搜索
1CORAS用於ISAC之研究傅雅萍1,4、樊國楨1,2,3、楊中皇1,41.中華民國資訊安全學會2.國立交通大學資訊管理研究所3.異術科技股份有限公司4.國立高雄師範大學資訊教育研究所中華民國九十六年十二月六日摘要:Internet的發展,突顯了資訊安全的重要性,對於國家資訊安全來講,除了提供與發佈資安防護訊息以外,對於重要民生基礎建設保護(CIIP),也成為了整體資安的一部份,而如何整合的各產業的資安相關資料,建構整體性的監控與分析平台,是我國目前的當務之急。於是建置關鍵基礎建設ISAC成為目前最重要的課題,ISAC的建置首重於資訊的交換與分析,因此必需有統一標準的交換格式與運作方式。由於各種關鍵基礎建設之差異極大,工作流程及威脅的來源也不盡相同,因此需要一套公開的工具來建置,本研究討論如何利用CORAS來建置關鍵基礎建設之ISAC,並以電信公司為例,模擬系統可能發生之風險情節,並討論其運作、建置與風險處理方式。關鍵詞:1.資訊分享與分析中心(InformationSharingandAnalysisCenter,ISAC)2.資安監控中心(SecurityOperationCenter,SOC)3.CORAS(ConsultativeObjectiveRiskAnalysisSystem)4.重要民生基礎建設資訊保護(CriticalInfrastructureInformationProtection)註:RM-ODP全名為ReferenceModelforOpenDistributedProcessing1、緒論:所謂網路無國界,資訊科技時代的來臨,網際網路的普遍使用造成了駭客與病毒的横行,同時由於目前多數的工業控制系統(IndustrialControlSystem)亦隨著網路與資訊科技的發展,從過去獨立運作變成互相連線的共同作業,且各式作業系統的商業元件之使用,讓這些過去較為安全的系統成為新的資安威脅對象。由於民生基礎建設系統對於資訊的依賴性與日劇增,因此保護民生基礎建設更顯其重要。要全面監控資安訊息與分析資安威脅,建置SOC與ISAC是最好的方法,不但能有效監控資安威脅,更能經由分析資安威脅找出適當的應對機制,更能經由這些平台迅速且正確的將相關訊息發布至各單位。2行政院於2007年已公布「建立我國通資訊基礎建設安全機制計劃(94至97年)」,已要求於2008年年底前完成1~3個領域ISAC,本研究主要在探討重要民生基礎建設體系,例如中油、台電、自來水公司,如何利用CORAS此一風險評估平台來建置民生基礎建設之資訊分享與分析中心(InformationSharingandAnalysisCenter,ISAC),有效的達到資安事件互相通報,減少資安事故的發生。「預防勝於治療」,這句話用在資安防禦上蠻適合的,對於網路上到處流竄的病毒,隨時探測抓到弱點就入侵系統的駭客,事先的風險評估很重要,做好百分之百的風險評估,雖然不能百分之百的防範系統發生威脅事件,但事先的防範,可幫助系統遇到威脅事件時,可以參照風險處理的文件,減少系統的傷害及損失,並在最短的時間內,讓系統恢復正常運作。2、文獻探討2.1國家安全監控中心(NationalSecurityOperationCenter,簡稱NSOC)資安監控中心(SecurityOperationCenter,SOC)是一種整合的安全監控機制(圖1),其目的在於管理各種不同環境下的資安訊息,除了基本的監控以外,對於安全事件也必需做出對應的機制。各事業體系內部成立SOC主要目的在於藉由各種軟硬體設備,即時收集可能危害企業網路安全的的事件,加以整合及分析,並提出解決的方法,確保企業網路安全。目前規模較大的SOC大多是資訊安全相關的公司所成立,並接受企業委外管理資安的監控與威脅處理。