Professional Documents
Culture Documents
電子資訊組 新興物聯網資安示範推動計畫 (1 4)
電子資訊組 新興物聯網資安示範推動計畫 (1 4)
經濟部工業局109年度
專案計畫期末執行成果報告
計畫名稱:新興物聯網資安示範推動計畫(1/4)
執行期間:
全程:自109 年 01 月 01 日 至112 年 12 月 31 日
本年度:自109 年 01 月 01 日 至109 年 12 月 20 日
主辦單位:經濟部工業局
執行單位:財團法人工業技術研究院
第 2 部分目錄
頁次
第 2 部分 計畫執行報告
一、計畫目的、計畫架構與主要內容 ......................................................... 1
(一)計畫目的及預期成效 ........................................................................ 1
(二)計畫架構(含樹狀圖) ......................................................................... 3
(三)計畫主要內容 .................................................................................... 4
圖目錄
圖 1:新興物聯網資安示範推動計畫架構 ................................................. 3
圖 2:智慧製造資安強化主題式研發計畫正式公告 ............................... 16
圖 3:智慧製造資安強化主題式研發計畫目標 ....................................... 17
圖 4:輔導團隊安排啟動會議 ................................................................... 23
圖 5:主題式研發計畫輔導推動作法 ....................................................... 24
圖 6:資安強化推廣活動專區廠商參加輸出物 ....................................... 32
圖 7:資安強化推廣活動專區廠商參展媒合區 ....................................... 33
圖 8:輔導及促案流程圖 ........................................................................... 45
圖 9:指南編撰重點及流程圖 ................................................................... 47
圖 10:企業訪談對象及訪談內容 ............................................................. 50
圖 11:Global Platform IoT security workshop 活動剪影 ......................... 70
圖 12:從產業資安標準看企業勒索軟體威脅防護研討會活動剪影 ..... 71
圖 13:IoT 產業資安標準剖析與應用趨勢論壇活動剪影 ...................... 72
圖 14:資安通報架構 ................................................................................. 78
圖 15:資安情資分享架構 ......................................................................... 84
圖 16:資安事件/漏洞通報/情資分享服務管道資訊 ............................. 86
圖 17:累積/兌換點數示意圖 ................................................................... 90
圖 18:資安情資收集分析流程 ................................................................. 91
圖 19:日本與歐洲多國製造業最近大舉遭駭痞客邦畫面 ..................... 97
圖 20:網通設備廠商修復存於家用路由器的嚴重資安漏洞 IG 畫面 ... 97
圖 21:國內網通設備廠商修復存於家用路由器資安漏洞 Twitter 畫面 98
圖 22:美國多家大型航太製造業者遭勒贖攻擊 FB 露出畫面 ............... 98
圖 23:製造業資訊與資安人力部署現況 ............................................... 100
圖 24:資安預算主要投入領域 ............................................................... 101
圖 25:企業資訊與資安預算之投入現況 ............................................... 102
圖 26:企業資安預算投入之類別 ........................................................... 103
圖 27:製造業資安解決方案部署現況與未來規劃 ............................... 104
圖 28:主要產業資安部署情形 ............................................................... 104
圖 29:企業資安國產品採用情形 ........................................................... 105
圖 30:企業資安評級概述 ....................................................................... 106
圖 31:國際資安標準差距分析 ............................................................... 107
圖 32:十五種智慧製造所需要的資安指標 ........................................... 108
表目錄
表 1:資安強化推廣專區推廣媒合交流活動回饋意見 ........................... 29
表 3:廠商訪談彙整表 ............................................................................... 51
表 4:會議名稱及回饋意見廠商清單 ....................................................... 76
表 5:資安事件通報與情資分享規劃恰當度彙整表 ............................... 76
表 6:廠商回饋意見彙整表 ....................................................................... 76
表 7:資安事件通報內容 ........................................................................... 79
表 8:資安事件類型 ................................................................................... 80
表 9:TWNIC 協處滿意度調查表 ............................................................. 81
表 10:漏洞通報內容範例 ......................................................................... 83
表 11:資安情資分享內容.......................................................................... 84
表 12:資安情資種類及類型表 ................................................................. 85
表 13:獲得補助廠商義務 ......................................................................... 86
表 14:資安/軟體/系統整合公司回饋獎勵兌換服務項目表 ................... 88
表 15:製造業及企業回饋獎勵兌換服務項目表 ..................................... 89
表 16:製造業資安情資加值資訊清單 ..................................................... 92
表 17:國內電子零組件製造大廠 ........................................................... 114
表 18:國內電腦設備製造大廠 ............................................................... 115
表 19:工作進度會議辦理情形 ............................................................... 125
表 20:產業交流溝通會議辦理情形 ....................................................... 126
表 21:計畫及產業動態成南網站刊登連結 ........................................... 135
表 22:新興物聯網資安主題論壇暨計畫推廣系列活動執行成果一覽表
......................................................................................................... 149
表 23:IR & CSIRT 及資安人才發展論壇議程 ..................................... 151
表 24:IR & CSIRT 及資安人才發展論壇-精華內容介紹及活動簡報 152
表 25:物聯網安全論壇-從標準到產業活動議程 ............................... 156
表 26:物聯網安全論壇-從標準到產業場次課程精華及活動簡報 ... 157
表 27:物聯網安全論壇-IoT 資安落地實戰場次活動議程 ................ 160
表 28:物聯網安全論壇議程-IoT 資安落地實戰場次課程精華及活動
簡報 ................................................................................................. 160
第 2 部分 本計畫執行報告
一、計畫目的、計畫架構與主要內容
(一)計畫目的及預期成效
1. 目的:
近年來,物聯網已開始成為民眾日常生活的一部分,而且
在許多產業亦陸續導入物聯網技術以建立數位轉型領先地位,
例如:智慧製造、智慧醫療、智慧家庭等。但資通安全專家認
為,當增加設備與網路之間的連接,可能會產生許多隱私與安
全風險。資安議題備受各國和企業重視,有鑑於臺灣所處之特
殊戰略地位,以及在全球科技產業所占有重要角色,加上資安
事件跨國特性,政府已將資訊安全提升到國防安全層級。
國家積極發展「五加二」產業創新政策,將資安視為發展
數位經濟之基礎,推動資安產業結構優化,並以資安加值國內
優勢產業,擴大整體市場發展。臺灣在製造產業具有國際優勢,
面對國際大廠對資通訊產品之資安要求日益提升,不可忽略的
是在進行智慧製造轉型的過程中,必須做好製造產線資安防護
的強化。另一方面,面臨資安事件層出不窮,隨著物聯網應用
日漸普及,生產製造之產線設備、聯網機台等資訊安全的確日
趨重要。
為促進我國物聯網應用場域資安防護能量,藉此「新興物
聯網資安示範推動計畫」
,初期鎖定我國優勢的製造業場域,透
過打造安全供應產線,協助製造業者導入資安防護指引或標準,
強化智慧場域資安防護能力,引導業者逐步建立安全產品開發
機制,期健全我國物聯網安全供應鏈,提升產業資安能量。
本計畫目的,聚焦我國製造產業於資安服務的共通需求,
研擬智慧製造資安主題式情境徵案,以資安科技強化智慧製造
場域防禦能力,透過導入國產資安產品或服務方案逐步帶動智
慧製造產業樹立指標性物聯網資安示範應用案例,抬升國內產
業資安意識、促進產業資安投資。
2. 預期成效:
(1)案源輔導與場域推動
− 推動智慧製造場域導入資安解決方案、強化供應鏈或產
線設備資安能量,透過實測與導入資安產品與服務,建
立智慧製造場域指標性產業資安應用案例。
− 結合產業公協會促進資安應用推廣交流,提升企業瞭解
資安防護能力的必要性及導入意願,促進產業應用資安
擴散效益。
− 接軌國際資安標準,輔導製造業導入符合國際規範之
OT 安全風險管理程序,並盤點製造業資安強化實際需
求,做為未來製造業資安標準或規範實作之參考。
− 集結資安、資服業等共同合作,促成跨域物聯網資安解
決方案;發展產業導入物聯網資安參考範本,並提供國
內產業諮詢、訪視、顧問服務及建置導入之依據,以帶
動產業資安應用動能。
(2)產業環境與標準推動
− 探討製造產業資安需求,藉由調查分析及資安成熟度評
估方法,協助擬定資通安全防護策略或資安改善方案,
作為國內製造業資安升級推動之參考。
− 透過計畫專案單一窗口,進行計畫管理與統籌運用整體
計畫資源,搭建產官學研溝通管道,促進多方資訊交流,
並彙集計畫或產業動態成果以達推廣綜效。
(3)策略運籌與產業交流平台
− 辦理產業溝通交流、展示推廣或計畫說明會等活動,促
進智慧製造場域資安防護、供應鏈資安標準規範等計畫
成果之擴散。
3. 實際達成與原預期差異說明:無。本計畫按原規劃執行,
已全數達成。
(二)計畫架構(含樹狀圖)
本計畫分為「案源輔導與場域推動」、
「產業環境與標準推
動」、
「策略運籌與產業交流平台」三大主軸推動。
圖 1:新興物聯網資安示範推動計畫架構
(三)計畫主要內容
1. 規劃內容
(1) 「案源輔導與場域推動」分項計畫:
A.資安應用案例推動
為積極推動國內物聯網指標示範場域,針對我國
優勢之製造業場域(如:智慧機械、高科技製造、電子
設備或資通訊應用領域等)
,透過智慧製造資安強化之
主題式研發、創新優化、或新興育成等徵案進行規劃,
實測並導入資安產品與服務,推動指標性產業資安應
用示範案例,帶動產業強化資安風氣。
B.推動產業跨域資安應用交流
結合產業公協會,運作「產業別資安應用推動小
組」
,建立資安推廣服務團隊,並研擬產業資安應用實
務指南,透過資安應用推廣交流,強化企業瞭解資安防
護能力的必要性,帶動產業應用資安擴散效益,提升產
業資安防護能量。
(2)「產業環境與標準推動」分項計畫:
A.產業資安標準推廣
參與國際資安相關標準活動或會議(如:ISO
27001、IEC62443 等)
,協助收集與研析國內外資安相
關標準或規範,並結合公協會,掌握國內物聯網產業或
智慧製造之資安需求,建立符合需求之資安標準推動
機制,並透過相關工作會議,協助產業了解、測試、導
入、並運用資安標準規範,逐步提升產業資安能量。
B. 產業資安情資機制規劃
本項工作透過資安事件情資分享以及通報交流,
強化國內產業資安防護能量,並進行廠商需求諮詢或
訪視,建立製造業資安情資分享機制。
(3) 「策略運籌與產業交流平台」分項計畫:
A.資安成熟度評估與策略運籌管理
針對製造業進行資安需求進行調查與分析,搭配
資安成熟度評估方法,協助國內製造業擬定資通安全
防護策略或資安改善方案。透過計畫策略運籌管理,整
合跨計畫資源與成果,協調計畫內外各單位溝通,並連
結產官學研各界,建立溝通管道,協助進行多方資訊交
流。
B.產業推動暨行銷推廣
透過產業溝通交流、展示推廣、或計畫說明會等活
動辦理,進行製造業場域、供應鏈、或產線設備資安強
化等促案成果擴散、資安廠商解決方案媒合、智慧製造
資安防護模式推廣等目標,有效擴散計畫成果,帶動智
慧製造業者投入資安防護之風潮。
C.南臺灣物聯網資安先期實驗
透過「南臺灣物聯網資安先期實驗計畫」協助南臺
灣相關業者、園區業者進行資安防護需求盤點、場域情
境規劃,搭配資安交流活動,提升南臺灣業者之資安防
護意識。
2. 實際執行方法
(1)查核點達成情形
【分項一 案源輔導與場域推動】
查核點 日期 查核點概述 查核點達成情形
A. 資安應用案例推動
【已完成】針對智慧製造資安強
化主題式研發計畫徵案內容規
研擬智慧製造資安主題式
格進行研擬,包含申請辦法、補
徵案內容規格 1 份(涵蓋
助範圍、審查重點、配合事項等
如:配合成立專責資安團
相關公告事項與申請須知,最終
隊、示範場域觀摩實施規
收斂規格內容涵蓋智慧製造資
1-1-1 劃、智慧製造資安產品解決
6 月 30 日 安產品或解決方案導入應用說
(查核點 1) 方案應用說明、配合產業實
明、示範場域觀摩導覽規劃、成
務指南或資安標準實作建
立專責資安團隊、配合資安評級
議之規劃、產業資安通報及
作業、配合進行資安事件通報與
情資分享機制規範、資安評
情資分享機制等辦法。智慧製造
級作業等)
資安強化主題式研發計畫已於
5/6 正式公告。
【已完成】輔導媒合製造業者與
資安業者跨域合作,於智慧製造
場域導入資安產品或服務進行
產線資安強化解決方案之整合
驗證或開發,以強化智慧製造產
推動及輔導智慧製造場域 業之安全防護體質為核心。針對
導入資安解決方案、供應鏈 主題式研發計畫「智慧製造資安
1-1-2
12 月 20 日 或產線設備資安強化提案 強化」之推動,訪談國內製造產
(查核點 6)
至少 3 案次(含推動資安檢 業(包含電子零組件設備、精密零
測或示範場域) 組件、光電業、電腦/週邊設備等)
