安全資訊分享與分析中心應用與發展

顧寶裕, CISSP, CISA

pykuo@yahoo.com
2010年 12 月
2010年
 簡報大綱
引言
安全資訊分享與分析中心(ISAC)緣起與功能
ISAC應用現況
ISAC效益與未來發展
問答與討論

2
 簡報大綱
引言
安全資訊分享與分析中心(ISAC)緣起與功能
ISAC應用現況
ISAC效益與未來發展
問答與討論

3
 電信：
電信：中東海纜斷裂造成歐亞大當機
自由時報 2008-12-21
法國電信（
法國電信 （France Telecom）表示，
表示，連接
埃及與義大利的地中海三條海底電纜十九
日斷裂，
日斷裂，造成歐洲、
歐洲、中東與亞洲之間的網
路與電話通訊嚴重中斷。電信公司發言人
同時表示，
同時表示，斷裂原因不太可能是遭到攻擊
法國電信表示，
法國電信表示，正派遣船隻修理這些海
纜，但是修理船22日才會抵達，
日才會抵達，中斷情況
可能從25日開始獲得改善，
日開始獲得改善，31日服務才會
恢復正常
該公司表示，
該公司表示，歐洲和台灣、
歐洲和台灣、巴基斯坦、巴基斯坦、新
加坡、
加坡、馬來西亞、
馬來西亞、沙烏地阿拉伯和埃及之
間的通訊，
間的通訊，受到嚴重影響。
受到嚴重影響。卡達73％與阿
聯68％的對外聯繫受影響，沙烏地阿拉
伯、約旦的對外聯繫，
約旦的對外聯繫，則半數陷入斷線狀
態
4
 電力：
電力：Davis-Besse 核能電廠蠕蟲事故
SecurityFocus, Kevin Poulsen
2003 年發生SQL Slammer蠕蟲感染，蠕蟲感染，電廠位於美國俄亥俄州
– 電廠網路發生流量過載
• 電廠內稱為「Safety Parameter Display System」的監控系統變慢，且
服務中斷達 4 小時 50 分鐘
• 電廠的處理電腦（Process Computer）服務中斷達 6小時 9 分鐘
– 廠區的控制與防護系統並未受到影響
感染過程
– 第一能源公司的企業網路與 Davis-Besse 電廠的網路相連，
電廠的網路相連，且企業
網路對外有防火牆，
網路對外有防火牆，設定阻擋對內的 UDP 1434 port 連線。
連線。該公司
的外部顧問公司利用另一條 T1 專線直接連進其所開發的應用程式所
在的伺服主機，
在的伺服主機，此專線並無防火牆的保護
– 顧問公司的主機被 SQL Slammer 蠕蟲感染後，
蠕蟲感染後，透過該T1
透過該 專線進入
第一能源公司的企業網路，
第一能源公司的企業網路，並感染該網路上開啟 1434 port 的主機
事發時該電廠係處於下線未營運的狀態，
事發時該電廠係處於下線未營運的狀態，因此並未造成生命或環
境的損害

5
 電力：
電力：美東大停電
2003年8月14日下午4點15分，
美東及加拿大發生大停電，數
百萬名民眾生活秩序大亂
– 交通號誌失靈、交通糾結
– 數千人受困在窒悶的紐約地鐵和大
樓電梯內
– 店家、機場、紐約中央車站與聯合
國總部均關門停擺
– 美國4個州的9座核子反應爐
（Nuclear Reactors）停擺
– 聯邦航空管理局(Federal Aviation
Administration)暫停6個機場的航
班運作
– 每日運量達27,000車次的Detroit-
Windsor隧道也因停電而關閉
估計事故損失超過數十億美元

6
 醫療：
醫療：Medco 邏輯炸彈案例
InformationWeek Sep. 19, 2007
2005 年 1 月，Medco Health Solution 公司發現程式
設計師 Andy Lin 製作邏輯炸彈企圖摧毀公司的資料
該邏輯炸彈將刪除公司內約 70 部伺服器上的所有資料
該邏輯炸彈設定於特定日期、
該邏輯炸彈設定於特定日期、時間發作
– 第一次因為程式撰寫問題而未引爆
– 第二次發作之前，
第二次發作之前，Andy Lin 的同事發現了該腳本程式
（Script）
）並予以關閉
– 該腳本程式係分開儲存於不同的程式中，
該腳本程式係分開儲存於不同的程式中，不易被發現
攻擊成功的影響
– Medco 公司所生產的醫療產品可能缺貨進而危及某些病人的生
公司所生產的醫療產品可能缺貨進而危及某些病人的生
命安全或健康
命安全或健康

7
 金融：
金融：電腦病毒衝擊金融機構作業
大紀元5月3日報導 2004/5/3
中華郵政今天上午十點，
中華郵政今天上午十點，首度遭名為「
首度遭名為「殺手：
殺手：Sasser」的電腦病
毒大規模入侵！
毒大規模入侵！有近三分之一郵局電腦停擺，改採人工作業！
改採人工作業！中
華郵政表示：
華郵政表示：包括大台北地區合計有四百二十個郵局電腦無法開
機，郵局目
郵局目前正在還在在還在全力防堵以及
前正在還在全 力防堵以及搶
以及搶修當中！
週一一大早趕著
早趕著到郵局辦
一一大早趕著到郵局到郵局辦事的民眾都
民眾都得大排長龍
事的民眾都得大 排長龍！原因是上午十
得大排長龍！
點前後
點前後，各地郵局櫃臺使用 櫃臺使用的電腦陸續
地郵局櫃臺使用的電腦 陸續發生無法開機
發生無法開機的現象
的電腦陸續發生無法開 的現象，經
緊急研判是：應該是遭到了微軟
緊急研判是 微軟才剛剛公
該是遭到了微軟才 剛剛公布，來自歐洲，
來自歐洲，威力強
大的W32.sasser，所謂的殺手病毒入侵！
的殺手病毒入侵！
中華郵政初步統
初步統計，包括大台北地區有多
中華郵政初步統計 包括大台北地區有多達三百個支
達三百個支局的終端 終端電
局的終端電
腦全部
腦全部中毒無法使用
中毒無法使用，使用，其他包括台中
其他包括台中，
包括台中，高雄，
高雄，基隆等縣市還有
隆等縣市還有
120個支局也中毒，
中毒，終端作業無法運作的情況下
終端作業無法運作的情況下，
作業無法運作的情況下，包括儲匯
包括儲匯郵遞
等等作業，
作業，都只能改採人工處理
等等作業 都只能改採人工處理。
能改採人工處理。受病毒災
受病毒災情波及的郵局達到三
分之一左右
左右！
分之一左右！

8
 交通：
交通：操控火車轉轍器造成車禍
英國每日電訊報 2008.1.11 報導
一名 14 歲的波蘭青少年長期研究羅茲鎮（
歲的波蘭青少年長期研究羅茲鎮（Lods）
）的
火車和軌道，
火車和軌道，並修改了電視遙控器以操控火車和軌道
共造成四列火車出軌，
造成四列火車出軌，其他火車則必須緊急煞車而導致
乘客受傷，
乘客受傷，所幸該事件並未造成人員死亡
這名青少年將移動火車的最佳連接點和如何改變信號等
都詳細寫在學校的作業簿上

