」」」

報報報報告提告提告提告提到到到到積極建構積極建構積極建構積極建構網路網路網路網路戰備戰備戰備戰備的有美國的有美國的有美國的有美國、、、、以以以以色列色列色列色列、、、、俄俄俄俄羅羅羅羅斯斯斯斯、、、、中國中國中國中國、、、、法國法國法國法國報報報報告提告提告提告提到到到到積極建構積極建構積極建構積極建構網路網路網路網路戰備戰備戰備戰備的有美國的有美國的有美國的有美國、、、、以以以以色列色列色列色列、、、、俄俄俄俄羅羅羅羅斯斯斯斯、、、、中國中國中國中國、、、、法國法國法國法國

McAfee McAfee 威脅研究部門副總裁威脅研究部門副總裁威脅研究部門副總裁威脅研究部門副總裁威脅研究部門副總裁威脅研究部門副總裁威脅研究部門副總裁威脅研究部門副總裁 Dmitri Dmitri AlperovitchAlperovitch 表示表示表示表示表示表示表示表示︰︰︰︰︰︰︰︰「「「「譬如說譬如說譬如說譬如說，，，，「「「「譬如說譬如說譬如說譬如說，，，，

美國和美國和美國和美國和南韓南韓南韓南韓的網路的網路的網路的網路在在在在今年今年今年今年美國和美國和美國和美國和南韓南韓南韓南韓的網路的網路的網路的網路在在在在今年今年今年今年 7 7 月月月月月月月月 4 4 日美國國日美國國日美國國日美國國慶慶慶慶時時時時，，，，發生發生發生發生阻絕阻絕阻絕阻絕服務的攻服務的攻服務的攻服務的攻日美國國日美國國日美國國日美國國慶慶慶慶時時時時，，，，發生發生發生發生阻絕阻絕阻絕阻絕服務的攻服務的攻服務的攻服務的攻

擊擊擊擊擊擊擊擊 (denial(denial--ofof--service)service)。。。。這可能這可能這可能這可能就就就就是一是一是一是一種種種種外國政外國政外國政外國政權權權權的的的的測試活動測試活動測試活動測試活動。。。。目目目目的的的的。。。。這可能這可能這可能這可能就就就就是一是一是一是一種種種種外國政外國政外國政外國政權權權權的的的的測試活動測試活動測試活動測試活動。。。。目目目目的的的的

可能是可能是可能是可能是想知道想知道想知道想知道，，，，若癱瘓若癱瘓若癱瘓若癱瘓美國和美國和美國和美國和南韓南韓南韓南韓的網路通訊的網路通訊的網路通訊的網路通訊，，，，是是是是否就否就否就否就能中斷能中斷能中斷能中斷駐韓駐韓駐韓駐韓美美美美可能是可能是可能是可能是想知道想知道想知道想知道，，，，若癱瘓若癱瘓若癱瘓若癱瘓美國和美國和美國和美國和南韓南韓南韓南韓的網路通訊的網路通訊的網路通訊的網路通訊，，，，是是是是否就否就否就否就能中斷能中斷能中斷能中斷駐韓駐韓駐韓駐韓美美美美

軍軍軍軍與華與華與華與華府府府府和和和和指揮總部指揮總部指揮總部指揮總部之間的通訊能之間的通訊能之間的通訊能之間的通訊能力力力力。」。」。」。」軍軍軍軍與華與華與華與華府府府府和和和和指揮總部指揮總部指揮總部指揮總部之間的通訊能之間的通訊能之間的通訊能之間的通訊能力力力力。」。」。」。」

在在在在過過過過去也曾去也曾去也曾去也曾有有有有疑似疑似疑似疑似網路網路網路網路戰爭戰爭戰爭戰爭的前的前的前的前例例例例。。。。在在在在過過過過去也曾去也曾去也曾去也曾有有有有疑似疑似疑似疑似網路網路網路網路戰爭戰爭戰爭戰爭的前的前的前的前例例例例。。。。2007 2007 年年年年，，，，年年年年，，，，愛愛愛愛沙沙沙沙尼尼尼尼亞政亞政亞政亞政府府府府和和和和商商商商業業業業愛愛愛愛沙沙沙沙尼尼尼尼亞政亞政亞政亞政府府府府和和和和商商商商業業業業

網網網網站站站站因大規模的因大規模的因大規模的因大規模的阻絕阻絕阻絕阻絕服務攻擊服務攻擊服務攻擊服務攻擊網網網網站站站站因大規模的因大規模的因大規模的因大規模的阻絕阻絕阻絕阻絕服務攻擊服務攻擊服務攻擊服務攻擊而而而而癱瘓癱瘓癱瘓癱瘓。。。。去去去去年年年年喬治喬治喬治喬治亞亞亞亞共共共共合國合國合國合國也也也也因為因為因為因為南南南南奧奧奧奧而而而而癱瘓癱瘓癱瘓癱瘓。。。。去去去去年年年年喬治喬治喬治喬治亞亞亞亞共共共共合國合國合國合國也也也也因為因為因為因為南南南南奧奧奧奧

賽賽賽賽提提提提亞亞亞亞戰爭戰爭戰爭戰爭而受到而受到而受到而受到民民民民間間間間團團團團體體體體的網路攻擊的網路攻擊的網路攻擊的網路攻擊賽賽賽賽提提提提亞亞亞亞戰爭戰爭戰爭戰爭而受到而受到而受到而受到民民民民間間間間團團團團體體體體的網路攻擊的網路攻擊的網路攻擊的網路攻擊

16

專家訪談資訊戰專家訪談資訊戰專家訪談資訊戰專家訪談資訊戰專家訪談資訊戰專家訪談資訊戰專家訪談資訊戰專家訪談資訊戰

CBS CBS 新聞網新聞網新聞網新聞網「「「「新聞網新聞網新聞網新聞網「「「「60 60 分鐘分鐘分鐘分鐘」」」」節目節目節目節目分鐘分鐘分鐘分鐘」」」」節目節目節目節目

2009.11.8 2009.11.8 播放播放播放播放播放播放播放播放

主題主題主題主題「「「「主題主題主題主題「「「「Sabotaging The SystemSabotaging The System」」」」」」」」

17

重要基礎建設重要基礎建設重要基礎建設重要基礎建設重要基礎建設重要基礎建設重要基礎建設重要基礎建設

重要基礎建設重要基礎建設重要基礎建設重要基礎建設（（（（重要基礎建設重要基礎建設重要基礎建設重要基礎建設（（（（Critical Critical InfrastructureInfrastructure））））的範圍的範圍的範圍的範圍））））的範圍的範圍的範圍的範圍– 重要的社會功能所需要的基礎建重要的社會功能所需要的基礎建重要的社會功能所需要的基礎建重要的社會功能所需要的基礎建設設設設

– 與民生相關與民生相關與民生相關與民生相關

領域領域領域領域領域領域領域領域– 能源供應能源供應能源供應能源供應（（（（電力電力電力電力、、、、石油與天然石油與天然石油與天然石油與天然氣氣氣氣））））

– 供水及污水處理供水及污水處理供水及污水處理供水及污水處理

– 金融金融金融金融– 電信電信電信電信– 醫療醫療醫療醫療

– 交通運輸交通運輸交通運輸交通運輸

– …

特色特色特色特色特色特色特色特色– 需耗時建構基礎建設需耗時建構基礎建設需耗時建構基礎建設需耗時建構基礎建設– 事故發生易造成重大影響事故發生易造成重大影響事故發生易造成重大影響事故發生易造成重大影響

• 國家安全或人民生命財產

• 環境破壞

– 深度依賴工業控制系統深度依賴工業控制系統深度依賴工業控制系統深度依賴工業控制系統（（（（Industrial Control System））））

資料來源：建立我國通資訊基礎建設安全機制計畫(94年-97年)

18

重要基礎建設重要基礎建設重要基礎建設重要基礎建設（（（（重要基礎建設重要基礎建設重要基礎建設重要基礎建設（（（（Critical Infrastructures, Critical Infrastructures, CICI））））））））– 重要基礎建重要基礎建重要基礎建重要基礎建設設設設保護保護保護保護（（（（Critical Infrastructure Protection,

CIP））））• 重要資訊基礎建設保護（Critical Information Infrastructure

Protection, CIIP）– 重要基礎建設資訊保護（Critical Infrastructure Information

Protection, CIiP）

重要基礎建設保護重要基礎建設保護重要基礎建設保護重要基礎建設保護重要基礎建設保護重要基礎建設保護重要基礎建設保護重要基礎建設保護

效效效效率率率率

可信可信可信可信賴賴賴賴

重要基礎建設重要基礎建設重要基礎建設重要基礎建設(CI)

…

…

…

重要基礎建設保護重要基礎建設保護重要基礎建設保護重要基礎建設保護 (CIP)

重要資訊基礎建設保護重要資訊基礎建設保護重要資訊基礎建設保護重要資訊基礎建設保護(CIIP)

實體安全保護實體安全保護實體安全保護實體安全保護

工業安全防護工業安全防護工業安全防護工業安全防護

人員安全保護人員安全保護人員安全保護人員安全保護

其他資訊保護其他資訊保護其他資訊保護其他資訊保護

重要基礎建設資訊保護重要基礎建設資訊保護重要基礎建設資訊保護重要基礎建設資訊保護(CIiP)

資料來源：賴溪松教授簡報

19

美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護（（（（美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護（（（（11））））））））

2002 Homeland Security Act 2002 Homeland Security Act 要要要要求國求國求國求國土安全土安全土安全土安全部發部發部發部發展展展展國國國國家家家家要要要要求國求國求國求國土安全土安全土安全土安全部發部發部發部發展展展展國國國國家家家家級級級級計計計計畫來保護畫來保護畫來保護畫來保護美國的美國的美國的美國的重要基礎建重要基礎建重要基礎建重要基礎建設設設設級級級級計計計計畫來保護畫來保護畫來保護畫來保護美國的美國的美國的美國的重要基礎建重要基礎建重要基礎建重要基礎建設設設設

國國國國土安全總土安全總土安全總土安全總統統統統指令指令指令指令（（（（國國國國土安全總土安全總土安全總土安全總統統統統指令指令指令指令（（（（Homeland Security Presidential Homeland Security Presidential

DirectiveDirective））））））））HSPDHSPD--7 7 定定定定義義義義美國美國美國美國重要基礎建重要基礎建重要基礎建重要基礎建設的設的設的設的保護需由保護需由保護需由保護需由國國國國定定定定義義義義美國美國美國美國重要基礎建重要基礎建重要基礎建重要基礎建設的設的設的設的保護需由保護需由保護需由保護需由國國國國土安全土安全土安全土安全部部部部及掌及掌及掌及掌管管管管各產各產各產各產業業業業（（（（土安全土安全土安全土安全部部部部及掌及掌及掌及掌管管管管各產各產各產各產業業業業（（（（SectorSector））））的的的的聯邦聯邦聯邦聯邦官官官官署負責署負責署負責署負責））））的的的的聯邦聯邦聯邦聯邦官官官官署負責署負責署負責署負責

