核二厂遭骇怎么办？国家级资安攻防演练首度纳入核电厂

行政院每年都会针对政府部会重要机关进行资安攻防演练，随着国际恐怖攻击的风险增加，今年负责攻防演练的行政院资通安全办公室，在情境演练部分则锁定核二厂等4个重要能源与交通关键基础设施；实兵演练则以行政院二级机关包含三、四级机关共用系统为主。

行政院副院长张善政表示，许多恐怖攻击都以瘫痪国家重要关键基础建设为主，政府首度透过情境演练，找出核二厂封闭机组系统没发现到的盲点与解法；实兵演练则发现58个具有远端遥控的关键弱点（占全体系统17％），弱点类型则以敏感资讯曝露为主要风险，而部会机关开发的系统弱点数量，2倍于共用系统的弱点。

核二厂的封闭系统潜藏资安风险，情境演练找出忽略的盲点

近年来，许多国家都越来越重视关键基础设施工控系统（SCADA）的安全性，行政院资通安全办公室咨议周智禾表示，行政院也跟上国际这波重视关键基础设施安全的潮流，从去年起，行政院在进行网络攻防演练时，便首度锁定交通和通讯的关键基础设施作为情境演练对象，因为这些关键基础设施都无法停机或者是实际发动攻击进行测试，都是以情境设计模拟现场人员的因应方式，能否针对不同的情境，在15分钟内，找出可行的解决之道，若无法找出解决之道，就表示已经出现无法解决的盲点，必须更集思广益去克服困难。

政府去年首度尝试针对关键基础设施进行情境演练，测试的对象包括：新北市交通局的系统以及由TWNIC代管的DNS网域服务器的安全。而今年行政院进行情境演练锁定的对象，更进一步以多数人更关切的能源和交通的单位为主，包含核二厂、大林炼油厂、松山机场及花莲港务分公司作为主要情境演练的对象。这也是政府首度针对核二厂进行情境演练。

行政院资通安全办公室主任萧秀琴表示，由于核二厂运作超过30年，许多资深员工都认为，封闭系统只要不对外连网都是安全的，但萧秀琴指出，许多风险不只来自外部连网，像是内部人员输入的参数错误、人员被收买，甚至封闭系统必须依赖USB随身碟作为资料传输时，是否有考虑到上述各种情境的安全性，都是这次情境演练的重点。她也说，在经过8次的沟通后，也在具有资讯背景的副厂长带领下，盘点内部系统，找出有可能有潜在风险的系统作为情境模拟的题目。

此次，情境演练便针对核二厂进行故障时的沙盘情境推演，锁定的重要情境有4个，包括了状况一，核电厂DEH自动控制器处理模组故障，人机界面操作电脑也遭植入病毒。状况二，内部人员蓄意窜改RCF Foxboro软件参数，导致核电厂内再循环流量产生异常。状况三则是采用微软Windows Server的核电厂紧急应变系统ERF，在安装系统弱点修补程式时遭到病毒感染。最后一个状况是，当核二厂人员要测试操作状况一遭病毒感染的DEH人机界面来执行指令时，不慎触发了恶意程式。

“由于核二厂维运年限比较久，多数的系统都以类比为主。”周智禾表示，核二厂针对设计的情境，以往的演练通常更在意实体安全、或者是核灾发生的因应等等，但是，核二厂人员经过这次情境演练后，没原本以为不错的因应之道，也借由现场专家不停的追问，在过程中另外发现一些以往忽略的盲点，对核二厂成员而言，都有进一步改进的空间。不过，究竟核二厂在系统上或者是因应措施上出现哪些盲点，张善政表示，有鉴于关键基础设施与国家安全息息相关，更多的情境攻防演练细节，则不便对外揭露。

行政院二级机关及共用系统中，近2成有可远端遥控的关键漏洞

在实兵演练中，由技术服务中心负责进行渗透测试与弱点扫描，锁定行政院所属32个二级机关部会以包含三、四级机关的共用系统。萧秀琴表示，在今年7月，曾经进行资讯系统分级作业规划，所以盘点出许多政府机关自己或许已经遗忘的孤儿系统，或者是现在已经不再使用却没有下线的系统，总数有1,322个系统。

周智禾表示，此次实兵演练总共找到339个弱点，其中有58个弱点属于高风险的关键弱点，这些关键弱点都具有可以取得管理员权限或进行远端操控的特性，占整体系统将近2成（17％），系统的平均弱点为0.256个。他进一步指出，此次找到的弱点超过4成（40.7％）是敏感资讯曝露，约有120～130个系统可以透过一些错误讯息，看到部分源代码而发动攻击；其次为跨站脚本攻击（ XSS），占比为25.1％；第三名则是不当的安全组态设定，占比不到一成（8.6％）。

张善政表示，若比较二级机关自行开发的部会系统，以及和三、四级机关的共用系统的安全性，部会开发系统的平均弱点为0.273个，高于平均值，但共用系统的平均弱点只有0.125个，只有部会系统平均弱点不到一半。他认为，显见共用系统的当责单位一开始就有意识到，这套系统涉及层面广，从开发到维运都相关谨慎。萧秀琴补充，这些实兵演练发现的高风险关键弱点，已经优求二级机关在11月底前完成修补，其余低风险的弱点，也必须在2个月内向资安报提交修复进度的报告。

电子邮件社交工程演练历年来表现最好

另外，每年都有进行的电子邮件社交工程演练，从网络上找到32个行政院二级机关可找到总计960个电子邮件账号，共随机寄送3种社交工程邮件到每个电子信箱，张善政表示，今年总共只有4个机关的7名员工开启寄送的社交工程邮件，社交工程邮件开启率为0.73％，点阅率更只有0.1％，是历年来最低邮件开启率和点阅率。他认为，这也意味政府公务人员对于社交工程邮件的意识的确有逐渐提高。

萧秀琴表示，今年是第三年的资安攻防演练，也首度出现有6个部会在实兵演练和电子邮件社交工程演练的部分都拿到满分，这也证明，资安的改善和强化，是可以透过循循善诱以及各种不同的演练和提醒，将这样的资安种子种植在每一个机关部会的公务员心中。这也是这次资安攻防演练过程中，最大的惊喜。