行政院進行資安攻防演練時,首度將維運超過30年的核二廠,納入情境演練中。

圖片來源: 

臺灣電力公司

行政院每年都會針對政府部會重要機關進行資安攻防演練,隨著國際恐怖攻擊的風險增加,今年負責攻防演練的行政院資通安全辦公室,在情境演練部分則鎖定核二廠等4個重要能源與交通關鍵基礎設施;實兵演練則以行政院二級機關包含三、四級機關共用系統為主。

行政院副院長張善政表示,許多恐怖攻擊都以癱瘓國家重要關鍵基礎建設為主,政府首度透過情境演練,找出核二廠封閉機組系統沒發現到的盲點與解法;實兵演練則發現58個具有遠端遙控的關鍵弱點(佔全體系統17%),弱點類型則以敏感資訊曝露為主要風險,而部會機關開發的系統弱點數量,2倍於共用系統的弱點。

核二廠的封閉系統潛藏資安風險,情境演練找出忽略的盲點

近年來,許多國家都越來越重視關鍵基礎設施工控系統(SCADA)的安全性,行政院資通安全辦公室諮議周智禾表示,行政院也跟上國際這波重視關鍵基礎設施安全的潮流,從去年起,行政院在進行網路攻防演練時,便首度鎖定交通和通訊的關鍵基礎設施作為情境演練對象,因為這些關鍵基礎設施都無法停機或者是實際發動攻擊進行測試,都是以情境設計模擬現場人員的因應方式,能否針對不同的情境,在15分鐘內,找出可行的解決之道,若無法找出解決之道,就表示已經出現無法解決的盲點,必須更集思廣益去克服困難。

政府去年首度嘗試針對關鍵基礎設施進行情境演練,測試的對象包括:新北市交通局的系統以及由TWNIC代管的DNS網域伺服器的安全。而今年行政院進行情境演練鎖定的對象,更進一步以多數人更關切的能源和交通的單位為主,包含核二廠、大林煉油廠、松山機場及花蓮港務分公司作為主要情境演練的對象。這也是政府首度針對核二廠進行情境演練。

行政院資通安全辦公室主任蕭秀琴表示,由於核二廠運作超過30年,許多資深員工都認為,封閉系統只要不對外連網都是安全的,但蕭秀琴指出,許多風險不只來自外部連網,像是內部人員輸入的參數錯誤、人員被收買,甚至封閉系統必須依賴USB隨身碟作為資料傳輸時,是否有考慮到上述各種情境的安全性,都是這次情境演練的重點。她也說,在經過8次的溝通後,也在具有資訊背景的副廠長帶領下,盤點內部系統,找出有可能有潛在風險的系統作為情境模擬的題目。

此次,情境演練便針對核二廠進行故障時的沙盤情境推演,鎖定的重要情境有4個,包括了狀況一,核電廠DEH自動控制器處理模組故障,人機介面操作電腦也遭植入病毒。狀況二,內部人員蓄意竄改RCF Foxboro軟體參數,導致核電廠內再循環流量產生異常。狀況三則是採用微軟Windows Server的核電廠緊急應變系統ERF,在安裝系統弱點修補程式時遭到病毒感染。最後一個狀況是,當核二廠人員要測試操作狀況一遭病毒感染的DEH人機介面來執行指令時,不慎觸發了惡意程式。

「由於核二廠維運年限比較久,多數的系統都以類比為主。」周智禾表示,核二廠針對設計的情境,以往的演練通常更在意實體安全、或者是核災發生的因應等等,但是,核二廠人員經過這次情境演練後,沒原本以為不錯的因應之道,也藉由現場專家不停的追問,在過程中另外發現一些以往忽略的盲點,對核二廠成員而言,都有進一步改進的空間。不過,究竟核二廠在系統上或者是因應措施上出現哪些盲點,張善政表示,有鑑於關鍵基礎設施與國家安全息息相關,更多的情境攻防演練細節,則不便對外揭露。

行政院二級機關及共用系統中,近2成有可遠端遙控的關鍵漏洞

在實兵演練中,由技術服務中心負責進行滲透測試與弱點掃描,鎖定行政院所屬32個二級機關部會以包含三、四級機關的共用系統。蕭秀琴表示,在今年7月,曾經進行資訊系統分級作業規畫,所以盤點出許多政府機關自己或許已經遺忘的孤兒系統,或者是現在已經不再使用卻沒有下線的系統,總數有1,322個系統。

周智禾表示,此次實兵演練總共找到339個弱點,其中有58個弱點屬於高風險的關鍵弱點,這些關鍵弱點都具有可以取得管理員權限或進行遠端操控的特性,佔整體系統將近2成(17%),系統的平均弱點為0.256個。他進一步指出,此次找到的弱點超過4成(40.7%)是敏感資訊曝露,約有120~130個系統可以透過一些錯誤訊息,看到部分原始碼而發動攻擊;其次為跨站腳本攻擊( XSS),佔比為25.1%;第三名則是不當的安全組態設定,佔比不到一成(8.6%)。

張善政表示,若比較二級機關自行開發的部會系統,以及和三、四級機關的共用系統的安全性,部會開發系統的平均弱點為0.273個,高於平均值,但共用系統的平均弱點只有0.125個,只有部會系統平均弱點不到一半。他認為,顯見共用系統的當責單位一開始就有意識到,這套系統涉及層面廣,從開發到維運都相關謹慎。蕭秀琴補充,這些實兵演練發現的高風險關鍵弱點,已經優求二級機關在11月底前完成修補,其餘低風險的弱點,也必須在2個月內向資安報提交修復進度的報告。

電子郵件社交工程演練歷年來表現最好

另外,每年都有進行的電子郵件社交工程演練,從網路上找到32個行政院二級機關可找到總計960個電子郵件帳號,共隨機寄送3種社交工程郵件到每個電子信箱,張善政表示,今年總共只有4個機關的7名員工開啟寄送的社交工程郵件,社交工程郵件開啟率為0.73%,點閱率更只有0.1%,是歷年來最低郵件開啟率和點閱率。他認為,這也意味政府公務人員對於社交工程郵件的意識的確有逐漸提高。

蕭秀琴表示,今年是第三年的資安攻防演練,也首度出現有6個部會在實兵演練和電子郵件社交工程演練的部分都拿到滿分,這也證明,資安的改善和強化,是可以透過循循善誘以及各種不同的演練和提醒,將這樣的資安種子種植在每一個機關部會的公務員心中。這也是這次資安攻防演練過程中,最大的驚喜。


Advertisement

更多 iThome相關內容