– 17 個產業個產業個產業個產業

• 農業、健康衛生、國防、能源、內政、國庫與財政、環保

• 國土安全部涵蓋的十個產業，包括資訊科技、交通、通訊、化學、緊急救災、商用核能材料與廢棄物、郵遞、水庫、政府設施、商業設施

– 美國有美國有美國有美國有 85% 的重的重的重的重要要要要基基基基礎礎礎礎建建建建設設設設是由是由是由是由各各各各產業產業產業產業擁擁擁擁有及有及有及有及管管管管理理理理

政府與民政府與民政府與民政府與民間如何間如何間如何間如何及及及及時分時分時分時分享重要享重要享重要享重要的的的的安全安全安全安全資訊資訊資訊資訊？？？？

20

美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護（（（（美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護美國重要基礎建設的保護（（（（22））））））））

國國國國土安全土安全土安全土安全部於部於部於部於國國國國土安全土安全土安全土安全部於部於部於部於 2006 2006 年年年年年年年年 6 6 月月月月制訂制訂制訂制訂月月月月制訂制訂制訂制訂 National Infrastructure National Infrastructure

Protection Protection Plan(NIPPPlan(NIPP))

– NIPP 要求各要求各要求各要求各產業產業產業產業主主主主管管管管官官官官署署署署於於於於 2006 年年年年 12 月底前月底前月底前月底前研研研研擬擬擬擬產業之產業之產業之產業之保保保保護護護護計計計計畫畫畫畫

– 採採採採用用用用風險管風險管風險管風險管理理理理方方方方法法法法

• 指出產業之重要資產

• 遭受恐怖攻擊或天災之風險評估

• 決定優先順序

• 規劃對策

– NIPP 也也也也規規規規劃劃劃劃了政了政了政了政府府府府與與與與私私私私人產業人產業人產業人產業（（（（Private Sector））））之合作模式之合作模式之合作模式之合作模式

• 成立政府協調委員會（Government coordination council）

• 成立產業協調委員會（Sector coordination council）作為政策制訂團體以及政府與產業接觸的主要資訊溝通窗口，功能、定位與 ISAC 不同

21







22

美國資訊分享與分析中心美國資訊分享與分析中心美國資訊分享與分析中心美國資訊分享與分析中心（（（（美國資訊分享與分析中心美國資訊分享與分析中心美國資訊分享與分析中心美國資訊分享與分析中心（（（（ISACISAC））））現況現況現況現況））））現況現況現況現況

重要民重要民重要民重要民生生生生基礎建基礎建基礎建基礎建設的設的設的設的重要民重要民重要民重要民生生生生基礎建基礎建基礎建基礎建設的設的設的設的 ISACISAC，，，，涵蓋金融涵蓋金融涵蓋金融涵蓋金融、、、、電力電力電力電力、、、、能能能能源源源源、、、、運運運運，，，，涵蓋金融涵蓋金融涵蓋金融涵蓋金融、、、、電力電力電力電力、、、、能能能能源源源源、、、、運運運運輸等輸等輸等輸等產產產產業業業業輸等輸等輸等輸等產產產產業業業業– IT ISAC – Chemical Industry ISAC– Electricity Sector ISAC– Energy ISAC– Emergency Management and Response ISAC– Multi-State ISAC– Communication ISAC– Financial Services ISAC– Health Care ISAC– The Highway ISAC– Surface Transportation ISAC– Public Transportation ISAC– Water ISAC– Supply Chain ISAC– Real Estate ISAC

23

ISAC ISAC 概念概念概念概念概念概念概念概念 –– 以大眾運輸為例以大眾運輸為例以大眾運輸為例以大眾運輸為例以大眾運輸為例以大眾運輸為例以大眾運輸為例以大眾運輸為例

大眾運輸大眾運輸大眾運輸大眾運輸 ISAC

入口網站

DB 主機資訊交換

主機

運輸相關業者運輸相關業者運輸相關業者運輸相關業者運輸相關公協會運輸相關公協會運輸相關公協會運輸相關公協會與研究機構與研究機構與研究機構與研究機構

運輸產業運輸產業運輸產業運輸產業周邊廠商周邊廠商周邊廠商周邊廠商

中心負責系統開發與維護、資料蒐集與保存及 7*24 維運

僅需瀏覽器（身份隱匿需求）

自有或委外專家，具備資安與運輸產業之領域知識

ISAC Council 政府單位政府單位政府單位政府單位、、、、其它其它其它其它資安或國安單位資安或國安單位資安或國安單位資安或國安單位

Physical/Cyber 資資資資安安安安資資資資訊訊訊訊

資資資資訊訊訊訊交換交換交換交換資資資資訊過訊過訊過訊過濾濾濾濾

24

ISAC ISAC 影片觀賞影片觀賞影片觀賞影片觀賞影片觀賞影片觀賞影片觀賞影片觀賞

美國美國美國美國美國美國美國美國 WaterISACWaterISAC 簡介影片簡介影片簡介影片簡介影片簡介影片簡介影片簡介影片簡介影片

25

ISAC ISAC 網站網站網站網站網站網站網站網站線上論壇線上論壇線上論壇線上論壇線上論壇線上論壇線上論壇線上論壇

威脅燈號威脅燈號威脅燈號威脅燈號威脅燈號威脅燈號威脅燈號威脅燈號

資安訊息資安訊息資安訊息資安訊息資安訊息資安訊息資安訊息資安訊息

警訊通報警訊通報警訊通報警訊通報警訊通報警訊通報警訊通報警訊通報

資訊分享架構與資訊來源資訊分享架構與資訊來源資訊分享架構與資訊來源資訊分享架構與資訊來源資訊分享架構與資訊來源資訊分享架構與資訊來源資訊分享架構與資訊來源資訊分享架構與資訊來源

IT 弱點威脅

安全事故案例資安最佳實務實體安全最佳實務

領域

使用者

7*24 on-call（領域專家、

資安專家）

事故分析報告

風險評鑑結果

資料交換介

面

資訊過濾與中文化

事故通報

國內安全資訊來源國內安全資訊來源國內安全資訊來源國內安全資訊來源國內安全資訊來源國內安全資訊來源國內安全資訊來源國內安全資訊來源

行政院災害防救委員會行政院災害防救委員會行政院災害防救委員會行政院災害防救委員會行政院災害防救委員會行政院災害防救委員會行政院災害防救委員會行政院災害防救委員會

行政院資通安全會報行政院資通安全會報行政院資通安全會報行政院資通安全會報行政院資通安全會報行政院資通安全會報行政院資通安全會報行政院資通安全會報

行政院國土安全辦公室行政院國土安全辦公室行政院國土安全辦公室行政院國土安全辦公室行政院國土安全辦公室行政院國土安全辦公室行政院國土安全辦公室行政院國土安全辦公室

區域聯防中心區域聯防中心區域聯防中心區域聯防中心區域聯防中心區域聯防中心區域聯防中心區域聯防中心

領域領域領域領域領域領域領域領域 SOCSOC

……

國外安全資訊來源國外安全資訊來源國外安全資訊來源國外安全資訊來源國外安全資訊來源國外安全資訊來源國外安全資訊來源國外安全資訊來源

NISTNIST

WWWW--ISACISAC

USUS--CERT/FIRSTCERT/FIRST

SecurityTrackerSecurityTracker

SecurityFocusSecurityFocus

研討會資料研討會資料研討會資料研討會資料研討會資料研討會資料研討會資料研討會資料

……

26

會員參與及權利義務會員參與及權利義務會員參與及權利義務會員參與及權利義務會員參與及權利義務會員參與及權利義務會員參與及權利義務會員參與及權利義務

美國的美國的美國的美國的美國的美國的美國的美國的 ISAC ISAC 均均均均為為為為民民民民間間間間組織組織組織組織，，，，部部部部均均均均為為為為民民民民間間間間組織組織組織組織，，，，部部部部分分分分分分分分ISACISAC由政由政由政由政府府府府贊助贊助贊助贊助經經經經費費費費由政由政由政由政府府府府贊助贊助贊助贊助經經經經費費費費– IT-ISAC 由資訊大廠出資合組由資訊大廠出資合組由資訊大廠出資合組由資訊大廠出資合組（（（（會員交年費會員交年費會員交年費會員交年費））））

– FS-ISAC由金融業者和周邊廠商由金融業者和周邊廠商由金融業者和周邊廠商由金融業者和周邊廠商付費以支持維運付費以支持維運付費以支持維運付費以支持維運（（（（會員交年費會員交年費會員交年費會員交年費））））

– Highway ISAC由美國卡車協會由美國卡車協會由美國卡車協會由美國卡車協會維運維運維運維運（（（（政府資助政府資助政府資助政府資助，，，，會員免費會員免費會員免費會員免費））））

– PT-ISAC由美國大眾運輸協會維由美國大眾運輸協會維由美國大眾運輸協會維由美國大眾運輸協會維運運運運（（（（政府資助政府資助政府資助政府資助，，，，會員免費會員免費會員免費會員免費））））

– WW-ISAC由由由由 VeriSign 公司自營公司自營公司自營公司自營（（（（會員交年費會員交年費會員交年費會員交年費））））

會會會會員員員員結結結結構構構構會會會會員員員員結結結結構構構構– 各領域之業者各領域之業者各領域之業者各領域之業者、、、、公協會公協會公協會公協會、、、、學術及學術及學術及學術及研究單位研究單位研究單位研究單位、、、、供應商供應商供應商供應商

– 會員分級會員分級會員分級會員分級，，，，每一級的權利義務不每一級的權利義務不每一級的權利義務不每一級的權利義務不同同同同

ISAC ISAC 提供提供提供提供給給給給會會會會員員員員的服務的服務的服務的服務（（（（以以以以金金金金提供提供提供提供給給給給會會會會員員員員的服務的服務的服務的服務（（（（以以以以金金金金融融融融融融融融 ISAC ISAC 為為為為例例例例））））為為為為例例例例））））– 會員可以有兩個會員可以有兩個會員可以有兩個會員可以有兩個 e-mail 警訊通警訊通警訊通警訊通報窗口報窗口報窗口報窗口

– 災難發生時提供國土安全部和國災難發生時提供國土安全部和國災難發生時提供國土安全部和國災難發生時提供國土安全部和國庫署發出的警訊庫署發出的警訊庫署發出的警訊庫署發出的警訊

– 提供緊急事故或災難的提供緊急事故或災難的提供緊急事故或災難的提供緊急事故或災難的 e-mail 警訊警訊警訊警訊

– 匿名事故通報匿名事故通報匿名事故通報匿名事故通報– 參與產業市場調查參與產業市場調查參與產業市場調查參與產業市場調查– 參加會員聚會參加會員聚會參加會員聚會參加會員聚會– 簽入網站的會員區存取資訊簽入網站的會員區存取資訊簽入網站的會員區存取資訊簽入網站的會員區存取資訊