之真實狀況與需求,進行推動方
向引導及資安解決方案導入建
議。於 6/20 計畫收件截止日共帶
動 6 家廠商完成計畫申請《其中,
1 案於審查會前撤案》。
【已完成】 於 10/21-10/23 南港展
覽館台灣國際人工智慧物聯網
展(AIoT Taiwan)大型 展會活動
中辦理台灣雲協館物聯網資安
強化推廣專區活動,邀集竣盟科
1-1-3 辦理至少 1 場次物聯網資
12 月 20 日 技、安華聯網、精誠資訊、數聯
(查核點 7) 安強化推廣活動
資安、關楗與華電聯網等 6 家國
內優質資安業者共同參與展出
物聯網資安解決方案與技術能
量,並透過展覽方式促成物聯網
資安跨域交流或供需媒合之形
【分項二 產業環境與標準推動】
8
10
【分項三 策略運籌與產業交流平台】
查核點 日期 查核點概述 查核點達成情形
A. 資安成熟度評估與策略運籌管理
【已完成】完成製造場域資安需
求與防護策略研究報告 1 份(含
製造場域資安成熟度評估服務
至少 2 家),說明如下:
– 完成國內第一套製造業場
域資安評級線上評估系統,
建立 IEC62443 企業資安評
級題庫達 190 題,可分別提
供工廠產線擁有者、系統整
完成製造場域資安需求與 合商、產品開發商等三類型
3-1-1 12 月 20 防護策略研究報告 1 份(含 業者提供不同題型,診斷面
(查核點 5) 日 製造場域資安成熟度評估 相可涵蓋 15 大類指標、5 種
服務至少 2 家) 安全等級(security level)。
– 針對智慧製造業者進行資
安風險評估,並產出一份國
內製造業資安需求與防護
策略報告。
– 優先針對製造場域提供資
安成熟度評估。企業資安評
級服務累積超過 30 家廠商
申請服務測試,並持續輔導
廠商進行資安成熟度輔導。
【已完成】已完成計畫工作進度
會議與產業溝通會議,累計完
成 13 場次。說明如下:
– 2/12 假工研院中興院區 51
館召開 Kick off meeting 會
前會,共計 13 人與會。
– 2/18 假工業局二樓第三會
議室召開 Kick off meeting,
辦理計畫工作進度會議或 共計 28 人與會。
3-1-2 12 月 20
產業溝通會議等累計至少
(查核點 7) 日 – 2/20 假科技大樓 4002 室舉
6 場次
辦「109 年主題式研發計畫
徵案機制產業交流溝通會
議」,共計 27 人與會。
– 3/19 假工業局三樓大會議
室召開三月份工作進度會
議,共計 10 人與會。
– 4/7 假金億大樓九樓會議室
召開四月份工作進度會議,
11
12
13
14
(2) 工作項目實際執行情形說明
【分項一】案源輔導與場域推動
A.資安應用案例推動
(A) 成果內容
面對數位轉型之腳步,製造產業對於資安的重
視與發展進程相對緩慢,為增進我國物聯網應用之
資安防護能量,本計畫透過政策工具引導,研擬智慧
製造資安強化的徵案內容規格,以帶動臺灣具優勢
之製造業落實場域資安強化防護。
為有效引導產業投入資安強化之意願與助力,
本計畫策動主題式徵案內容規劃作業,採取智慧製
造資安強化推動主題之設定,以公開徵求製造業者
提案,鼓勵首批納入主題式計畫輔導對象之相關業
者,如:半導體製造、智慧機械、電子零組件設備、
印刷電路板工業、光電業、電腦/週邊設備等,與國
內資安企業合作開發符合本次主題式研發內容之技
術、產品、服務或應用,並集結本計畫各分子項推動
機制,如:產業實務指南落實、資安通報與情資分享
機制、企業資安評級作業等,打造物聯網指標性示範
應用案例,逐步建立產業界資安自主研發與服務能
量,帶動 MIT 智慧製造領域資安升級方案,打造臺
灣產業成為國際安全供應鏈首選。
15
智慧製造資安主題式徵案內容規格最終收斂成
要求申請廠商提案需符合 3 項重要審查重點(產線
資安強化產品或解決方案導入、場域成果展示規劃、
專責資安團隊制度建立)與 2 項配合事項(企業資
安評級提升作法、資安通報與情資分享機制)進行智
慧製造資安強化之規劃;所研擬之主題式研發計畫
「智慧製造資安強化推動計畫」之公告事項及申請
相關文件已於 5 月 6 日正式公告於經濟部工業局產
業升級創新平台輔導計畫網站。
圖 2:智慧製造資安強化主題式研發計畫正式公告
(B) 執行方式
本主題式研發計畫欲輔導之對象瞄準智慧製造
上下游產業鏈,鼓勵跨域業者共同投入開發產線資
安強化產品或解決方案,並落實規劃可觀摩展示之
智慧製造資安強化場域。計畫徵案內容規格之擬訂,
係根據產業發展需求繼而提出推動「智慧製造資安
,執行團隊於 1 月展開研擬徵
強化主題式研發計畫」
案內容規格,並接收各界回饋意見,持續調整修改草
案辦法。
16
計畫徵案規格經過多次調整精進後,調整計畫
目標為針對臺灣具優勢之智慧製造產業(具機聯網
基礎之業者)推動其成為國際信賴的安全製造供應
鏈,透過政策工具帶動國產資安產品或服務導入智
慧製造產線場域,樹立指標性物聯網資安示範應用
案例,除了帶動企業建立長期自主資安管理能力,亦
希望透過計畫執行推動產業重視資安成熟度評估與
建立資安事件通報聯防體系,藉此示範案例擴散臺
灣產業強化資安風氣並提高資安投資。
圖 3:智慧製造資安強化主題式研發計畫目標
主題式研發計畫之申請廠商須依據下述審查重
點與配合事項進行智慧製造資安強化之規劃。
17
a. 審查重點
− 產線資安強化產品或解決方案
規劃於智慧製造場域推動導入產線資安強
化產品或解決方案,落實應用藉以培植製造產
業資安自主研發能量。建議廠商於提案時可先
針對場域內既有的自動化/智慧化產線營運現
況進行盤點說明,再針對營運現況評估可能面
臨之資安痛點與挑戰,進而規劃欲研發導入哪
些資安關鍵技術與應用以強化產線資安防護,
以及探討分析導入資安強化後的預期效益。
產線資安強化範圍可包含如下(但不僅限於此):
工業控制與自動化系統中導入身分與訪問
管理。
有線/無線網路防護機制(例如:機聯網
(M2M))。
工控網路安全(例如:網路分段、區域邊界保
護)。
產線、機台設備資料保護。
系統安全(例如:惡意程式防護、安全漏洞掃
描)。
工控系統韌性強固(例如:系統安全配置管
理、控制系統元件管理)。
半導體產線設備資安標準應用(例如:SEMI
6506 標準導入)。
而為配合推動資通安全管理法,提高國內
自主率等事宜,本計畫補助採購之資安產品或
服務應符合行政院資通安全處的「資通安全自
主產品採購原則」
。且本計畫將優先支持資安配
18
合業者為符合「經濟部工業局資訊安全服務機
構能量登錄」或「經濟部工業局新興資安產業生
態系推動計畫項下資安整合服務平台(secpaas)」
之業者。
− 場域成果展示
為達到成果擴散綜效,提案廠商須規劃場
域成果導覽或推廣作法,如:成果導覽情境設
計、導覽動線規劃、行銷活動企劃等,以展示產
線資安產品或服務導入智慧製造場域之資安強
化成果。且廠商須配合計畫所需,進行成果導覽
展示之安排,以展現政府計畫資源推動之實際
成果,並讓相關國內外製造業者學習效仿、擴散
應用。
− 專責資安團隊制度
廠商須建構專責資安團隊制度,提案中需
說明籌組具技術能量之資安團隊作法,包含:組
織架構改組、職責分工(如:資安風險管理聯繫
窗口)、資安治理策略等。資安專責團隊運作可
包含如下(但不僅限於此):
資安專責團隊會被定期績效評估。
資安專責團隊有權力和資源來履行其職責。
資安專責團隊對產線營運服務系統安全負
擔全面責任。
資安有跨組織的合作機制(如:工廠部門和
資訊部門會相互談論資通安全風險)。
資安決策定期審查。
− 計畫預期產出效益
透過本計畫執行,於產線資安強化之預期
19
產出效益說明。例如(但不僅限於此):
導入資安強化解決方案/產品,降低資安風
險並促成產業資安投資。
導入產線資安風險管控可視化技術,提升機
台設備稼動率/穩定性,增加產量與提升品
質。
導入端點防護(例如:加載應用程式白名單
機制)、網路安全(例如:網段安全隔離)等技
術,接軌國際資安標準規範。
導入網通設備資安強化解決方案,打造產線
設備資料安全傳輸環境。
建構專責資安管理制度或整合開發團隊,新
增就業人數等。
− 其他衍生效益
延伸說明改善或衍生產線資安強化新產品
/新服務、員工資安素質提升、衍生新公司、對
公司影響(技術升級、企業轉型等)、對產業影響
(產業缺口、進口替代等)、市場競爭力(市佔率、
市場區隔性等)等,以凸顯出計畫執行所帶來之
特殊產業效益。
b. 配合事項
− 企業資安評級提升作法
為協助企業深度了解自身企業資安成熟度,
並針對缺口導入資安強化解決方案,提案廠商
須配合進行企業資安評級,對照資安方案導入
前後企業資安防護體質提升效益。申請廠商須
於簽約後計畫執行期間每季至少進行一次企業
資評級或更新;申請廠商須接受實地訪視,落實
企業資安評級調查;填寫企業資安評級問卷,可
20
由企業自主資安團隊或第三方供應商協助填寫,
但廠商須自行審閱確認內容正確性;計畫結案
後須配合評級追蹤至少 2 年。
− 資安通報與情資分享機制
為打造臺灣高科技製造業情資共享聯防治
理,完備資安通報體系,以因應瞬息萬變之惡意
攻擊事件,提升製造產業應變反應能力,提案廠
商須配合 TWCERT/CC 台灣電腦網路危機處理
暨協調中心進行資通安全事件通報相關作業程
序,規劃「資安事件通報應變制度」,內容須包
含:資安事件通報應變機制、演練機制、資安事
件調查改善報告、資安事件聯繫資料(單位名稱、
單位產業類別、單位 IP 範圍、窗口聯絡方式、
代理人聯絡方式)等;廠商須每半年至少一次檢
核資安事件通報應變制度之運作狀況,提供檢
核紀錄文件以利查驗;計畫執行期間若有發生
相關資安事件,廠商須依 TWCERT/CC 資通安
全事件通報處理管道及相關格式,進行通報作
業;為鼓勵專案具備資安聯防治理精神,計畫執
行期間,申請廠商可參考 TWCERT/CC 資安情
資分享格式,進行資安情資分享作業。
提案廠商於提案時須注意本主題式研發計畫之
計畫執行期間以計畫起始日起,不超過 110 年 6 月
30 日為原則,而補助案件之補助經費上限為 1,500
萬,且不得超過申請補助計畫全案總經費之 50%為
原則。另提案廠商可以是單一企業提案,亦可串聯產
業鏈上下游企業聯合提案,若為聯合提案則需推派
一家企業擔任主導公司提出申請,並應附上計畫場
域之工廠登記證明。
21
(C) 執行效益
面對智慧製造資安議題,需要專業的資安導入
規劃讓資安資源投入更有效率,故透過槓桿政策工
具研擬主題式研發計畫徵案內容規格,要求智慧製
造業者遵循資安優化策略,建立標竿示範應用並依
需求安排開放場域觀摩,促成產業上下游體系齊具
資安強化能量。藉此計畫執行也帶動媒合智慧製造
產業與資安產業跨域合作,共築 MIT 智慧製造安全
供應鏈,深化完善製造產業整體生態系,提升製造產
業國際品牌形象,同時也落實推動臺灣資安產品或
解決方案可於智慧製造場域驗證應用,發展可用於
廠區產線生產及維運之安全可靠整體方案,打響
MIT 安全解決方案國際知名度。
1-1-2 推動及輔導智慧製造場域導入資安解決方案、供應鏈
或產線設備資安強化提案 (含推動資安檢測或示範場
域)
(A) 成果內容
輔導推動係根據國內製造產業之實際狀況與需
求,輔導智慧製造與資安產業跨域合作,於場域導入
資安產品與服務進行產線資安整合驗證或自主研發
新應用解決方案,並以強化智慧製造產業之整廠安
全防護體質為核心,進行個案推動方向之引導(包含
計畫重點執行方向與需配合事項規劃)。自 5 月 6 日
計畫申請正式公告,截至 6 月 20 日止,已成功輔導
促成 6 案次之提案申請。
針對主題式研發計畫-智慧製造資安強化推動
計畫,輔導團隊訪談國內製造產業(如:半導體製造、
智慧機械、電子零組件設備、印刷電路板工業、光電
業、電腦/週邊設備等)之工廠真實資安遭遇現況與需
22
求,持續進行推動方向引導及資安解決方案導入建
議,達成於計畫收件截止時帶動 6 家廠商完成計畫
申請。
《1 案於審查會前撤案》
完成提案申請後,輔導團隊持續協助進入審查
會議之 5 家提案廠商進行審查簡報製作輔導,並針
對資安導入進程持續追蹤。經過 8 月 4 日與 8 月 7
日由產業升級創新平台召開之審查會議,及 9 月 22
日由經濟部工業局審查後通過 6 案,輔導團隊係針
對最終通過之 6 家廠商安排計畫啟動訪廠,與廠商
進行資安導入工作項目確認、成果展示樣態輔導、企
業資安評級作業程序及資安事件通報與情資分享等
議題討論,以掌握補助計畫執行進度並達成成果效
益最大化。《1 案於 11 月中旬主動撤案》
圖 4:輔導團隊安排啟動會議
23
(B) 輔導機制
圖 5:主題式研發計畫輔導推動作法
隨著連網製造設備日漸普及,資安的影響已衝
擊到了工業控制領域,進而使製造業之生產設施受
到網路攻擊的可能性大增,而過去產業一直專注於
IT 領域資訊與通訊安全,沒有重視 OT 領域安全,
直到近年來國際上資安攻擊事件頻傳以及國內經典
案例之台積電病毒攻擊事件,才喚起國內產業迫切
需要將工作重心放在 OT 領域安全。
透過相關活動辦理與國內外案例研析,首先盤
點出製造產業資安發展現況、應用趨勢與缺口困境,
計畫團隊再進一步訪談臺灣具優勢之智慧製造場域
(如:半導體製造、智慧機械、電子零組件設備、印
刷電路板工業、光電業、電腦/週邊設備等),深入了
解其真實產線自動化狀況與場域資安遭遇問題;接
著透過團隊專業分析媒合資安供需,推動跨域業者
合作導入資安產品或服務進行產線資安強化防護,
並引導建立專責資安管理團隊與制度以強化自主資
安能量,同時推動樹立示範場域,以觀摩展示呈現智
慧製造產業安全防護技能,期複製擴散產業應用。於
計畫推動過程,從申請階段開始輔導團隊即透過多
24
次會議安排討論,協助廠商滾動式調整計畫申請範
疇與資安工作項目導入規劃;於計畫正式執行期間,
亦持續安排計畫啟動配合說明與執行進度定期追蹤
會議,以利掌握計畫執行進程及確保產線資安強化
成果品質。
(C) 輔導執行過程
為落實提升智慧製造產業資安防護意識並增加
廠商資安投入意願,透過政策工具牽引,期帶動整體
產業資安化風潮。初期先精選已具備機聯網基礎環
境之企業進行訪談、了解企業背景,並進一步釐清實
際產線自動化、智慧化狀況與場域所面臨之資安問
題,再透過輔導團隊之專業評估與建議提供適切之
資安解決方案,經企業根據真實需求評估方案可行
性後,媒合供給方(系統整合服務商/資安廠商)及需
求方(智慧製造廠商)雙方進行需求規劃與細部架構
展開,藉由三方會議之舉行,輔導團隊從中給予建議
事項,以符合計畫申請審查重點及配合事項,達計畫
推廣綜效。於廠商準備計畫書期間,輔導團隊亦持續
跟進協助檢閱計畫內容,給予建議方向以利廠商調
整。
計畫書正式提案後,廠商即進行審查簡報之製
作撰寫,輔導團隊亦持續針對審查重點、配合事項等
面向給予輔導建議。於 9 月 22 日經濟部工業局核定
後,針對最終通過之廠商,團隊已逐一安排計畫啟動
會議,展開配合事項(企業資安評級服務、資安事件
通報與情資分享機制)之細項解說,並針對資安導入
之進度追蹤、導入效益查驗、成果展示之具體呈現方
式等進行輔導說明,後續亦會持續對計畫執行進度
進行追蹤查訪,以完備計畫執行成果並最大化產業
資安擴散效益,期能打造製造業安全標準生態系,同
時建立聯防治理,促進產業資安加值。
25
(D) 執行效益
根據調研機構數據顯示全球連網裝置數量在
2020 年成長突破 260 億個,且製造業在數位轉型的
腳步下對物聯網裝置的投資越趨積極,智慧工廠可
讓全廠資訊大整合,但也讓工廠暴露在更大的資安
風險之下。然製造業在建構資安策略或導入資安應
用仍有許多尚待克服之處,如在設備面、系統面面臨
設備/系統老舊無法更新,漏洞無法修補,廠內資產
與網域區隔不明等問題,且組織內部資安人力不足
及較缺乏資安意識,容易造成企業資安危機。此外過
去製造業多重視產能,對製造 OT 端的防護幾乎無
所作為,對於導入資安強化的思維亦相對保守,為了
提升物聯網產業的資安防護本質並帶動業界投入資
安預算,故搭配政策工具輔導,藉由徵案辦法提升製
造業積極進行產線資安強化意願。
核定通過之廠商,將遵循資安優化範疇主動規
劃導入資安產品與服務方案進行產線資安強化整合
驗證或自主研發新應用解決方案,推動智慧工廠資
安防護能力,打造國際信賴、安心可靠供應鏈品牌;
並藉由樹立指標性物聯網資安示範應用案例,以強
化智慧製造產業之安全防護體質為核心,擴散臺灣
產業資安強化風氣;同時培育自主資安專責人才,創
造在地人口就業機會同時累積國內自主研發與管理
技術能量。
1-1-3 辦理物聯網資安強化推廣活動
(A) 成果內容
透過辦理推廣宣傳活動,提升物聯網相關產業
之資安意識。本計畫 10 月 21 日至 10 月 23 日於南
26
港展覽館台灣國際人工智慧物聯網展(AIoT Taiwan)
大型展會活動中辦理台灣雲協館物聯網資安強化推
廣專區推廣活動,邀集竣盟科技、安華聯網、精誠資
訊、數聯資安、關楗與華電聯網等 6 家本土資安業
者共同參與展出物聯網資安解決方案與技術能量,
透過展區交流互動提升國產物聯網資安產品與服務
曝光度,促成物聯網資安供需雙方媒合推廣綜效。
(B) 執行方式
在物聯網相關領域快速發展的同時,能提供物
聯網資安服務與產品的業者也持續成長,為了協助
供需雙方有效串連,規劃透過展會推廣活動辦理,展
現台灣優質資安廠商技術能量與實際專案執行經驗,
協助資安業者直接面對物聯網領域的潛在客戶,最
終促進物聯網跨域產業之合作發展。
故特別於台灣國際人工智慧暨物聯網展的台灣
雲端物聯網主題館中設置物聯網資安強化推廣專區,
協助我國資安廠商向物聯網相關產業夥伴與海內外
買家展示優質解決方案。透過徵展辦法,邀請具備
「智慧製造資安強化」
、「物聯網資安導入」等解決方
案推動經驗之資安廠商報名參展,根據報名順序、資
格審核、參展項目規劃內容等資料評選後,最終確認
6 家參展廠商如下:
互聯安睿:分享 5G 專網資安規劃與智慧製造資
安解決方案;
27
關楗:展出結合了安全晶片、指紋認證、安全存
儲等元件的智能金鑰;
竣盟科技:All In One SOC 資安監控整合平台,
展現主動防禦策略解決方案。
透過展覽親自解說的方式不僅提供物聯網資安
跨域交流的機會,讓物聯網產業之業者對資安領域
有更深一層之了解及認識,進而促成供需媒合之形
成,以創造雙贏的局面,同時亦期望能帶動物聯網業
者投入資安防護之風潮。
(C) 執行效益
於物聯網資安專區邀請資安廠商同步展現資安
防禦的技術與防禦成果,並與實際應用潛在客戶交
流訪談,期望透過本次物聯網資安展覽專區推廣活
動媒合供需,藉由以面對面接觸溝通,幫助我國物聯
網相關場域廠商,能更了解資安防護的重要性與如
何落實應用,促進更多物聯網加資安的跨域合作,展
現台灣在資安防護應用成果,落實帶動台灣物聯網
資安產業與生態系之正向發展。本次活動回饋意見
如下:
28
表 1:資安強化推廣專區推廣媒合交流活動回饋意見
資安廠商 物聯網廠商
回饋意見
(供給方) (需求方)