9
 交通：
交通：入侵地鐵收費系統
三名 MIT 大學部學生破解波士頓的通
勤付費系統（
勤付費系統（Charlie Card），成功的 ），成功的
讓卡片任意加值
三名學生準備發表論文之前，
三名學生準備發表論文之前，麻州海灣
交通局（
交通局（Massachusetts Bay
Transportation Authority，MBTA）
控告學生電腦詐欺，
控告學生電腦詐欺，請求法院禁止學生
在MBTA完成程式修補之前發表論文
George O‘Toole 法官裁定「
法官裁定「發表論文
不違反電腦詐欺法律」
不違反電腦詐欺法律」
三名學生 Zack Anderson、R.J.
Ryan、Alessandro Chiesa 因為該論
文得到修課最優成績
Defcon 簡報：
簡報：“Anatomy of a 10
subway hack”
 能源：
能源：輸油管破裂洩漏
年6月
1999年 月10日下午
日下午15時
日下午 時28
分，美國華盛頓州奧林匹克管
線公司(Olympic’s
線公司 Pipe Line
之16英吋輸油鋼管
Company)之 英吋輸油鋼管
於貝林罕（
於貝林罕（Bellingham） ）因壓
力失控而破裂
到貝林罕內的
汽油滲漏到
– 汽油滲漏 貝林罕內的兩條小溪
– 引起火災造成
起火災造成3死
造成 死8傷
傷
– 導致嚴重資
嚴重資產損失
產損失（約美金
約美金 4500
萬）
釋放出大約25萬
大約 萬加侖之汽油，
– 釋放出大約 汽油，造成
嚴重的環境污
嚴重的環境污染
輸油管監控系統無回應是造成
輸油管破裂最可能的原因 資料來源：
資料來源：US National Transportation Safety Board

11
 供水：
供水：水壩潰堤
托姆索克水壩（
托姆索克水壩（Taum Sauk Dam） ）位於美國密蘇里州山
區，壩高27公尺
壩高 公尺
於2005年 年12月
月14日上午
日上午5時
日上午 時12分
分，上水塘發生潰堤，
上水塘發生潰堤，
立方公尺的水在12分鐘內傾瀉而出
立方公尺的水在 分鐘內傾瀉而出
4,000,000立方公尺的水在
根據AmerenUE電力公司的報告
根據 電力公司的報告，
電力公司的報告，因其判定水位的
因其判定水位的PLC失
判定水位的 失
效，不知庫水知庫水已滿且溢流土石壩
已滿且溢流土石壩，最後發生潰堤
水壩下方亦
水壩下方亦無洩洪道的設計以
洩洪道的設計以釋放突
釋放突如其來
如其來的過量洪水
道的設計以釋放突如其 過量洪水
業主因未通報潰壩前數週已 數週已發生之小量溢流
因未通報潰壩前數週已發生之 小量溢流事件，
發生之小量溢流事件 事件，被聯邦
能源管制委員制委員會（FERC） ）罰款美
罰款美金 1500 萬

資料來源：
資料來源：US Federal Energy 12
Regulatory Commission
 污水處理：
污水處理：內賊造成廢水污染
澳洲昆士蘭省黃金海
昆士蘭省黃金海岸的馬盧奇郡
盧奇郡（Maroochy Shire）
的馬盧奇郡（ ）政府，其
新建的污水處理
污水處理系統
系統發生問題
處理系統發生問題
– 被攻擊的標的是一套工業控制系統，
被攻擊的標的是一套工業控制系統，涵蓋142個污水抽水站
涵蓋 個污水抽水站、
個污水抽水站、2個監
個監
控站與3個無線電頻道
控站與 個無線電頻道(Radio
個無線電頻道 Frequencies)
污水抽水站的無線電傳播
污水抽水站的無線電 傳播訊號消失，
的無線電傳播訊 號消失，使幫浦無法正常運作
使幫浦無法正常運作，
無法正常運作，且用
來警示工作人員
示工作人員的警報器亦失效
前任承包
任承包商利用筆記型電腦與無線電發
用筆記型電腦與無線電發射器
電腦與無線電發射器（射器（Radio
控制
Transmitter)控制 個污水抽水站
控制142個
個月內
個月內造成46次
3個月 造成 次、超過26萬 加侖的污水進入地區
萬4,000加 污水進入地區供水系統
進入地區供水系統
– 殘害海域生態
– 污染水質
– 發出難以忍受之惡臭
法院判決此次
院判決此次系統
系統攻擊事件
攻擊事件是因為承
此次系統攻擊事 是因為承包商失去馬
商失去馬盧奇郡政
盧奇郡政府的工
作而報復

13
 工業生產：
工業生產：工廠毒氣外洩事故
太陽報 10/01/2008
重慶發生重大毒氣洩漏
發生重大毒氣洩漏事 氣洩漏事故。該市巴南區一間化學
化學原料公司，
區一間化學原 公司，昨
日下午二時左右
日下午二時左右，左右，發生有毒氣體硫化氫洩漏
氣體硫化氫洩漏，造成五
有毒氣體硫化氫洩漏，造成五人死亡十一
死亡十一
人受傷
人受傷。當局隨即疏散廠區人
隨即疏散廠區人員
廠區人員，情況已
情況已得到控制
得到控制
據消防隊員稱，已關閉化
據消防隊員稱， 關閉化工廠的硫化氫閥門
硫化氫閥門，所有人員均已疏
工廠的硫化氫閥門，所有人員均已疏
散。傷者被
傷者被送往重送往重慶市第慶市第七人民醫院和巴南
和巴南區花溪醫
花溪醫院接受治
接受治
理。巴南區官員表示
官員表示，
表示，事故發生後
發生後，公安、
公安、消防、
消防、安監、環保、
泎生等部門人
等部門人員迅速趕赴現
員迅速趕赴現場施救，
場施救，截至昨日下午三時
截至昨日下午三時許
日下午三時許，事故
被基本控制
控制，現場已聞不到
被基本控制， 場已聞不到刺鼻
刺鼻的臭雞蛋味
不到刺鼻的
據悉，肇事的特
據悉， 事的特斯拉化學 化學原料有限公司，
斯拉化學原 公司，主要生產
主要生產軟磁鐵氧體
軟磁鐵氧體原
生產軟磁鐵氧體原
料。該公司目
該公司目前已被當局要求停產整頓 停產整頓

14
 全面攻擊：
全面攻擊：資訊戰
鉅亨網 2009/11/18
鉅亨網
網路安全業者
網路安全業者 McAfee 17 日公佈最 佈最新報告
日公佈最新報 新報告，全球主要國
球主要國家已進入
家已進入
「網路冷戰
網路冷戰 (Cyber Cold War) 時代」
報告提到
告提到積極建構網路
積極建構網路戰備
戰備的有美國、
的有美國、以色列、
網路戰備的有美國 色列、俄羅斯、中國、
中國、法國
McAfee 威脅研究部門副總裁 Dmitri Alperovitch 表示︰「譬如說，
譬如說，
美國和南韓南韓的網路在
美國和南韓的網路 的網路在今年 7 月 4 日美國國慶
日美國國慶時，發生阻絕 阻絕服務的攻
發生阻絕服務的攻
擊 (denial-of-service)。這可能就
這可能就是一種
是一種外國政權
外國政權的測試活動。
測試活動。目的
可能是想知道
可能是想知道，
想知道，若癱瘓美國和若癱瘓美國和南韓 南韓的網路通訊，
的網路通訊，是否就能中斷
美國和南韓的網路通訊 否就能中斷駐韓
駐韓美
能中斷駐韓美
軍與華府
與華府和指揮總部之間的通訊能
指揮總部之間的通訊能力
之間的通訊能力。」
在過去也曾有
去也曾有疑似網路
疑似網路戰爭
戰爭的前例
的前例。2007 年，愛沙尼亞政府
網路戰爭的前 亞政府和商業
網站因大規模的阻絕
阻絕服務攻擊而癱瘓。
因大規模的阻絕服務攻擊 癱瘓。去年喬治亞喬治亞共合國也
合國也因為南
因為南奧
賽提亞戰爭而受到
戰爭而受到民
而受到民間團體的網路攻擊