– 存取金融存取金融存取金融存取金融ISAC的的的的watch desk– 參加危機管理相關參加危機管理相關參加危機管理相關參加危機管理相關 conference

call– 參加雙週參加雙週參加雙週參加雙週 teleconference– 參加最佳實務討論區參加最佳實務討論區參加最佳實務討論區參加最佳實務討論區

27

通報隱匿機制通報隱匿機制通報隱匿機制通報隱匿機制通報隱匿機制通報隱匿機制通報隱匿機制通報隱匿機制

通報通報通報通報隱匿隱匿隱匿隱匿的的的的關鍵要素關鍵要素關鍵要素關鍵要素通報通報通報通報隱匿隱匿隱匿隱匿的的的的關鍵要素關鍵要素關鍵要素關鍵要素– 資資資資訊訊訊訊提供者提供者提供者提供者的的的的身份隱匿身份隱匿身份隱匿身份隱匿

– 網路通訊網路通訊網路通訊網路通訊管管管管道道道道的的的的隱匿隱匿隱匿隱匿

– 資資資資訊來訊來訊來訊來源辨識源辨識源辨識源辨識（（（（需驗證需驗證需驗證需驗證為合法為合法為合法為合法使用者送使用者送使用者送使用者送來的通報來的通報來的通報來的通報））））

– 資料資料資料資料的的的的隱匿性隱匿性隱匿性隱匿性（（（（Anonymity）、）、）、）、隱密性隱密性隱密性隱密性（（（（Confidentiality）、）、）、）、完完完完整整整整性性性性

通報資料內通報資料內通報資料內通報資料內容容容容的的的的隱匿隱匿隱匿隱匿通報資料內通報資料內通報資料內通報資料內容容容容的的的的隱匿隱匿隱匿隱匿– 資料內資料內資料內資料內容須容須容須容須無法無法無法無法辨識辨識辨識辨識出提供者出提供者出提供者出提供者的的的的身份身份身份身份

– 資料內資料內資料內資料內容容容容手手手手動動動動隱匿隱匿隱匿隱匿• 建立隱匿政策與維運程序

• 訓練使用者如何落實隱匿政策

– 資料內資料內資料內資料內容容容容自自自自動動動動隱匿隱匿隱匿隱匿• 結構化的通報表格，不允許自由撰寫通報內容

• 資訊審查及關鍵字過濾/修改（可用XML Stylesheet）

• 貝氏過濾（Bayesian Filtering）

Sandia Sandia 國國國國家實驗室已家實驗室已家實驗室已家實驗室已研發研發研發研發相關技術相關技術相關技術相關技術國國國國家實驗室已家實驗室已家實驗室已家實驗室已研發研發研發研發相關技術相關技術相關技術相關技術

28







29

美國美國美國美國美國美國美國美國 ITIT--ISACISAC緣起緣起緣起緣起緣起緣起緣起緣起

– 2001 年年年年 1 月由月由月由月由 19 家公司家公司家公司家公司（（（（ATT、、、、IBM、、、、CA、、、、HP、、、、Intel、、、、KPMG、、、、Oracle、、、、Microsoft、、、、Cisco、、、、RSA 等等等等））））集資集資集資集資 75萬美金萬美金萬美金萬美金，，，，作為委由作為委由作為委由作為委由 ISS 執行執行執行執行的的的的 4 年年年年 IT-ISAC計畫的第一年經費計畫的第一年經費計畫的第一年經費計畫的第一年經費（（（（ISS 提供提供提供提供 X-Force DB））））

由由由由由由由由 IT IT 產業的資安專家所組成的可信賴社群組織產業的資安專家所組成的可信賴社群組織產業的資安專家所組成的可信賴社群組織產業的資安專家所組成的可信賴社群組織產業的資安專家所組成的可信賴社群組織產業的資安專家所組成的可信賴社群組織產業的資安專家所組成的可信賴社群組織產業的資安專家所組成的可信賴社群組織

– 找出可能危害找出可能危害找出可能危害找出可能危害 IT 基礎建設的弱點與威脅基礎建設的弱點與威脅基礎建設的弱點與威脅基礎建設的弱點與威脅（（（（實體與網際空間實體與網際空間實體與網際空間實體與網際空間））））

– 分享最佳防護實務分享最佳防護實務分享最佳防護實務分享最佳防護實務

– 與其他產業的與其他產業的與其他產業的與其他產業的 ISAC 交流交流交流交流

– 建立系統化且受保護的資訊交換與協調機制建立系統化且受保護的資訊交換與協調機制建立系統化且受保護的資訊交換與協調機制建立系統化且受保護的資訊交換與協調機制

24x7 IT24x7 IT--ISAC Operations CenterISAC Operations Center

– 讓讓讓讓 IT-ISAC 會員會員會員會員（（（（或會員自有的維運中心或會員自有的維運中心或會員自有的維運中心或會員自有的維運中心））））提交或接收資安提交或接收資安提交或接收資安提交或接收資安、、、、攻擊事件攻擊事件攻擊事件攻擊事件、、、、天天天天災等資訊災等資訊災等資訊災等資訊

– 蒐集蒐集蒐集蒐集、、、、分析多個來源的威脅或弱點資訊分析多個來源的威脅或弱點資訊分析多個來源的威脅或弱點資訊分析多個來源的威脅或弱點資訊（（（（包括會員提交者包括會員提交者包括會員提交者包括會員提交者））））並提供分析結果並提供分析結果並提供分析結果並提供分析結果與對策與對策與對策與對策

– 資訊交換與分享資訊交換與分享資訊交換與分享資訊交換與分享

• 透過安全性網站與安全性E-mail 發佈警訊

• 透過定期 conference call 與會員交換資訊

• 可讓各會員公司之專家互相交換未公開的威脅與事件資訊

• 過濾與核准後的資訊與國土安全部分享

30

美國美國美國美國美國美國美國美國 ITIT--ISAC ISAC 網站網站網站網站網站網站網站網站

31

美國美國美國美國美國美國美國美國 ITIT--ISAC ISAC 現有會員現有會員現有會員現有會員現有會員現有會員現有會員現有會員

32

ITIT--ISAC ISAC 會員權利會員權利會員權利會員權利會員權利會員權利會員權利會員權利

33

美國國土安全部警示通報系統美國國土安全部警示通報系統美國國土安全部警示通報系統美國國土安全部警示通報系統美國國土安全部警示通報系統美國國土安全部警示通報系統美國國土安全部警示通報系統美國國土安全部警示通報系統

• Suspected Criminal or Terror Activity

• Immigration or Customs Violations

• CybersecurityActivity

• Emergencies in Federal Buildings

• Chemical Security

34

美國國土安全部基礎建設日報美國國土安全部基礎建設日報美國國土安全部基礎建設日報美國國土安全部基礎建設日報美國國土安全部基礎建設日報美國國土安全部基礎建設日報美國國土安全部基礎建設日報美國國土安全部基礎建設日報

35

USUS--CERTCERT

36

ICSICS--CERTCERT

ICS 弱弱弱弱點資訊點資訊點資訊點資訊

重要基礎重要基礎重要基礎重要基礎建設新聞建設新聞建設新聞建設新聞

37

iDefenseiDefense Labs VCP(1)Labs VCP(1)

38

FS/ISAC (1)FS/ISAC (1)19991999年年年年年年年年 10 10 月成月成月成月成立立立立，，，，原係原係原係原係金金金金融界融界融界融界因因因因應應應應月成月成月成月成立立立立，，，，原係原係原係原係金金金金融界融界融界融界因因因因應應應應Y2KY2K問題所問題所問題所問題所設立設立設立設立的的的的資資資資訊訊訊訊問題所問題所問題所問題所設立設立設立設立的的的的資資資資訊訊訊訊分分分分享組織享組織享組織享組織分分分分享組織享組織享組織享組織

– 美國財政部美國財政部美國財政部美國財政部（（（（Department of Treasury））））為官方贊助者為官方贊助者為官方贊助者為官方贊助者

蒐集蒐集蒐集蒐集金金金金融融融融服務產業所服務產業所服務產業所服務產業所面臨面臨面臨面臨的的的的實實實實體體體體及網及網及網及網際空際空際空際空間的間的間的間的威脅威脅威脅威脅、、、、弱弱弱弱點及點及點及點及蒐集蒐集蒐集蒐集金金金金融融融融服務產業所服務產業所服務產業所服務產業所面臨面臨面臨面臨的的的的實實實實體體體體及網及網及網及網際空際空際空際空間的間的間的間的威脅威脅威脅威脅、、、、弱弱弱弱點及點及點及點及風險風險風險風險資資資資訊訊訊訊，，，，來來來來源源源源：：：：風險風險風險風險資資資資訊訊訊訊，，，，來來來來源源源源：：：：

– 蒐集此類資訊的公司蒐集此類資訊的公司蒐集此類資訊的公司蒐集此類資訊的公司（（（（如如如如 Symantec DeepSight Alert、、、、IBM ISS X-force、、、、VeriSign等等等等））））

– 政府單位政府單位政府單位政府單位（（（（類似類似類似類似技技技技服服服服））））

– CERT/CC、、、、US-CERT

– 學術學術學術學術界界界界研究研究研究研究、、、、其其其其他他他他可信賴的可信賴的可信賴的可信賴的來來來來源源源源（（（（會員通報會員通報會員通報會員通報、、、、等等等等））））

資料資料資料資料庫庫庫庫運運運運用用用用（（（（內內內內含含含含資料資料資料資料庫庫庫庫運運運運用用用用（（（（內內內內含含含含 1999 1999 迄迄迄迄今之會今之會今之會今之會員提員提員提員提交交交交事事事事件件件件或或或或資資資資訊訊訊訊））））迄迄迄迄今之會今之會今之會今之會員提員提員提員提交交交交事事事事件件件件或或或或資資資資訊訊訊訊））））

– 政府單位及政府單位及政府單位及政府單位及情治情治情治情治、、、、警警警警察察察察單位單位單位單位皆皆皆皆無權運用資無權運用資無權運用資無權運用資料料料料庫庫庫庫。。。。FS/ISAC 會會會會依依依依據據據據『『『『Need to Know』』』』原則原則原則原則提供提供提供提供處處處處理過的理過的理過的理過的彙整彙整彙整彙整資資資資料給料給料給料給政府單位政府單位政府單位政府單位

– 標標標標準準準準會員以上等級的會員和會員以上等級的會員和會員以上等級的會員和會員以上等級的會員和 FS/ISAC 的研究人員可以運用資的研究人員可以運用資的研究人員可以運用資的研究人員可以運用資料料料料庫進庫進庫進庫進行行行行研究研究研究研究、、、、偵察偵察偵察偵察、、、、或或或或趨勢趨勢趨勢趨勢分分分分析析析析

39

FS/ISAC (2)FS/ISAC (2)經由產經由產經由產經由產業業業業專家專家專家專家之分之分之分之分析結果析結果析結果析結果，，，，依依依依據據據據會會會會員的服員的服員的服員的服務務務務水準水準水準水準進進進進經由產經由產經由產經由產業業業業專家專家專家專家之分之分之分之分析結果析結果析結果析結果，，，，依依依依據據據據會會會會員的服員的服員的服員的服務務務務水準水準水準水準進進進進行警行警行警行警訊通報訊通報訊通報訊通報行警行警行警行警訊通報訊通報訊通報訊通報

