情境示意圖(iThome檔案照)

經濟部管理的業務型態包山包海、種類繁多,政府為了強化對於關鍵基礎設施業者的資安管理,藉由依序打造各種相關的資安平臺,納管相關的關鍵基礎設施業者。

經濟部資訊中心主任馬正維表示,八大關鍵基礎設施業者中,經濟部同時肩負政府機關水利署提供的水資源關鍵基礎設施的管理,以及包括油、水、電等民間能源業者的管理。

由於我國政府揭櫫「資安即國安」的政策方針,加上資通安全管理法已經於今年一月一日正式實施,主管機關就可以善用資安法對於關鍵基礎設施服務提供者(CI)的規範,要求相關業者。

根據「第五期國家資通安全發展方案」(2017年~2020年),該部也擬定「經濟部關鍵基礎設施安全維護計畫」。馬正維說,為了強化能源及水資源關鍵資訊基礎設施的安全,便建置開發經濟部資安資訊分享與分析平臺(簡稱E-ISAC),並透過國家資安情資分享中心(N-ISAC)與其他領域ISAC進行串接,建立跨領域的資安聯防機制,並為關鍵資訊基礎建設的整體資安防護奠定基礎,提升能源與水資源領域關鍵基礎設施領域的資通安全。

2018年經濟部完成E-ISAC的建置後,便透過情資蒐集、分享與分析機制,與下屬機關完成情資交換,例如,向下和能源局PE-ISAC、水利署W-ISAC、國營事業中油、台電、臺水等ISAC介接外,也向上與N-ISAC介接。

以2019年1、2月為例,E-ISAC共發布38篇資安情資,包含來自國內外資安組織、N-ISAC、其他下屬ISAC之資安情資;他們亦分享20篇資安情資給下屬ISAC,並上傳3篇資安情資給 N-ISAC。該期間E-ISAC會員瀏覽資安情資,合計 442人次,已發揮情資交流分享效益。

「經濟部做事都要想到產業發展,」馬正維笑說,油、水、電的OT(營運技術)與IT是分開的,但多數臺灣資訊服務業者對OT並不了解。因此,便由經濟部出面說服油、水、電等相關業者,開OT測試場域(Test Bed),提供臺灣資服業者練功。

經濟部資訊中心主任馬正維指出,政府協調業者提供測試場域,強化臺灣資安業者實力。(攝影/洪政偉)

經濟部出面,要求油水電業者開放測試場域

為了讓相關的油水電業者對提供測試場域安心,他指出,經濟部也定下開放原則,包括:不影響油水電場既有的運作;資安業者不直接連至油水電場的工控設備;以及,臺灣資安業者對於收到各種測試資料都不外傳。

馬正維表示,在提供測試場域時,經濟部也堅持要由臺灣資安業者主導,透過與外國業者合作的方式,學習國外的作業方式,希望可以提升臺灣資安業者對OT系統的了解與掌握度。

由於能源及水資源領域的廠區維運人員,過去較少接觸資訊與資安相關技術與管理議題,且在OT環境下,多關注可用性與人身安全,並不了解OT安全的重要性,因此,馬正維認為,要如何提升廠商人員的資安意識是一大挑戰。

2020年預計建置二線SOC,但目前能源與水資源領域的業者,都是經由OT的入侵偵測系統設備的鏡射埠(mirror port),將資料匯出,但仍有安全性考量,因此,在無法取得資料的情況下,二線SOC如何有效運作仍是考驗。

 相關報導  打造國家級資安情報力


Advertisement

更多 iThome相關內容