15
 專家訪談資訊戰
CBS 新聞網「
新聞網「60 分鐘」
分鐘」節目
2009.11.8 播放
主題「
主題「Sabotaging The System」

16
 重要基礎建設
重要基礎建設（
重要基礎建設（Critical
Infrastructure）的範圍
– 重要的社會功能所需要的基礎建
設
– 與民生相關
領域
– 能源供應（
能源供應（電力、
電力、石油與天然
氣）
– 供水及污水處理
– 金融
– 電信
– 醫療
– 交通運輸
– …
特色
– 需耗時建構基礎建設
– 事故發生易造成重大影響
• 國家安全或人民生命財產
• 環境破壞
– 深度依賴工業控制系統
（Industrial Control System）
）
17
資料來源：建立我國通資訊基礎建設安全機制計畫(94年-97年)
 重要基礎建設保護
重要基礎建設（
重要基礎建設（Critical Infrastructures, CI）
重要基礎建設保護（
– 重要基礎建設保護（Critical Infrastructure Protection,
）
CIP）
• 重要資訊基礎建設保護（Critical Information Infrastructure
Protection, CIIP）
– 重要基礎建設資訊保護（Critical Infrastructure Information
Protection, CIiP）

重要基礎建設(CI)
重要基礎建設
效率
重要基礎建設保護 (CIP)
…
重要資訊基礎建設保護(CIIP)
重要資訊基礎建設保護 工業安全防護
可信賴
可信賴
重要基礎建設資訊保護(CIiP)
重要基礎建設資訊保護 人員安全保護
…
其他資訊保護 實體安全保護 …
18

資料來源：賴溪松教授簡報
 美國重要基礎建設的保護（
美國重要基礎建設的保護（1）
2002 Homeland Security Act 要求國土安全
土安全部發展
求國土安全部發部發展國家
級計畫來保護美國的
畫來保護美國的重要基礎建重要基礎建設
美國的重要基礎建設
國土安全總統
土安全總統指令（ 指令（Homeland Security Presidential
Directive）HSPD-7 定義美國重要基礎建
重要基礎建設的保護需由
美國重要基礎建設的 保護需由國
設的保護需由國
土安全部及掌管
土安全部 及掌管各產業
各產業（Sector）的聯邦官 聯邦官署負責
– 17 個產業
• 農業、健康衛生、國防、能源、內政、國庫與財政、環保
• 國土安全部涵蓋的十個產業，包括資訊科技、交通、通訊、化
學、緊急救災、商用核能材料與廢棄物、郵遞、水庫、政府設
施、商業設施
– 美國有 85% 的重要
的重要基礎建設是由各
是由各產業擁
產業擁有及管
有及管理

政府與民間如何及
間如何及時分享重要
政府與民間如何 享重要的安全資訊
時分享重要的安全資訊？
資訊？
19
 美國重要基礎建設的保護（
美國重要基礎建設的保護（2）
國土安全部於
土安全部於 2006 年 6 月制訂 National Infrastructure
Protection Plan(NIPP)
要求各產業主
產業主管官署於 2006 年 12 月底前研
– NIPP 要求各產業 月底前研擬產業之保
產業之保護
計畫
– 採用風險管理
風險管理方法
• 指出產業之重要資產
• 遭受恐怖攻擊或天災之風險評估
• 決定優先順序
• 規劃對策
– NIPP 也規劃了政府
了政府與私人產業（
人產業（Private Sector）
）之合作模式
• 成立政府協調委員會（Government coordination council）
• 成立產業協調委員會（Sector coordination council）作為政策制訂團
體以及政府與產業接觸的主要資訊溝通窗口，功能、定位與 ISAC 不
同

20
 簡報大綱
引言
安全資訊分享與分析中心(ISAC)緣起與功能
ISAC應用現況
ISAC效益與未來發展
問答與討論

21
 美國資訊分享與分析中心（
美國資訊分享與分析中心（ISAC）現況
重要民生基礎建設的
重要民生基礎建設的 ISAC，涵蓋金融、
涵蓋金融、電力、
電力、能源、運
輸等產
輸等產業
– IT ISAC
– Chemical Industry ISAC
– Electricity Sector ISAC
– Energy ISAC
– Emergency Management and Response ISAC
– Multi-State ISAC
– Communication ISAC
– Financial Services ISAC
– Health Care ISAC
– The Highway ISAC
– Surface Transportation ISAC
– Public Transportation ISAC
– Water ISAC
– Supply Chain ISAC
– Real Estate ISAC
22
 ISAC 概念 – 以大眾運輸為例
自有或委外 ISAC Council 政府單位、
政府單位、其它
專家，具備
資訊交換 資安或國安單位
資安與運輸
產業之領域 資訊過濾
訊過濾
知識
大眾運輸 ISAC

中心負責系統開發
DB 主機 資訊交換 與維護、資料蒐集
主機 與保存及 7*24 維運

入口網站

Physical/Cyber 資安資訊

運輸相關業者 運輸相關公協會 運輸產業

僅需瀏覽器
與研究機構 周邊廠商
（身份隱匿需求）

23
 ISAC 影片觀賞

美國 WaterISAC 簡介影片

24
 資訊分享架構與資訊來源
7*24 on-call
（領域專家、
資安專家） ISAC 網站
線上論壇 事故通報
威脅燈號
領域
資安訊息
使用者
國內安全資訊來源 警訊通報
事
行政院災害防救委員會 風 故分
險
行政院資通安全會報 評 析報
鑑
行政院國土安全辦公室 結 告
果
區域聯防中心
領域 SOC 資 IT 弱點
威脅
… 料
資訊過濾 安全事故案例
交 資安最佳實務
與中文化 換
國外安全資訊來源 實體安全最佳實務
NIST 介
WW-ISAC 面
US-CERT/FIRST
SecurityTracker
SecurityFocus 25
研討會資料
…
 會員參與及權利義務
美國的 ISAC 均為民間組織，
組織，部 提供給會員的服務（
ISAC 提供給 的服務（以金
分ISAC由政府
由政府贊助經
贊助經費 融 ISAC 為例）
– IT-ISAC 由資訊大廠出資合組 – 會員可以有兩個 e-mail 警訊通
（會員交年費）
會員交年費） 報窗口
由金融業者和周邊廠商
– FS-ISAC由金融業者和周邊廠商 – 災難發生時提供國土安全部和國
付費以支持維運（
付費以支持維運（會員交年費） 會員交年費） 庫署發出的警訊
由美國卡車協會
– Highway ISAC由美國卡車協會 – 提供緊急事故或災難的 e-mail
維運（
維運（政府資助，
政府資助，會員免費）
會員免費） 警訊
由美國大眾運輸協會維
– PT-ISAC由美國大眾運輸協會維 – 匿名事故通報
運（政府資助，
政府資助，會員免費）
會員免費） – 參與產業市場調查
– WW-ISAC由 由 VeriSign 公司自營 – 參加會員聚會
（會員交年費）
會員交年費） – 簽入網站的會員區存取資訊
會員結構 – 存取金融ISAC的
存取金融 的watch desk
– 各領域之業者、
各領域之業者、公協會、
公協會、學術及 – 參加危機管理相關 conference
研究單位、
研究單位、供應商 call
– 會員分級，
會員分級，每一級的權利義務不 – 參加雙週 teleconference
同
– 參加最佳實務討論區

