CI 學堂










            技（IT, Information Technology）、操作科
            技（OT, Operation Technology）與通訊科
            技（CT, Communication Technology），再

            進一步結合開放式數據平臺，形成智慧企

            業整合架構，據以鏈結雲端資料分析應用，
            把設備控制層、現場管理層、企業營運層及
            協同商務層整合，一路貫通串接，使上下各

            類型資訊皆趨向透明化且能即時呈現；循
 Ragnar Locker 在網站宣稱
 他們駭入 ADATA 的系統，  此，CI 營運商便可建構出智慧型戰情監控
 並已盜出 1.5TB 機密資訊。                                                CI 營運商必須有效整合 IT、OT 與 CT，再進一步結合開放
 （圖片來源：竣盟科技，  室，採全天候、全時段、即時根據運作生產                                式數據平臺，鏈結雲端資料分析應用，建構出智慧型戰情
 https://blog.billows.com.                                       監控室，採全天候、全時段、即時根據運作生產狀況進行
 tw/?p=1137）  狀況，傳送資訊至雲端進行大數據分析，可                                大數據分析，確保運行順利。
            迅速作出反應，確保運行順利。

                                                                二、 執行多重身分驗證。
               CI 營運商之資安防護作法                                    三、 操作系統和軟體需保持在最新版本。


                 揆諸過往，有別於傳統軟體病毒攻擊                               四、 刪除對管理網路共享不必要的訪問。

            都是由具備專業技術的駭客組織發起，然                                  五、 使用基於主機的防火牆。
            隨著 RaaS 勒索軟體服務這類新興組織的崛                              六、 為搭載 Windows 系統的電腦啟用文

            起，其背後集結來自不同專業領域的技術                                       件受保護的檢視機制。
            人員，包含開發者、測試人員及談判人員
                                                                     在 IT、CT 及 OT 與 設 備 之 相 依 性 位
            等，以專業分工團隊的型態，提供向買家
                                                                置圖建置版本管理、維護協力廠商緊急連
            出售或出租勒索病毒的服務，從中抽取佣
                                                                絡電話等相關訊息方面，均須符合資通安
            金與租金的非法獲利，此行為被視為是促
                                                                全管理等相關規範。 另輔以運用「政府
                                                                                       9
            使勒索病毒攻擊迅速擴散的主因之一。
                                                                組 態 基 準 」（Government Configuration
                 因此，CI 營運商在面對虛實的網路世                             Baseline, GCB）規範的一致性安全設定（如

            界與實體世界環境中，如何落實資安防護，                                 密碼長度、更新期限等），以降低資安風
            有效降低遭攻擊的風險，可遵循下列六點：                                 險。上述資訊在「行政院資通安全會報技

            一、 使用獨特且高強度的密碼。                                     術服務中心」中可獲得解答。                  10




            9   「有效運用資安弱點通報機制」（Vulnerability Alert and Notification System, VANS），結合資訊資產管理與弱點管理，掌握整體風險情勢，
              並協助機關落實資通安全管理法之資產盤點與風險評估應辦事項。
            10   政府組態基準目的在於規範資通訊設備（如個人電腦、伺服器主機及網通設備等）的一致性安全設定（如密碼長度、更新期限等），以
              降低成為駭客入侵的管道，進而引發資安風險。該專區提供 GCB 說明文件、相關資源及常見問答，能協助各機關進行導入規劃與實作。
              https://www.nccst.nat.gov.tw/GCB。


                                                                                                 No.39 MAY. 2022  59