– 會會會會員員員員可於可於可於可於 FS/ISAC 網網網網站站站站輸輸輸輸入公司的基本入公司的基本入公司的基本入公司的基本資料資料資料資料，，，，並並並並設定收設定收設定收設定收取取取取有有有有興趣興趣興趣興趣的的的的警警警警訊通報或是全訊通報或是全訊通報或是全訊通報或是全部部部部的的的的警警警警訊通報訊通報訊通報訊通報

– 提供提供提供提供匿匿匿匿名通報與分名通報與分名通報與分名通報與分享享享享資資資資訊的能訊的能訊的能訊的能力力力力

– 警警警警訊通報訊通報訊通報訊通報內內內內容容容容包括包括包括包括威脅威脅威脅威脅或或或或弱弱弱弱點的點的點的點的描述描述描述描述、、、、嚴重嚴重嚴重嚴重等等等等級級級級、、、、解解解解決決決決方方方方案案案案等等等等

– 一旦接一旦接一旦接一旦接收收收收會會會會員提供員提供員提供員提供的事的事的事的事件資件資件資件資訊訊訊訊，，，，產業產業產業產業專專專專家家家家將立將立將立將立即即即即進進進進行行行行威脅威脅威脅威脅的的的的驗證驗證驗證驗證與分與分與分與分析析析析，，，，並並並並提出提出提出提出解解解解決建決建決建決建議給議給議給議給所有會所有會所有會所有會員員員員

– 已建已建已建已建置置置置 Critical Infrastructure Notification System (CINS) ，，，，可近可近可近可近乎乎乎乎同時的發同時的發同時的發同時的發佈警佈警佈警佈警訊訊訊訊給給給給眾多眾多眾多眾多個會個會個會個會員員員員，，，，並並並並完完完完成成成成身份驗證身份驗證身份驗證身份驗證及接及接及接及接收確認收確認收確認收確認

– 當災當災當災當災難難難難發生時發生時發生時發生時，，，，美國美國美國美國財財財財政政政政部部部部和國和國和國和國土土土土安全安全安全安全部部部部可可可可透透透透過過過過FS/ISAC 來對來對來對來對金金金金融融融融服務業服務業服務業服務業者者者者發發發發佈佈佈佈重重重重要資要資要資要資訊訊訊訊

SOC SOC 委外由委外由委外由委外由委外由委外由委外由委外由 VeriSign VeriSign 維運維運維運維運維運維運維運維運

40

FS/ISAC (3)FS/ISAC (3)：：：：會員權利會員權利會員權利會員權利：：：：會員權利會員權利會員權利會員權利

Public/private sector threat intelligence sharing

CRITICAL NOTIFICATIONONLY PARTICIPANT(CNOP) - Available toFinancial Institutionswith less than $1 Billionin assets

41

美國美國美國美國美國美國美國美國 Water ISACWater ISAC

42

美國交通運輸美國交通運輸美國交通運輸美國交通運輸美國交通運輸美國交通運輸美國交通運輸美國交通運輸 ISACISAC

43

美國美國美國美國美國美國美國美國 National Council of National Council of ISACISAC’’ss（（（（（（（（11））））））））

建立及維護建立及維護建立及維護建立及維護建立及維護建立及維護建立及維護建立及維護 ISAC ISAC 之間及政府之互動架構之間及政府之互動架構之間及政府之互動架構之間及政府之互動架構之間及政府之互動架構之間及政府之互動架構之間及政府之互動架構之間及政府之互動架構

InterInter--ISAC Information Exchange ISAC Information Exchange Policy and Procedure MOU, Jan. 2002Policy and Procedure MOU, Jan. 2002

需建立身份辨識需建立身份辨識需建立身份辨識需建立身份辨識、、、、安全通道安全通道安全通道安全通道、、、、資訊過濾等資訊過濾等資訊過濾等資訊過濾等需建立身份辨識需建立身份辨識需建立身份辨識需建立身份辨識、、、、安全通道安全通道安全通道安全通道、、、、資訊過濾等資訊過濾等資訊過濾等資訊過濾等功能及審查核准程序功能及審查核准程序功能及審查核准程序功能及審查核准程序功能及審查核准程序功能及審查核准程序功能及審查核准程序功能及審查核准程序

44

美國美國美國美國美國美國美國美國 National Council of National Council of ISACISAC’’ss（（（（（（（（11））））））））

HighwayISAC

NuclearISAC

大眾運輸大眾運輸大眾運輸大眾運輸

ISAC

研究教育研究教育研究教育研究教育

ISAC

供應練供應練供應練供應練

ISAC

平面運輸平面運輸平面運輸平面運輸

ISAC

45

事故資訊分享事故資訊分享事故資訊分享事故資訊分享事故資訊分享事故資訊分享事故資訊分享事故資訊分享 –– 以北美大停電為例以北美大停電為例以北美大停電為例以北美大停電為例以北美大停電為例以北美大停電為例以北美大停電為例以北美大停電為例（（（（（（（（11））））））））

APPL(APPL(紐約警民安全聯盟紐約警民安全聯盟))– APPL為紐約市警局與紐約市非官方的安全主管的溝通管道 –主要透過電子郵件、電話，其次為面對面開會

BES(BES(主要電力系統主要電力系統))

BID(BID(紐約商業促進區域組織紐約商業促進區域組織))– 區域性的非官方安全巡邏組織，其設計來保護重要商業區域的安全

CIPAG(CIPAG(重要基礎建設保護諮詢小組重要基礎建設保護諮詢小組))– 現為重要基礎建設保護委員會

DHS(DHS(美國國土安全部美國國土安全部))

DOE(DOE(美國能源部美國能源部))

EEISC(EEISC(愛迪生電力研究所安全委員會愛迪生電力研究所安全委員會))

ESISAC(ESISAC(電力資訊分享與分析中心電力資訊分享與分析中心))

FERC(FERC(聯邦能源管理委員會聯邦能源管理委員會))

46

ITIT--ISAC(ITISAC(IT資訊分享與分析中心資訊分享與分析中心))

MSMS--ISAC(ISAC(跨州資訊分享與分析中心跨州資訊分享與分析中心))

NERC(NERC(北美電力可靠度公司北美電力可靠度公司))

RC(RC(可靠度協調中心可靠度協調中心))

– 共有17個運作中心來協調美國與加拿大的主要電力系統

FSFS--ISAC(ISAC(金融資訊分享與分析中心金融資訊分享與分析中心))

U.S. Secret Service(U.S. Secret Service(美國特勤局美國特勤局))


47

啟動備用伺服器並將測試訊息寄給APPL用戶，接下來由紐約市警局評估

停電情況給會員的建議說明紐約市警局將投入額外的人員進行作業，並可用email或

電話與他們聯繫

紐約警民安全聯盟(APPL)

~1620

第一通情報電話的取得可靠度協調中心(RC)與電力ISAC進

行熱線

1610 +

1610

電力系統操作員大量電話聯繫主要電力系統操作員

1505 -1610

ㄧ開始的事件(停電)導致連鎖跳電1505

2003年8月14日的星期四

事事事事件內件內件內件內容容容容接接接接觸單觸單觸單觸單位位位位(人人人人員員員員)時間時間時間時間


48

建議會員為紐約商業促進區域組織 (BID)增加安全人員


時間未記錄

停電後幾天內不停有電話打進來RC與電力ISAC協助處理所有電話

DHS、DOE與FERC也協助處理大部分

的電話電話內容包括回復狀態、主要電力系統穩定度、災害報告、其他任何問題、問題的原因、RC任何要求

可靠度協調中心

(RC) 、電力ISAC

與行政機關進行熱線

1915

給會員的建議說明愛迪生電力公司對紐約市警局提出本市在週末期間很可能會有大規模停電之說明APPL強烈建議所有企業應考慮其他安

全問題


時間未記錄

所有給紐約市警局的報告皆排除本次停電為恐怖份子所為


~1640



49

請求會員提供兩方面的資料：(1)停電

(2)Blaster 蠕蟲的衝擊接收來自多個來源與MS-ISAC的資訊

IT-ISAC時間未記錄

可靠度協調中心(RC) 、電力ISAC與

行政機關進行熱線

0004

2003年8月15日的星期五

IT-ISAC寄信給ISAC Council，說明 IT相關討論議題

IT-ISAC2310



2200

開始打電話給平面運輸ISAC(ST-ISAC)與大眾運輸ISAC(PT-ISAC)

電力ISAC時間未記錄



50

可靠度協調中心(RC), 電力ISAC與行政機

關進行熱線

0800

透過網路發佈更新訊息北美電力可靠度公司(NERC)與媒體

0600

關於停電範圍進行機密簡報，說明目前已知肇事原因與復原進度

電力ISAC與白宮0600

可靠度協調中心(RC) 、電力ISAC與行政

機關進行熱線

0500

儘管政府官員不相信是Blaster蠕蟲造

成停電，不過事件仍在調查當中IT-ISAC仍提出蠕蟲攻擊有可能導致未來系統服務中斷(DDoS)

IT-ISAC0040



51透過網路發佈更新訊息北美電力可靠度公司

（NERC)與媒體1100

對復原的方向做詳細的討論受影響的公共事業與電力ISAC

1030

開始正式對涉及本次停電的所有受到影響系統、美國與加拿大的行政機關與電力專家進行調查在本次調查中，評估是在過去研究中最艱鉅的一次，而且調查結論會包含在正式報告中，並會放在報告的最上層。

北美電力可靠度公司(NERC)

時間未記錄


0845

金融ISAC提出資訊需求並予以回應金融ISAC/財政部與電力ISAC進行電話交

談

0845



52

以類似可靠度協調中心(RC)之電話溝

通模式討論停電狀態重要基礎建設保護諮詢小組(CIPAG)與電力ISAC電話會議

1315


1255


1245



1200

以類似可靠度協調中心(RC)之電話溝

通模式討論停電狀態愛迪生電力研究所安全委員會(EEISC)與電力ISAC電話會議

1115



53


1630

可靠度協調中心

(RC) 、電力ISAC

與行政機關進行熱線

1600

討論停電平面運輸ISAC(ST-ISAC)與電力ISAC進行電話交談

時間未記錄

回覆資訊請求電信 ISAC與電力

ISAC進行電話交談1424

從電信 ISAC取得資訊請求 (Request For Information)

電信 ISAC與電力

ISAC進行電話交談1400



54

寄信要求對實體與網際空間問題調查中所需之特定資料進行存證

北美電力可靠度公司(NERC)