26
 通報隱匿機制
通報隱匿
隱匿的關鍵要素
通報隱匿的
– 資訊提供者的
提供者的身份隱匿
– 網路通訊管
網路通訊管道的隱匿
– 資訊來源辨識
源辨識（需驗證為合法
訊來源辨識（需驗證為合法使用者送使用者送來的通報）
來的通報）
為合法使用者送來的通報
– 資料的隱匿性（
資料的隱匿性（Anonymity）、
）、隱密性
隱密性（Confidentiality）、
）、隱密性（ ）、完
）、完
整性
通報資料內容
通報資料內容的隱匿
容須無法辨識
資料內容須
– 資料內容須無法 出提供者的身份
無法辨識出提供者
辨識出提供者的
資料內容手動隱匿
– 資料內容
• 建立隱匿政策與維運程序
• 訓練使用者如何落實隱匿政策
資料內容自動隱匿
– 資料內容
• 結構化的通報表格，不允許自由撰寫通報內容
• 資訊審查及關鍵字過濾/修改（可用XML Stylesheet）
• 貝氏過濾（Bayesian Filtering）
Sandia 國家實驗室已研發
家實驗室已研發相關技術
研發相關技術 27
 簡報大綱
引言
安全資訊分享與分析中心(ISAC)緣起與功能
ISAC應用現況
ISAC效益與未來發展
問答與討論

28
 美國 IT-ISAC
緣起
– 2001 年 1 月由 19 家公司（
家公司（ATT、 、IBM、
、CA、
、HP、、Intel、
、KPMG、
、
、Microsoft、
Oracle、 、Cisco、
、RSA 等）集資 75萬美金
萬美金，
萬美金，作為委由 ISS 執行
的 4 年 IT-ISAC計畫的第一年經費
計畫的第一年經費（
計畫的第一年經費（ISS 提供 X-Force DB） ）
由 IT 產業的資安專家所組成的可信賴社群組織
– 找出可能危害 IT 基礎建設的弱點與威脅（
基礎建設的弱點與威脅（實體與網際空間）
實體與網際空間）
– 分享最佳防護實務
– 與其他產業的 ISAC 交流
– 建立系統化且受保護的資訊交換與協調機制
24x7 IT-ISAC Operations Center
– 讓 IT-ISAC 會員（
會員（或會員自有的維運中心）
或會員自有的維運中心）提交或接收資安、
提交或接收資安、攻擊事件、
攻擊事件、天
災等資訊
– 蒐集、
蒐集、分析多個來源的威脅或弱點資訊（
分析多個來源的威脅或弱點資訊（包括會員提交者）
包括會員提交者）並提供分析結果
與對策
– 資訊交換與分享
• 透過安全性網站與安全性E-mail 發佈警訊
• 透過定期 conference call 與會員交換資訊
• 可讓各會員公司之專家互相交換未公開的威脅與事件資訊
• 過濾與核准後的資訊與國土安全部分享 29
美國 IT-ISAC 網站

30
美國 IT-ISAC 現有會員

31
IT-ISAC 會員權利

32
 美國國土安全部警示通報系統

• Suspected Criminal
or Terror Activity
• Immigration or
Customs Violations
• Cybersecurity
Activity
• Emergencies in
Federal Buildings
• Chemical Security

33
美國國土安全部基礎建設日報

34
US-CERT

35
 ICS-CERT

重要基礎
ICS 弱 建設新聞
點資訊
36
iDefense Labs VCP(1)

37
 FS/ISAC (1)
1999年 10 月成立
月成立，原係金融界因應Y2K問題所設立
原係金融界因 設立的資訊
問題所設立的
分享組織
– 美國財政部（
美國財政部（Department of Treasury）
）為官方贊助者
蒐集金融服務產業所面臨
蒐集金 面臨的實體及網際空
服務產業所面臨的 際空間的威脅
及網際空間的威脅、弱點及
間的威脅、
風險資訊，來源：
風險資
– 蒐集此類資訊的公司（
蒐集此類資訊的公司（如 Symantec DeepSight Alert、
、IBM
、VeriSign等
ISS X-force、 等）
– 政府單位（
政府單位（類似技 類似技服）
– CERT/CC、 、US-CERT
學術界研究、
– 學術界 研究、其他可信賴的來
可信賴的來源（會員通報、
會員通報、等）
資料庫運用（內含 1999 迄今之會員提
資料庫 今之會員提交
員提交事件或資訊）
政府單位及情治、
– 政府單位及情治 情治、警察單位皆單位皆無權運用資料
無權運用資料庫。FS/ISAC 會依
據『Need to Know』
』原則提供
原則提供處
提供處理過的彙整
理過的彙整資
彙整資料給政府單位
料給政府單位
– 標準會員以上等級的會員和 FS/ISAC 的研究人員可以運用資料
的研究人員可以運用資料
庫進行研究、
庫進行研究、偵察、 偵察、或趨勢分
趨勢分析

38
 FS/ISAC (2)
經由產業專家之分
經由產業專家之分析結果
析結果，依據會員的服務
之分析結果， 員的服務水準進
水準進
行警訊通報
行警訊通報
– 會員可於 FS/ISAC 網站輸入公司的基本資料
入公司的基本資料， 資料，並設定收
取有興趣的
興趣的警訊通報或是全部
訊通報或是全部的警訊通報
提供匿名通報與分享
– 提供匿 名通報與分享資訊的能力 訊的能力
– 警訊通報內
訊通報內容包括威脅
包括威脅或 威脅或弱點的描述 描述、嚴重等
點的描述、 嚴重等級、解決方
案等
– 一旦接收
一旦接收會員提供的事
員提供的事件資 件資訊，產業專
的事件資訊 產業專家將立即 將立即進行威脅
的驗證與分
驗證與分析
與分析，並提出解 提出解決建議給 議給所有會員
決建議給所有會 所有會員
– 已建置
已建置 Critical Infrastructure Notification System
(CINS) ，可近乎
可近乎同時的發佈警
同時的發佈警訊 佈警訊給眾多個會眾多個會員個會員，並完成
身份驗證及接收確認
身份驗證及接 及接收確認
當災難發生時，
– 當災難 發生時，美國財美國財政部和國土 和國土安全部安全部可透過
FS/ISAC 來對金
來對金融服務業者服務業者發佈重要資訊 要資訊
SOC 委外由 VeriSign 維運
39
 FS/ISAC (3)：會員權利

Public/private
sector threat CRITICAL NOTIFICATION
intelligence ONLY PARTICIPANT
sharing (CNOP) - Available to
Financial Institutions
with less than $1 Billion 40
in assets
美國 Water ISAC

