論壇講師

Sergey Gordeychik

李建隆

胡昌臺

陳瑞文 (Wales)

黃俊能

廖志明

議程

12:45

主題演講

安全與資安:不安全的關鍵安全系統是如何形成的/Safety vs Security: How to Create Insecure Safety-Critical System

在此次演講中,我們想要探討電力業、運輸業及其他產業所採用之關鍵任務系統相關的典型設計、實作及支援問題。本人想要藉由 SCADA StrangeLove 小組零日攻擊研究及公開揭露的弱點統計數據,強調在工業控制系統中極為常見的不良程式碼實務。
我們將以鐵路與能源部門為例,指出資訊安全與工業安全之間的關聯,並示範在數分鐘內取得的root存取,如何讓多年來致力於改善ICS系統(如數位變電所、智慧電網及自動列出控制)失效安全及可靠性的努力白費。

 

In this talk we would like to discuss typical design, implementation and support issues related to mission-critical systems used in power, transportation, and other industries. Based on SCADA StrangeLove group 0-day research and publicly disclosed vulnerability statistics wants to highlight bad code practice which is unfortunately very common in industrial control systems.
We will show show by example of railway  and energy sector the link between information security and industrial safety and demonstrate how a root access gained in a few minutes can bring to naught all the years of efforts that were devoted to the improvement of fail-safety and reliability of the ICS system such as Digital Substation, Smart Grid and Automatic Train Control.

Sergey Gordeychik
卡巴斯基實驗室 副首席技術長兼智能情報服務負責人

13:35

國家關鍵基礎設施防護之推動與策略 - 脆弱度評估與風險思維 / Vulnerability Assessments and Risk Approaches for Critical Infrastructures (CIs) – Taiwan Government Initiatives

國家關鍵基礎設施 (CI) 脆弱度評估與風險分析之運用,已成為許多國家重視的議題與重要工具。如果關鍵基礎設施之定義不清或意義不明確,亦或分類不明,可能導致無法有效運用有限的國家資源,作為CI的保護策略指導方針。各CI部門(交通部、經濟部等)需要對資產的重要性,有精準而明確的定義,方可掌握需保護的資產項目及保護之程度性。各部門CI政策決策者,需針對模糊且多變的關鍵基礎設施與資產清單,反覆的意進行討論與辯論。因此,如何設定明確的資產重要性及判斷標準,是政府機關的當務之急,以利未來落實CI相關安全法規與應變組織的訂定。

本次簡報者為行政院關鍵基礎設施安全防護總計畫主持人,將說明脆弱度評估與風險分析方法在台灣的CI應用。此次演講也將詳盡說明 台灣八大CI體系之全面架構,並將各種內外因子之判斷標準如何納入考量。

The employment of vulnerability assessment and risk analysis in national critical infrastructures (CIs) has become an important issue in many countries. Ambiguity about what constitutes a critical infrastructure could lead to inefficient use of limited resources. CI sector representatives need an accurate and fixed definitions of asset criticality in order to know what assets to protect, and how well to protect them. Policy decision-makers are debating about the implications of an ambiguous and changing list of critical infrastructures. As a result, setting clear asset criticality criteria is imperative for government agencies to implement and enforce future security regulations that are related to CIs. This presentation presents the methods for vulnerability assessment and risk analysis of Taiwan's experiences. A comprehensive framework of CIs with various considerations of internal and external criteria is also well explained in this talk.

黃俊能
中央警察大學 副教授、 行政院科技部 國家關鍵基礎設施防護安全評估分析系統(總計畫) 主持人

14:25

實體隔離單向資料傳輸經驗分享

台電公司關鍵基礎控制系統皆運作在與資訊網路實體隔離的環境,但控制系統的各項資訊如何在兼顧資通安全的狀況下分享至資訊網路,提供作業檢修,告警及相關決策作業?本議程將分享台電公司自行研發的實體隔離單向資料傳輸裝置經驗供參考。

李建隆
台灣電力公司 資訊系統處 組長

15:15

如何透過單一解決方案滿足現代化基礎建設的持續運作與遵循需求

現代資料中心在過去幾年來已經逐漸朝向全面虛擬化及雲端化演進。而在越趨複雜的架構下,如何確保現代資料中心關鍵基礎建設的持續性運作是企業所必須面對的挑戰。

透過參與 Veeam 的場次,可以在極短時候內瞭解 Veeam 解決方案如何保護/還原/監控/警示/分析現代資料中心所面臨的挑戰並且進一步瞭解如何快速因應。

陳瑞文 (Wales)
Veeam Software 亞洲區域技術顧問

16:05

加速雲應用效能及可視性以強化資安

混合雲應用、使用者裝置、網路連接的多樣性使得 IT 確保資安及應用效能的工作比幾年前更具挑戰性。因此,我們必須擴大防範安全威脅的範圍,以提高資安可視性並提升應對這些威脅的準備。

Riverbed 提供獨特的解決方案,可以:
• 優化廣域網路讓分散資料合併到少數高度安全的資料中心
• 依應用規則管理廣域網路徑、加密、雲介接、使用及優先權
• 記錄所有分支機構和資料中心連線,自動偵測異常連線以確保系統安全性和可用性
• 全面監控紀錄使用者感受、網路、設備及應用服務效能與可用度,以提高資安可視性
• 將安全智慧與效能管理相結合,提供最具成本效益的解決方案

胡昌臺
Riverbed 資深技術顧問

16:55

TWCERT/CC 2.0:從事件通報邁向情資整合聯防

針對台灣現況普遍民眾資安意識薄弱,而衍伸出一連串的資安問題,從去年勒索軟體案件數增長、一銀ATM盜領案、遊戲公司遭受DDoS攻擊事件,到今年近期證券交易商所發生的DDoS等事件,因此提升民眾資安意識之議題迫切重要。TWCERT/CC主導推動民間資安事件通報、資安教學資源、資安情資提供及舉辦資安宣導活動等多項工作,經由政府指導並透過與國內外CERT/CSIRT、資安組織、學研機構、民間社群、政府單位及私人企業等多元化合作,並進行資源整合,共同維護台灣整體網路安全之穩健。除此之外,近期TWCERT/CC與國網中心合作,開發惡程式檢測平台,避免具有國家機敏性之資料外洩風險。後續也將開發雲端ISAC平台,提供情資分享使用,以達資安聯防之成效。

廖志明
TWCERT/CC 主任