時間未記錄

協調電力部門人員參與網際空間問題調查

電力ISAC電話會議

1000

召開電話會議可靠度協調中心(RC)、電力

ISAC、行政機關

與其他單位進行熱線

2003年8月16日的星期六

由國土安全部帶領開始進行網際空間問題之調查

國土安全部(DHS)與電力ISAC

時間未記錄

更新資訊國土安全部(DHS)與電力ISAC

1645



55開始進行網際空間問題調查網際空間問題調查小組電話會議

1100

為網際空間問題調查開始做準備國土安全部(DHS)與電力ISAC

1045


1000

召開電話會議可靠度協調中心(RC)、電力

ISAC、行政機關


2003年8月17日的星期日

美國能源部(DOE)與北美電力可靠度公司(NERC)進行

電話交談

1430



56

提出資訊請求並討論特定的公用事業、電信ISAC與電力ISAC

時間未記錄

進行復原與停電研究討論特定的公用事業與電力ISAC

1315

停電事件簡報美國特勤局與電力ISAC

1145

國土安全部(DHS)、美國能源部(DOE)與電力

ISAC恢復每日安全簡

報電話會議

1115

電話會議召開頻率降低可靠度協調中心(RC)、電力ISAC、行政機關


2003年8月18日的星期一



57

總結消息指出停電已結束，包括將研究未來再次發生停電時的應變措施


時間未記錄

停電調查順利進行中例行公事，與媒體接觸頻率減少

2003年8月19 – 22 星期二至星期五

隨著電力逐漸恢復，紐約警民安全聯盟發布紐約市各大眾運輸系統的狀態報告


時間未記錄



58

CIIP CIIP 各國發展現況各國發展現況各國發展現況各國發展現況各國發展現況各國發展現況各國發展現況各國發展現況International CIIP Handbook 2008/2009International CIIP Handbook 2008/2009– 蘇黎世瑞蘇黎世瑞蘇黎世瑞蘇黎世瑞士士士士聯聯聯聯邦邦邦邦理工大理工大理工大理工大學學學學（（（（ETH Zurich））））的的的的資資資資安安安安研究研究研究研究中中中中心編心編心編心編訂訂訂訂

國國國國家家家家國國國國家家家家– 奧奧奧奧地利地利地利地利、、、、巴西巴西巴西巴西、、、、加加加加拿拿拿拿大大大大、、、、愛愛愛愛沙沙沙沙尼尼尼尼亞亞亞亞、、、、芬芬芬芬蘭蘭蘭蘭、、、、法國法國法國法國、、、、德德德德國國國國、、、、匈匈匈匈牙牙牙牙利利利利、、、、印印印印度度度度、、、、義大利義大利義大利義大利、、、、日本日本日本日本、、、、南韓南韓南韓南韓、、、、馬來西亞馬來西亞馬來西亞馬來西亞、、、、荷荷荷荷蘭蘭蘭蘭、、、、挪挪挪挪威威威威、、、、波蘭波蘭波蘭波蘭、、、、俄俄俄俄羅羅羅羅斯斯斯斯、、、、新加坡新加坡新加坡新加坡、、、、西西西西班牙班牙班牙班牙、、、、瑞典瑞典瑞典瑞典、、、、瑞瑞瑞瑞士士士士、、、、英英英英國國國國、、、、美國美國美國美國

– 調查調查調查調查內內內內容容容容• 關鍵領域• 過去與現在的提案與政策

• 組織概觀• 早期預警與公眾涵蓋• 法律與立法

國國國國際組織與際組織與際組織與際組織與論論論論壇壇壇壇國國國國際組織與際組織與際組織與際組織與論論論論壇壇壇壇– 歐歐歐歐盟盟盟盟（（（（EU）、）、）、）、事事事事故應故應故應故應變變變變與安全與安全與安全與安全團團團團隊隊隊隊論壇論壇論壇論壇（（（（FIRST）、）、）、）、八八八八大工大工大工大工業國業國業國業國組織組織組織組織（（（（G8）、）、）、）、北大西北大西北大西北大西洋洋洋洋公約公約公約公約組織組織組織組織（（（（NATO）、）、）、）、經經經經濟濟濟濟合作合作合作合作發發發發展組織展組織展組織展組織（（（（OECD）、）、）、）、聯合國聯合國聯合國聯合國（（（（UN）、）、）、）、世界銀行組織世界銀行組織世界銀行組織世界銀行組織

59

資訊基礎建設保護學院資訊基礎建設保護學院資訊基礎建設保護學院資訊基礎建設保護學院（（（（資訊基礎建設保護學院資訊基礎建設保護學院資訊基礎建設保護學院資訊基礎建設保護學院（（（（11））））））））

60


61


62

重要基礎建設相關工業控制系統重要基礎建設相關工業控制系統重要基礎建設相關工業控制系統重要基礎建設相關工業控制系統重要基礎建設相關工業控制系統重要基礎建設相關工業控制系統重要基礎建設相關工業控制系統重要基礎建設相關工業控制系統

為達到為達到為達到為達到穩定穩定穩定穩定、、、、持持持持續續續續的生的生的生的生為達到為達到為達到為達到穩定穩定穩定穩定、、、、持持持持續續續續的生的生的生的生產產產產，，，，相相相相關廠區大關廠區大關廠區大關廠區大量量量量採採採採用用用用產產產產，，，，相相相相關廠區大關廠區大關廠區大關廠區大量量量量採採採採用用用用工業工業工業工業控制系統控制系統控制系統控制系統工業工業工業工業控制系統控制系統控制系統控制系統– Programmable

Control Logic(PLC)– Distributed Control

System(DCS)– Data Acquisition

System(DAS)– Supervisor Control

And Data Acquisition(SCADA)

工業工業工業工業控制系統控制系統控制系統控制系統組組組組成成成成工業工業工業工業控制系統控制系統控制系統控制系統組組組組成成成成– 感感感感知元件知元件知元件知元件（（（（壓力壓力壓力壓力、、、、溫溫溫溫度度度度、、、、電量電量電量電量、、、、含硫含硫含硫含硫量等量等量等量等））））

– 控制伺服控制伺服控制伺服控制伺服器器器器– 資資資資料倉儲料倉儲料倉儲料倉儲– 工程工程工程工程師師師師與與與與作作作作業員業員業員業員使使使使用之用之用之用之工工工工作作作作站電站電站電站電腦腦腦腦

– 控制網路控制網路控制網路控制網路

鍋爐

鍋爐燃燒控制系統(DCS)

燃料

蒸汽

含硫廢氣

空氣加熱設備

靜電集塵設備

排煙脫硫設備可排放

廢氣

氣渦輪機汽力機組

發電機勵磁機

主變壓器

開關場

輸電鐵塔

PLC控制

DCS控制

煙氣偵測系統

升壓

GIS 地方配電系統(SCADA)

GIS 遙測遙控系統(SCADA)汽機控制/監視系統

(DAS)

氣渦輪機機組電腦系統(DCS)

鍋爐

鍋爐燃燒控制系統(DCS)

燃料

蒸汽

含硫廢氣

空氣加熱設備

靜電集塵設備

排煙脫硫設備可排放

廢氣

氣渦輪機汽力機組

發電機勵磁機

主變壓器

開關場

輸電鐵塔

PLC控制

DCS控制

煙氣偵測系統

升壓

GIS 地方配電系統(SCADA)

GIS 遙測遙控系統(SCADA)汽機控制/監視系統

(DAS)

氣渦輪機機組電腦系統(DCS)

監控中心監控中心監控中心監控中心監控中心監控中心監控中心監控中心

63

工業控制系統之風險上升工業控制系統之風險上升工業控制系統之風險上升工業控制系統之風險上升工業控制系統之風險上升工業控制系統之風險上升工業控制系統之風險上升工業控制系統之風險上升

工業工業工業工業控制系統控制系統控制系統控制系統漸漸漸漸採採採採工業工業工業工業控制系統控制系統控制系統控制系統漸漸漸漸採採採採EthernetEthernet、、、、、、、、TCP/IPTCP/IP、、、、、、、、Windows Windows 平平平平台台台台、、、、平平平平台台台台、、、、OLE for OLE for Process ControlProcess Control等等等等技術技術技術技術來來來來減減減減等等等等技術技術技術技術來來來來減減減減低低低低系統整系統整系統整系統整合與合與合與合與維維維維運的成本運的成本運的成本運的成本低低低低系統整系統整系統整系統整合與合與合與合與維維維維運的成本運的成本運的成本運的成本

工業安全事工業安全事工業安全事工業安全事故資料故資料故資料故資料庫庫庫庫工業安全事工業安全事工業安全事工業安全事故資料故資料故資料故資料庫庫庫庫（（（（（（（（ISIDISID））））統統統統計影響工業計影響工業計影響工業計影響工業控制控制控制控制））））統統統統計影響工業計影響工業計影響工業計影響工業控制控制控制控制系統系統系統系統的網的網的網的網際空際空際空際空間安全間安全間安全間安全（（（（系統系統系統系統的網的網的網的網際空際空際空際空間安全間安全間安全間安全（（（（Cyber Cyber SecuritySecurity））））相相相相關事關事關事關事故故故故））））相相相相關事關事關事關事故故故故– 2001前平均前平均前平均前平均每年每年每年每年 2.4 次次次次

– 2002 ~ 2004 平均平均平均平均每年每年每年每年 12 次次次次

– 專家專家專家專家估計估計估計估計實實實實際際際際事故事故事故事故次數次數次數次數應為應為應為應為10 倍倍倍倍以上以上以上以上

““SCADA SecuritySCADA Security””, Jason , Jason Larsen, Larsen, BlackHatBlackHat 2008.2008.

重要基礎建重要基礎建重要基礎建重要基礎建設設設設相關工相關工相關工相關工業控業控業控業控制制制制系統為系統為系統為系統為防護重防護重防護重防護重點之一點之一點之一點之一重要基礎建重要基礎建重要基礎建重要基礎建設設設設相關工相關工相關工相關工業控業控業控業控制制制制系統為系統為系統為系統為防護重防護重防護重防護重點之一點之一點之一點之一

通常不執行通常不執行通常不執行通常不執行通常不執行通常不執行通常不執行通常不執行經常性或即時執行經常性或即時執行經常性或即時執行經常性或即時執行經常性或即時執行經常性或即時執行經常性或即時執行經常性或即時執行弱點修補弱點修補弱點修補弱點修補弱點修補弱點修補弱點修補弱點修補

孤立孤立孤立孤立、、、、遠距遠距遠距遠距、、、、須要許須要許須要許須要許孤立孤立孤立孤立、、、、遠距遠距遠距遠距、、、、須要許須要許須要許須要許

多勞務多勞務多勞務多勞務多勞務多勞務多勞務多勞務當地當地當地當地、、、、容易容易容易容易當地當地當地當地、、、、容易容易容易容易元件取得元件取得元件取得元件取得元件取得元件取得元件取得元件取得

15 ~ 20 15 ~ 20 年年年年年年年年3 ~ 5 3 ~ 5 年年年年年年年年系統壽命系統壽命系統壽命系統壽命系統壽命系統壽命系統壽命系統壽命

通常為單一廠商之服通常為單一廠商之服通常為單一廠商之服通常為單一廠商之服通常為單一廠商之服通常為單一廠商之服通常為單一廠商之服通常為單一廠商之服

務支援務支援務支援務支援務支援務支援務支援務支援多來源多來源多來源多來源、、、、多樣性的服多樣性的服多樣性的服多樣性的服多來源多來源多來源多來源、、、、多樣性的服多樣性的服多樣性的服多樣性的服