41
美國交通運輸 ISAC

42
美國 National Council of ISAC’s（1）
建立及維護 ISAC 之間及政府之互動架構
Inter-ISAC Information Exchange
Policy and Procedure MOU, Jan. 2002
需建立身份辨識、
需建立身份辨識、安全通道、 安全通道、資訊過濾等
功能及審查核准程序

43
美國 National Council of ISAC’s（1）

研究教育
ISAC

大眾運輸
ISAC
供應練
ISAC

Nuclear Highway
ISAC ISAC

44
平面運輸
ISAC
 事故資訊分享 – 以北美大停電為例（1）
APPL(紐約警民安全聯盟)
– APPL為紐約市警局與紐約市非官方的安全主管的溝通管道 – 主要
透過電子郵件、電話，其次為面對面開會
BES(主要電力系統)
BID(紐約商業促進區域組織)
– 區域性的非官方安全巡邏組織，其設計來保護重要商業區域的安
全
CIPAG(重要基礎建設保護諮詢小組)
– 現為重要基礎建設保護委員會
DHS(美國國土安全部)
DOE(美國能源部)
EEISC(愛迪生電力研究所安全委員會)
ESISAC(電力資訊分享與分析中心)
FERC(聯邦能源管理委員會)
45
 事故資訊分享 – 以北美大停電為例（2）

IT-ISAC(IT資訊分享與分析中心)
MS-ISAC(跨州資訊分享與分析中心)
NERC(北美電力可靠度公司)
RC(可靠度協調中心)
– 共有17個運作中心來協調美國與加拿大的主要電力
系統
FS-ISAC(金融資訊分享與分析中心)
U.S. Secret Service(美國特勤局)

46
 事故資訊分享 – 以北美大停電為例（3）
時間 接觸單位
觸單位(人員) 事件內容
件內容
2003年8月14日的星期四
1505 ㄧ開始的事件(停電)導致連鎖跳電

1505 - 主要電力系統操作 電力系統操作員大量電話聯繫

1610 員
1610
1610 + 可靠度協調中心 第一通情報電話的取得
(RC)與電力ISAC進
行熱線
~1620 紐約警民安全聯盟 啟動備用伺服器並將測試訊息寄給
(APPL) APPL用戶，接下來由紐約市警局評估
停電情況
給會員的建議說明紐約市警局將投入
額外的人員進行作業，並可用email或 47
電話與他們聯繫
 事故資訊分享 – 以北美大停電為例（4）
時間 接觸單位
觸單位(人員) 事件內容
件內容
~1640 紐約警民安全聯 所有給紐約市警局的報告皆排除本次停
盟(APPL) 電為恐怖份子所為
時間未 紐約警民安全聯 給會員的建議說明愛迪生電力公司對紐
記錄 盟(APPL) 約市警局提出本市在週末期間很可能
會有大規模停電之說明
APPL強烈建議所有企業應考慮其他安
全問題
1915 可靠度協調中心 停電後幾天內不停有電話打進來
(RC) 、電力ISAC RC與電力ISAC協助處理所有電話
與行政機關進行 DHS、DOE與FERC也協助處理大部分
熱線 的電話
電話內容包括回復狀態、主要電力系統
穩定度、災害報告、其他任何問題、問
題的原因、RC任何要求
時間未 紐約警民安全聯盟 建議會員為紐約商業促進區域組織 (BID)
48
記錄 (APPL) 增加安全人員
 事故資訊分享 – 以北美大停電為例（5）
時間 接觸單位
觸單位(人員) 事件內容
件內容
時間未 電力ISAC 開始打電話給平面運輸ISAC(ST-ISAC)
記錄 與大眾運輸ISAC(PT-ISAC)
2200 可靠度協調中心
(RC) 、電力ISAC與
行政機關進行熱線
2310 IT-ISAC IT-ISAC寄信給ISAC Council，說明 IT
相關討論議題
2003年8月15日的星期五
0004 可靠度協調中心
(RC) 、電力ISAC與
行政機關進行熱線
時間未 IT-ISAC 請求會員提供兩方面的資料：(1)停電
記錄 (2)Blaster 蠕蟲的衝擊
接收來自多個來源與MS-ISAC的資訊
49
 事故資訊分享 – 以北美大停電為例（6）

時間 接觸單位
觸單位(人員) 事件內容
件內容
0040 IT-ISAC 儘管政府官員不相信是Blaster蠕蟲造
成停電，不過事件仍在調查當中
IT-ISAC仍提出蠕蟲攻擊有可能導致未
來系統服務中斷(DDoS)
0500 可靠度協調中心(RC)
、電力ISAC與行政
機關進行熱線
0600 電力ISAC與白宮 關於停電範圍進行機密簡報，說明目前
已知肇事原因與復原進度
0600 北美電力可靠度公司 透過網路發佈更新訊息
(NERC)與媒體

0800 可靠度協調中心(RC),
電力ISAC與行政機
關進行熱線 50
 事故資訊分享 – 以北美大停電為例（7）

時間 接觸單位
觸單位(人員) 事件內容
件內容
0845 金融ISAC/財政部與 金融ISAC提出資訊需求並予以回應
電力ISAC進行電話交
談
0845 北美電力可靠度公司 透過網路發佈更新訊息
(NERC)與媒體
時間未 北美電力可靠度公司 開始正式對涉及本次停電的所有受到影響
記錄 (NERC) 系統、美國與加拿大的行政機關與電力專
家進行調查
在本次調查中，評估是在過去研究中最艱
鉅的一次，而且調查結論會包含在正式報
告中，並會放在報告的最上層。
1030 受影響的公共事業與 對復原的方向做詳細的討論
電力ISAC
1100 北美電力可靠度公司 透過網路發佈更新訊息
51
（NERC)與媒體
 事故資訊分享 – 以北美大停電為例（8）

時間 接觸單位
觸單位(人員) 事件內容
件內容
1115 愛迪生電力研究所安 以類似可靠度協調中心(RC)之電話溝
全委員會(EEISC)與 通模式討論停電狀態
電力ISAC電話會議

1200 可靠度協調中心
(RC) 、電力ISAC與
行政機關進行熱線
1245 北美電力可靠度公司 透過網路發佈更新訊息
(NERC)與媒體
1255 受影響的公共事業與 對復原的方向做詳細的討論
電力ISAC
1315 重要基礎建設保護諮 以類似可靠度協調中心(RC)之電話溝
詢小組(CIPAG)與電 通模式討論停電狀態
力ISAC電話會議
52
 事故資訊分享 – 以北美大停電為例（9）
時間 接觸單位
觸單位(人員) 事件內容
件內容
1400 電信 ISAC與電力 從電信 ISAC取得資訊請求 (Request
ISAC進行電話交談 For Information)
1424 電信 ISAC與電力 回覆資訊請求
ISAC進行電話交談
時間未 平面運輸ISAC(ST- 討論停電
記錄 ISAC)與電力ISAC
進行電話交談
1600 可靠度協調中心
(RC) 、電力ISAC
與行政機關進行熱線
1630 北美電力可靠度公司 透過網路發佈更新訊息
(NERC)與媒體

