Page 50 - 清流雙月刊 NO.44

P. 50

MJIB

一、 ICS 政策面與程序面弱點（七）缺乏配置變更管理政策：導致無法

管理高度脆弱的硬體、韌體與軟體。
（一）ICS 之安全政策不足：ICS 弱點通常
源於政策不足或缺乏。（八）缺乏適當的存取控制政策：存取控

制實施取決於策略是否正確地模擬
（二）缺乏 ICS 安全訓練意識宣導：沒有
其角色、職責與授權。
具體 ICS 政策與程序來進行宣導或

訓練，將無法期待員工可維持安全（九）缺乏足夠之認（驗）證政策：沒有
之 ICS 環境。認證政策，未經授權的存取更有可

能發生。
（三）缺少或缺乏 ICS 設施執行指南：設
備執行指南應該保持最新狀態，並（十）事件檢測與回應計畫與程序不足：

且隨時可用。快速檢測事件能減少損失與破壞，
故須保留數位鑑識證據，降低被利
（四）缺乏安全政策執行之行政機制：執
用的弱點數與恢復 ICS 正常服務。
行安全的工作人員應負責管理文件
化之安全政策與程序。（十一）缺乏關鍵組件之備援（份）：缺

備援（份），導致發生故障可能
（五）缺乏對 ICS 安全控制之審查：應透
性增加。
過程序及時間表，確認安全程序被

正確地執行。二、 ICS 架構面與設計面弱點

（六）沒有 ICS 緊急應變計畫：缺乏緊急（一）架構與設計之安全性考量不足：設

應變計畫將導致停機時間延長與生計時即應將安全性納入ICS架構中，

產損失。包含使用者的識別與授權，存取控
制機制，網路拓撲以及系統配置完

整性。

（二）允許不安全架構之演變：ICS 的網

路基礎設施經常依據業務需求進行
開發與修改，須考慮因變更而產生

潛在的安全影響。

（三）沒有定義安全邊界：沒有明確定義
ICS 的安全邊界，就無法確保安全
控制被部署或正確配置，將可能導

致未經授權的存取發生。
ICS 設施執行指南應保持最新狀態，並隨時可用；且執行
安全的工作人員應負責管理文件化之安全政策與程序。

48 清流雙月刊

45 46 47 48 49 50 51 52 53 54 55