• 電腦軟體服務業 • 整合環境資源與地理
資訊系統的環境顧問
公司,為 SI 或 SA 角
色,了解半導體代工場
域之資安解決方案,可
再搭配相關客戶之需
求,作為產品方案。
• 針對 ipad 讀取健保卡、
加密資料進行交流,需
再另約拜訪時間。
29
資安廠商 物聯網廠商
回饋意見
(供給方) (需求方)
• 通訊機械器材相關 • 進行 3S 資安訂閱服務
業 交流討論,需再電話聯
絡產品合作之可能計
畫。
• 中x院 • 討論物聯網於軍事應
用、智慧營區資安議題
與 解 決 方 案 、 以
IEC62443 進行定期風
險評估,需再另約拜訪
時間。
• 需收集端點安全防護
相關資料,需再另約拜
訪時間。
• 了解物聯網產品、工控
產品在資安領域上之
應用,後續另約拜訪時
間。
• 機械器具批發業 • 了解機器人製造流程、
資安弱點排除,需再另
約拜訪時間。
• 保全樓管相關業 • 欲為中小企業的客戶
設計一套 VTM+端點,
能垂直平行都防護之
架構,需再另約拜訪時
間(E-mail、line、電訪皆
可)。
• 資訊服務業 • 欲了解資安整合方案、
30
資安廠商 物聯網廠商
回饋意見
(供給方) (需求方)
IOT 環境保護,後續再
提供簡報供參。
31
圖 6:資安強化推廣活動專區廠商參加輸出物
32
圖 7:資安強化推廣活動專區廠商參展媒合區
33
B.推動產業跨域資安應用交流
(A) 整體執行概況
本分項工作為落實產業資安需求,持續推動「產
,維運 6 個產業別物聯網資安
業資安應用推動小組」
應用 SIG,包含電子、紡織、機械、金屬、食品及醫
療。本年度以「新夥伴/新服務」及「找需求/找議題」
為主軸,辦理「產業資安應用推動小組交流活動」2
場次,因應資安新趨勢,探討資安產業需求或可發展
的新服務,總計 37 人次與會,並完成簽署 6 份 MOU。
透過 SIG 交流活動之運作,使與會廠商瞭解到
資安強化之重要性,衍生 9 月 11 日及 10 月 21 日由
資安廠商自主性發起之資安 SOC 互助合作討論會議,
針對目前產業共通性資安問題,進行進一步交流,計
辦理 2 場次,共 18 人次與會。
(B) 個別執行進度
– 活動目的:
全球進入智慧工廠模式,因應 5G、物聯網、
雲計算、大數據、人工智慧等新興科技,帶給
人們生活上的便利,但也帶來資訊安全上的隱
憂。
爰此,成立電子、機械、金屬、食品、紡
織、醫療等產業別物聯網資安應用 SIG,透過
本次活動邀請有意願之廠商加入及分享,並說
明政府計畫相關資源及產業物聯網資安實務
指南之規劃,更以「5G Security」為主題,邀
34
請業者進行交流,盼促成業者掌握商機與交流
合作。
– 活動議程:
時間 主題 講者/參與者
09:30-10:00 來賓報到
10:00-10:05 主辦單位致詞 經濟部工業局
資安應用服務聯盟暨電子產業物聯
10:05-10:10 貴賓致詞 網資安應用 SIG 召集人
洪偉淦總經理
廠商服務及案例介 華電聯網(股)公司 鄭炤仁副總
10:10-10:30 紹 泓格科技(股)公司 鄭樹發副總
(SIG 新成員) 緯謙科技(股)公司李冠儀資深總監
因應 5G,
10:30-11:00 製造業可能面臨的資 電信技術中心 林炫佑副執行長
安新議題
工業技術研究院 蔡淑瑜資深管理
資安跨域合作與情資
11:00-11:20 師
共享機制介紹
TWNIC 林克容資深工程師
產業別資安實務指南
11:20-11:40 資安應用服務聯盟 沈家生顧問
新增調適規劃說明
11:40-12:00 綜合座談及廠商交流
– 活動效益:
邀請華電聯網(股)公司、泓格科技(股)公司、
緯謙科技(股)公司,加入 SIG 及分享服務
案例。
以「5G 智慧製造與資安」為主題,邀請
TTC 林副執行長分享 5G 垂直應用下資安
威脅及對策,在標準層面,3GPP 已經制
定多項安全架構,例:統一可擴展認證協
議框架、改善漫遊狀況下的安全風險、強
化用戶隱私、提供用戶訊息完整性保護等,
例仍應該針對資安危害建立威脅建模、漏
洞檢測、滲透測試、影響分析等應變機制。
35
– 活動剪影:
5G 資安主題分享 跨域合作與情資共享機制介紹
36
– 活動目的:
媒合欲推進機械業的領域資服與資安業者。
整體活動分為五個部分進行,包括(1)、政府資
源分享;(2)、業者自介與交流;(3)、資服或顧
問業者分享產業實務;(4)、資安業者提出解決
方案供資服與資安雙方討論交流;(5)、MOU 簽
訂儀式確立各方角色與合作方式,以籌組機械
產業物聯網資安應用 SIG。
37
– 活動議程
時間 主題 主講者/參與者
09:30~10:00 報到&交流
10:00~10:05 主席致詞 資安應用服務聯盟 洪偉淦會長
博歐科技徐千洋技術長
可立可資安(股)公司林逸總經理
10:05~10:20 新成員介紹及分享
區塊科技(股)公司呂珮瑄業務暨
產品經理
資訊電子業物聯網資安實
務指南:
-電子資訊 IT/OT 架構圖
10:20~11:20 台北市電腦公會 沈家生顧問
-電子業物聯網資安缺口
-指南使用說明
-交流討論
產業推動討論: 主持人
11:20~12:00
-建構資安產業鏈討論 資安應用服務聯盟 洪偉淦會長
12:00 散會
– 活動效益:
邀請華區塊科技(股)公司、可立可資安(股)
公司、博歐科技(股)公司,加入 SIG 及分
享服務案例。
資安產業痛點討論:
i. 資安產業發展緩慢之根源是需求太少,
目前僅金管會嚴格執行資安要求,帶
動部分市場商機,雖政府大力推動智
慧製造,但企業主對資安觀念薄弱,建
議推動需求面時加強廣宣。
38
– 活動剪影:
39
– 活動目的:
由資安廠商自主性發起,針對目前產業共
通性共契及人才問題,進行交流與討論,盼凝
聚產業共識,提供政府推動方向。
– 活動議程:
40
時間 主題 主講者/參與者
10:00~10:30 報到&交流
引言:事件處理 = 維 安碁資訊(股)公司
10:30~10:40
護 MSS 服務績效? 楊旭平副總經理
討論事項
1、資安共契制度改善 行動應用資安聯盟 陳振楠會長
建議 中華資安國際 游峯鵬副總經理
10:40~11:30
2、政策推動-上市公 數聯資安 林燦柔資深顧問、游
司設置 CSO 之可行性 承儒處長
討論 關貿網路 方念德副總經理、林
恆生處長
11:30~12:00 臨時動議
12:00 散會
– 活動效益
資安產業痛點討論:
i. 政府研訂共同供應契約之訂價過低,
且近三年資安項目之經費大幅下滑
45%,導致資安廠商參與度不高或只能
提供低價服務,但資安多為高端人才,
其薪資較高,目前共同供應契約價格
是阻礙人才投入資安產業。
ii. 資安監控投標廠商只有資格審查只有
營業規模審查,並無規格能力經驗與
廠商是否能履約等審查,會導致使用
Open Source 無任何實績的新進廠商,
以價格搶入,甚至今年已超過 10 家,
將有廠商無法成為服務供應商,恐淪
為價格市場競爭。
41
建議方向:
i. 資安共同供應契約之低價競爭問題及
因應政府考量新進業者可參與性等因
素,建議未來審查時僅看營業規模,建
議資格審查需納入技術履約能力及設
定硬體基礎門檻。
ii. 行政院國家資通安全會報技術服務中
心公告 102 年 SOC 參考指引(v2.0)已
不符目前產業資安防護需求,建議資
安處配合國內外資安監控發展趨勢,
應更新版本並建議維護機制。
– 活動剪影:
SOC 資安廠商交流討論
– 活動目的:
由資安廠商自主性發起,針對目前產業共
通性共契及人才問題,進行交流與討論,盼凝
聚產業共識,提供政府推動方向。
42
– 活動議程:
時間 主題 主講者/參與者
10:00~10:30 報到&交流
中華資安國際(股)公司
10:30~10:40 主席引言
游峯鵬副總經理
國際 SOC 之框架分享:
日本(中華資安)、歐洲(安碁)、 中華資安國際 游峯鵬
10:40~11:30 副總經理
新加坡(數聯資安)、美國(關貿
網路) 數聯資安 游承儒處長
關貿網路 方念德副總
11:30~12:00 臨時動議 經理、林恆生處長
12:00 散會
– 活動效益
國際 SOC 規範討論:
i. 經彙整日本、美國、歐洲相關資料,發
現各國並沒有對 SOC 擬定相關的規範
或指引,多為選商標準建議。
43
– 活動剪影:
SOC 資安廠商交流討論
1-2-2 鏈結公協會能量,輔導業者申請補助案,建立製造業
資訊安全應用示範案例
為協助產業資安防護能力升級,與各產業公協會合
作,初期先進行企業關懷,釐清需求後,藉由輔導團內
的專家顧問專業知識,進行到場服務,提供建議事項與
解決方案,或提供適用的政府資源,來協助企業所面臨
的困境,得到解決方向,亦為本計畫 SIG 團隊價值創造
的核心。
為提升產業導入物聯網資安之能量與成效,將針對
不同產業現況與特性,分別組成專家服務團隊,提供諮
詢診斷服務工具,透過諮詢訪視診斷,瞭解業者需求,
研擬資安解決方案及建議,並適時提供業者計畫資源及
輔導專案計畫提案。
44
圖 8:輔導及促案流程圖
(A) 整體執行概況
自 2 月份開始接洽有意願提案之廠商,如新漢、
泓格、聯合骨科器材、優你康光學、四零四科技、
研華等業者,持續與廠商討論提案可行性、提案方
向與產業擴散性,並於提案前進行場域訪視,確認
資安導入範圍及規劃,本年度已輔導泓格科技(合
作廠商-中華資安)及新漢(合作廠商-椰棗)完成智慧
製造資安強化主題式研發計畫提案及順利通過。
諮詢訪視服務機制說明如下:
接觸:透過交流活動宣傳、SIG 伙伴推薦發展
潛在需求廠商,並安排合適之資安業者提供諮
詢服務。
執行作業:提供計畫/廠商/工具等資源介紹,初
步提供諮詢服務確認廠商需求,協助安排資安
專家至現地進行場域/產線之訪視或深度診斷
作業。
45
後續處理:將實地現訪後紀錄進行資安成熟度
評估分析,並針對業者提出之需求進行摘整,
以瞭解產業資安需求與動態,並將需求方轉介
合適之資安業者。
1-2-3 調適電子產業別實務指南及新增機械產業別實務指南
(A) 執行流程規劃
隨著進入智慧工廠模式的局面,資安環節也就
愈來愈重要。相較製造業在 IT 端的安全防護,事實
上大多數產業在製造端 OT 的防護上幾乎無所作為。
有鑑於此,本工作項目針對臺灣科技與製造業
的強項,電子資通領域與自動化機械,建立產業別資
安應用指引,將貼近產業,滾動式調適指南內容,強
化說明資安控制項目執行方式並針對產業別提供實
務部署建議及解決方案優先性之相關建議,盼形成
最佳製造業資安推動工具,協助產業發展資安應用
方案。
以電子及智慧機械為主軸,依產業資安實務需
求、配合經營特性、未來佈局、資訊應用狀況、核心
製造流程等,建立系統化之資安建置及導入步驟計
畫,從資安之目標、界定範圍、流程、程序、資安風
險、控制措施等發展智慧機械產業之資安建置計畫,
重點內容如下:
46
圖 9:指南編撰重點及流程圖
47
(B) 個別執行進度
a. 調適電子產業物聯網資安實務指南
指南適用於「電子產業」
,意旨製造電腦、
通訊、資訊、家用電子設備等相關產品之基本零
組件之產業,涵蓋半導體製造、被動電子元件製
造、印刷電路板製造及其他電子零組件製造等
4 類別之廠商。並適用於公司、廠區、產品產線
相關資訊系統、生產製程設備及基礎設施。
電子產業因需要按照不同客戶的產品需求,
於 PCB 印刷製造時,製程上會有不同的流程
與機台,為滿足客戶的各類需求,電子組裝代工
製造產業的機台類型與數量較多,因此其整體
工控物聯網架構複雜度較高。且電子組裝代工
製造產業客戶通常會要求提供相關製程上機台
的參數與監控資訊,用作於品質管理與稽核。因
此其資訊化層度與產線複雜程度就遠高於其它
工業工控相關產業(如:較為單純的機械製造業)。
並且工業工控相關產業其不同於資訊產業或是
高科技製造業,其中大部分於產線上之人員,皆
為非高技術人員,該類人員對於資訊安全的意
識通常較不高,這也限制了電子組裝代工製造
產業在高度資訊化與自動化架構下的資訊安全
管控與推動的困難。
考量上述所提及之產業特性,因此訂定了
電子產業物聯網資安實務指南,本年度為讓指
南更易讀、易懂、易使用,調適重點如下:
重點 1:針對產業特性提出其安全風險挑戰
情境,並提供防護重點說明及對應之解決方案
48
建議。
重點 2:由於各控制項目之子項目繁多,本
次依實施難度及效果區分級,提供使用者在實
際導入順序有可更直覺參考。
b. 新增機械產業物聯網資安實務指南
本指南適用於「機械製造產業」
,係製造直
接用於生產的機械及相關輔助設備之企業,主
要產品有原動機、農業、工業、辦公用及其他特
殊用途之機械設備。本指南適用範圍涵蓋公司、
廠區、產品產線相關資訊系統、生產製程設備及
基礎設施。
機械是工業之母,廣義的機械工業包括金
屬製品業、機械設備製造業(狹義的機械業)
、
電力機械器材製造業(電器機械業)
、運輸工具
製造業、精密器械製造業等 5 大類。隨著資訊
科技快速變化的腳步,傳統的機械製造產業也
逐步朝智慧工廠邁進。
機械業不同於其它工業工控相關產業,因
為設備種類較為簡單,且通常為 CNC 車床設
備,當前較多的機械業者都處於正在準備朝彈
性製造與智慧製造前進的階段,其資訊化部分
多數為由產間設備蒐集相關設備製造資訊作為
生產效率改善或狀態監控之用。但隨著機械製
造業近年來新購設備已可聯網與和系統整合業
者合作進行舊有設備聯網介接之研發,未來於
彈性製造與智慧製造階段時,將有遭遇更一進
步資安風險威脅的可能。
考量上述所提及之產業特性,因此訂定了
機械產業物聯網資安實務指南,並針對產業特
49
性提出其安全風險挑戰情境,期望能讓使用本
指南的人員,可以借鑑思考其安全風險何在,提
供相關安全建議與解決方案建議,進而規劃組
織資訊安全計畫。
(C) 產業訪視
指南撰寫過程中分別拜訪電子、機械產業具代
表性業者,燿華電子(股)公司及復盛(股)公司。訪談
重點在於企業資訊流架構及資安管理現況評估,訪
談目的在於了解受訪的製造業者之物聯網資安需求,
以大致了解各產業物聯網資安的導入重點項目及導
入優先順序,以讓產業資安應用實務指南更落地產
業需求。
圖 10:企業訪談對象及訪談內容
50
表 2:廠商訪談彙整表
序 產業別 廠商 主題 訪視日期
瞭解工廠網路(IT、OT)
1 電子業 燿華電子(股)公司 環境架構及資安管控現 5/26
況與問題等。
一、訪問題項摘整:
1、 貴司目前最有價值的資產或資料為何?
2、 貴司目前最不能被竊取的資訊或資料為何?
3、 貴司目前最不能停擺的設備或服務?
4、 貴司目前已實施之資安管控規範為何?
二、討論重點摘整:
1、 目前場域 STC 戰情室連到雲端資料庫,主管電腦可連內網至戰情室。
2、 哪些資料不能被竊取 => 料號、製程參數 (存在 MES,APS 存取的到)參
數調整由產品工程部人員設定。
3、 資訊系統=> ERP、MES 自行開發,APS 智慧排程 (鼎新)。
4、 目前場域內資安管控=>
USB 只能用資訊室提供的
電腦無法上外網並禁止檔案上傳
郵件關鍵字攔劫
Email 進出無限制(有紀錄、span)
IT 端點防護
辦公室電腦已安裝防毒、防火牆
主管電腦備份
Gateway 都有裝防毒
IT server 裝 2019 版本定期更新
ERP、MES、APS 有備緩機制-> 2 廠切到 4 廠 Server (即時)
IP 外部訪客使用動態密碼
5、 場域資訊流架構圖
51
序 產業別 廠商 主題 訪視日期
瞭解工廠網路(IT、OT)環
2 機械業 復盛(股)公司 境架構及資安管控現況與 5/27
問題等。
一、訪問題項摘整:
1、 貴司目前 IT 與 OT 間是如何介接的呢?資訊流是如何傳遞的呢?
2、 貴司目前最脆弱或老舊的部分為何?
3、 貴司目前最有價值的資產或資料為何?
4、 貴司目前最不能停擺的設備或服務?
5、 貴司目前已實施之資安管控規範為何?
二、討論重點摘整:
52
1、 目前設備連網走有線,因無線網路訊號容易被鐵材干擾。
2、 資訊系統=>ERP(頂新)、MES(資通)
3、 製造部份資訊系統=>INS(奧特益)
4、 WinBox 以 linux 寫,目前用邏輯判斷語法,pord 有限定,usb 未封。
5、 目前現場電腦 win7,主管電腦已更新 win10,持續更新中。
6、 目前場域內資安管控=>
• USB 只能用資訊室提供的
• 遠端連線需申請,使用期限為 1 日。
• 內網密碼設定有要求嚴謹度。
• 資訊系統及場域設備有設權限管控。
7、 場域資訊架構圖
53
序 產業別 廠商 主題 訪視日期
瞭解工廠網路
(IT、OT)環境架
3 電子業 燿華電子(股)公司 7/7
構及資安管控現
況與問題等。
一、訪問題項摘整:
1、 Server 網段隔離方式為何?
2、 是否能提供 IT 機房中,有哪些網段是可以觸碰 OT 網段的?是否進行
網路隔離?
3、 自行開發的系統是否有進行相關檢測?是否有執行過除了 Code Review
外的安全檢測?如果有施作的話,驗收標準與頻率為何?
4、 針對邊境主機之防禦策略?是否做過弱點掃描或滲透測試?
5、 是否使用任何安全措施,如 MAC 與白名單?
6、 針對客戶上傳訂單的 FTP 主機,是否有建立適合的安全冊率?
二、討論重點摘整:
1、 邊界安全防護
在訪談過程中發現對外服務(例如:網頁伺服器、檔案伺服器)並未劃
分出一個物理或邏輯的 DMZ 區域,這使得對外提供的服務伺服器出現
安全弱點被攻陷時,目前架構下無法限制攻擊者往內網滲透,最終可能
到達工業控制區域。工業控制網路邊界建議部屬防火牆、單向隔離設備
和邊界防護設備,根據貴公司實際情況可以在不同網路邊界部屬防禦設
備及存取控制,嚴格禁止。
2、 淺在入侵途徑:
(1). 透過邊界主機的弱點,進而攻打到核心主機或網段。
(2). 透過電子郵件進行惡意程式投放,進而透過受害者電腦進入核心主
機或網段。
(3). 透過滲透廠商取得 FTP 相關登入憑證或者暴力破解 FTP 取得合法
權限,進行感染服務上檔案,誘使工程或開發部門開啟惡意程式。
(4). 透過廠房內溢出的無線網路訊號進行封包側錄,透過側錄的封包進
行離線的密碼破解,破解後直接進入工業控制網段
54
序 產業別 廠商 主題 訪視日期
瞭解工廠網路(IT、OT)環境
4 機械業 復盛(股)公司 架構及資安管控現況與問題 7/22
等。
一、訪問題項摘整:
1、 網路架構,IT 和 OT 是否有網段隔離或區分? 網路邊境入口與內部是否
存在資安設備或解決方案?
2、 針對 Winbox 是否進行過相關安全檢查? 是否進行過權限跟帳號管理檢
查? 是否進行過 Linux 安全檢核與檢測? 內部有哪些網段可以存取
Winbox? 廠商是否存在預設帳號?
3、 未來會透過怎樣的架構、協定或解決方案來自動化控制製程中的機台? 與
MES & INS 介接之 ERP 系統是否是否進行過相關安全檢測?
4、 Windows AD 管理與安全策略為何?