53
 事故資訊分享 – 以北美大停電為例（10）
時間 接觸單位
觸單位(人員) 事件內容
件內容
1645 國土安全部(DHS) 更新資訊
與電力ISAC
時間未 國土安全部(DHS) 由國土安全部帶領開始進行網際空間問
記錄 與電力ISAC 題之調查
2003年8月16日的星期六
可靠度協調中心 召開電話會議
(RC)、 電力
ISAC、行政機關
與其他單位進行
熱線
1000 電力ISAC 協調電力部門人員參與網際空間問題調
電話會議 查
時間未 北美電力可靠度 寄信要求對實體與網際空間問題調查中
記錄 公司(NERC) 所需之特定資料進行存證 54
 事故資訊分享 – 以北美大停電為例（11）
時間 接觸單位
觸單位(人員) 事件內容
件內容
1430 美國能源部(DOE)
與北美電力可靠度
公司(NERC)進行
電話交談
2003年8月17日的星期日
可靠度協調中心 召開電話會議
(RC)、 電力
ISAC、行政機關
與其他單位進行
熱線
1000 受影響的公共事 對復原的方向做詳細的討論
業與電力ISAC
1045 國土安全部(DHS) 為網際空間問題調查開始做準備
與電力ISAC
1100 網際空間問題調 開始進行網際空間問題調查 55
查小組電話會議
 事故資訊分享 – 以北美大停電為例（12）
時間 接觸單位
觸單位(人員) 事件內容
件內容
2003年8月18日的星期一
可靠度協調中心(RC)、 電話會議召開頻率降低
電力ISAC、行政機關
與其他單位進行熱線
1115 國土安全部(DHS)、美
國能源部(DOE)與電力
ISAC恢復每日安全簡
報電話會議
1145 美國特勤局與電力 停電事件簡報
ISAC
1315 特定的公用事業與電力 進行復原與停電研究討論
ISAC
時間未 特定的公用事業、電信 提出資訊請求並討論
記錄 ISAC與電力ISAC
56
 事故資訊分享 – 以北美大停電為例（13）

時間 接觸單位
觸單位(人員) 事件內容
件內容
時間未 紐約警民安全聯盟 隨著電力逐漸恢復，紐約警民安全聯
記錄 (APPL) 盟發布紐約市各大眾運輸系統的狀態
報告
2003年8月19 – 22 星期二至星期五
例行公事，與媒 停電調查順利進行中
體接觸頻率減少

時間未 紐約警民安全聯盟 總結消息指出停電已結束，包括將研

記錄 (APPL) 究未來再次發生停電時的應變措施

57
 CIIP 各國發展現況
International CIIP Handbook 2008/2009
蘇黎世瑞士聯邦理工大學
– 蘇黎世瑞士 理工大學（ETH Zurich）
）的資安研究中
研究中心編
訂
國家
– 奧地利、
地利、巴西、
巴西、加拿大、愛沙尼亞、芬蘭、法國、
法國、德國、匈
牙利、印度、義大利、
義大利、日本、
日本、南韓、
南韓、馬來西亞、
馬來西亞、荷蘭、挪
威、波蘭、
波蘭、俄羅斯、新加坡、
新加坡、西班牙、
班牙、瑞典、
瑞典、瑞士、英國、
美國
– 調查內
調查內容
• 關鍵領域
• 過去與現在的提案與政策
• 組織概觀
• 早期預警與公眾涵蓋
• 法律與立法
國際組織與論
際組織與論壇
– 歐盟（EU）、
）、事
）、事故應變
故應變與安全團 論壇（FIRST）、
與安全團隊論壇（ ）、八
）、八大工
業國組織
業國組織（
組織（G8）、
）、北大西
）、北大西洋
北大西洋公約組織
公約組織（
組織（NATO）、
）、經
）、經濟合作
發展組織（
展組織（OECD）、
）、聯合國
）、聯合國（
聯合國（UN）、
）、世界銀行組織
）、世界銀行組織
58
資訊基礎建設保護學院（
資訊基礎建設保護學院（1）

59
資訊基礎建設保護學院（
資訊基礎建設保護學院（2）

60
資訊基礎建設保護學院（
資訊基礎建設保護學院（3）

61
 重要基礎建設相關工業控制系統
地方
GIS 遙測
GIS

為達到穩定
穩定、持續的生
為達到穩定、 氣渦輪機機 汽機控制/ 配電系統 遙控系統
產，相關廠區大量
關廠區大量採用 組電腦系統 監視系統 (SCADA) (SCADA) 輸電鐵塔
(DCS) (DAS)
工業控制系統
工業控制系統 主變 開關場
壓器

升壓
– Programmable
Control Logic(PLC) 氣渦輪機 汽力機組

– Distributed Control
System(DCS) 發電機 勵磁機

– Data Acquisition 煙氣偵測

System(DAS) 蒸汽 系統
– Supervisor Control
And Data
鍋爐燃燒
Acquisition(SCADA) 控制系統 鍋爐
含硫廢氣
空氣加熱
設備
靜電集塵
設備
排煙脫硫
設備 可排放
工業控制系統
控制系統組成
工業控制系統組 (DCS)
廢氣
– 感知元件（
知元件（壓力、
壓力、溫 PLC DCS
度、電量、
電量、含硫量等
含硫量等）
量等） 燃料
控制 控制
控制伺服器
– 控制伺服器
– 資料倉儲
工程師與作業員使
– 工程師 業員使用之 監控中心
工作站電腦
站電腦
– 控制網路 62
 工業控制系統之風險上升
工業控制系統
控制系統漸採
工業控制系統漸 類別 IT 系統 工業控制系統
Ethernet、TCP/IP、
Windows 平台、OLE for 風險管理需 資料隱密性與完整性 人身安全最重要，
人身安全最重要，其
求 最重要 次是生產程序的保護
技術來減
Process Control等技術來
系統整合與維
低系統整合與 合與維運的成本 緊急狀況應 一般較不具時間急迫 人身安全與其他緊急
變時效 性 應變極具急迫性
工業安全事故資料
工業安全事故資料庫故資料庫
（ISID）統計影響工業控制
計影響工業控制 弱點修補 經常性或即時執行 通常不執行
系統的網際空
系統的網 際空間安全（
的網際空間安全間安全（Cyber
通訊 標準通訊協定 許多專屬通訊協定與
Security）相關事故
關事故 標準通訊協定
前平均每年
前平均每年 2.4 次
– 2001前平均 管理支援 多來源、
多來源、多樣性的服 通常為單一廠商之服
平均每年
– 2002 ~ 2004 平均每年 12 次 務支援 務支援
專家估計實
– 專家估計估計實際事故次數事故次數應為
次數應為 系統壽命 3~5年 15 ~ 20 年
10 倍以上
“SCADA Security”, Jason 元件取得 當地、
當地、容易 孤立、
孤立、遠距、
遠距、須要許
Larsen, BlackHat 2008. 多勞務

資料來源：
資料來源：Real world security for scada process control systems,
Ed Goff, April, 2008
63
重要基礎建設相關工業控
重要基礎建設相關工業控制
業控制系統為防護重
防護重點之一
系統為防護重點之一
 工業控制系統弱點掃瞄
Tenable Solution 公司提供 SCADA plugin
– Nessus Direct Feed 和 Security Center 的客戶可以下載 SCADA plugin
– 由 Digital Bond 公司開發，
公司開發，為 Nessus 3 完成 32 個 Plugin
– 被動弱點掃瞄程式（
被動弱點掃瞄程式（Passive Vulnerability Scanner） ）
– 可測試一些常用的 SCADA 設備與協定