國家安全監控中心(NationalSecurityOperationCenter,NSOC)是指由國家成立的SOC,其目的在於執行全國性資訊安全的聯合通報統系統,由NSOC透過資安事件資料交換(SecurityIncidentDataExhchange,SIDEX,簡稱「共通規格」)達到有效的資安事故訊息互通的共通平台,同時與其它單位之SOC連線,收集與提供相關訊息,便於資安事件發生時的資訊分享。根據國家資通安全會報,A級政府機關必需自建SOC進行監控,B級機關則以代管為主。同時要求未來所有單位自行建置的SOC及委外代管的SOC,均須與N-SOC相連接;目前已有多家廠商如精誠、宏碁科技等已通過NSOC資安事件資料交換連通測試驗證。唯SOC僅是整個作業之一環,由於各產業別之差異甚大,因此仍必需在不同產業分別建置個別之ISAC。3$圖1:SOC巨觀架構示意圖【10】2.2資訊分享與分析中心(InformationSharingandAnalysisCenter,簡稱ISAC)ISAC(InformationSharingandAnalysisCenter),資訊分享與分析中心,ISAC是指一個進行資訊安全相關資訊的蒐集、分析、判斷的處理中心。ISAC之建立源起於1988年63號美國總統決策令(PDD-63),PDD-63要求各政府部門需與相關民間產業間建立夥伴關係以分享資訊(ISACs),共同協助保護美國關鍵基礎建設,根據美國的作法經過ISAC蒐集與分析後的相關資訊會傳遞給產業界與國家基礎建設保護中心(NationalInfrastructureProtectionCenter,簡稱NIPC),並做為重要基礎建設保護部門(CriticalInfrastructureAssuranceOffice,簡稱CIAO)【9】。在2003年國土安全總統七號指令(HSPD-7)修正PDD-63,重申政府部門推動相關民間產業建立ISACs的任務【6】。ISAC扮演的是保護資產、事件應變與復原、情況宣導、專家分析的角色,是由各領域重要基礎建設擁有者/操作者所建立,必需俱備各領域專業知識,要能處理事故的應變與重建,並且能橫跨各領域分享相關資訊【8】。由於ISAC是由美國所推動,因此目前仍以美國ISAC的發展最為完整,電力、運輸等產業截至目前(2007年11月)為止,美國已有19個ISAC,已涵蓋金融、電力、水運、能源、健康等產業。除了美國以外,日本對於國家整體的資訊安全建置亦規劃的相當完整,除了有NISC(NationalInformationSecurityCenter)國家資安組織以外,也有ISAC,但其ISAC4功能與美國之ISAC較為不同,日本之ISAC類似美國SOC+ISAC。而日本的CEPTOAR則與美國的ISAC較為相似。表1:日本資安單位單位名稱功能NISC國家資安組織國家資安強化、核心機能整備ISAC資訊分享與分析中心分享與分析資安資料,(類似美國、我國SOC+ISAC)CEPTOAR情報分享與分析各產業情報分享分析中心(類似美國ISAC)資料來源日本NISC網站、張善政2007【4】在日本的產業別資訊分享與分析中心(ISAC)中,以日本電信ISAC(簡稱T-ISAC)之建置最為完整,T-ISAC是由日本電信、NEC、KDDI、IIJ、PowerCom、Nifty於2007年7月15日成立,目前已擁有17個團體會員,目前已能提供相當多的服務,例如提供安全脆弱性(Vulnerability)與警示(Alerts)資訊、架構資訊安全事件蒐集系統、架構SOC與SAC(SecurityAnalysisCenter)等服務。日本T-ISAC的建置實可做為我國ISAC與SOC建置之參考。雖然ISAC之功能與SOC類似,但還是有一些差異存在,SOC較重視監控而ISAC則重於威脅分析與提供解決之構制,我們整理其差異如(表2)所示。且由於各產業別之差異,因此除了SOC以外,仍需於各產業建置其ISAC。我國目前並未建置重要民生基礎建設之ISAC,不過在2007年3月30日,行政院台經字第0960082333號函公布的「建立我國通資訊基礎建設安全機制計劃(94年至97年)」已要求於2008年年底前完成1~3個領域ISAC。