二、討論重點摘整:
1、 系統與更新管理
工業控制網路應確實盤點所有設備,並建立工業控制系統配置清單,並定
期查核是否與真實狀況相符合。密切關注與自身所使用的系統與軟體有發
生安全性漏洞及安全更新發布,應及時採取相關安全措施。在更新前需對
其做相關的安全評估,並在測試環境中進行驗證。對於無法進行更新的系
統及軟體,應規劃其他防禦措施或考慮淘汰該系統。
2、 網路安全監控
在工業控制網絡部署網絡安全監測設備,及時發現、報告並處理網絡攻擊
或異常行為。定期對工業控制系統的應急響應預案進行演練,必要時對應
55
急響應預案進行修訂。
序 產業別 廠商 主題 訪視日期
提供資安強化建議方案
5 電子業 燿華電子(股)公司 及介紹資安補助計畫重 9/29
點。
一、討論重點摘整:
以下安全挑戰情境提供安全建議報告:
1、 網路邊境挑戰與 FTP 安全挑戰
網路邊境防護
應用程式軟體的資訊安全
2、 惡意郵件挑戰
電子郵件與網站瀏覽器的保護
3、 其餘安全建議
持續進行資安漏洞的評估
事件回應與管理
滲透測試和事件處理小組演練
二、資安補助計畫重點說明:
1、 提案資安:具備機聯網基礎之國內智慧製造業者或場域主
2、 計畫範籌: 可展示產線資安強化產品或解決方案,如:
工廠資安營運管理、產線系統與網路安全、生產設備資安強化、產線系
統彈性強固、資安監測與反應、產線資料安全、供應鏈安全溯源追蹤
等。
56
序 產業別 廠商 主題 訪視日期
瞭解工廠網路(IT、OT)
6 機械業 復盛(股)公司 環境架構及資安管控現 11/19
況與問題等。
一、討論重點摘整:
以下安全挑戰情境提供安全建議報告:
1、 雲端安全挑戰
應用程式軟體的資訊安全
2、 惡意檔案挑戰
惡意程式的防禦
3、 其餘安全建議
持續進行資安漏洞的評估
事件回應與管理
滲透測試和事件處理小組演練
二、資安補助計畫重點說明:
1、 提案資安:具備機聯網基礎之國內智慧製造業者或場域主。
2、 計畫範籌: 可展示產線資安強化產品或解決方案,如:
工廠資安營運管理、產線系統與網路安全、生產設備資安強化、產線系
統彈性強固、資安監測與反應、產線資料安全、供應鏈安全溯源追蹤
等。
57
在傳統製造業中,由於許多開始導入物聯網應用的
企業並未落實資安防護策略,資安問題恐導致製造業者
高度的營運與管理風險。為了協助企業決策者瞭解資安
的重要性,本年度與產業公協會共同合作,辦理 2020 資
「企業承續經營-布新局、引轉型 X 物聯網資安」
安論壇-
系列活動及「資安是蝦咪?!」線上影音活動,除了安排
資安業分享「後疫情時代的資安思維」
,也邀請企業接班
者/高階管理者與資安業者進行雙向座談交流,希望瞭解
產業導入資安應用所面臨的困難、可能解決方案之方向
及需要協助事項。
(A) 整體執行情況:
本年度聚焦企業高階主管及接班人,辦理 2 場次推
廣活動,並因應疫情於 12 月辦理 1 場次線上影音
活動。
2020 資安論壇系列活動
項次 類型 活動主題 日期 地點 出席人次
「企業承續經營-布
實體
1 新局、引轉型 X 物聯 109/07/24 北投文物館 87
活動
網資安」活動
「布新局、引轉型 X
實體
2 物聯網資安」跨域活 109/11/25 wine-derful 56
活動
動
23 小 時
線上 「資安是蝦咪?!」線
3 109/12/2 線上平台 累計觀看
活動 上影音活動
511 人次
總計 654 人次
58
a. 實體活動:
– 於 7 月 24 日假北投文物館辦理「布新局、
引轉型 X 物聯網資安」紡織產業交流活動,
現場計 68 位企業高階主管/接班人參與,全
場累計 87 人次與會。
– 於 11 月 25 日假 wine-derful 葡萄酒餐廳辦
理「布新局、引轉型 X 物聯網資安」跨域交
流活動,現場預計 46 位企業高階主管/接班
人參與,全場累計 56 人次與會。
b. 線上直播活動:
– 於 12 月 2 日以智慧工廠 OT 資安為主題辦
理「資安論壇-資安是蝦咪?!」線上影音活
動 1 場次,23 小時內線上觀看人數累計 511
人次。
(B) 個別執行進度:
a. 7 月 24 日「企業承續經營-布新局、引轉型 X
物聯網資安」交流活動
– 活動目的:
企業轉型及升級是台灣所有產業最大的機
會跟威脅,後疫情時代,數位轉型是企業生
存與永續發展的必要關鍵,因此企業應盡早
善用 ICT 相關科技驅動創新,掌握市場商機。
– 活動議程:
59
時間 主題 主講者/參與者
經濟部工業局代表
主辦單位 合辦單位理事長代表
洪偉淦/資安應用服務聯盟 會長
14:00-14:20
貴賓致詞 葉哲良/行政院科技會報辦公室 副執行秘書
全體合影
台灣產業下一個十
14:20-14:35 年新挑戰-數位轉 葉哲良/行政院科技會報辦公室 副執秘
型驅動資安升級
數據即力量,紡織 紡織產業物聯網資安應用 SIG
14:35-14:50
業的數位突圍 陳建全/漢門科技(股)公司 總經理
後疫情時代,資安 紡織產業物聯網資安應用 SIG
14:50-15:05
也要超前佈署 莫子賦/精誠資訊(股)公司 資深技術處長
15:05-15:15 茶敘與交流
紡織便利店,走出
15:15-15:45 陳少鈞/意創坊國際(股)公司 總經理
轉型第一步
30 億到 300 億,
15:45-16:15 黃冠華/旭榮集團 執行董事
兩代共治開創新局
主持人:莊燿銘/絲織公會理事長
共同主持人:洪偉淦/資安應用服務聯盟 會長
「布新局及引轉
與談人:
型」論壇(分享守
16:15-17:30 唐雲順/精誠資訊(股)公司 總經理
基成、布新局、引
黃冠華/旭榮集團 執行董事
轉型)
陳少鈞/意創坊國際(股)公司 總經理
陳建全/漢門科技(股)公司 總經理
17:30 綜合交流
60
– 活動剪影:
工業局林青嶔科長蒞臨指導及致詞 科會辦葉哲良副執秘分享政府政策資源
「布新局及引轉型」論壇 與者會交流與提問
與者會交流與提問 活動與會者合影
「產業資安應用推動小組」廠商合影
61
– 活動效益:
活動鎖定多為有決策影響力之高階主管
或企業接班人,除了更有效的強化企業對
資安的認知外,也為資安廠商搭建平台促
商機。
多家紡織業者分享實務遭受郵件詐騙,多
次被偽裝成生意上的通知信件詐騙,還有
廠商無法警覺到這是詐騙行為,造成多次
損失。活動中資安專家實務建議,除了可
利用網路工具協助做判讀外,企業內部更
需求建立確認機制及管道,多方進行確認
以避免受騙,另也需定期進行企業內部社
交工程演練及釣魚信件教育訓練。
業者亦提出勒索病毒及如何預防接單合
約、設計圖郵寄失誤或透過郵寄外洩之問
題,資安專家建議企業應明確定義公司機
敏資料,並劃分出一個物理或邏輯的
DMZ 區域,以緩止對外提供的服務伺服
器出現安全問題時,攻擊者對於內網滲透
的可能性,另建議改用 FTPS 進行加密
資料傳輸避免機敏資料遭到監聽,機敏資
料限制廠商只能透過白名單的 IP 進行存
取、透過郵件或網頁簽章加密方案..等方
式,防止機敏資料外洩。
後續透過拜訪及安排洽談,於 8 月 14 日
安排大統新創資訊課魏副課長與中飛科
技、可立可資安及優碩等資安廠商媒合洽
談;於及基點資訊與東欣實業鄭廠長;於
9 月 16 日安排捷而思與台灣富綢莊總經
62
理後續洽談; 引介安華聯網與綿春纖維
資訊課劉課長後續洽談,盼促成資安廠商
更多合作之商機。
透過媒合也發展跨業合作模式,例: 漢門
科技及益模(資服)與捷而思(資安)合作,
協助廠商進行 AI 計畫提案並提供加值資
安解決方案,在供應鏈數位串流暨 AI 應
用中,完善資安防護。
– 衍伸效益:
配合活動進行產業智慧製造及資安需
求調查分析。因紡織產業屬傳統產業,自動
化及智慧化程度不高,本次活動就企業智慧
製造及資安需求進行不同廠商服務面向調
查,以提供資服及資安業者持續接洽及提供
服務之機會。
本次問卷採用匿名方式調查,內容結構
分為「活動滿意度」、「智慧製造需求調查」
以及「資安需求調查」等三個構面,共提出
十四項題目,並根據李克特五點量表(Likert
scale)
,以非常不同意、不同意、同意、有點
同意以及非常同意進行衡量。以下以描述性
統計進行分析,初步分析結果如下:
項目 結果
一、 活動安排部分: 分為「活動內容」以及「議題內容」兩題,
非常滿意者超過 50%,而總體來看,業者對
於本次活動均表達出正面滿意的態度。顯
示,本次活動內容以及執行過程均舉辦相當
成功,獲得業者肯定。
二、 智慧製造需求: 本項目又分為「自動接單與智慧排程」
、「成
品自動光學檢測」、「製成影像特徵判讀」、
63
項目 結果
「消費者行為大數據分析」
、「自動缺陷檢測
/智慧化驗布系統」、「智慧工廠雲端解決方
案」,等六題。
就調查結果來看,可以發現業者對於生產自
動化以及雲端管理這兩項持有高度的興趣,
分別有 70%以及達 67%表達同意的觀點。
但是,對於品質管理方面,業者卻普遍興趣
較低,甚至有不予同意的態度。例如在成品
自動光學檢測僅有 56%的同意、製成影像特
徵判僅有 56%、自動缺陷檢測/智慧化驗布
系統部分最低,僅有 43%的同意。
值得注意的是,通常業者最關注的消費者分
析部分,僅有 36%的同意。這部分可能是紡
織業者多是接受訂單設計,也可能是負責織
品生產與後續的成衣設計等較無關聯,因此
業者對消費者分析的需求興趣較低。
三、 資安需求: 本項目又分為「加強網路安全防護」
、「公司
資安管理制度之規劃」
、「資安教育」
、「身分
辨識與公司機密資料防護」
、「資安鑑識與事
故調查」、「政府資安相關補助計畫」,等六
題。
就調查結果來看,業者普遍認同網路安全以
及資安管理的重要性,在加強網路安全防護
以及公司資安管理制度之規劃均有 80%的
同意。在資安內容方面,不論是資安教育或
身分辨識方面,也都有將近 80%的同意。因
此,對於政府資安補助計畫,業者也全面表
示肯定贊同的態度。
值得注意的是,資安鑑識與事故調查部分,
僅有 57%的業者表達出需求,推測大部份業
者發生資安事故後,以解決問題及快速復原
需求較高,較無專業人力或資訊能力協助進
64
項目 結果
行資安事故調查。
總體來說,在本次調查發現,由於本場次均
是產業二代經營者,因此對於最新的雲端技
術應用部分、資訊安全等等議題,均表達出
高度的興趣與接受度。但是進一步來看,由
於紡織產業多為機械化生產模式,因此業者
關注的是生產技術應用問題,對於生產品質
上關注較低。
因此,政府在推動紡織產業智慧製造轉型部
分,應可多加強於機械數位連結等方面,並
輔以雲端平台管理,相信可較符合該產業需
求。另外,雖業者對於資訊安全的重要性並
給予肯定態度,也願意接受政府輔導補助。
但是對於資安鑑識與事故調查部分,可能業
者目前需求度較低,有待日後進一步了解。
b. 11 月 25 日「布新局、引轉型 X 物聯網資安」
跨域交流活動:
– 活動目的:
21 世紀的企業,轉型已不是選擇。隨著
大多數的顧客已經上線使用雲端服務、全球
化的影響、以及競爭者的不斷創新,企業若
無思考如何結合數位科技以提高營運流程
效能、增加客戶體驗、思考市場定位等的品
牌,將會徹底失去市場的競爭力。
數位轉型是企業永續發展的關鍵要素,
企業應盡早善用資通訊科技,物聯網(IoT)
串接,掌握數據驅動創新,但另一方面,因
近年來駭客攻擊事件頻傳,資安議題更應該
要謹慎部署。在十月份《網路資訊》雜誌調
65
查中顯示傳統上台灣業在資安議題的專責
性尚未成熟。
有鑑於此,本次活動攜手「數位轉型推
動聯盟」邀請企業代表或接班人與會交流討
論,在數位轉型時代,企業該如何全面思考,
並積極面對資安威脅帶來的挑戰,重新布局。
– 活動議程:
時間 主題 主講者/參與者
11:40-12:00 貴賓報到
劉瑞隆/數位轉型推動聯盟 會長
主持人
12:00-12:15 洪偉淦/資安應用服務聯盟 會長
主辦單位致詞 經濟部工業局 長官
企業轉型新機會
12:15-12:30 鍾錦慧/台灣櫻花 經理
-傳承與創新-
台灣產業下一個十年
12:30-12:45 新挑戰 林弘洲/數位轉型推動聯盟 副會長
-企業數位轉型-
台灣產業下一個十年
12:45-13:00 新挑戰 楊旭平/資安應用服務聯盟 副會長
-資安威脅升級-
13:00-13:40 餐敘與交流
綜合交流
13:40-14:30
-智慧製造迎向數位轉型與物聯網資安-
66
– 活動剪影
經濟部工業局電資組林青嶔科長致詞 台灣櫻花(股)公司鍾○慧經理分享
新漢智能(股)公司林○洲總經理分享 安碁資訊公司楊○平副總經理分享
與會貴賓活動合影
67
– 活動效益
本次活動與臺灣機械工業同業公會、台
灣區絲織工業同業公會、台灣區製衣工
業同業公會、及食品產業發展協會共同
合作,邀請企業代表與會交流。
與會者鎖定多為有決策影響力之高階
主管或企業接班人,如台灣微軟(股)公
司孫○康總經理、聯發科技(股)公司劉
○麟協理、國眾電腦(股)公司王○群董
事長、宏通數碼科技(股)公司黃○賢總
經理、華城電機(股)公司林○錦處長、
翰享實業公司陳○榮總經理、世堡紡織
公司羅○威總經理、國紡企業公司王○
瑋資訊部經理、南緯實業公司閻○宜
課長、翰享實業公司陳○榮總經理、和
友紡織(股)公司卓○倫副總經理..等貴
賓與會交流,透過活動更有效的強化企
業對資安的認知外,也為資安廠商搭建
平台促商機。
68
【分項二 產業環境與標準推動】
A.產業資安標準推廣
2-1-1 鏈結產業公協會辦理資安標準或規範推廣活動,邀集
製造業者之供應鏈企業參與
(A) 成果內容
偕同產業公協會(如:雲端物聯網產業協會、台
灣科學工業園區科學工業同業公會等)共同辦理產
業資安標準或規範相關推廣活動,邀請協會會員、國
內智慧製造業者、高科技半導體業者等共襄盛舉,透
過活動辦理探究產業資安標準現況與應用趨勢,並
以產業實際應用案例進行專案經驗及解決方案分享,
協助國內產業加速了解、導入、測試並落實運用產業
資安標準規範,逐步奠定產業資安能量。
(B) 執行方式
不論是傳統製造業或科技產業,每家企業或近
或遠都走在數位轉型的路上,各企業內部逐漸重視
符合國際資安相關標準規範與國際個資保護的作業
流程,為能加速帶動國內製造業(如:半導體製造、
LCD/LED、PCB 生產製造、機械零組件工業等)企業
導入國際製造業相關資安標準,加速產業資安化、高
值化,提升為高科技產業安全供應鏈產線,打造國際
合規資安強化智慧製造生態鏈,本計畫透過辦理資
安標準或規範相關推廣活動共計 3 場次,已邀集 70
家次/94 人次製造業者之供應鏈企業參與,期能提升
製造業資安意識,並串聯國際資安標準規範落實應
用在製造業產線、產線設備與供應鏈管理上。活動辦
理如下:
a. 於 8 月 25 日假新竹喜來登舉辦資安標準/規範
推廣活動-Global Platform IoT security workshop
69
(實體+線上)。
邀請物聯網領域之半導體、IC 設計、電腦及
其週邊設備等製造業者共計 26 家次/43 人次,
與 Global Platform 會員就晶片安全之認驗證與
標準制定一同進行全球線上論壇,推廣物聯網
資安標準趨勢與法規及分享物聯網安全標準之
推動經驗。透過活動辦理向與會者介紹物聯網
晶片安全標準與認驗證機制之最新資訊,讓國
內外物聯網設備製造商了解如何使用認證方案
將安全的物聯網解決方案推向市場。透過與國
際物聯網資安組織接軌,讓產業界瞭解各國資
訊安全相關的法規與產業標準之動向及對資安
風險評估和認證計畫之內容,以協助設備製造
商在關鍵垂直產業中,部署可信賴的物聯網資
安解決方案。
70
b. 於 10 月 6 日假中科管理局舉辦資安標準/規範
推廣活動-從產業資安標準看企業勒索軟體威
脅防護研討會。
邀請精密機械業、半導體業、其他電子零組件相
關業、電腦及其週邊設備、汽車及其零件製造業
等製造業者共計 14 家次/18 人次進行交流討論,
從產業資安標準制訂與發展趨勢探討安全防護
規範,並剖析資安事件攻擊手法與因應之道,讓
安全部署即時到位,協助中部廠商強化資安觀
念進而落實資安防禦措施,並降低可能的損失,
深化各單位的資安防護觀念及應如何判別著手
處理資安問題為主要目標。
圖 12:從產業資安標準看企業勒索軟體威脅防護研討會活動剪影
c. 於 10 月 22 日假南港展覽館舉辦資安標準/規範
推廣活動-AIoT 產業資安標準剖析與應用趨勢
論壇。
71
邀請光電產業、半導體、電腦及其週邊設備製造
業、電信、電腦軟體服務業、機械設備製造業、
與網際網路共計 30 家次/33 人次參與,並從國
家政策、物聯網平台、資安認證等角度探討國內
外相關物聯網應用、發展趨勢與資安趨勢及如
何扣合資安法規進行資安導入等議題,期能帶
動 AIoT 產業在智慧化的同時,也提升資安防護
層次,成為安全之智慧物聯網系統。
圖 13:IoT 產業資安標準剖析與應用趨勢論壇活動剪影
72
(C) 執行效益
藉由舉辦產業溝通交流、研討會等活動,凝聚
產業共識,收集並研析國內業者針對製造業資安強
化之需求與參考國際資安實作之需求,進行智慧製
造產線資安強化等宣導及成果擴散,並從持續與業
者訪談中調整智慧製造產業導入產業資安標準之輔
導策略,加速產業推升資安強化導入進程,以接軌
國際資安標準需求,提升國際競爭優勢與搶攻市場
佔有率。
根據產業界訪談交流之需求分析與因應之輔導
策略歸納如下:
趨勢/問題 產業回饋概述 因應做法
體質強化 • 製 造 業 多 重 視 生 產 • 從本質進行資安強化,
(打底防內 效能而較無資安意 提升內部資安意識並
憂外患) 識,面臨資安風險不 建立資安管理制度,籌
知該從何下手強化 組資安專責團隊/人
• 機台老舊問題是通 才,統籌管理並跨部門
病,暴露資安風險; 垂直水平溝通;打造易
且人員資安意識不 讀、看懂的資安可視
足,易因疏失引發入 化,加速應變資安事件
侵事件 處理
• 全面資產盤點並強化
端點防護策略
爭取訂單 • 客 戶 對 供 應 商 資 安 • 落實 IT 與 OT 環境分
(新商機) 的要求越趨嚴格,以 隔控管,導入邊界入侵
往只看 RD、IT、機房 偵測、防禦機制
等,現對於製造部分
73
持續透過相關交流、推廣活動之辦理,邀集到
各資安領域專家與工控應用場域之業者現身說法,