Areva/Alstom Energy Management Modicon PLC HTTP Server Default

System Username/Password
DNP3 Binary Inputs Access Modicon PLC IO Scan Status
DNP3 Link Layer Addressing Modicon PLC Modbus Slave Mode
DNP3 Unsolicited Messaging Modicon PLC Telnet Server
ICCP/COTP Protocol - COTP (ISO 7073) Modicon PLC Web Password Status
ICCP/COTP TSAP Addressing National Instruments Lookout
LiveData ICCP Server OPC DA Server
Matrikon OPC Explorer OPC Detection
Matrikon OPC Server for ControlLogix OPC HDA Server
Matrikon OPC Server for Modbus Siemens S7-
S7-SCL
Modbus/TCP
Modbus/TCP Coil Access Siemens SIMATIC PDM
Modbus/TCP
Modbus/TCP Discrete Input Access Siemens-
Siemens-Telegyr ICCP Gateway
Modicon Modbus/TCP
Modbus/TCP Programming Sisco OSI/ICCP Stack
Function Code Access Sisco OSI Stack Malformed Packet
Modicon PLC CPU Type Vulnerability
Modicon PLC Default FTP Password Tamarack IEC 61850 Server
Modicon PLC Embedded HTTP Server Telvent OASyS System
64

http://www.digitalbond.com/
 工業控制系統組態稽核（
組態稽核（1）
Digital Bond 公司的 Bandolier 計畫
– 美國能源
美國能源部「Cyber Security Audit and Attack Detection
」計畫的一部
Toolkit」 的一部份
撰寫控制
寫控制系統應用元
用元件的組態
系統應用元件的組態最佳實務
件的組態最佳實務文件
最佳實務文件
– 針對在 Windows 和 *NIX 系統上
系統上執行的元
執行的元件
的元件
– OS 與 AP 之查核，
查核，涵蓋網路通訊
涵蓋網路通訊設定 設定、擁有者與權限、
網路通訊設定、 權限、服務
與程序
與程序、使用者管
使用者管理、其他安全其他安全設定
安全設定
製作成稽核檔案
稽核檔案，可供 Nessus 或其他弱
製作成稽核檔案， 其他弱點掃瞄工具
使用
（Open Vulnerability and Assessment Language）
– OVAL（ ）
• 資安業界標準，促進資安資訊的公開化
• 以標準的格式讓資安工具與資安服務進行資訊的交換
– XCCDF（（eXtensible Configuration Checklist Description
Format ）
• 撰寫安全查核項目（Security Checklist）、測試結果及相關文件
的標準
• XCCDF 文件以 XML 撰寫，安全組態規則以結構化的方式呈現
• 此規範可支援資訊交換、文件的產製與組織、自動化符合性測試
• XCCDF的研發由美國國安局主導 65
 工業控制系統組態稽核（
組態稽核（2）
已完成與開
完成與開發
與開發中的稽核檔案清單

66
 工業控制系統組態稽核（
組態稽核（3）

67
http://www.digitalbond.com/wiki/index.php/List_of_Bandolier_Audit_Files
 工業控制系統組態稽核（
工業控制系統組態稽核（4）
運用稽核檔案與 Nessus 進行符合性驗證

68
 ICS 測試平台（
測試平台（1）
針對工業控制
業控制系統之威脅與弱
針對工業控 威脅與弱點進行研究
系統之威脅與弱點進行研究，
研究，進而發展弱
而發展弱
點修補與
點修補與系統強化
強化的方法
系統強化的方法
– 廠區的工業控制系統
控制系統為 7X24 生產所需
廠區的工業控制系統為 生產所需，現場進行威脅、
威脅、弱點之
分析具備高
析具備高風險
備高風險
– 不慎造成生產中斷，
造成生產中斷，其效果
其效果與駭客攻擊
駭客攻擊、
攻擊、資訊戰無異
SCADA 弱點與威脅的
與威脅的測試
電腦模擬技術
– 電腦模 擬技術
– 建置 SCADA 測試平台
測試平
歐美先進國
先進國家之 SCADA 測試平台發
測試平台發展
– 美國愛
美國愛達荷國家實驗室和
實驗室和 Sandia 國家實驗室共同
實驗室共同擁有及管 有及管理的
國家 SCADA 測試平
測試平台（National SCADA Test Bed，
，NSTB）
）
– 加州柏克萊
柏克萊大學結合卡內
加州柏克萊大 合卡內基美隆
基美隆大學和 Vanderbilt 大學之學者
建置的 SCADA 測試平
測試平台
瑞典與荷蘭學者合作
– 瑞典與 蘭學者合作建
合作建置的 SCADA測試 測試平台
測試平
– 歐盟聯合研究
研究中心（Joint Research Center，
聯合研究中 ，JRC））所發展
所發展的
模擬電廠
69
 ICS 測試平台（
測試平台（2）

資料來源：
資料來源：Experimental security platforms for SCADA security，
，Marcelo Masera，
，第二屆國家
關鍵基礎建設保護國際研討會，
關鍵基礎建設保護國際研討會 ，2009 年 12 月
70
 ICS 測試平台（
測試平台（3）