務支援務支援務支援務支援務支援務支援務支援務支援管理支援管理支援管理支援管理支援管理支援管理支援管理支援管理支援

許多專屬通訊協定與許多專屬通訊協定與許多專屬通訊協定與許多專屬通訊協定與許多專屬通訊協定與許多專屬通訊協定與許多專屬通訊協定與許多專屬通訊協定與

標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定標準通訊協定通訊通訊通訊通訊通訊通訊通訊通訊

人身安全與其他緊急人身安全與其他緊急人身安全與其他緊急人身安全與其他緊急人身安全與其他緊急人身安全與其他緊急人身安全與其他緊急人身安全與其他緊急

應變極具急迫性應變極具急迫性應變極具急迫性應變極具急迫性應變極具急迫性應變極具急迫性應變極具急迫性應變極具急迫性一般較不具時間急迫一般較不具時間急迫一般較不具時間急迫一般較不具時間急迫一般較不具時間急迫一般較不具時間急迫一般較不具時間急迫一般較不具時間急迫

性性性性性性性性緊急狀況應緊急狀況應緊急狀況應緊急狀況應緊急狀況應緊急狀況應緊急狀況應緊急狀況應

變時效變時效變時效變時效變時效變時效變時效變時效

人身安全最重要人身安全最重要人身安全最重要人身安全最重要，，，，其其其其人身安全最重要人身安全最重要人身安全最重要人身安全最重要，，，，其其其其

次是生產程序的保護次是生產程序的保護次是生產程序的保護次是生產程序的保護次是生產程序的保護次是生產程序的保護次是生產程序的保護次是生產程序的保護資料隱密性與完整性資料隱密性與完整性資料隱密性與完整性資料隱密性與完整性資料隱密性與完整性資料隱密性與完整性資料隱密性與完整性資料隱密性與完整性

最重要最重要最重要最重要最重要最重要最重要最重要風險管理需風險管理需風險管理需風險管理需風險管理需風險管理需風險管理需風險管理需

求求求求求求求求

工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統IT IT 系統系統系統系統系統系統系統系統類別類別類別類別類別類別類別類別

資料來源資料來源資料來源資料來源：：：：Real world security for scada process control systems,Ed Goff, April, 2008

64

工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統弱點掃瞄弱點掃瞄弱點掃瞄弱點掃瞄弱點掃瞄弱點掃瞄弱點掃瞄弱點掃瞄Tenable Solution Tenable Solution 公司提供公司提供公司提供公司提供公司提供公司提供公司提供公司提供 SCADA SCADA pluginplugin– Nessus Direct Feed 和和和和 Security Center 的客戶可以下載的客戶可以下載的客戶可以下載的客戶可以下載 SCADA plugin

– 由由由由 Digital Bond 公司開發公司開發公司開發公司開發，，，，為為為為 Nessus 3 完成完成完成完成 32 個個個個 Plugin

– 被動弱點掃瞄程式被動弱點掃瞄程式被動弱點掃瞄程式被動弱點掃瞄程式（（（（Passive Vulnerability Scanner））））

– 可測試一些常用的可測試一些常用的可測試一些常用的可測試一些常用的 SCADA 設備與協定設備與協定設備與協定設備與協定

Areva/AlstomAreva/Alstom Energy Management Energy Management SystemSystemDNP3 Binary Inputs Access DNP3 Binary Inputs Access

DNP3 Link Layer Addressing DNP3 Link Layer Addressing

DNP3 Unsolicited MessagingDNP3 Unsolicited MessagingICCP/COTP Protocol ICCP/COTP Protocol -- COTP (ISO 7073)COTP (ISO 7073)

ICCP/COTP TSAP Addressing ICCP/COTP TSAP Addressing LiveDataLiveData ICCP Server ICCP Server

MatrikonMatrikon OPC Explorer OPC Explorer MatrikonMatrikon OPC Server for OPC Server for ControlLogixControlLogix

MatrikonMatrikon OPC Server for OPC Server for ModbusModbus

ModbusModbus/TCP Coil Access /TCP Coil Access ModbusModbus/TCP Discrete Input Access /TCP Discrete Input Access

ModiconModicon ModbusModbus/TCP Programming /TCP Programming Function Code Access Function Code Access

ModiconModicon PLC CPU TypePLC CPU TypeModiconModicon PLC Default FTP PasswordPLC Default FTP Password

ModiconModicon PLC Embedded HTTP Server PLC Embedded HTTP Server

ModiconModicon PLC HTTP Server Default PLC HTTP Server Default Username/Password Username/Password

ModiconModicon PLC IO Scan Status PLC IO Scan Status

ModiconModicon PLC PLC ModbusModbus Slave Mode Slave Mode ModiconModicon PLC Telnet Server PLC Telnet Server

ModiconModicon PLC Web Password Status PLC Web Password Status National Instruments LookoutNational Instruments Lookout

OPC DA Server OPC DA Server OPC Detection OPC Detection

OPC HDA Server OPC HDA Server

Siemens S7Siemens S7--SCLSCLSiemens SIMATIC PDM Siemens SIMATIC PDM

SiemensSiemens--TelegyrTelegyr ICCP Gateway ICCP Gateway SiscoSisco OSI/ICCP StackOSI/ICCP Stack

SiscoSisco OSI Stack Malformed Packet OSI Stack Malformed Packet VulnerabilityVulnerability

Tamarack IEC 61850 Server Tamarack IEC 61850 Server

TelventTelvent OASySOASyS System System

http://www.digitalbond.com/

65

工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統組態稽核組態稽核組態稽核組態稽核（（（（組態稽核組態稽核組態稽核組態稽核（（（（11））））））））Digital Bond Digital Bond 公司的公司的公司的公司的公司的公司的公司的公司的 Bandolier Bandolier 計計計計畫畫畫畫計計計計畫畫畫畫– 美國能美國能美國能美國能源源源源部部部部「「「「Cyber Security Audit and Attack Detection

Toolkit」」」」計計計計畫畫畫畫的一的一的一的一部部部部份份份份

撰撰撰撰寫控寫控寫控寫控制制制制系統應系統應系統應系統應用元用元用元用元件的件的件的件的組態組態組態組態最佳最佳最佳最佳實務實務實務實務文件文件文件文件撰撰撰撰寫控寫控寫控寫控制制制制系統應系統應系統應系統應用元用元用元用元件的件的件的件的組態組態組態組態最佳最佳最佳最佳實務實務實務實務文件文件文件文件– 針針針針對對對對在在在在Windows 和和和和 *NIX 系統系統系統系統上上上上執行執行執行執行的元的元的元的元件件件件– OS 與與與與 AP 之之之之查核查核查核查核，，，，涵蓋涵蓋涵蓋涵蓋網路通訊網路通訊網路通訊網路通訊設定設定設定設定、、、、擁擁擁擁有有有有者者者者與與與與權限權限權限權限、、、、服務服務服務服務與程與程與程與程序序序序、、、、使用者使用者使用者使用者管管管管理理理理、、、、其他其他其他其他安全安全安全安全設定設定設定設定

製作成製作成製作成製作成稽核檔案稽核檔案稽核檔案稽核檔案，，，，可可可可供供供供製作成製作成製作成製作成稽核檔案稽核檔案稽核檔案稽核檔案，，，，可可可可供供供供 NessusNessus 或或或或其他其他其他其他弱弱弱弱點點點點掃瞄工具掃瞄工具掃瞄工具掃瞄工具或或或或其他其他其他其他弱弱弱弱點點點點掃瞄工具掃瞄工具掃瞄工具掃瞄工具使用使用使用使用使用使用使用使用– OVAL（（（（Open Vulnerability and Assessment Language））））

• 資安業界標準，促進資安資訊的公開化• 以標準的格式讓資安工具與資安服務進行資訊的交換

– XCCDF（（（（eXtensible Configuration Checklist Description Format ））））

• 撰寫安全查核項目（Security Checklist）、測試結果及相關文件的標準

• XCCDF 文件以 XML 撰寫，安全組態規則以結構化的方式呈現

•• 此規範可支援資訊交換、文件的產製與組織、自動化符合性測試此規範可支援資訊交換、文件的產製與組織、自動化符合性測試

•• XCCDFXCCDF的研發由美國國安局主導的研發由美國國安局主導

66

工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統組態稽核組態稽核組態稽核組態稽核（（（（組態稽核組態稽核組態稽核組態稽核（（（（22））））））））已已已已完成完成完成完成與開與開與開與開發發發發中中中中的的的的稽核檔案清單稽核檔案清單稽核檔案清單稽核檔案清單已已已已完成完成完成完成與開與開與開與開發發發發中中中中的的的的稽核檔案清單稽核檔案清單稽核檔案清單稽核檔案清單

67

工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統工業控制系統組態稽核組態稽核組態稽核組態稽核（（（（組態稽核組態稽核組態稽核組態稽核（（（（33））））））））

http://www.digitalbond.com/wiki/index.php/List_of_Bandolier_Audit_Files

68

工業控制系統組態稽核工業控制系統組態稽核工業控制系統組態稽核工業控制系統組態稽核（（（（工業控制系統組態稽核工業控制系統組態稽核工業控制系統組態稽核工業控制系統組態稽核（（（（44））））））））

運用稽核檔案與運用稽核檔案與運用稽核檔案與運用稽核檔案與運用稽核檔案與運用稽核檔案與運用稽核檔案與運用稽核檔案與 NessusNessus 進行符合性驗證進行符合性驗證進行符合性驗證進行符合性驗證進行符合性驗證進行符合性驗證進行符合性驗證進行符合性驗證

69

ICS ICS 測試平台測試平台測試平台測試平台（（（（測試平台測試平台測試平台測試平台（（（（11））））））））針對工針對工針對工針對工業控業控業控業控制制制制系統之系統之系統之系統之威脅與弱威脅與弱威脅與弱威脅與弱點點點點進行進行進行進行研究研究研究研究，，，，進進進進而發而發而發而發展弱展弱展弱展弱針對工針對工針對工針對工業控業控業控業控制制制制系統之系統之系統之系統之威脅與弱威脅與弱威脅與弱威脅與弱點點點點進行進行進行進行研究研究研究研究，，，，進進進進而發而發而發而發展弱展弱展弱展弱點修補點修補點修補點修補與與與與系統系統系統系統強化強化強化強化的方法的方法的方法的方法點修補點修補點修補點修補與與與與系統系統系統系統強化強化強化強化的方法的方法的方法的方法– 廠區的工業廠區的工業廠區的工業廠區的工業控制系統控制系統控制系統控制系統為為為為 7X24 生產所生產所生產所生產所需需需需，，，，現現現現場場場場進進進進行行行行威脅威脅威脅威脅、、、、弱弱弱弱點之點之點之點之分分分分析具析具析具析具備高備高備高備高風險風險風險風險