分別從場域需求面探究遭遇之困境與如何規劃解決
辦法,一步一腳印穩固防護堡壘;以及從資安專家
觀點,探討威脅情資、剖析攻擊手法,建議智慧製
造環境該如何施作資安強化解決方案。藉由案例分
享,將協助同領域之業者重視資安風險管理,並學
習效仿示範案例之步伐,逐步奠基台灣智慧製造產
業資安強固能量。
74
B.產業資安情資機制規劃
2-2-1 規劃製造業資安通報及情資分享(如獎勵回饋制度),收
集製造業者之意見回饋,建立製造業資安情資分享機
制
配合國家資通安全政策與強化產業資安防護能力,
本計畫與財團法人台灣網路資訊中心(TWNIC)共同合
作,從產業面出發,研究分析國內外資安情資通報與情
資分享機制案例,收集國內製造業者之意見,並參酌相
關建議,完成製造業資安通報及情資分享機制規劃報告,
內容重點摘要如下:
(A) 國內外資安情資通報與情資分享機制案例研析
收集及彙整國內、外資安組織情資分享及事件
通報之內容與格式,包含中華資安、ThaiCERT、US-
CERT、FS-ISAC、SignCERT、JPCERT、CNCERT/CC、
HKCERT、Carnegie Mellon University CERT/CC 資安
組織等,另搭配我國資安通報及情資分享實務現況,
研擬我國製造業資安通報及情資分享機制。
(B) 收集之廠商意見及回饋
75
內容,帶動產業資安情資共享風潮。
表 3:會議名稱及回饋意見廠商清單
表 4:資安事件通報與情資分享規劃恰當度彙整表
表 5:廠商回饋意見彙整表
76
項目 回饋意見
資安事件通報規劃 • 通報後除了事件協處外,很重要的是去識
別化後轉為預警情資分享給相關領域的主
管機關或會員。
• 通報的審核期間冗長,審核通過後才協助
處理可能已經來不及防止公司的損失,資
安事件通報和後續處理流程建議能更精
簡、具體一些。
資安情資分享規劃 • 無
獎勵回饋制度規劃 • 獎勵內容列了資安情資 1 則,資安情資應
是無償廣宣拿來做為獎勵感覺不具吸引力
且與宗旨不符。
• 資安廠商提出 CVE 可累積點數。
• 如何查詢點數累積、兌換狀態。
其他建議 • 可將情資分享及通報納入民間演練項目。
(C) 產業資安情資分享與獎勵回饋機制規劃內容
資安通報係由製造業、資安人員與各行業業者
進行資安事件通報或漏洞通報,通報之後經企業資
安事件協處標準作業或 CVE 審核作業,後續進行案
例彙整,並透過資安廣宣活動、電子報與 FB 等社群
媒體,將案例分享於各行業人員,以達到資安預警及
產業資安聯防的效益。
77
圖 14:資安通報架構
製造業、資安人員與各行業業者欲進行資安事
件通報,可由 TWCERT/CC 官網的一般資安通報或
簡易資安事件通報,來進行企業資安事件通報。通報
者填寫單位名稱/通報者名稱、電子信箱等基本資料、
事件發現時間、事件狀況描述與是否需外部支援等
資安事件資訊,並根據資安事件種類填寫事件類型,
即完成一般資安事件通報作業。
78
表 6:資安事件通報內容
本計畫參考行政院國家資通安全會報技術服務
中心,將資安事件類型分為網頁攻擊、入侵攻擊及資
安預警三類,如下表所示:
79
表 7:資安事件類型
資安事件種類 資安事件類型
網頁置換 釣魚網頁
網頁攻擊 阻斷服務
惡意留言 網頁木馬
(Defacement,DEF) 其他
惡意網頁 個資外洩
系 統 被 入 中繼站
侵 電子郵件社
對外攻擊 交工程攻擊
入侵攻擊 阻斷服務
針對性攻 垃 圾 郵 件
(Intrusion,INT) 其他
擊 (Spam)
散播惡意 殭 屍 電 腦
程式 (Bot)
存在可疑程
系統疑存
式 疑發送垃
資安預警 在弱點
疑發起對外 圾 郵 件
(Early 可疑連線
攻擊 (Spam)
Warning,EWA) 資訊疑遭
網 頁 曾 被 攻 其他
洩漏
擊
80
表 8:TWNIC 協處滿意度調查表
81
82
表 9:漏洞通報內容範例
本計畫之資安情資分享透過製造業及資安公司,
分享資安情資於資安情資分享平台,接續彙整與分
析情資,產出有效之資安情資,分享通報於企業、組
織與資安公司,並建立與製造業之間資安事件通報
聯繫管道。
83
圖 15:資安情資分享架構
參考國內及國際情資分享資料,統整製造業資
安情資分享相關欄位及資料格式如下表:
表 10:資安情資分享內容
84
表 11:資安情資種類及類型表
(D) 配合智慧製造資安強化推動規劃內容
依據經濟部工業局辦理之主題式研發計畫「智
慧製造資安強化推動」徵案,獲得補助款之廠商應配
合 TWCERT/CC 於本計畫規劃之資安通報及情資分
享內容,並研擬廠商資安事件通報應變制度,例如訂
定資安事件通報應變機制、演練機制、資安事件調查
改善報告,依據演練缺失持續調整及改善廠商資安
事件通報應變制度,強化廠商資安事件應變能力。獲
得補助廠商必須提供資安事件聯繫資料(單位名稱、
單位產業類別、單位 IP 範圍、窗口聯絡方式、代理
人聯絡方式),以利 TWCERT/CC 接到與廠商相關之
資安事件緊急通報,加速廠商解決資安事件,避免資
85
安事件對廠商影響層面擴大。
表 12:獲得補助廠商義務
獲得補助廠商提供資安通報及情資分享資料內
容,TWNIC 有義務保護其資料及個人隱私權,不擅
自對外提供或公開資訊,事件分析內容僅針對攻擊
樣態、入侵手法、攻擊來源、廠商類別等,其餘均去
識別化處理,另於 TWCERT/CC 官網提供 PGP Public
Key 供 e-mail 檔案時加密使用,提高獲得補助廠商
資料之安全性。
圖 16:資安事件/漏洞通報/情資分享服務管道資訊
86
(E) 回饋獎勵機制規劃
針對資安事件通報與情資分享設立回饋獎勵機
制,透過點數累積方式,讓製造業、企業與資安公司
累積點數兌換服務項目。
資安公司/軟體公司/系統統合公司點數累積方
式為,進行資安事件通報、資安情資分享、網路釣魚
通報、產品資安漏洞通報,兌換點數方式為,獲得企
業資安協處商機、參加國內資安會議演講、參加國內
資安活動參展、資安活動頒發「企業資安卓越貢獻
獎」獎狀,另鼓勵企業參與,特規劃年度點數翻倍送,
包含首度通報紅利禮贈送點數 5 點、首月通報紅利
禮(獎勵機制公告後第 1 個月)通報點數翻三倍、聯名
紅利禮同時為 SECPAAS 資安整合服務平台之上架
廠商及臺灣 CERT/CSIRT 聯盟廠商,即贈送點數 5
點、百點達標紅利禮(一定期間(至 11/30)最快達到
100 點的前三名資安廠商,頒發「企業資安卓越貢獻
獎」,搭配當年度或隔年度重要資安活動頒發獎狀,
並協助新聞露出,增加企業形象,並可在大紅利禮:
拍攝企業資安影片 1 支(片長 3 或 5 分鐘)、國際級參
訪或展會徵選優先權或加分項、輔導加入國際資安
組織等三選一。
點數累積點數方式為,資安情資分享通過審查
每案獲得 1 點、有效網路釣魚通報每案獲得 1 點、
有效資安事件通報每案獲得 2 點、產品資安漏洞通
報取得 CVE 編號每案獲得 2 點(嚴重等級屬高(含)以
上再加 1 點)。
兌換點數方式為,獲得企業資安協處商機 1 次
兌換 20 點、參加資安活動演講 1 場次兌換 20 點、
參加資安活動參展 1 場次兌換 50 點,參加工業局
/TWNIC 頒發「企業資安卓越貢獻獎」
,並於我國重
要資安大會頒發獎狀,以茲獎勵,增加企業於政府標
87
資安公司/軟體公司/系統統合公司累積點數及
兌換點數對應項目如下表:
表 13:資安/軟體/系統整合公司回饋獎勵兌換服務項目表
製造業及企業點數累積方式為進行資安事件通
報、資安情資分享、網路釣魚通報及產品資安漏洞通
報,兌換點數方式為企業資安評級調查、獲得邀請制
之漏洞獎勵計畫方案。另鼓勵企業參與,特規劃年度
點數翻倍送,包含首度通報紅利禮贈送點數 5 點、
首月通報紅利禮(獎勵機制公告後第 1 個月)通報點
數翻三倍、百點達標紅利禮(一定期間(至 11/30)最快
達到 100 點的前三名廠商,頒發「企業資安卓越貢
獻獎」
,搭配當年度或隔年度重要資安活動頒發獎狀,
並協助新聞露出,增加企業形象。
點數累積點數方式為,資安情資分享通過審查
每案獲得 1 點、有效網路釣魚通報每案獲得 1 點、
88
有效資安事件通報每案獲得 2 點、產品資安漏洞通
報取得 CVE 編號每案獲得 2 點(嚴重等級屬高(含)以
上再加 1 點)。
兌換點數方式為,參加企業資安評級調查兌換 5
點,提供企業參與邀請制漏洞挖掘方案(Bug bounty
program)1 次-Web 版兌換 50 點,參與邀請制漏洞挖
掘方案(Bug bounty program)1 次-硬體或軟體產品版
兌換 100 點。
製造業及企業累積點數及兌換點數對應項目如
下表:
表 14:製造業及企業回饋獎勵兌換服務項目表
規劃當年度累積剩餘點數,可沿用至下年度,點
數最長效期為 3 年,滿 3 年即歸零重新計算。
漏洞挖掘方案同一家企業,1 年只能申請 1 案
次,本項每年最多兌換 2 案次(含 50 點與 100 點),
依序辦理,換完為止。
主辦單位保留本活動之點數兌換、活動辦法等
相關之修改、變更、取消之權利。
89
圖 17:累積/兌換點數示意圖
(F) 執行成果及效益
從產業面出發,透過補助計畫方案建立與製造
業聯繫的管道,設計資安通報及情資分享機制與規
格,加速通報及分享以降低企業資安損害風險,預期
產出的主要成果與實際效益如下:
藉由研究國內外資安情資通報、情資分享與回
饋獎勵模式,建立適用於製造產業之資安通報與情
資分享機制,並規劃回饋獎勵制度。期盼製造業能利
用資安通報與情資分享機制並配合回饋獎勵制度,
鼓勵產業進行資安情資分享及資安事件通報,帶動
產業資安情資共享風潮,達到製造產業資安情資之
互通,協助促進國內製造業產品服務競爭力之提升,
增加產業資安聯防之效益。
安事件通報應變制度,可強化廠商事前資安防護、事
中應變及事後復原之處理準則,提升我國廠商資安
能量。
2-2-2 提供去識別化之國內外製造業資安情資加值資訊,透
過社群媒體平台或公協會官網提供製造業者參考
為增進國內製造業對資安相關議題的了解和關注,
將國內外重大製造業資安事件予以分析及建議,收集國
際媒體(如 ZDNET、BleepingComputer、Threatpost、
HelpNetSecurity 等)、國際資安公司(如趨勢科技、IBM、
MS 等)、國際資安組織(如 APCERT、JPCERT、AIS 等)
以及國內資安組織(如 HITCON、N-ISAC 等)等與製造業
相關資安情資,針對製造業情資進行整理分析。區分製
造業資安情資類別,整理與國內製造業相關情資,將涉
及的個資與廠商名稱予以遮罩,進行資安情資去識別化,
避免影響廠商商譽,並針對製造業資安情資給予分析及
研擬建議方案,產出分析報告。並將資安情資的分析報
告檔案,以 PDF 或 URL 的方式,公告於 TWCERT/CC、
FB、安防協會、痞客邦、twitter、TSSIA 官網等社群媒
體平台或發送安防協會會員進行推廣。
圖 18:資安情資收集分析流程
已收集國內外資安漏洞情資,包含 2 月 27 日國內
網路監視器 DVR 設備資安漏洞情資、3 月 10 日汽車業
無線車鑰遭駭侵者複製、4 月 21 日美國多家大型航太製
91
造業者遭勒贖攻擊、5 月 4 日家用路由器遭大規模憑證
填充攻擊、5 月 11 日國內能源石化與資通產業連續遭駭
侵攻擊、6 月 11 日日本與歐洲多國能源產業大舉遭駭、
6 月 20 日國內網通設備廠商修復存於家用路由器的嚴
重資安漏洞、7 月 24 日惡意軟體 BadPower 鎖定快速
充電器進行攻擊、8 月 10 日 LG、Xerox 內部資料遭竊
並公開、9 月 4 日特斯拉證實被捕俄籍駭客試圖買通員
工植入惡意軟體、9 月 23 日 Thunderbolt 界面遭發現多
個資安漏洞、10 月 19 日資安公司發現針對製造業大規
模間諜監控攻擊等資安情資,完成分析及建議方案並公
告進行情資分享,避免企業發生相同之資安事件。
表 15:製造業資安情資加值資訊清單
92
多 家 美 國 航 太 製 TWCERT/CC 官
造 業 者 , 包 括 波 網點閱數 774 次、
美國多家大
音 、 洛 克 希 德 馬 FB 觸 及 人 數
型航太製造
丁、SpaceX 等公 1982、痞客邦點
業者遭勒贖
3 4 月 21 日 司,其內部多種重 閱數 13、IG 觸及
攻擊,拒付贖
要資料,在遭到駭 人數 104、Twitter
款後機密內
侵 攻 擊 但 拒 付 贖 曝 光 數 454 、
容遭曝光
款之後,資料被公 ACW 官 網 、
布在網路上。 TSSIA 官網
資安專家指出,自
2020 年 3 月起,全
TWCERT/CC 官
球至少有 1200
網 點 閱 數 2229
台 Linksys 家 用
家用路由器 次、FB 觸及人數
無線路由器遭到
遭大規模憑 16317、痞客邦點
駭侵者以「憑證填
4 5 月 4 日 證填充攻擊, 閱數 329、IG 觸
充」攻擊得逞;
建議重新設 及 人 數 123 、
Linksys 鎖定受害
定密碼 Twitter 曝 光 數
用戶的網路管理
419、ACW 官網、
頁面帳號,以避免
TSSIA 官網
遭駭侵者進一步
利用。
國 內 多 家 企 業 連 TWCERT/CC 官
國內能源石
續 傳 出 遭 惡 意 軟 網 點 閱 數 1075
化與資通產
5 5 月 11 日 體攻擊事件,疑似 次、FB 觸及人數
業連續遭駭
駭 侵 團 體 發 動 目 3493 、 ACW 官
侵攻擊
標式勒索病毒。 網、TSSIA 官網
93
國內網通設備廠
TWCERT/CC 官
商修復存於家用
網 點 閱 數 1578
路由器的部份資
國內網通設 次、FB 觸及人數
安漏洞,建議仍在
備廠商修復 3654、痞客邦點
使用不支援安全
7 6 月 20 日 存 於 家 用 路 閱數 5、IG 觸及
性更新的網通設
由器的嚴重 人數 100、Twitter
備產品用戶,應考
資安漏洞 曝 光 數 543 、
慮更換並升級至
ACW 官 網 、
最新版本軟硬體
TSSIA 官網
產品組合。
TWCERT/CC 官
網 點 閱 數 1533
次、FB 觸及人數
駭 客 利 用 資安廠商發現專
3216、痞客邦點
BadPower 漏 門 鎖 定 快 速 充 電
閱數 44、IG 觸及
8 7 月 24 日 洞,鎖定快速 器的攻擊手法,可
人數 103、Twitter
充 電 器 進 行 能會造成設備起
曝 光 數 255 、
攻擊 火事故。
ACW 官 網 、
TSSIA 官 網 及
eDM 寄送會員
94
95
本計畫透過研析國內外重大製造業資安事件,提供
製造業資安情資加值資訊,作為案例分享和資安事件處
理之參考借鏡。預期產出的主要成果與實際效益如下:
收集國內外製造業資安情資,針對製造業情資進行
分析並研擬建議方案,預期產出去識別化之國內外製造
業資安情資加值資訊,透過溝通平台及 FB 等社群媒體
發布,提供製造業者及資安公司參考,以此協助製造業
者掌握國內外資安情資通報資訊,作為資安情資案例分
享和資安事件處理之參考借鏡,並期盼透過資安事件情
資分享交流,提升製造業資安意識,強化國內製造產業
資安防護能量,並帶動製造業接收資安情資風潮,促進
國內製造業早期預警概念,增加產業資安聯防之效益。
資安事件及資安情資,依隨製造業不斷更新企業服
務產品及服務,駭客之攻擊手法不斷更新及創新,唯有
及時掌控國際資安情資,提出建議防護措施,才能協助
企業掌握最新資安訊息,以利企業提早防護及防範。
96
圖 19:日本與歐洲多國製造業最近大舉遭駭痞客邦畫面
圖 20:網通設備廠商修復存於家用路由器的嚴重資安漏洞 IG 畫面
97
圖 21:國內網通設備廠商修復存於家用路由器資安漏洞 Twitter 畫面
圖 22:美國多家大型航太製造業者遭勒贖攻擊 FB 露出畫面
98
【分項三 策略運籌與產業交流平台】
A. 資安成熟度評估與策略運籌管理
本研究分項主要聚焦三大部分,第一部分是針對國
內製造業進行資安現況調查研究,以釐清製造業目前推
動資安業務的困難點、解決方案部署現況,以及未來潛
在資安推動的重點方向。第二部分是設計一套資安成熟
度評估框架,協助企業進行資安成熟度診斷,內容涵蓋:
(1)資安缺口分析、(2)資安策略排序、(3)資安防護指導建
議,以協助產業能夠自我檢視,並擬定短中長期資安升
級方案。第三部分是實際導入 2 家國內製造業者,進行
資安成熟度的診斷,以驗證資安成熟度評估框架的執行
成果。
(A) 製造業之資安現況與潛在需求研析
a. 國內製造業資訊與資安人力投入情形:
本研究調查製造業資安人力,以及資安專
責團隊的部署現況,2020 年的調查顯示國內 200
人以上的製造業平均會僱用約 10 位資訊人員,
其中又以電子資訊產業最多。然而,僅有 12.6%
有設立資安專責團隊,將近 86%選擇 MIS 兼任
資安人員,通常資訊人員兼任資安人員每家企
業平均僅雇用 2 位人力,平均 1 位兼職的 MIS
人員需要管理內部至少 100 位人員使用之設備
系統,以及其他公共資產設備,顯示其實企業實
際投入在維運資安上的人力明顯不足。另外,根
據本研究調查發現,國內有成立專責資安團隊
之企業,平均每家約僱用 2 位資安專職人員,
相較於採用兼職人員模式之企業來說,有專責
資安團隊的企業資安人力較為充足,也突顯資
99
安重視程度在不同的企業之間程度落差大。
圖 23:製造業資訊與資安人力部署現況
b. 國內製造業資安人力主要投入領域:
本研究調查製造業資安人力主要投入領域
主要聚焦在維運資安基礎設施(約 53.2%人力),
包含:公司之端點防護軟體、安全郵件軟體、網
站防護軟體、網路防火牆管理等。其次是漏洞管
理與情資分析(約 16.7%人力),包含:資安事件
分析管理軟體、威脅情資軟體分析作業,其三是
應用軟體安全(約 15.4%人力)主要是從事產品
應用程式開發安全管理,協助公司進行產品漏
洞掃描、滲透測試、WAF 產品等。最後才是進
行資安治理與風險合規工作(約 14.7%人力),而
且不同製造業之間沒有顯著的差異。
100
圖 24:資安預算主要投入領域
c. 國內製造業資訊與資安預算投入現況:
101
圖 25:企業資訊與資安預算之投入現況
d.
