經濟部水利署資訊室規劃資安藍圖 三大面向杜絕駭客入侵

鑑於國外關鍵基礎設施遭到駭客攻擊的事件頻傳，加上資安法即將在2018年上路，水利署資訊室在原有強化資安防護機制外，也選擇從引進資安服務、作業系統升級、落實資安教育等三大面向著手，提升整體資安防護能力，達到保護水力相關的關鍵基礎設施安全。

在資安等於國安的趨勢下，世界各國都著手制定各種資安法規，如行政院即將在2019年實施的資安法，即著重在強化公部門與關鍵基礎設施的資安防護上，避免重要設施因遭到駭客攻擊而停擺。因此，經濟部水利署在打造水資源物聯網計畫之外，也選擇與經驗豐富的鼎盛資科合作，從引進資安服務、更新防毒軟體與Windows 10作業系統、落實資安教育等三大面向著手，將駭客組織入侵機率達到最低，達到保護水利相關關鍵基礎設施安全。

經濟部水利署資訊室主任黃貴麟指出，過去幾年國外頻頻傳出關鍵基礎設施遭到駭客攻擊的案例，嚴重影響到國家正常的運作，也凸顯強化資安防護的重要性。水利署向來非常重視資安防護，而鼎盛資科的資安服務技術與經驗非常豐富，能協助單位有效率的找出濳在漏洞，杜絕惡意程式入侵的機會，加上趨勢科技防護軟體功能強悍、Windows 10安全性相當高，讓水利署能夠因應即將上路的資安法。

推動水資源物聯網計畫 強化水資源管理效率

面對大自然氣候變遷和極端氣候，要如何管理與保護重要的水資源，已成為世界各國的重要挑戰。經濟部水利署成立以來，即致力建構水資源的智慧安全管理系統，讓民眾和各行各業都能安心用水，透過完善的防洪治水機制，保障民眾生命和財產安全。所以在行政院規劃的前瞻基礎建設–建構民生公共物聯網計畫中，將其中水利署則負責水資源管理部分，以期能達成強化政府智慧城鄉服務、提升全民生活幸福感的目標。

水資源物聯網計畫主要藉由廣布內建LPWAN通訊技術的感測器，搭配物聯網相關科技及雲端技術進行相關智慧化的水資源管理工作。其中經濟部水利署資訊室扮演IT技術及規範的制定者與推手，負責制定水資源物聯網作業規範、建置水資源物聯網感測基礎物聯作業平台。該平台委託國內物聯網先驅廠商安研科技規劃打造，採用SensorThing API國際標準以便進行物聯網資料之彙整及查詢，並且導入雲端基礎平台。另外，該平台亦能與微軟Azure AI運算服務相互結合與搭配，讓水資源管理更為有效率。

黃貴麟指出，水利署在保護關鍵基礎設施的措施可分成兩部分，首先是每年都會進行1~2次的設備演練，確保豪大雨來臨時，各地水閘門都能順利運作。至於資安部分，因應全球資安事件頻傳，水利署在添購防護設備、端點防護軟體外，也引進資安服務、並更新Windows 10作業系統、落實資安教育等三大面向的資安防護政策，並持續精進各項強化作業，以期將潛在資安威脅降到最低。

引進資安服務 積極修補軟體漏洞

現今駭客攻擊手法持續推陳出新，水利署資訊室資安策略第一步，是引進合作夥伴的資安服務，定期到單位進行日誌與事件分析，以便能及早發現隱藏的攻擊行為，進而預先進行清除與防護。其次，在端點防護上，除引進趨勢科技的防護工具外，也將用戶端設備作業系統更新至Windows 10，藉由原廠積極修補各種入侵弱點，達到杜絕APT攻擊的可能性。

考量到在縝密資安防護也無法完全杜絕資安事件發生，因此也需要長期培養同仁資安意識。所以水利署資訊室的資安防護政策，第三點即是針對管理面、業務面及不同作業層級之需求，定期邀請業界專家辦理資訊安全教育訓練及宣導，以提升單位資訊安全水準。

「資訊室人力有限，引進合作夥伴的資安服務後，即可提出整體架構與資安防護強化建議，降低駭客入侵的機會。」黃貴麟指出，「在資安維運部份，目前也針對單位的資安防禦提出短、中、長期的服務規劃，除協助導入各項產品外，也提供產品維運及維護作業，配合提出相關演練作業，以因應各式突發狀況。也持續尋找新的產品測試及技術評估服務，使資訊室能夠建立一套穩健的資安發展策略。」

杜絕APT攻擊 Windows 10防護力強

經濟部水利署用戶端電腦原本是使用Windows 7作業系統，受限於系統支援生命週期，原廠即將停止發佈更新程式與技術支援，難保日後不會成為駭客攻擊對象，單位設備已陸續導入Windows 10作業系統，系統內建可因應未知進階威脅的Windows Defender ATP技術，透過结合AI 技術的行為模式分析，能夠在攻擊發起的當下進行主動攔截，並採用雲端的大數據資料庫的比對，讓使用者避免開啟惡意信譽的網站和檔案。

黃貴麟表示，由於經濟部水利署電腦數量約超過3000台以上，資訊室在第一階段已將550台電腦升級到Windows 10，未來其餘電腦也會在最短時間完成作業系統升級的工作。

近期單位有無評估新的解決方案導入計畫？

黃貴麟指出，2018年資訊室有配合執行水資源物聯網專案，協助訂定相關作業規範及建置水資源物聯網感測基礎雲端作業平臺，提供從感測資料主動上傳開始，直到提供AI技術進行智慧化相關水資源管理各項物聯網智慧應用，包含調控、灌溉、水網、防汛、安防、揭露等。隨著物聯網應用逐步推廣後，資安防護部分也是執行面所重視的問題之一，目前也積極找尋相關資安解決方案提供作業參考使用。

此外雲端的議題一直很夯，也一直在思考如何結合雲端讓各式業務的運行更加不受限制。受限法規以及資安考量等相關因素，公部門短時間內無法把所有應用都放到公有雲上，經過相關評估後，我們認為混和雲才是未來較為可行的方向。考量未來單位勢必會更加整併，資源向上集中的情況，如何解決資源分配以及各單位管理者自主彈性，我們有在評估相關解決方案，希望借助雲端的彈性應用可以解決上述問題。另一方面，當概念驗證需求出現，現行環境又無法提供對應資源時，可以用很快的方式把實驗環境拉至公有雲擴展運算資源並持續業務測試，以因應未來可做出精準的資源需求評估，也是評估混合雲服務的原因。