– 不不不不慎慎慎慎造成生產中斷造成生產中斷造成生產中斷造成生產中斷，，，，其效其效其效其效果果果果與與與與駭客駭客駭客駭客攻擊攻擊攻擊攻擊、、、、資資資資訊訊訊訊戰戰戰戰無無無無異異異異

SCADA SCADA 弱弱弱弱點點點點與威脅與威脅與威脅與威脅的的的的測試測試測試測試弱弱弱弱點點點點與威脅與威脅與威脅與威脅的的的的測試測試測試測試– 電腦模電腦模電腦模電腦模擬技術擬技術擬技術擬技術

– 建建建建置置置置 SCADA 測試測試測試測試平平平平台台台台

歐歐歐歐美美美美先進先進先進先進國國國國家家家家之之之之歐歐歐歐美美美美先進先進先進先進國國國國家家家家之之之之 SCADA SCADA 測試平台測試平台測試平台測試平台發發發發展展展展測試平台測試平台測試平台測試平台發發發發展展展展– 美國美國美國美國愛愛愛愛達達達達荷荷荷荷國國國國家家家家實驗室實驗室實驗室實驗室和和和和 Sandia 國國國國家家家家實驗室共實驗室共實驗室共實驗室共同同同同擁擁擁擁有及有及有及有及管管管管理的理的理的理的國國國國家家家家 SCADA 測試測試測試測試平平平平台台台台（（（（National SCADA Test Bed，，，，NSTB））））

– 加州加州加州加州柏克萊柏克萊柏克萊柏克萊大大大大學學學學結結結結合卡合卡合卡合卡內內內內基美基美基美基美隆隆隆隆大大大大學學學學和和和和 Vanderbilt 大大大大學學學學之之之之學者學者學者學者建建建建置置置置的的的的 SCADA 測試測試測試測試平平平平台台台台

– 瑞典瑞典瑞典瑞典與與與與荷荷荷荷蘭學者蘭學者蘭學者蘭學者合作合作合作合作建建建建置置置置的的的的 SCADA測試測試測試測試平平平平台台台台

– 歐歐歐歐盟盟盟盟聯合聯合聯合聯合研究研究研究研究中中中中心心心心（（（（Joint Research Center，，，，JRC））））所發所發所發所發展展展展的的的的模模模模擬擬擬擬電廠電廠電廠電廠

70

ICS ICS 測試平台測試平台測試平台測試平台（（（（測試平台測試平台測試平台測試平台（（（（22））））））））

資料來源資料來源資料來源資料來源：：：：Experimental security platforms for SCADA security，，，，Marcelo Masera，，，，第二屆國家第二屆國家第二屆國家第二屆國家關鍵基礎建設保護國際研討會關鍵基礎建設保護國際研討會關鍵基礎建設保護國際研討會關鍵基礎建設保護國際研討會，，，，2009 年年年年 12 月月月月

71

ICS ICS 測試平台測試平台測試平台測試平台（（（（測試平台測試平台測試平台測試平台（（（（33））））））））

資料來源資料來源資料來源資料來源：：：：Experimental security platforms for SCADA security，，，，Marcelo Masera，，，，第二屆國家第二屆國家第二屆國家第二屆國家關鍵基礎建設保護國際研討會關鍵基礎建設保護國際研討會關鍵基礎建設保護國際研討會關鍵基礎建設保護國際研討會，，，，2009 年年年年 12 月月月月

72

StuxnetStuxnet 蠕蟲蠕蟲蠕蟲蠕蟲（（（（蠕蟲蠕蟲蠕蟲蠕蟲（（（（11））））））））

一一一一種種種種一一一一種種種種 Internet Internet 蠕蟲蠕蟲蠕蟲蠕蟲蠕蟲蠕蟲蠕蟲蠕蟲– 可能可能可能可能在在在在一年一年一年一年多多多多以前以前以前以前即即即即開發開發開發開發完完完完成成成成– 2010 年年年年 7 月被發現月被發現月被發現月被發現

各種防毒軟體各種防毒軟體各種防毒軟體各種防毒軟體都都都都已經已經已經已經可以可以可以可以偵測偵測偵測偵測各種防毒軟體各種防毒軟體各種防毒軟體各種防毒軟體都都都都已經已經已經已經可以可以可以可以偵測偵測偵測偵測

感染超過感染超過感染超過感染超過感染超過感染超過感染超過感染超過 50000 50000 部部部部部部部部 Windows Windows 電腦電腦電腦電腦電腦電腦電腦電腦感染感染感染感染感染感染感染感染 14 14 個個個個控控控控制制制制系統系統系統系統（（（（個個個個控控控控制制制制系統系統系統系統（（（（Control Control SystemSystem））））））））– 其其其其中中中中多多多多數數數數在在在在德德德德國國國國– 針針針針對西對西對西對西門門門門子製子製子製子製造的造的造的造的 SIMATIC 可程式可程式可程式可程式邏輯邏輯邏輯邏輯控控控控制器制器制器制器（（（（Programmer Control Logic, PLC））））

– 會修改會修改會修改會修改 PLC 內內內內的的的的資料資料資料資料– 作作作作者者者者具具具具備備備備深深深深入的入的入的入的控制系統知控制系統知控制系統知控制系統知識識識識

沒沒沒沒有任何有任何有任何有任何災害災害災害災害發生發生發生發生沒沒沒沒有任何有任何有任何有任何災害災害災害災害發生發生發生發生– 傳傳傳傳言言言言印印印印度的度的度的度的 INSAT-4B 衛星衛星衛星衛星在在在在 7 月月月月份份份份的的的的失失失失效效效效與與與與 Stuxnet有關有關有關有關

73


透透透透過過過過透透透透過過過過 USB USB 隨隨隨隨身碟身碟身碟身碟感染感染感染感染隨隨隨隨身碟身碟身碟身碟感染感染感染感染Windows Windows 電腦電腦電腦電腦電腦電腦電腦電腦

使用使用使用使用數數數數種種種種網路網路網路網路傳播傳播傳播傳播、、、、感染感染感染感染機制機制機制機制，，，，並可能並可能並可能並可能取取取取得受害電腦的得受害電腦的得受害電腦的得受害電腦的控制權控制權控制權控制權使用使用使用使用數數數數種種種種網路網路網路網路傳播傳播傳播傳播、、、、感染感染感染感染機制機制機制機制，，，，並可能並可能並可能並可能取取取取得受害電腦的得受害電腦的得受害電腦的得受害電腦的控制權控制權控制權控制權– 利用利用利用利用已知已知已知已知且有且有且有且有修補修補修補修補程式的程式的程式的程式的弱點弱點弱點弱點

– 利用利用利用利用 4 個個個個「「「「零零零零時時時時差差差差」」」」弱點弱點弱點弱點

StuxnetStuxnet 感染電腦感染電腦感染電腦感染電腦後後後後不會進不會進不會進不會進行行行行任任任任何破壞何破壞何破壞何破壞活動活動活動活動感染電腦感染電腦感染電腦感染電腦後後後後不會進不會進不會進不會進行行行行任任任任何破壞何破壞何破壞何破壞活動活動活動活動– 不不不不偷偷偷偷信用卡號信用卡號信用卡號信用卡號/銀行帳銀行帳銀行帳銀行帳號或號或號或號或任何任何任何任何資資資資料料料料

– 不不不不把把把把受害電受害電受害電受害電腦變腦變腦變腦變成成成成殭屍殭屍殭屍殭屍電電電電腦腦腦腦

– 不不不不破壞破壞破壞破壞電電電電腦腦腦腦運運運運作作作作或影響電或影響電或影響電或影響電腦效腦效腦效腦效能能能能

– 搜尋搜尋搜尋搜尋 Siemens SIMATIC PLC 並進並進並進並進行植行植行植行植入入入入

會安會安會安會安裝裝裝裝會安會安會安會安裝裝裝裝 Windows Windows 驅驅驅驅動動動動程式程式程式程式驅驅驅驅動動動動程式程式程式程式– 利用利用利用利用偷來偷來偷來偷來的合的合的合的合法憑證法憑證法憑證法憑證

– 7/16 憑證憑證憑證憑證到到到到期期期期後後後後，，，，7/17 開開開開始始始始利用另一個利用另一個利用另一個利用另一個偷來偷來偷來偷來的的的的憑證憑證憑證憑證

更更更更新新新新更更更更新新新新– 連連連連回馬來西亞回馬來西亞回馬來西亞回馬來西亞或或或或丹麥丹麥丹麥丹麥的兩部的兩部的兩部的兩部更新更新更新更新伺服伺服伺服伺服器器器器

– P2P更新更新更新更新，，，，兩部受害電兩部受害電兩部受害電兩部受害電腦腦腦腦會會會會彼彼彼彼此查此查此查此查核版本核版本核版本核版本

自殺日自殺日自殺日自殺日：：：：自殺日自殺日自殺日自殺日：：：：2012.6.242012.6.24，，，，屆屆屆屆時不時不時不時不再再再再感染感染感染感染且且且且自自自自我我我我消消消消滅滅滅滅，，，，屆屆屆屆時不時不時不時不再再再再感染感染感染感染且且且且自自自自我我我我消消消消滅滅滅滅

74


Ralph Ralph LangnerLangner 合理懷疑合理懷疑合理懷疑合理懷疑是是是是某某某某國國國國政府幹政府幹政府幹政府幹的的的的合理懷疑合理懷疑合理懷疑合理懷疑是是是是某某某某國國國國政府幹政府幹政府幹政府幹的的的的– Stuxnet非非非非常常常常複雜複雜複雜複雜且且且且精心設精心設精心設精心設計計計計，，，，估估估估計計計計其其其其發發發發展展展展、、、、測試測試測試測試需需需需要要要要 4 ~ 5 人年人年人年人年，，，，經經經經費充費充費充費充裕裕裕裕

– 一一一一般駭客很少般駭客很少般駭客很少般駭客很少一次一次一次一次用用用用 4 個個個個「「「「零零零零時時時時差差差差」」」」弱弱弱弱點點點點，，，，顯然顯然顯然顯然對於攻擊對於攻擊對於攻擊對於攻擊目目目目標標標標是是是是志志志志在在在在必必必必得得得得

– 攻擊攻擊攻擊攻擊標標標標的可能是的可能是的可能是的可能是伊朗伊朗伊朗伊朗的的的的 Bushehr核核核核電廠電廠電廠電廠（（（（興興興興建建建建中中中中））））

• 伊朗的感染率高

• Bushehr核電廠的俄羅斯承包商，在其他感染率高的國家（印度、印尼、巴基斯坦）也有工程合約

Bruce Bruce SchneierSchneier 的的的的猜測猜測猜測猜測的的的的猜測猜測猜測猜測– 失控失控失控失控的的的的科科科科學學學學/資資資資訊訊訊訊戰戰戰戰實驗實驗實驗實驗？？？？