d. 國內製造業資安預算主要投入領域:
本研究調查製造業資安預算主要投入近六
成(58.4%)的資安預算會被投入在資安基礎設施
防護上,包含:公司之端點防護軟體、安全郵件
軟體、網站防護軟體、網路防火牆管理等。只有
14.6%會運用漏洞與情資分析相關工具上,例如:
資安事件分析管理軟體、威脅情資軟體分析等。
另一方面,投入再產品安全開發軟體,僅有 14.3%,
從產品安全認驗證標準通過的比重來說可以獲
得 資 料 的 驗 證 , 國 內 通 過 產 品 資 安 認 證 (ISO
15408 CC 認證或 IEC62443)的比重分別僅有
0.8%、0.6%。最後,資安預算投入於導入風險合
規產品或認證也僅有 12.7%,本研究同時執行資
安相關認證通過情形之調查,國內製造業者通過
ISO/IEC 27001 認證比率僅達 8.8%,將近 9 成企
業無資安相關認證,顯然目前企業資安仍以防護
102
外部駭客威脅為主。
圖 26:企業資安預算投入之類別
e. 國內製造業資安解決方案部署現況與未來規劃:
本研究調查製造業資安預算主要優先部署
網路防火牆與端點安全防護產品,將近八成以
上製造業都已經完成部署,其中更有 20%的企
業表示 2020 年增加網路防火牆的預算,也有
15.6%的企業增加端點防護產品的預算,因此這
兩項市場持續上升中。其次是隨著社交工程攻
擊氾濫,也造就安全郵件閘道(約六成)成為重要
部署資安方案。
企業在未來規劃上則有超過 15%企業優先
考慮增加採用應用軟體測試、滲透測試。同時也
有超過 13%的企業預計於兩年內採用身分與特
權管理產品、雙因/多因認證。分析不同類別的
製造業可以發現,重點科技產業對資料保護、雲
端安全等資安防護方案的採用度較高,例如:資
料加密與外洩防護、雲端存取安全代理、雙因/
多因認證的採用率均較其他兩大產業為高。
103
圖 27:製造業資安解決方案部署現況與未來規劃
圖 28:主要產業資安部署情形
104
f. 國內製造業資安解決方案部署現況與未來規劃:
本研究調查製造業資安產品採用國內自主
研發的產品主要是安全郵件閘道防護軟體(高
達 58%)、資料外洩防護軟體(達 47%)。此外,
資安事件管理、威脅情資服務則有
43.1%~44.6%是採用國內服務為主,包含:國內
法人單位、SOC 服務提供商、風險管理與合規
等表現良好,上述市場的表現也可以從資安廠
商的業績獲得印證。台灣在這幾塊產品或服務
是最具有競爭力,也是未來國際輸出的重點應
用。值得注意的是,研究也發現在安全測試、雲
端存取安全、身分特權管理,以及資安事件管理
工具等,少數企業已經自己投入研發,建立系統
服務子公司開發資安自主化解決方案,以降低
對於外部依賴,避免過多的機敏資料透露給外
部廠商。
圖 29:企業資安國產品採用情形
105
(B) 企業資安評級概述與重要性:
過去資安投資往往看不見成效,同時資安人員
也苦於缺乏客觀依據來評估自身企業距離國際最佳
實務的資安防護還差距多少。因此企業需要一種新
的方法-資安成熟度評估,過去大家談到標準合規的
缺點是僅能知道「有」
、「無」差別,合規性並不意味
著您企業是安全的,必須要清楚知道企業真實的資
安成熟度才是正解。例如:在門上放一把鎖可以滿足
合規性要求,但是實際上可以門鎖確有不同的類型,
如喇叭鎖、機械鎖、天地鎖、電子鎖、防爆電子鎖等,
它影響著門鎖的安全性。為了解決這些缺點,企業資
安評級成為一種受歡迎且必不可少的機制。
企業資安評級服務是針對智慧製造環境所開發
的一套資安成熟度自我診斷工具,目的是協助製造
業者能夠快速掌握智慧製造所需要的資安措施與流
程管理,並理解自身企業相較於資安最佳實務還有
多少差距,進而可以幫助資安團隊規劃完整的智慧
製造資安的升級策略。
圖 30:企業資安評級概述
106
企業資安評級系統設計的目標是協助有意朝智慧
製造發展之企業能夠運用自動化診斷工具進行資安成
熟度自我評估,以衡量企業對於駭客攻擊的耐受度。
然而,目前資安成熟度評估只有反映企業於評估當下
期間的資安韌性,而不是預測公司未來長期的資安成
熟度。
圖 31:國際資安標準差距分析
(C) 資安指標與成熟度分級方法:
現在本研究之系統設計參考美國國家標準技術
研究院(NIST)網路安全框架(CSF)v1.1,以及英
國 國 家 網 路 安 全 中 心 網 路 評 估 框 架 (Cyber
Assessment Framework ;CAF)v3.0,並透過研究分
析國際上最具代表性的國際常見資安標準,以及工
業控制與自動化系統之資安標準,包括:IEC 62443、
NIST SP 800-82、ISO/IEC 27001、SEMI E6506 等,
彙整、精簡成為一個涵蓋 190 個問題的國際標準合
規自動診斷平台。模型評估面向著重於關鍵資產、網
107
路、資料、人員等的保護和維護的計畫進行評估。透
過提供重要指標來說明企業確保正常營運下所需要
具備規劃,相關指標涵蓋:1. 資產管理、2.資安
組織和意識、3.系統維護、4.實體安全、5.風險評估、
6.系統安全、7.身分與訪問控制、8.系統與通訊保護、
9.系統完整性、10.資料安全、11.系統日誌、12.安全
事件偵測、13.威脅分析與警報、14.系統復原、15.安
全事件回應等,十五項指標進行分析。
圖 32:十五種智慧製造所需要的資安指標
a. 資產管理:指的是一個產業確定和理解其所維
護或支持日常運作所需的 IT/OT 系統和服務的
所有狀態。
b. 資安組織和意識:指的是產業可適當訓練或提
高員工資安意識,以確保員工能在資通安全上
做出積極貢獻與準確應變。
c. 系統維護:指的是產業定義出一個可傳達適當
的企業策略和流程,並且可以保護企業營運所
108
需的系統和資料。
d. 實體安全:指的是產業為確保安全而對電腦系
統實體所做的各種保護措施,包括:防止各種
天然災害(地震、水災等),環境控制(如:電
力、空調、供水等),以及門禁管制等。
e. 風險管理:指的是是產業辨識、分析和緩解可
能對產線營運或產品交付,而產生不利影響的
相關服務和 IT/OT 資產的風險管理。
f. 系統安全:指的是產業可以保護關鍵網路或資
訊系統,並且免受他人之攻擊。
g. 身分和訪問控制:指的是產業可以掌握、記錄
和控制對營運所需之資通訊系統的所有訪問資
料。
h. 系統和通訊保護:指的是產業可增強系統網路
的管理,解決不必要的通訊接口,以及對於行
動裝置管理以抵禦網路攻擊的能力。
i. 系統完整性:指的是產業為了確保 OT/IT 系統
在所有條件下都可以基於作業系統的正確邏輯
所作的保護機制,包含:硬體和軟體的邏輯完
整性,以及資料完整性。
j. 資料安全:指的是產業可以保護儲存或電子傳
輸的資料,並且讓這些資料之運用造成不利企
業營運之影響。
k. 系統日誌:指的是產業進行資安監控,能夠確
保資料蒐集,以及保護安全日誌的完整性,並
能夠有效率的完成持續性監控。
l. 偵測資通安全事件:指的是產業對於辨識、分
析資安事件的能力與工具的使用,以確保能夠
109
即時偵測資安事件。
m. 威脅分析與警告:指的是產業對於威脅手法的
更新、產生警報的機制,以及運作效率的狀
況,以確保企業能夠辨識潛在威脅,並確定回
應能力能夠與時俱進。
n. 系統復原:指的是產業必須可以在事件發生期
間,企業還是可以訪問即時資訊,以便根據這
些資訊做出決策,甚至是掌握、記錄和控制對
營運所需之資通訊系統的資料進行決策。
o. 資安事件回應計畫:指的是產業如果發生資安
事件或其他災難事件而導致營運中斷,能夠持
續確保服務及其相關資產基本運作的連續性。
包含:評估、確定優先級、回應計畫,以及改
進計劃。
每個指標都有相對應的資安控制措施或流程管理
之問題陳述,而且每個問題都有特定資安目標和相對
應的安全水平(Security Level)
。所有的資安問題陳述都
有隱含三個可能的答案,包含:
「是」
、「否」
、「不適用」
。
每個指標最後會根據企業回覆的答案進行資安成熟度
近似值計算,當企業回答的 Security Level 越高,表示
網路實踐程度更加細緻化,因此企業若遵循國際資安
標準完成的項目,以及 Security Level 越高則獲的成熟
度也會越高,其中資安成熟度共分為 5 種等級,從 A
級至 E 級,以代表資安人員可以對資安事件具備更好
的處理能力,或是系統具備更好減災能力。舉例而言,
當您的企業利用此平台進行自我評估,且達到 C 級,
則代表您的企業之智慧製造產線資安成熟度符合常規,
具備尚可的制度、流程與防護措施,能夠抵禦一般的威
脅與漏洞攻擊,因此發生產線中斷機率偏低,產生經濟
損失可控制在一定範圍內。
110
圖 33:5 個安全等級定義
圖 34:資安標準控制項與流程項之安全等級對應
111
(D) 企業資安評級實際建置成果:
a. 安全成熟度儀錶板:
企業評級平台可透過自動化儀表板,追蹤企業
自身的資安控制項目,協助產業達到目標分數,
以提升自己資安成熟度。同時也可以多項指標
納入製造業整體風險資料,使製造業主可以直
接觀看或下載成熟度評估報告獲得關鍵洞察。
圖 35:企業資安缺口分析
b. 自動化推薦與排序:
根據企業自身狀況推薦與排序優先資安缺口,
幫助製造業擬定資安升級方向,實現更好更快
的投資決策,提供企業所需要的專業地自評工
具,為企業營運所需的任何審核,評估和證明服
務做好準備,幫助企業讓客戶更加安心。
112
圖 36:企業資安改善優先序列建議
c. 產業差距分析:
企業自評結果可根據產業平均狀況進行對比,
透過產業平均比較可以知道目前企業相較於製
造業同業的資安成熟度差距,領先同業顯示資
安強度很高;落後同業顯示資安強度需要強化,
並幫助製造業能夠量化資安投資的效果,讓資
安團隊努力成果能夠在內部企業高階主管中彰
顯出來。
113
圖 37:產業差距之比較圖
(E) 產業實際合作測試案例:
表 16:國內電子零組件製造大廠
資產管理 83% B
資安組織與意識 40% C
管理
產線系統維護 90% B
能力
實體安全 100% A
風險管理 58% C
系統安全 39% C
防禦
身分與存取控制 51% C
能力
系統與通訊保護 37% C
114
系統與資訊完整性 42% C
系統日誌 59% C
偵測
偵測安全事件 42% C
能力
威脅分析與警報 73% C
回應 系統減災與復原 90% B
能力 安全事件回應計畫 79% C
整體 57% C
表 17:國內電腦設備製造大廠
資產管理 59% C
資安組織與意識 0% E
管理
產線系統維護 10% D
能力
實體安全 89% B
風險管理 25% C
系統安全 30% C
防禦 身分與存取控制 13% D
能力 系統與通訊保護 13% D
系統與資訊完整性 26% C
偵測 系統日誌 8% D
115
能力 偵測安全事件 42% C
威脅分析與警報 25% C
回應 系統減災與復原 45% C
能力 安全事件回應計畫 33% C
整體 26% C
a. 管理能力成熟度分析:
– 資產管理:
國內電子零組件大廠相當重視資產管理,
他們將其視為資安的第一步,首先,系統開發
過程會針對工控系統導入完整開發和維護之生
命週期文件與檔案管理,而且針對工業控制系
統的資產都會已進行盤點與分類,例如:建立
系統設計資訊、上線前進行漏洞評估、網路拓
樸圖等,以避免漏洞被揭露或未授權修改所造
成產線安全性影響,並且資產都可建立詳實的
分類與說明之書面和電子記錄(包含:系統保
留、系統保護、系統銷毀和系統處置等)
。再者,
產線資訊的部分,都具備不同等級分類級別(如:
機密、限閱、公開)以進行存取和控制,確保
當資料進行共享、複製、傳輸和分發可受到完
整保護。然而,涉及到工控系統的參數,都有
定期進行審核。因此,在資產盤點部分是具有
非常成熟的管理流程,接軌國際合規比率也達
83%以上,唯獨比較缺乏對於所記錄的資產盤
點文件進行定期檢視的管理機制,因此實際落
實的狀況可能需要再進一步把關。
116
– 資安組織與意識:
國內企業一般提供設計並實施資安培訓計
劃。但是並非擴及所有員工,例如:約聘人員
或外包商就不在訓練的名單中。此外,產線部
分也因為要確保營運正常的關係,所以很難落
實資安演練。另外,資安的課程設計,也很少
能夠根據最新的趨勢去修改培訓計畫內容。因
此,研究認為資安組織培訓與意識推動目前產
業還有可以改善的空間,例如:落實資安演練、
定期更新資安培訓計畫等。
– 產線開發與維護:
國內企業對於工控系統每個新組件的安全
功能會預先定義,再透過採購來開發或實現,
同時會與其他組件一起進行安全測試,以使整
個工控系統符合所需的安全配置,而且只要遇
到環境變更管理,所有工控系統環境變更過程
都遵循職責分離原則,以避免利益衝突。
此外,工廠會使用明確定義的資安標準,
針對工控系統營運的技術人員審查任何維護過
程的更改設定,避免可能對健康安全環境風險
和資通安全風險的潛在影響。若在現有工廠區
域的工控系統環境中安裝新系統,該新系統的
資安要求應符合該工廠區域/環境所需的資安
策略和流程。同樣,任何維護升級或更改都會
符合工廠區域的資安要求。
最重要的是系統漏洞管理、系統防毒管理、
備份與還原都已建立一套可記錄並遵循的流程,
而且會使用資安測試來驗證備份和電腦還原系
統。綜上所述,國內電子零組件非常重視產線
安全維護,因此資安成熟度已達到 90%合規率,
117
唯一不足的地方是網路安全變更管理流程,跟
製程安全管理流程並沒有整合在一起,目前仍
是網路歸 IT、機台網路歸 OT 管轄。
– 實體安全:
國內企業公司已建立工控資產保護,解決
實體和資安的安全策略和流程,也已建立多個
實體安全隔離,以防止未經授權訪問。設計隔
離邊界會提供適當的進出管制,並在每個隔離
邊界建立監視器和警報流程,通常資安團隊也
會審核所有資產的增加,清除和處置流程。此
外,企業也會建立安全流程,以確保工控系統
在操作中斷。因此,實體安全部分已達合規率
100%,顯示實體安全是做好產線防護基礎。
– 風險管理:
國內企業公司的工控系統資安風險的策略
和流程會與其他風險管理系統的策略一致,例
如:IT 風險管理策略一起整合分析,而且會參
考資安標準,將標準合規性納入要求,如:
IEC62443、ISO27001。資安策略和流程會傳達
給所有適當的人員,而且會定期進行審查和驗
證,以確保能因應最新威脅,並依據需求予以
更新保護措施。最重要的是高階領導層已透過
認可資通安全政策來表明對資通安全的承諾。
另一方面,安全評估的部分,當工廠如果
工控系統的可用性,完整性或機密性受到損害,
則公司會執行詳細的漏洞評估計畫,包含:應
對現有漏洞的對策、遵守帳號管理流程、特定
工控系統與網路連線的主機漏洞修補方案、開
放端口連接特性、防火牆隔離與配置策略等。
工廠也會進行風險評估方法,而且涵蓋詳細的
118
漏洞優先級排序,且根據技術、組織或產業營
運的變化,確定風險和漏洞重新評估的頻率。
目前主要的缺口在於沒辦法實現工廠內部
的可 程式邏輯 控制器 (PLC)與製造執行 系統
(MES)等設備,建立網路圖,也沒辦法顯示主要
工控設備、網路類型和設備位置;另外,風險
評估方法和風險評估結果也無形成文件。
b. 防禦能力成熟度分析:
– 系統安全:
國內企業的工控系統已可提供使用控制策
略和相關的讀/寫存取機制來控制人員使用者,
並符合職責分離和最小特權原則。控制系統應
為授權使用者或角色提供定義和修改所有人員
使用者角色權限對應的能力。
在無線網路存取控制上,可以針對無線連
接可提供授權、監控和實施使用限制、自動偵
測並報告未經授權的無線裝置工控系統已可於
不活動時間區段或手動啟動後,使用會話鎖定
來防止進一步存取,並且自動進行遠端會話終
止、會話總量控制。同時也可以驗證特定人員
使用者是否採取特定行動。
然而,目前比較大的挑戰在於防止 USB 和
行動裝置進行資料傳輸,還有一個有效的方法
解決此問題。另一方面,受制於工控系統使用
生命週期都很長,所以建置和安裝設備的連接
及配置檔案很難一直保持最新,而且工廠也很
難建立系統中所有設備、軟體的清單冊。最後
也是因為供應商的問題,因此工控系統較無法
根據控制系統供應商提供的指南中,所推薦網
119
路和安全設定進行設定工作,並提供系統網路
和安全設定介面。
– 身分與存取控制:
國內企業的工控系統已可提供辨識和驗證
所有人員使用者,而且系統也可提供支援使用
者、群組、角色或控制系統管理介面。此外,
支援最小長度和各種字元類型強制設定密碼強
度,而且密碼具備生命週期限制。但是目前還
缺乏對不信任網路採用多因素身分驗證,也無
法針對所有人員使用者採用多因素認證。
網路存取控制上系統可以監視和控制通過
不可信任網路存取控制系統的所有方法,而且
可以拒絕提供通過不受信任網路的存取請求。
但是,目前缺乏針對無線通訊(WiFi、ZigBee、
藍牙、4G、5G 等)的所有使用者(人、軟體程
式或裝置)提供唯一識別和驗證方法。
– 系統與通訊保護:
國內企業的工控系統在通訊上的保護措施
已經具備以下幾種能力,例如:保護傳輸資訊
完整性,以及使用加密機制識別通訊期間資訊
變化。惡意程式防護上,已可使用保護機制來
預防、檢測、報告和減輕惡意程式碼或未授權
軟體的影響,特別是在所有入口和出口點採用
惡意程式碼防治機制。
此外,在內部可提供管理通訊負載(如:
使用速率限制)的能力,以減輕資料流氾濫類
型的 DoS 事件的影響。同時,也可以提供禁止
或限制使用不必要的功能、介面、協議或服務
的能力。
120
最大挑戰之一是如何確保產線員工、外包
人員、供應商使用工控系統之前,所有使用或
連接到工控系統之便攜式媒體皆可不受已知惡
意軟體攻擊。目前也欠缺自動執行防止使用可
攜式媒體和行動裝置,以及限制與可攜式和行
動裝置之間的程式碼和資料傳輸。另一項挑戰
在於微網段的隔離,也就是監視和控制區域邊
界通訊的能力,以強制執行限制性通道。另外,
就是不能針對應用程式和服務的能力去設計獨
立網路連接通道,這是目前比較弱的地方。
– 系統與資訊完整性:
國內企業的工控系統系統目前無論是儲存
狀態還是在傳輸途中都支援明確的存取授權,
並保護資訊機密性。例如:可提供清除所有資
訊的能力,從運作中服務或退役的元件中支援
明確存取授權、清除共享記憶體資源。
比較大的挑戰在於如果需要加密,控制系
統目前缺乏根據普遍接受的資安產業實務常見
做法和建議,使用加密算法、密鑰長度和密鑰
的生命週期管理機制。
c. 偵測能力成熟度分析:
– 系統日誌:
國內企業的產線目前已可產生與安全性相
關的稽核記錄,如:存取控制、請求錯誤、設
定更改、備份和恢復事件等。也可以確保產線
事件管理需求和系統設定以分配足夠的稽核記
錄儲存容量。同時,產線日誌蒐集相當重視可
稽核記錄的時間戳記,這些日誌會跟外部時間
校時來源同步,且保護時間校時來源免受未經
121
授權的更改。
目前較為缺法的是集中管理資安日誌,並具
備產業標準格式(STIX 和 TAXII)、時間相關的
稽核追溯能力,也缺乏提供警報的能力,並防
止在資安日誌處理失敗時,喪失基本服務和功
能。但是上述的資安能力,今年度都已經列入
廠商改善計畫範圍內,因此未來這部分產業會
日益成熟。
– 偵測安全事件:
國內企業的工控系統安全事件監測範圍已
涵蓋主機監控和網路閘道器監控,而且現在產
業逐步走向使用應用程式撰寫程式介面(API)
提供以自動化方式存取資安日誌,並且只有特
定授權人員才能查看日誌資料,以方便進行調
查。因此在主動偵測安全事件上國內已滿足國
際標準要求。
但是目前較為不足的地方是在審核日誌可
存取性,目前對日誌資料訪問是缺乏監控機制,
如:複製、修改、查看等,而且日誌記錄資料
的所有操作(如:複製、刪除、修改或查看)
,
現階段並沒有一套機制可以追蹤到唯一用戶,
假如日誌管理人員權限被駭,則整個資安事件
的鑑識過程都會出現障礙。另一個挑戰是在於
使用者行為違規偵測上,針對設備系統日誌可
以監控,但是應用程式監控則目前沒有摁行監
控,所以人員如果違規、可疑或不良行為清單
目前是沒辦法進行統一管理。
而本成熟度分析有提供識別和驗證所有人
員使用者,且系統也可提供支援使用者、群組、
角色或控制系統管理介面。此外,支援最小長
122
度和各種字元類型強制設定密碼強度,而且密
碼具備生命週期限制。但是目前還缺乏對不信
任網路採用多因素身分驗證,也無法針對所有
人員使用者採用多因素認證。
– 威脅分析與警報:
國內企業的安全警報與事件分析,已採用
使用即時且連續監控方法,提供所有安全事件
機制效能,以即時檢測特徵和報告安全漏洞。
其中警報可進行優先排序、也可以針對警報進
行驗證,以確保警報的可靠性、區分哪些警報
是真正安全事件。廠商也會定期針對特徵碼的
安全情資進行更新,
除此之外,國內廠商也已經完全定義好正
常與不正常情境,而分析工控系統異常是偵測
惡意活動的有效方式。人員分析能力上,也持
續強化,例如:目前朝向利用自主開發的偵查
技術來分析特殊威脅工控系統,也會將阻擋的
威脅情資主動追蹤情報來源的有效性,並積極
分享、回饋威脅入侵指標給其他第三方威脅情
資社群(如:作夥伴、威脅情資供應商、政府
機構)
。綜上所述,強化偵測能力已是目前產業
最重視,而且也是改善最多的環節。
d. 回應能力成熟度分析:
– 系統減災與復原:
國內企業的系統減災與復原資安控制措施
相當成熟,不僅資安團隊具備技能和知識來降
低資安事件的損害,同時會驗證備援機制可靠
性,同時基於自家公司設定頻率執行自動備份
功能。假如當產線故障後恢復和重建也有配套
123
措施,這部分已達到國際最佳實務的能力。
– 安全事件回應計劃:
國內企業的針對安全事件回應計畫部分作
的比較好的部分是「營運韌性計劃」
,已經有制
定和實施營運韌性計劃,任何所需復原活動可
能需要的資源都已制定安排妥當,並且傳達每
個部分的特定角色和職責(即管理部門,IT 部
門,自動化工控安全部門,以及生產製造部門
等),以確保這些資源可用來恢復原本運作。
然而,設計和規畫雖然已經完善,但是韌
性計劃演練部分需要在具體落實,最好能夠定
期執行測試,並在必要時進行更新。
3-1-2 辦理計畫工作進度會議或產業溝通會議累計 13 場次
為利讓工業局掌握計畫執行進度及進行橫向溝通
連結,透過定期性工作會議之召開,除針對本身工作具
體報告外,亦可了解其他工作之進度及搭配,有效鏈結
計畫資源及能量,提升計畫整體成果效益。
同時為配合主題式徵案-智慧製造資安強化補助計
畫之進度與推動,辦理產業溝通會議,透過產業交流溝
通會議收集業者意見,瞭解其面臨的困難與挑戰需求,
並向業者說明例如製造業場域、供應鏈、或產線設備資
安強化等智慧製造資安推動規劃,以及徵詢產業資安情
資共享機制規劃等產業意見,藉以掌握產業需求與回饋,
作為後續修正之參考依據。亦透過辦理審查委員溝通會
議確認審查機制與公告內容。
為因應防疫需求,本計畫之工作進度會議於防疫期
間採用實體加線上方式進行,本年度已舉辦之計畫工作
進度會議及產業溝通會議共計 11 場次,分別於 2 月 12
124
表 18:工作進度會議辦理情形
會議
會議時間 會議地點 會議名稱 主席
日期
2/12 15:15-16:10 工研院中興院 新興物聯網資安示範推動計畫 闕志克
區 51 館 721 Kick off meeting 會前會 所長
會議室
2/18 11:10-12:20 經濟部工業局 新興物聯網資安示範推動計畫 林俊秀
2F 第三會議 二月份工作進度會議 組長
室
3/19 9:00-10:15 經濟部工業局 新興物聯網資安示範推動計畫 林俊秀
2F 第三會議 三月份工作進度會議 組長
室
4/7 10:30-11:30 金億大樓九樓 新興物聯網資安示範推動計畫 顏鳳旗
會議室 四月份工作進度會議 副組長
125
表 19:產業交流溝通會議辦理情形
日期 會議時間 會議地點 會議名稱 主席
109 年主題式研發計
科技大樓 葉哲良副執秘、
2/20 14:00-16:00 畫徵案機制產業交流
4002 室 林俊秀組長
溝通會議
「智慧製造資安強化
金億大樓九樓
4/16 9:30-10:50 推動」審查委員溝通 林俊秀組長
會議室
會議
B. 產業推動暨行銷推廣
3-2-1 辦理計畫或徵案說明會 2 場次
經濟部工業局為協助製造業導入資安強化,於 109
年度產創計畫輔導平台公告「智慧製造資安強化推動」
主題式研發計畫。為鼓勵國內製造與資安業者共同投入
智慧製造資安防護體系之建置,協助進行案源推動與促
成可能合作的提案構想,以達計畫推廣之效益。於「智
慧製造資安強化推動」主題式研發計畫公告後辦理徵案
說明會,進行計畫申請、審查重點與配合事項之說明。
徵案說明會因應新冠肺炎疫情與防疫措施,採線上
「5 月 14 日(四)徵案說明會新鮮場」
視訊研討會,共舉辦
與 5 月 19 日(二)徵案說明會加碼場」2 場次,針對申請
對象如具備機聯網基礎之國內製造業者,就提案方向包
括產線資安強化產品或解決方案、製造場域資安導入成
果展示或推廣、資安團隊制度設計等進行說明,並闡述
計畫配合事項「企業資安評級調查」與」資安通報與情
資分享機制」等,提供詳細的申請須知。
(A) 活動資訊
a. 5 月 14 日(四)徵案說明會新鮮場
– 報名人數 66 人,最高同時觀看人數 56 人。
– 議程
126
時間 議程 講者
15:00~15:05 開場與說明 工研院
產創平台主題式研發計畫智慧製造資安強化推 產創平台專案辦公室
15:05~15:15
動計畫說明 Part I-申請辦法與補助機制 高家嘉/汪亞翰
產創平台主題式研發計畫智慧製造資安強化推 工研院
15:15~15:25
動計畫說明 Part II-提案方向與審查重點 林美佐工程師
企業資安評級調查介紹 工研院
15:25~15:35
讓你掌握資安導入前後效益評估,就靠這一味! 鍾銘輝資深研究員
情資共享機制說明
TWNIC
15:35~15:45 這是一個資訊共享的時代,資安更是如此,你
林克容資深工程師
準備好了?