資料來源：
資料來源：Experimental security platforms for SCADA security，
，Marcelo Masera，
，第二屆國家 71
關鍵基礎建設保護國際研討會，
關鍵基礎建設保護國際研討會 ，2009 年 12 月
 Stuxnet 蠕蟲（
蠕蟲（1）
一種 Internet 蠕蟲
可能在
– 可能 在一年多
一年多以前即
以前即開發完
開發完成
– 2010 年 7 月被發現
各種防毒軟體都已經可以
各種防毒軟體都 已經可以偵測
可以偵測
感染超過 50000 部 Windows 電腦
感染 14 個控制系統（
系統（Control
System）
– 其中多數在德國
– 針對西門 子製造的 SIMATIC 可程式邏輯
對西門子製造的 可程式邏輯控邏輯控
制器（Programmer Control Logic,
制器（
）
PLC）
– 會修改 PLC 內的資料
– 作者具備深入的控制系統知
入的控制系統知識
控制系統知識
沒有任何災害
災害發生
有任何災害發生
– 傳言印度的 INSAT-4B 衛星在
衛星在 7 月份的失
效與 Stuxnet 有關
72
 Stuxnet 蠕蟲（
蠕蟲（2）
透過 USB 隨身碟感染
身碟感染Windows 電腦
使用數種網路傳播
使用數 傳播、感染機制
網路傳播、 機制，並可能取
感染機制， 並可能取得受害電腦的控制權
得受害電腦的控制權
已知且有且有修補程式的
已知且有修補
利用已知
– 利用 程式的弱點
修補程式的弱點
– 利用 4 個「零時差」弱點
Stuxnet 感染電腦後
感染電腦後不會進行
不會進行任何破壞活動
何破壞活動
– 不偷信用卡號/銀行帳
信用卡號 銀行帳號或 號或任何資
銀行帳號或任何 任何資料
– 不把受害電腦變
受害電腦變成腦變成殭屍電
殭屍電腦
– 不破壞電
破壞電腦運作或影響電腦效
或影響電腦效能腦效能
– 搜尋 Siemens SIMATIC PLC 並進行植
並進行植入
行植入
會安裝
會安裝 Windows 驅動程式
利用偷來
– 利用 偷來的合
的合法憑證
偷來的合法憑證
– 7/16 憑證到
憑證到期後，7/17 開始利用另一個偷來
利用另一個偷來的
偷來的憑證
更新
– 連回馬來西亞或
回馬來西亞或丹麥的兩部
的兩部更新伺服
丹麥的兩部更新伺服器
更新伺服器
更新，兩部受害電腦會彼此查核版本
更新，兩部受害電腦
– P2P更新 此查核版本
自殺日：
自殺日：2012.6.24，屆時不再
時不再感染且
感染且自我消滅
73
 Stuxnet 蠕蟲（
蠕蟲（3）
合理懷疑是某國政府幹的
Ralph Langner 合理懷疑是 政府幹的
– Stuxnet 非常複雜且精心設計，估計其發展、測試需
複雜且精心設計 測試需要 4 ~ 5
人年，
人年，經費充裕 費充裕
– 一般駭客很少一次
般駭客很少一次用一次用 4 個「零時差」弱點，顯然對於攻擊
顯然對於攻擊目
對於攻擊目
標是志在必得
– 攻擊標
攻擊標的可能是伊朗 伊朗的 Bushehr 核電廠（
的可能是伊朗的 電廠（興建中）
• 伊朗的感染率高
• Bushehr 核電廠的俄羅斯承包商，在其他感染率高的國家（印
度、印尼、巴基斯坦）也有工程合約
Bruce Schneier 的猜測
– 失控的科學/資
失控的 資訊戰實驗？
實驗？
– 犯罪集團用來展示攻擊廠區的能力
犯罪集團用 示攻擊廠區的能力？
– 傳遞「我們已經
傳遞「 已經能攻擊控制系統
我們已經能攻擊 控制系統」的訊息
能攻擊控制系統」的訊息？
– 美國軍 釋出以要脅政
美國軍方故意釋出以 要脅政府多給
府多給資訊戰預算？
預算？
74
 CyberStorm 演練（
演練（1）
CyberStorm
– 2006.2.6 ~ 2006.2.10
– 超過 100 個政府
個政府或私營單位（政府機關 府機關、協會、公司）
公司）參與
– 參與者位於 5 個國家 個國家的 60 個地點
– 在受控制的環境
控制的環境讓參
的環境讓參與 讓參與者演練大規模
演練大規模資
大規模資安事故應
故應變，事故涉
安事故應變
及多個重要
個重要基礎建設同時中斷服務
• 資訊分享機制
• 建立狀況認知的程序
• 私營機關的決策
• 危及國家安全的資安事故發生時的公眾通訊
CyberStorm II
– 2008.3.10 ~ 2008.3.14
– 模擬跨領域（
擬跨領域（IT、 、通訊、
通訊、化學、化學、交通）事故
• 三個主要情境：Internet 中斷、通訊中斷及控制系統事故
– 參與者包括 18 個聯邦
個聯邦政府單位、9個州
個州、
個州、5個國
個國家
個國家（美、英、
加、紐、澳）及約 40 個公司
75
 CyberStorm 演練（
演練（2）
CyberStorm III
測試政府部門和
– 測試政府部門和 60 個民間單位面對大規模 Cyber Attack 的
應變
– 目標
• 測試國土安全部於 2009 年公布的國家網際空間事故應變計畫
（National Cyber Incident Response Plan）
• 驗證網際空間攻擊相關資訊是否在參與組織之間適當的分享
– 參加單位與人員
位與人員
• 司法、能源、國防、交通、國務院、白宮、跨州ISAC（Multi-
State ISAC）等政府單位
• 來自加州、賓州、紐約等地的官員
• 來自加拿大、法國、德國、英國等12個國家的官員
– 設計超過 1500 個注入事件
入事件可隨時注入演練情境 演練情境
採模擬
演練採模
– 演練採模 擬攻擊方
攻擊方式，並未攻擊維
並未攻擊維運中的網路
– 在美國秘勤
秘勤局（U.S. Secret Service ）總部建立演練
美國秘勤局 控制中
總部建立演練控制
立演練控制中
心，約 100 名參與者從告示板得知一連串 一連串的注入事件
入事件並進行
並進行
應變 76
 簡報大綱
引言
安全資訊分享與分析中心(ISAC)緣起與功能
ISAC應用現況
ISAC效益與未來發展
問答與討論

77
 ISAC 效益
建立系統化
立系統化的資訊交換及協調機制
的資訊交換及協調機制
讓所有從
讓所有從業者與利益相關團體在
者與利益相關團體在安全威脅影響
安全威脅影響或
影響或攻擊
之前獲
之前獲得有效
得有效的預警與建議
從業者與利益相關團體可報告
者與利益相關團體可報告安全
安全事故並取得業界先
可報告安全事 得業界先
進專家的安全分
進專家的安全分析資訊，
資訊，包括威脅、
包括威脅、攻擊、
攻擊、弱點、解
決方案、最佳安全實務
安全實務、其它保護措施等
最佳安全實務、 它保護措施等
有關實
– 有關實體安全（
安全（Physical Security）
）的分析
的分析資訊
– 有關電子
有關電子事件（Electronic Incidents）
）的分析
的分析資訊
讓決策者與緊急應變人員得以有
決策者與緊急應變人員得以有效
緊急應變人員得以有效因應影響重要基礎
因應影響重要基礎
建設安全的大
安全的大規模
規模事故
的大規模事

ISAC 是安全資訊彙整的中心
78
 ISAC 未來發展（
未來發展（1）

建立國家
立國家資訊分享策略
資訊分享策略
– 美國已
美國已發佈 National
Strategy for Information
Sharing, Oct. 2007
– 建立資訊分享訊分享指導原則
• 鑑別立即與長期的威脅
• 鑑別資訊戰與恐怖活動相關
的人
• 實作資訊導向與風險導向的
偵測、防範、嚇阻、應變、
保護、緊急事故管理

79
 ISAC 未來發展（
未來發展（2）
建全資訊分享環境
– 建立資訊分享環境
享環境的專案，
立資訊分享環境的專案，透過跨部
透過跨部會的資訊分享
的資訊分享
委員會，規劃與監
規劃與監督資訊分享環境
享環境的實作與管理
資訊分享環境的
• 參考美國 2004年「情報重建與恐怖主義防範方案
（Intelligence Reform and Terrorism Prevention Act of
2004；IRTPA）
強化民間產業與政府之間的資訊分
– 強化民間 與政府之間的資訊分享
之間的資訊分享，鼓勵民間
鼓勵民間產
業自願性的分
自願性的分享
的分享其敏感、
敏感、與安全相關的業
與安全相關的業務
的業務資訊
– 修訂法律讓資訊分享易
享易於實現
法律讓資訊分享易於
• 例如：美國民間產業所提交的資訊如果合乎2002 年的關
鍵民生基礎建設資訊法案的定義，則需依法進行嚴格的存
取管控，且該資訊將受到資訊自由法案（The Freedom of
Information Act, FOIA）、州政府/地方政府資訊揭露法規
的保護，並不得用於民事訴訟
– 發展通報者身份隱匿
者身份隱匿的技術
通報者身份隱匿的 80
建置安全、專屬的資訊分
– 建置安全、專屬的資訊分享網路
的資訊分享網路
 簡報大綱
引言
安全資訊分享與分析中心(ISAC)緣起與功能
ISAC應用現況
ISAC效益與未來發展
問答與討論

81