– 犯罪集團犯罪集團犯罪集團犯罪集團用用用用來來來來展展展展示攻擊廠區的能示攻擊廠區的能示攻擊廠區的能示攻擊廠區的能力力力力？？？？

– 傳遞傳遞傳遞傳遞「「「「我們我們我們我們已經已經已經已經能攻擊能攻擊能攻擊能攻擊控制系統控制系統控制系統控制系統」」」」的訊的訊的訊的訊息息息息？？？？

– 美國美國美國美國軍軍軍軍方方方方故故故故意意意意釋出釋出釋出釋出以以以以要脅要脅要脅要脅政政政政府多府多府多府多給給給給資資資資訊訊訊訊戰戰戰戰預算預算預算預算？？？？

75

CyberStormCyberStorm 演練演練演練演練（（（（演練演練演練演練（（（（11））））））））

CyberStormCyberStorm– 2006.2.6 ~ 2006.2.10

– 超超超超過過過過 100 個政個政個政個政府府府府或或或或私私私私營營營營單單單單位位位位（（（（政政政政府機府機府機府機關關關關、、、、協協協協會會會會、、、、公司公司公司公司））））參參參參與與與與

– 參參參參與與與與者者者者位於位於位於位於 5 個國個國個國個國家家家家的的的的 60 個地點個地點個地點個地點

– 在在在在受受受受控制控制控制控制的環境的環境的環境的環境讓參讓參讓參讓參與與與與者者者者演練演練演練演練大規模大規模大規模大規模資資資資安事安事安事安事故應故應故應故應變變變變，，，，事事事事故故故故涉涉涉涉及及及及多多多多個重個重個重個重要要要要基基基基礎礎礎礎建建建建設設設設同時中斷服務同時中斷服務同時中斷服務同時中斷服務

• 資訊分享機制

• 建立狀況認知的程序

• 私營機關的決策

• 危及國家安全的資安事故發生時的公眾通訊

CyberStormCyberStorm IIII– 2008.3.10 ~ 2008.3.14

– 模模模模擬跨領域擬跨領域擬跨領域擬跨領域（（（（IT、、、、通訊通訊通訊通訊、、、、化學化學化學化學、、、、交交交交通通通通））））事事事事故故故故• 三個主要情境：Internet 中斷、通訊中斷及控制系統事故

– 參參參參與與與與者者者者包括包括包括包括 18 個聯個聯個聯個聯邦邦邦邦政政政政府府府府單單單單位位位位、、、、9個州個州個州個州、、、、5個國個國個國個國家家家家（（（（美美美美、、、、英英英英、、、、加加加加、、、、紐紐紐紐、、、、澳澳澳澳））））及約及約及約及約 40 個公司個公司個公司個公司

76

CyberStormCyberStorm 演練演練演練演練（（（（演練演練演練演練（（（（22））））））））

CyberStormCyberStorm IIIIII– 測試測試測試測試政政政政府部門府部門府部門府部門和和和和 60 個個個個民民民民間間間間單單單單位位位位面面面面對大規模對大規模對大規模對大規模 Cyber Attack 的的的的應應應應變變變變

– 目目目目標標標標• 測試國土安全部於 2009 年公布的國家網際空間事故應變計畫（National Cyber Incident Response Plan）

• 驗證網際空間攻擊相關資訊是否在參與組織之間適當的分享

– 參參參參加加加加單單單單位與人位與人位與人位與人員員員員• 司法、能源、國防、交通、國務院、白宮、跨州ISAC（Multi-

State ISAC）等政府單位

• 來自加州、賓州、紐約等地的官員

• 來自加拿大、法國、德國、英國等12個國家的官員

– 設設設設計計計計超超超超過過過過 1500 個個個個注注注注入事入事入事入事件件件件可可可可隨隨隨隨時時時時注注注注入入入入演練演練演練演練情境情境情境情境

– 演練演練演練演練採模採模採模採模擬擬擬擬攻擊攻擊攻擊攻擊方方方方式式式式，，，，並未攻擊並未攻擊並未攻擊並未攻擊維維維維運中的網路運中的網路運中的網路運中的網路

– 在在在在美國美國美國美國秘勤秘勤秘勤秘勤局局局局（（（（U.S. Secret Service ））））總部建總部建總部建總部建立演練立演練立演練立演練控制控制控制控制中中中中心心心心，，，，約約約約 100 名名名名參參參參與與與與者者者者從從從從告告告告示示示示板板板板得得得得知知知知一連一連一連一連串串串串的的的的注注注注入事入事入事入事件件件件並進並進並進並進行行行行應應應應變變變變

77







78

ISAC ISAC 效益效益效益效益效益效益效益效益

建建建建立系統立系統立系統立系統化化化化的資訊交的資訊交的資訊交的資訊交換及協調機制換及協調機制換及協調機制換及協調機制建建建建立系統立系統立系統立系統化化化化的資訊交的資訊交的資訊交的資訊交換及協調機制換及協調機制換及協調機制換及協調機制

讓所有讓所有讓所有讓所有從從從從業業業業者與利益相關團體者與利益相關團體者與利益相關團體者與利益相關團體在在在在安全威脅安全威脅安全威脅安全威脅影響影響影響影響或或或或攻擊攻擊攻擊攻擊讓所有讓所有讓所有讓所有從從從從業業業業者與利益相關團體者與利益相關團體者與利益相關團體者與利益相關團體在在在在安全威脅安全威脅安全威脅安全威脅影響影響影響影響或或或或攻擊攻擊攻擊攻擊之前之前之前之前獲獲獲獲得有得有得有得有效效效效的的的的預警與建議預警與建議預警與建議預警與建議之前之前之前之前獲獲獲獲得有得有得有得有效效效效的的的的預警與建議預警與建議預警與建議預警與建議

從從從從業業業業者與利益相關團體者與利益相關團體者與利益相關團體者與利益相關團體可報告可報告可報告可報告安全安全安全安全事事事事故故故故並並並並取取取取得業得業得業得業界先界先界先界先從從從從業業業業者與利益相關團體者與利益相關團體者與利益相關團體者與利益相關團體可報告可報告可報告可報告安全安全安全安全事事事事故故故故並並並並取取取取得業得業得業得業界先界先界先界先進專家進專家進專家進專家的的的的安全安全安全安全分分分分析析析析資訊資訊資訊資訊，，，，包括威脅包括威脅包括威脅包括威脅、、、、攻擊攻擊攻擊攻擊、、、、弱弱弱弱點點點點、、、、解解解解進專家進專家進專家進專家的的的的安全安全安全安全分分分分析析析析資訊資訊資訊資訊，，，，包括威脅包括威脅包括威脅包括威脅、、、、攻擊攻擊攻擊攻擊、、、、弱弱弱弱點點點點、、、、解解解解決決決決方方方方案案案案、、、、最佳最佳最佳最佳安全實務安全實務安全實務安全實務、、、、其其其其它保護措施它保護措施它保護措施它保護措施等等等等決決決決方方方方案案案案、、、、最佳最佳最佳最佳安全實務安全實務安全實務安全實務、、、、其其其其它保護措施它保護措施它保護措施它保護措施等等等等– 有關有關有關有關實實實實體體體體安全安全安全安全（（（（Physical Security））））的分的分的分的分析析析析資資資資訊訊訊訊

– 有關電有關電有關電有關電子子子子事事事事件件件件（（（（Electronic Incidents））））的分的分的分的分析析析析資資資資訊訊訊訊

讓讓讓讓決策者與決策者與決策者與決策者與緊急應變人員得以有緊急應變人員得以有緊急應變人員得以有緊急應變人員得以有效效效效因應影響因應影響因應影響因應影響重要基礎重要基礎重要基礎重要基礎讓讓讓讓決策者與決策者與決策者與決策者與緊急應變人員得以有緊急應變人員得以有緊急應變人員得以有緊急應變人員得以有效效效效因應影響因應影響因應影響因應影響重要基礎重要基礎重要基礎重要基礎建建建建設設設設安全安全安全安全的大的大的大的大規模規模規模規模事事事事故故故故建建建建設設設設安全安全安全安全的大的大的大的大規模規模規模規模事事事事故故故故

ISAC 是安全資訊彙整的中心

79

ISAC ISAC 未來發展未來發展未來發展未來發展（（（（未來發展未來發展未來發展未來發展（（（（11））））））））

建建建建立國立國立國立國家家家家資訊分資訊分資訊分資訊分享策略享策略享策略享策略建建建建立國立國立國立國家家家家資訊分資訊分資訊分資訊分享策略享策略享策略享策略

– 美國美國美國美國已已已已發發發發佈佈佈佈 National Strategy for Information Sharing, Oct. 2007

– 建建建建立立立立資資資資訊分訊分訊分訊分享享享享指指指指導原則導原則導原則導原則

• 鑑別立即與長期的威脅

• 鑑別資訊戰與恐怖活動相關

的人

• 實作資訊導向與風險導向的偵測、防範、嚇阻、應變、

保護、緊急事故管理

80

ISAC ISAC 未來發展未來發展未來發展未來發展（（（（未來發展未來發展未來發展未來發展（（（（22））））））））

建全資訊分享環境建全資訊分享環境建全資訊分享環境建全資訊分享環境建全資訊分享環境建全資訊分享環境建全資訊分享環境建全資訊分享環境

– 建建建建立資訊分立資訊分立資訊分立資訊分享環境享環境享環境享環境的的的的專案專案專案專案，，，，透過跨透過跨透過跨透過跨部部部部會會會會的資訊分的資訊分的資訊分的資訊分享享享享委委委委員員員員會會會會，，，，規劃與規劃與規劃與規劃與監監監監督督督督資訊分資訊分資訊分資訊分享環境享環境享環境享環境的的的的實實實實作作作作與與與與管管管管理理理理

• 參考美國 2004年「情報重建與恐怖主義防範方案（Intelligence Reform and Terrorism Prevention Act of 2004；IRTPA）

– 強化民強化民強化民強化民間間間間產產產產業業業業與政府與政府與政府與政府之間的資訊分之間的資訊分之間的資訊分之間的資訊分享享享享，，，，鼓勵民鼓勵民鼓勵民鼓勵民間間間間產產產產業業業業自願性自願性自願性自願性的分的分的分的分享享享享其其其其敏感敏感敏感敏感、、、、與安全相關與安全相關與安全相關與安全相關的業的業的業的業務務務務資訊資訊資訊資訊

– 修修修修訂訂訂訂法律讓資訊分法律讓資訊分法律讓資訊分法律讓資訊分享易享易享易享易於於於於實實實實現現現現

• 例如：美國民間產業所提交的資訊如果合乎2002 年的關鍵民生基礎建設資訊法案的定義，則需依法進行嚴格的存取管控，且該資訊將受到資訊自由法案（The Freedom of Information Act, FOIA）、州政府/地方政府資訊揭露法規的保護，並不得用於民事訴訟

– 發發發發展展展展通報通報通報通報者身份隱匿者身份隱匿者身份隱匿者身份隱匿的的的的技術技術技術技術

– 建置安全建置安全建置安全建置安全、、、、專屬專屬專屬專屬的資訊分的資訊分的資訊分的資訊分享網路享網路享網路享網路

81







isac 安全資訊分享與分析中心應用與發展

Documents