15:45~15:50 Q&A Time
– 5 月 14 日線上研討會畫面摘要
127
– 5 月 14 日線上研討會直播現場照片
128
– 5 月 14 日線上研討會直播數據分析
129
– 5 月 14 日線上研討會問題匯整
00:28:50 所以計畫起始日是 6 月 20 日
嗎?
00:32:03 請問有沒有預計開始的時
間?
00:49:05 新設工廠可以申辦嗎?
00:50:26 企業資安評級目前舉例是用於
製造業,未來是否會推廣至不同產業 (就
不會是 OT 或 工控議題)
00:54:45 所以本次申請案是需要依資安
評級後的缺口來作主要的改善計畫書嗎?
還是只是參考依據
01:03:52 請問除了產線外,工廠的門
禁、環控等聯網系統的強化資安建置是否
也包含在此計畫內?
01:06:07 請問我們預計開發 OT 安全偵
測產品及系統, 是否可以放在此計畫內?
01:10:41 原本已經建置的連網設備安
全等級不夠. 在計劃內可以替換其他產品
方式來進行
01:10:46 OT 的防毒軟體可以納入嗎?IP
Guard
01:11:45 智能產線的偵測改善及生產
資料收集的軟硬體部分可以整合到此計劃
內嗎?
b. 5 月 19 日(四)徵案說明會加碼場
– 報名人數 79 人,最高同時觀看人數 57 人。
– 議程
130
時間 議程 講者
131
– 5 月 19 日線上研討會畫面摘要
– 5 月 19 日線上研討會直播現場照片
132
– 5 月 19 日線上研討會直播數據分析
– 5/19 線上研討會問題匯整
00:44:52 計畫起始日可追溯至投遞至產
創平台的收件日
00:45:28 請問配合做企業資安評級及資
安聯防是要有過案的廠商才需配合對嗎?
01:08:41 會後亦可直接洽詢產創平台專
案辦公室:02-2704-4844,謝謝!
133
01:09:07 我們統整後再請教
徵案說明會並與相關產業公協會合作如台灣雲端
物聯網產業協會、台北市電腦商業同業公會、中華民國
資訊軟體協會等協助宣傳與邀請作業,以有效傳遞主題
式徵案訊息。並於會後剪輯放上經濟部工業局資安產業
行動計畫影音頻道,與撰寫徵案訊息於經濟部工業局資
安產業行動計畫及公協會刊登。
3-2-2 彙集計畫或產業動態成果,於公協會網站進行推廣
本計畫預計透過產業公協會之組織資源與串接能
力,接軌產業對新興資安需求,凝聚共識,促成資安業
者與智慧製造相關廠商共同提案,推動下世代物聯網資
安解決方案,以公協會為資訊擴散平台:辦理產業座談
或說明會,分享計畫資源與成果如製造業資安指南與情
資等。
與 本 計 畫 合 作 之 公 協 會 包 括 TCA 、 TEEMA 、
TWNIC 與雲協等進行網站鏈結與資源分享,例如於資
安產業行動計畫網站刊登 TWNIC 資安情資通報數、情
資分享技術專欄文章等,於公協會網站刊登或發送給公
協會會員,共完成 6 則次:
134
表 20:計畫及產業動態成南網站刊登連結
項次 文章內容 刊登或電子報連結網址
台灣雲協:
http:
1 就計畫產創平台智慧製造 //www.twcloud.org.tw/xmevent/co
資安強化主題式徵案訊息 nt?xsmsid=0I29770239356684926
與說明會之活動報導,刊 7&sid=0K132464255148625302
登在台灣雲協與軟協電子
報進行推廣 軟協:http:
2 //cisaweb.cisanet.org.tw/member/e
news/0705.html
TWNIC:https:
3 //www.twcert.org.tw/tw/cp-15-
針對近期勒索病毒事件, 3632-c19eb-1.html
將計畫推動經驗寫成分享
TEEMA:
文章並進行推廣,並於
4 TWNIC、TEEMA 網站刊登 http:
//www.teema.org.tw/industry-
information-
台灣資通產業標準協會:https:
5 新興物聯網資安主題論壇 //www.taics.org.tw/LatestNewsFor
暨計畫推廣系列活動報導 m.aspx?News_id=10453
文章,於台灣資通產業標 台灣雲協:http:
準協會、台灣雲協網站刊 //www.twcloud.org.tw/xmdoc/cont
6 登 ?xsmsid=0I249594489957008833
&sid=0K246511716920370959
135
(A) 第 1 則
http://www.twcloud.org.tw/xmevent/cont?xsmsid=0I297702393566849267
&sid=0K132464255148625302
(B) 第 2 則
http://cisaweb.cisanet.org.tw/member/enews/0705.html
136
(C) 第 3 則
https://www.twcert.org.tw/tw/cp-15-3632-c19eb-1.html
(D) 第 4 則
http://www.teema.org.tw/industry-information-detail.aspx?infoid=31648
137
(E) 第 5 則
https://www.taics.org.tw/LatestNewsForm.aspx?News_id=10453
(F) 第 6 則
http://www.twcloud.org.tw/xmdoc/cont?xsmsid=0I249594489957008833&
sid=0K246511716920370959
138
本工作項目為有效達成資安意識擴散與提升,特
別將計畫推動之重要成果濃縮成精華文章,以利產業
公協會的會員在閱讀時能快速掌握重點。重要成果包
括主題式研發「智慧製造資安強化」徵案說明會徵案重
點與注意事項、因應 5 月份重大的勒索病毒事件辦理
資安講座,提供專家建議文章,以及於 8 月 11 日~12
日辦理的「新興物聯網資安主題論壇暨計畫推廣系列
活動」
,包括探討物聯網設備安全、物聯網資安標準導
入經驗分享與企業內部資安小組或聯防體系之建立的
精采內容撰寫成報導,提供給資安需求方的產業公協
會會員參考。共 3 篇文章內容如下:
(A) 第 1 篇
經濟部工業局產創平台主題式研發計畫-「智慧製造資安強化推動」
即日起至 6 月 20 日接受申請,最高補助金額 1,500 萬
申請對象為具備機聯網基礎之國內製造業者,於製造場域推動導入
產線資安強化產品或解決方案。為強化我國製造業轉型的資安防護
能力,提案廠商須就產線資安強化產品或解決方案、製造場域資安
導入成果展示或推廣、資安團隊制度設計等進行規劃,並配合企業
資安評級調查與資安通報與情資分享機制,全面提升公司的資安能
量。
本計畫可由單一企業或多家企業聯合提案,如為聯合提案,應互推
一家企業擔任主導公司提出申請。每案補助經費上限 1,500 萬,且
139
若需要進一步洽詢,請參考以下資訊,或者撥打產創平台輔導計畫
專線:02-2754-4844
說明會簡報資料:
https://www.acw.org.tw/News/Detail.aspx?id=129
常見問題:https://tiip.itnet.org.tw/QA.php?Mid=23
公告事項:https://tiip.itnet.org.tw/indexNewsContent.php?id=372
(B) 第 2 篇
企業資安之道 ∣ 勒索軟體的攻與防
2020-05-20
綜觀勒索軟體歷史並無分時代,新興物聯網資安示範推動計畫於推
動經驗中,因應近期企業因物聯網的發展而與日俱增的資安事件,
提供企業在勒索軟體的攻防之道,供各界參考。本篇採用勒索目標
搭配當代流行的進攻手法進行分期講述,以期能讓人有更深刻的印
象。
作者:工研院王子夏技術副理 / 莊般若工程師
※由新興物聯網資安示範推動計畫推動成果匯整
======
勒索病毒的手法包括需要通過至少六個跳板的 Tor 網路、加密技術
的成熟、無法與現實中交易建立聯繫追蹤的虛擬貨幣等技術,皆為
如今促成勒索軟體興盛的重要背後推手。而從釣魚網站攻擊瀏覽器
漏洞、釣魚郵件包含會自動執行的腳本、Office 巨集、俱執行指令
漏洞的壓縮檔,到 SMB 服務漏洞造成的蠕蟲、隨身碟蠕蟲、暴力
破解未使用安全令牌認證的遠端桌面服務等,所有常見的攻擊手法
140
都因勒索軟體強大的攻擊性而變得更具威脅。
勒索軟體行為與一般使用者習性的相同性導致動態偵測困難,而快
速變種加上混淆/加殼亦導致靜態偵測困難,以上原因加上病毒針對
進階持續性威脅攻擊目標的客製化導致企業難以提前防禦偵測,實
為非戰之罪。在經過時間洪流洗滌後,碩果僅存的家族皆因其攻擊
性成為眾多進階持續性威脅攻擊的最終武器。在此情況下防毒軟體
後手防禦的機制效果十分有限,企業應更著重預防犯罪者的可能投
毒管道,並加速 IT 部門針對大型更新的測試反應速度,避免在零
日漏洞爆發到漏洞服務釋出更新的期間外,公司還有更長的 IT 內
部測試到全面更新的空窗期,可供犯罪者加以利用。
勒索軟體攻擊防禦機制上建議以下作法:
(1) 郵件管理
由於進階持續性威脅攻擊常透過社交工程取得目標網域內的關鍵
資訊,並後續進行諸如勒索軟體攻擊等惡意行為,因此透過郵件管
理工具進行惡意網址比對、惡意連結分析、垃圾郵件過濾、沙盒測
試等,可協助員工降低受惡意郵件攻擊的風險。
(2) 多因子認證
141
重要主機的伺服器以及服務系統建議透過多因子認證進行登入管
控,包含使用實體因子、生物因子、動態密碼工具等方式提高驗證
難度。
(3) 權限控管
權限控管部分建議系統存取權限皆採取最小信任原則,並且企業內
關鍵伺服器可採取實體存取方式,限制僅管理人員可直接於系統主
機前進行操作。
(4) 微網段隔離
微網段隔離可提高網路架構複雜度,提高犯罪者入侵後內部橫向移
動的成本與被防禦工具偵測到的機會,並且透過網段隔離可避免攻
擊行為快速蔓延,透過防火線機制進行災損控管。
(5) 端點防護
端點防護部分可透過端點偵測回應工具、應用程式白名單、主機/系
統滲透測試以及更廣域的紅隊演練驗證場域的安全性。
(6)系統備份
不論是何種系統,即使配置了各種安全防禦機制都仍有遭受攻擊的
風險,資安的工作在於提高入侵難度,進而降低遭受攻擊風險,也
因此企業內部必須作好系統備份工作,備援主機應採取離線異地備
援,盡可能與服務主機進行切割,並且備援主機應盡可能處於網路
隔離狀態,只於備份時間連線平時離線。
142
(C) 第 3 篇
物聯網資安三部曲:資安團隊+設備安全+供應鏈安全
2020-08-31
2020 年,充滿不確定因素的一年,國際受到疫情衝擊,企業勒索病
毒事件頻傳,這些也促動各行各業開始理解並導入「資訊安全」的
必要性。傳統的資安防護已無法因應萬物聯網的技術發展,見招拆
招的被動式防禦已不痛不癢,企業需要的,是主動出擊、即時反應
與強大復原的靭性能力。
為此,經濟部工業局新興物聯網資安示範推動計畫結合國內最大的
,於 8 月 11 日至 12 日舉辦「物聯
資安盛事「2020 臺灣資安大會」
,共四場子題,內含 12 場專題演講與 1 場專家對
網資安主題論壇」
談,分享本計畫在推動產業資安化的經驗與成果,兩日共吸引 1,257
人次參與,獲得熱烈回響。
◆ 專責的內部資安團隊=急診室醫生
143
處理-資安事故應變流程、(五) 勤訓練-資安事故演練。
◆ 物聯網設備安全=標準依循+情資分享
越來越多的裝置都擁有連線到網路的能力,從日常生活的智慧家
電、工作場合的視訊會議系統到國家關鍵基礎設施(油水電)的工控
設備,各式各樣的惡意攻擊潛伏在我們的週遭。但是成千上萬的的
設備要如何確保安全呢? 最好的作法就是在生產設備時就能依循國
際的資安標準規範或架構,建立第一道防護牆;設備開始銷售後,
透過情資的蒐集與分享,進行漏洞偵測與修補,如此形成良好回饋,
有助於日後開發出更安全的產品。
◆ 供應鏈安全=供應商評級+軟體物料清單
所謂的供應鏈安全,簡單來說企業除做好自己的安全外,當供應商
可能有部分網路與企業自家網路介接,或有部分資料與自家系統做
交換,便成了駭客的突破口之一,如奧義智慧共同創辦人叢培侃說:
「對方的安全也變成我的安全的一部分」。
144
不論是從網路監測供應商的資安表現,或是透過資安評級評估其資
安成熟度,都是很大的挑戰,但隨著全球資安意識的高漲,國際客
戶對後門或是隱私保護等的敏感度提升,在國內半導體龍頭的帶頭
下,企業漸漸導入供應鏈的資安評鑑,是一個很好的開始。
企業資安評級是公司對公司,若要擴大守備範圍,軟體供應鏈元件
安全是必須注意的重點。每一個軟體元件從原始碼、連結檔、執行
檔,細到可能用了什麼第三方套件、版本也搞不清楚,這些都是駭
客入侵的破口。面對這樣的威脅,若能建立軟體物料清單(Software
Bill of Materials,SBOMs),有助於快速掌握資安事件的前因後果。
=====
文:工研院資通所資深管理師 / 蔡淑瑜整理報導
參考來源:
1.【臺灣資安大會直擊】供應鏈安全層面大剖析,奧義揭露臺灣多起
APT 攻擊事件都是對方從供應鏈下手
2.【臺灣資安大會直擊】製造商想要做好連網家電資安,需要更快分
析大量威脅!Panasonic 建立情資平臺來改善分析工作
3. 8 月 11 日「新興物聯網資安主題論壇暨計畫推廣系列活動- IR &
CSIRT 及資安人才發展論壇」
您的企業有多耐打?資安事故應變能量建立實務 / 趨勢科技資安事
故應變團隊劉大川資安顧問
***
145
TeamT5 杜浦數位安全創辦人兼執行長蔡松廷
群暉科技產品安全應變小組經理李宜謙
趨勢科技資安事件應變小組資深經理邱豊翔
3-2-3 辦理計畫推廣或展示活動
本工作項目透過邀請智慧製造領域代表或相關資
安專家參加推廣或展示活動如發表會、研討會或資安短
講等,分享時事議題與資安趨勢,讓與會者了解資安的
重要性、資安導入作法或國內資安防護產品或服務的優
勢。本年度共辦理 2 場次,累計參與共 1,289 人次。
因應近日重要關鍵基礎設施、科技大廠遭勒索
146
病毒攻擊,造成嚴重損失。面對越來越強大的駭客攻
擊,特別是 2017 年 Wannacry 爆發以來,這種勒索
類型的病毒善於藏匿、防不勝防的特性,讓不少企業
付出慘痛的代價。美國科技媒體 Wired 更指出,全
球去年通報的勒索病毒案件數量較前一年增加 4 倍,
資安風險已無法置身事外。為此,本計畫於 5 月 15
日辦理「面對勒索病毒.企業資安攻防之道」資安講
座,從計畫推廣之經驗,從攻與防的角度,讓參加者
了解勒索病毒的樣態,以及如何因應與防堵,協助企
業應變資安事件,強化安全防護。本活動共 31 人與
會。
– 主辦單位:經濟部工業局
– 執行單位:工業技術研究院
– 協辦單位:台北市電腦商業同業公會
– 時間:5/15(五)上午 10:00~12:00
– 議程:
時間 議程 貴賓/講者
11:40~11:50 Q & A 時間
147
圖 38:面對勒索病毒.企業資安攻防之道」資安推廣講座活動照片
為有效帶動產業學習以厚實物聯網資安強化能
力,本工作項目與國內資安產業指標性活動「2020
臺灣資安大會」合作,運用其凝聚眾多資安產業標竿
品牌、號召國內關注資安產業的來賓,同時匯聚國內
外資安領域專家於一堂等多項優勢,於 8 月 11 日至
12 於南港展覽館二館完成辦理「新興物聯網資安主
,共計 4 項主題,包括
題論壇暨計畫推廣系列活動」
「IR & CSIRT 及資安人才發展論壇」
、「物聯網安全
論壇-從標準到產業」
、「物聯網安全論壇-IoT 資安
148
落地實戰」
、「供應鏈資安標準論壇」
,會中邀請產官
學研界標竿性代表分享,除以「主題演講」形式帶來
專家第一手分析與觀察,並同步搭配「專題對談」形
式讓跨產業與領域專家進行深度討論,進而帶動議
題擴散,達到的最大能見度,同時獲得產業重視。
在 8 月 11 日至 12 日兩天活動中,4 項主題共
計舉辦 12 場專題演場及 1 場專題對談活動,總計吸
引超過 1,257 人次參與,並回收超過 328 份回饋問
卷。新興物聯網資安主題論壇暨計畫推廣系列活動
之參與人次、問卷回收等成果。
表 21:新興物聯網資安主題論壇暨計畫推廣系列活動執行成果一覽表
時間 主題論壇項目與內容 活動記錄
單場參與共 359 人次
(電子感應憑證)
109 年 8 月 11 日(二) IR & CSIRT 及資安人
共回收 66 份回饋問
14:30-17:15 才發展論壇
卷(63 份具聯絡個
資)
單場參與共 363 人次