目前我國重要民生基礎建設-電力、中油、自來水公司均已委外完成資訊安全運作中心(SecurityOperationCenter,簡稱SOC)的建置,如圖2所示。未來ISAC的建置由國營會主導,參照美國、日本ISAC的做法,建置重要民生基礎建設(電力、油氣、自來水部分)相關之PLC/DCS/SCADA/ICS的「威脅/脆弱性資料庫」、「回應資料庫」、「IT威脅資料庫」、「生命財產安全組態資料庫」與提供政府機關其他ISAC的「共用之PLC/DCS/SCADA/ICS之威脅/脆弱性資料庫」,其框架如圖3所示,並建立入口網站提供會員資訊分享服務,至於IT威脅資料庫之來源則掛在國家級ISAC;同時成立電力、油氣、自來水的安全分析中心(SecurityAnalysisCenter,簡稱SAC),除負責圖3中之各個資料庫的建置及服務工作項目外,並負責如圖4所示之資訊安全風險評估項目,透過資訊分享與分析的功能,減少資安事件的發生。5即時監控事故處理統計分析固定風險評估安全活動系統狀態蒐集分析使用者組態記錄安全政策客戶狀態弱點資料庫遠端使用系統RTU主機型IDS應用程式作業系統OS防火牆警示網路型IDS網路設備SOCSCADA........訊息狀態警示IISFirewall-1OracleISSSnortCiscoPixTripwire........ApacheLinuxWin2k/XP調度分送器SyslogHTTP/XMLSMTPSNMPProprietay........狀態完整性本域事件資料庫SOC控制中心企業入口(EIS)蒐集&格式化模組事件產生器被監控系統事件關聯分析知識庫事件輪詢分散式架構SCADA分散式架構DCS說明:表示邏輯安全邊界連結到分離的實體邊界表示實體安全邊界EIS:EnterpriseInformationSystemSCADA:SupervisoryControlandDataAcquisitionRTU:RemoteTerminalUnit圖2:資訊安全運作中心(SecurityOperationCenter,簡稱SOC)微觀架構示意圖【1】6共用之PLC/DCS/SCADA/ICS的威脅/脆弱性資料庫重要民生基礎建設資安ISACIT威脅資料庫重要民生基礎建立IT威脅資料庫重要民生基礎建設生命財產安全組態資料庫重要民生基礎建設回應資料庫重要民生基礎建設之PLC/DCS/SCADA/ICS的威脅/脆弱性資料庫國家級ISAC政府機關其他ISAC說明:1.回應資料庫包含資訊安全事件通報。2.各個資料庫中之資訊宜遵循工業標準的規範分類與處理。3.所有資料庫均分成電力、油氣、自來水3個不同實體。議題評估研究與發展項目查證研究報告確認對策建議方案問題評估處理方案建議、矯正與改進項目評估建議方案結案矯正與改進項目結案研究與發展項目之反饋及結案國營會SAC說明:1.SAC:SecurityAnalysisCenter。安全分析中心2.SOC:SecurityOperationCenter。安全作業中心圖3:重要民生基礎建設資訊分享與分析中心(InformationSharingandAnalysisCenter,簡稱ISAC)資料庫框架示意【1】圖4:關鍵基礎建設資訊分享與分析中心(InformationSharingandAnalysisCenter,簡稱ISAC)研究與發展工作框架示意【1】7表2:ISAC和SOC功能比較SOCISAC功能即時掌控組織資訊安全狀態及風險等級並提供相關風險控制技術的單位,以持續性控制組織資安風險進行資訊安全相關資訊的蒐集、分析、判斷與傳遞,可辨識脆弱點之蓄意探索的修補計畫運作方式即時監控,回報,危機處理資料蒐集,分析,較重視早期預警及應變能力規模依建置單位而不同(NSOC,CSOC,ESOC)大可至國家層級,小可至企業本身依美國作法,於每個產業分別建置其ISAC,