109 年 8 月 12 日(三) 物聯網安全論壇-從標 (電子感應憑證)
09:50-12:00 準到產業 共回收 31 份具聯絡
個資之回饋問卷
單場參與共 305 人次
(電子感應憑證)
109 年 8 月 12 日(三) 物聯網安全論壇-IoT
共回收 136 份回饋問
13:50-17:00 資安落地實戰
卷(109 份具聯絡個
資)
單場參與共 230 人次
(電子感應憑證)
109 年 8 月 12 日(三)
供應鏈資安標準論壇 共回收 95 份回饋問
13:50-17:00
卷(84 份具聯絡個
資)
149
時間 主題論壇項目與內容 活動記錄
截至 總計共有 7 則網路及
媒體曝光
109 年 8 月 31 日(一) 平面周刊報導曝光
隨著科技應用越來越深入企業流程,各種資
安風險和威脅也變得越來越像日常生活的一個環
節。而頻層出不窮的資料外洩事件、國內外知名企
業受到駭客攻擊、盜取資料等事件的發生,都讓國
內產業企業進一步正視資安風險的防護與應變的
重要。該如何建立或管理企業資安團隊與部門,以
及如何同步提升企業內部員工對於資安意識的認
知,進而有效達到企業內部資安聯防機制,成為每
家企業必修的課題。
企業應變第一線資安事件的處理,即為安全
事件應變(Incident Response, IR),有些企業更積極
成立電腦資安事件應變小組(Computer Security
Incident Response Team, CSIRT)。這樣的團隊同時
也意味著,企業是否具備處理資安事件的能量和
能力.同時能做到有系統化的資安分析,執行威脅
獵捕,更甚者,能達到主動出擊、即時反應與分析、
降低損失,有效防護安全漏洞等即時應變的能力,
同時協助更多優秀的資安人才與團隊的發展。
150
– 論壇場地:南港展覽二館七樓會議室 (701E 會
議室)
– 論壇議程:
151
– 論壇精華內容介紹及活動簡報:
與軟體更新,讓消費者理解其產品不會淪為孤兒,連帶對 Synology 品
牌產生信賴感。
邱豊翔強調,企業欲找尋 CSIRT 人才,首先要看的不是技能,在於對
方是否具備猶如「急診室醫生」靈活、耐壓、邏輯思考,及處理事件時
懂得從大處著手的特質。他提醒 IR 有階層性,IRO 負責下決策和對外
溝通,IRM 負責指揮調度,兩者人格特質需求不同,IRO 必須強勢、擅
於溝通,IRM 像是 Coordinator,需有好的協調力、執行力。
蔡松廷指出,處理資安事件的當下,「管理」比「技術」更重要,企業務
必要有統一決策中心,且在處理過程中,不論看到什麼線索,切記務必
堅持既定目標(如恢復某項服務、或找到 Root Cause)
,莫要迷失方向。
153
與談人:TeamT5 杜浦數位安全創辦人兼
CSIRT 面面觀座談專題對談全場實景
執行長蔡松廷
與談人:趨勢科技資安事件應變小組 與談人:群暉科技產品安全應變小組
資深經理邱豊翔 經理李宜謙
b. 物聯網安全論壇
近年來物聯網裝置盛行,致使駭客開始鎖定
此種應用形式發動攻擊 ,根據資安廠商
Kaspersky 的觀察,在 2019 年的上半年就出現 1
億次物聯網攻擊。其涉及的領域相當廣泛,無論
是金融、公共服務、製造業、零售業,乃至於能
源設施與醫療,皆處處可見物聯網裝置的應用。
而在民生常見的產品,如:影像監控監控系統 、
數位娛樂裝置、智慧家庭、穿戴設備、醫療照護
設備等,無一籠罩在資安風暴下。另一方面,5G
154
網路已正式啟用其帶來更大的頻寬,提供更多樣
的產品可直接繞過層層防護,直接連接至伺服器
內,可預見將對物聯網、機聯網的安全間接造成
影響。
由於物聯網裝置事後增加資安防護等措施,
相對難度較高,更甚者,將影響產品的可用性。
因此治本之道,須在前期的開發過程中,將相關
保護機制納入。有鑑於此,國內法規也開始推動
相關檢測標準的訂定,如:自 2018 年 6 月起即
開始實施「物聯網資安標章」的認證,並輔導建
立合格檢測實驗室的等相關措施推行。
因此,於 8 月 12 日舉辦「物聯網安全論壇-
、「物聯網安全論壇- IoT 資安落
從標準到產業」
地實戰」2 場物聯網安全主題論壇活動,分別從
標準的擬定到產業實務落地的經驗進行分享,邀
請學研界專家或政策制定相關專家,進一步說明
相關標準訂定,並由業界代表分享產品研發及強
化物聯網資安現況,以期提升臺灣物聯網產品設
備的國際競爭力,帶動國人對物聯網資安設備認
證的重視。
– 物聯網安全論壇-從標準到產業
論壇場地:南港展覽二館七樓會議室
(701D 會議室)
論壇議程:
155
表 24:物聯網安全論壇-從標準到產業活動議程
156
論壇精華內容介紹及活動簡報:
表 25:物聯網安全論壇-從標準到產業場次課程精華及活動簡報
會後
講題 課程精華內容介紹
簡報下載
近年來越來越多的裝置都擁有連線到網路
上的能力,隨之而來的是 IoT 的威脅逐日上
升,各式各樣的惡意攻擊在我們的日常生活
也屢見不鮮。而 Panasonic 身為 IoT 家電
製造商,產品的安全是我們很注重的部分。
原來製造 透過將自家未發售的產品當成 Honeypot 連
商是這樣 線到網際網路,目的是收集針對 Panasonic
想的! 產品的攻擊,當發現針對性的攻擊時,可以
Panasonic 針對漏洞立即進行修補。部署 Honeypot 至 講師未開放授權
對抗 IoT 今,Panasonic 已經蒐集到大量的惡意攻擊,
威脅的生 而我們會將此情資分享給內部開發者,以利
存之道 開發出更安全的產品。在此議程中,我們將
會分享 Panasonic 對於資安的看法以及做
法,並且提供 Honeypot 收集到的數據分析。
商業上因為物聯網/嵌入式系統設備的資安
SELinux 於 議題,使得很多商業提案與執行因此而窒
嵌 入 式 裝 礙難行。隨著 Linux 成為嵌入式系統的霸
置 - 強 化 主,如何在技術、資源及認證規範等工程
資 安 抵 禦 與商業考量下達到夠經濟的資安防禦解決
能力 方案?有別於傳統開發防毒軟體的資安思 下載路徑: https:
維,我們從開源技術思維角度重新出發, //s.itho.me/cybersec/202
分享團隊經歷的重大轉變與後續所帶來的 0/slides/8266.pdf
157
會後
講題 課程精華內容介紹
簡報下載
好處,藉此推廣台灣在地 SELinux。
Linux 作業系統廣泛應用於伺服器、各種嵌
入式平台、以及 IoT 相關設備, 在這些平
台以及設備中, 即使在 user space 應用程
式中進行嚴謹安全的設計, 但只要位於
kernel space 的 Linux 核心出現安全漏洞,
系統就 會處於高度風險, 所以可知 Linux
作業系統內的 Linux 核心安全維護以及修
補就顯得特別重要。
讓 Linux
此次演講,SZ Lin 分析這幾年的 Linux 核心
核心更安
通用漏洞披露 - Common Vulnerabilities and 下載路徑:https:
全 – 檢測
Exposures (CVE) 的狀況以及趨勢,並且分享 //s.itho.me/cybersec/20
並修補安
來自 Linux 核心上游社群的資訊。此外, SZ 20/slides/8267.pdf
全漏洞
Lin 也會介紹如何使用工具來檢測所使用之
Linux 核心原始碼是否有通用漏洞披露之議
題,並且分享修補 Linux 長期維 護核心
CVE 相關實作經驗。透過參與 Linux 核心
開源社群協作,一同打造更安全的 Linux 核
心。
158
物聯網安全論壇-從標準到產業場次照片
圖 41:物聯網安全論壇-從標準到產業場次現場精彩花絮
– 物聯網安全論壇-IoT 資安落地實戰
論壇場地:南港展覽二館七樓會議室
(701D 會議室)
論壇議程:
159
表 26:物聯網安全論壇-IoT 資安落地實戰場次活動議程
表 27:物聯網安全論壇議程-IoT 資安落地實戰場次課程精華及活動簡報
161
動 通 訊 安 而言行動網路就像是魔法一般,打開手機,
全 研 究 甘 繳交月租費就能連上網路。對於研究人員而
苦談 言如何研究、分析這個魔法也是一大挑戰,
儘管開放原始碼電信相關專案日益成長,電
信議題的安全研究依然是一項門檻極高的領
域。 本議程將分享我們在通訊安全研究上
是如何克服種種限制與難關。
參考議題:Telecom Security、Mobile Security、
Internet of Things
講師:群暉科技產品安全應變小組 講師:財團法人工業技術研究院
經理李宜謙 資訊與通訊研究所副工程師莊般若
講師:飛行日有限公司技術長 講師:趨勢科技股份有限公司物聯網
Gavin Chang 威脅研究員 Shin Li
圖 42:物聯網安全論壇-IoT 資安落地實戰場次現場精彩花絮
162
c. 供應鏈資安標準論壇
面對資安威脅的持續逼近,許多駭客的攻擊
形態日趨多元, 不再只從「點」
、「線」來逼近,
如今更有可能是採取「面」的包圍。從軟體、硬
體、各種服務與生產,商品從開發到用戶手中這
條供應鏈,上下游如何串聯資安防線?顯然已成
為迫切需要被關注的議題。
此外,前年全球晶圓代工龍頭廠商爆發
機臺中毒事件,讓生產線的資安議題浮上檯面,
各界開始注意到 IT 與 OT 環境的先天差異,凸
顯半導體產業邁向高度自動化、智慧化的同時,
連帶面臨險峻的資安威脅。為幫助臺灣關鍵核心
產業代表:半導體、IC 相關產業能從上、中、下
游攜手,一同加強資安防護、落實整合資安供需,
國內國際半導體產業協會(SEMI)成員攜手政府
法人組織積極推相關資安標準,其標準規範相關
推動現況也將透過「供應鏈資安標準論壇」進行
分享。期望藉由凝聚產業之力共同正視資安風險,
進一步協助產業進行風險控管與資安防護,並擴
及各產業供應鏈的資訊安全。
– 論壇場地:南港展覽二館七樓會議室 (701B
會議室)
– 論壇議程:
163
表 28:供應鏈資安標準論壇活動議程
– 論壇精華內容介紹及活動簡報:
表 29:供應鏈資安標準論壇議程精華及活動簡報
164
165
– 供應鏈資安標準論壇場次活動照片:
講師:台積電資訊技術安全專案部經理
開場引言:iThome 副總編輯王宏仁
/ SEMI 資安工作小組組長 張啟煌
講師:卡巴斯基全球研究和分析團隊亞
講師:奧義智慧科技共同創辦人叢培侃
太區總監 Vitaly Kamluk (影音呈現)
圖 43:供應鏈資安標準論壇場次現場精彩花絮
C. 南臺灣物聯網資安先期實驗
3-3-1 完成資安情境規劃報告(初版)。(規劃納入智慧製造
場域與組裝產線建置之設計情境規劃、工控資安情
境規劃、協作基地運作管理機制。)
為帶動國內資安產業發展,推動產業跨域資安應
用,建立指標示範場域,促成資安解決方案與場域應
用結合,初期透過沙崙園區的導入,完備園區內綠能、
自駕車廠商資安防護,進而擴散到南部相關產業,強
166
化傳產資安意識,提升南臺灣供應鏈安全,透過協作
基地(Co-working Space)推動建立指標應用示範展示
場域或工控攻防演練基地,凝聚產業協同跨域發展,
提升整體資安防護能量。
經由先期針對南部產業的盤點分析,依據產業營
收結構來看,南部地區製造業主要群聚為化工材料製
造業、電子零組件製造業以及金屬加工製造業為主,
其中電子零組件製造業自 99 年後每年的投資額持續
增長,顯示該產業具備產業成長動能,而產業的投資
多半與生產線或工廠自動化相關,著重於工業自動化
控制、智慧製造/智慧組裝上,可做為南部地區導入資
安防護的重點推動產業。透過先期規劃提前部署,有
助於帶動南臺灣資安跨域整合之規劃與交流,並做為
計畫後續推動之參考。
本期亦完成資安協作基地(Co-working spaces)經
營管理草案,後續可透過資安協作基地,提供資安廠
商(供)與南臺灣重點產業廠商(需)交流據點,帶
動南臺灣資安產業發展;同時也提供給南臺灣資安社
群做為資安動態訊息分享、技術交流所用之據點,培
育南臺灣資安人才。
本項目針對沙崙智慧綠能科學城 C 區之綠能科
技聯合研究中心 1 樓之(資安場域展示區)
、(資安攻
防演練基地)規劃納入智慧製造場域與組裝產線建置
之設計情境規劃、工控資安情境規劃、協作基地運作
管理機制。針對關鍵基礎設施與製造業所需之資安需
求,搭配沙崙智慧綠能科學城業者、南臺灣產業發展
主軸等,規劃展示、資安演訓等,以需求加速帶動各
類支援業者(資安、AI 智慧等)進駐,逐步擴散至南部
相關產業,創造數位科技發展之基盤。
本工作項目將在常態展示場域建置智慧製造產
線設備,於其運作過程中,模擬企業內外與製造現場
可能遭受不同態樣的資安攻擊,所導致諸如影響生產
167
品質、產線停擺、與機密資料外洩等損失情境,藉此
情境展示有效連結實際場域,以喚醒製造業者之資安
警覺意識。
預計逐年規劃並建置呈現如:(1)連網安全、(2)製
造品質、(3)作業工安、(4)供應鏈協同運作、(5)遠端/
異地生產運作、(6)AI 模型運作、(7)設備運維作業、
(8)無人載具作業等 8 類別項下之各樣 Use case。
未來預計納入上述(1)~(3)類別之相關作業情境
規劃,過程中互動模式如下圖所示:
圖 44:系統展示時之互動模式
168
圖 45:展示情境規劃發展流程
目前已完成油、天然氣及輸配電測試場域軟體及
硬體架構,依照關鍵基礎設施實際運作中的廠區設備、
系統及網路架構進行建置。資安攻擊腳本方面,針對
近年從外部來源攻擊或內部來源攻擊進行整理,並歸
納攻擊方式將其納入資安腳本。實際需求掌握部分,
已拜訪中油桃園煉油廠及台電台中電廠資訊及程控
人員,實際瞭解控制系統運作及操作方式、OT 及 IT
網路的配置方式、資安風險控管方式。
3-3-2 辦理資安交流活動。(如場域招商交流、智慧製造資
安情境交流、工控資安情境交流、資安社群小聚等
活動)
透過進行指標應用示範展示場域或攻防演練基
地情境規劃,於規劃過程中以交流形式,邀請在地學
術、研究、產業等單位之代表共同參與,辦理場域招
商交流、智慧製造資安情境交流、工控資安情境交流、
資安社群小聚等活動。並透過需求端及供給端之廠商
訪談、交流活動形式等,廣納各界建議,以利爾後多
元評估與規劃。目前已完成三場次資安交流活動,說
明如下:
(A) 10 月 30 日假交大沙崙校區奇美樓 2 樓 220 會議
室辦理完成,此次交流會邀請上銀光電、精誠科
技、連高宏、資策會技術團隊等共 10 位來賓,交
流會上來賓們針對工控的病毒入侵及防禦方式進
169
行熱烈交流與討論。
170
活動議程:
時間 內容
13:30~14:00 報到&入場
14:50~15:10 休息&茶點
15:40~15:50 休息時間
16:40~17:00 Q&A
圖 46:南部資安社群小聚會議實況
171
(D) 於 12 月 2 日南交大奇美樓北側(致遠樓)403 大教
室偕同產業公協會或園區管理單位共同辦理「沙
崙資安服務基地推動交流共識營」
,依主題分別邀
請邀請智慧製造、智慧醫療、5G 智慧城市等在地
關鍵業者或場域、系統整合商、國網中心或研發法
人、學界、資安廠商等單位共襄盛舉,並安排引言
人在各主題小組中促進交流討論,期能對沙崙資
安服務基地的期許與推動進而形成建議共識,作
為未來規劃及調整經營場域之推廣執行方向,藉
此擴散帶動南台灣產業強化資安風氣,創造資安
加持產業轉型之新價值。相關議程如下所示:
時間 議題
9:30-10:00 報到
10:00~10:10 活動開場、主辦單位致詞、貴賓合影
10:10~10:30 沙崙資安服務基地推動目標及規劃說明
10:30~11:10 主題式分組討論
11:10~11:25 中場休息與交流時間
11:25~11:50 主題式分組討論共識發表
11:50~12:00 結論、合影
本次交流活動吸引 53 位產官學研代表參與盛會,
各組討論熱烈,如智慧製造組認為企業數位轉型專案需
考量資安問題、希望有特定應用結合之風險模擬平台或
場域、期望有資安健檢流程及改善補助、期望政府多舉
辦資安資訊分享會及人才教育訓練;5G 智慧城市組期
望有資安廠商產品能整體上架行銷平台、期望政府場域
與業者共同合作機會;智慧醫療組期望有資安廠商產品
能整體上架行銷平台等,期以智慧資安之角度協助整個
172
園區及南部產業發展,活絡實驗場域,吸引資安專業技
術服務投入形成南部廠商之跨域交流平台,打造南臺灣
產業資安聚落,並永續經營,同時促進產業協同跨域發
展,提升整體資安防護能量。
圖 47:沙崙 C 區 1 樓展示區域平面圖
173
174
圖 48:沙崙 C 區 1 樓展示區域立面圖
175
176
(3).實際執行與原規劃差異說明
177
178