關鍵基礎設施的資安實盾:大林發電廠OT系統換證驗證與ICS防護實務

發布日期:2026-06-30 大林發電廠 OT/ICS 資安防護實務與外部稽核

前言:沒有捷徑的資安最後防線

關鍵基礎設施(CII)的資安防護,從來不是一場華麗的展示,而是一場沉默的技術攻防。沒有剪綵儀式,沒有擺拍照片—只有螢幕上跳動的封包、機櫃間穿梭的檢測指令,以及稽核員銳利目光下的每一道程序驗證。
台灣電力股份有限公司大林發電廠,作為供應南台灣穩定電力的核心樞紐,其OT(營運技術)系統的資安韌性直接關係到民生供電的穩定性。團隊近期完成了國家級關鍵基礎設施的ISO/IEC 27001:2022外部換證驗證,透過4天全日(共計24小時)的密集前置實地輔導,以及1天全程外部陪同稽核,成功通過國際驗證機構的嚴格考驗。
本文不談空泛的原則,直接揭露OT環境中四項最容易被低估卻最致命的防護深化盲點,以及我們在大林發電廠輔導中驗證的對策。

為什麼CII的OT資安不能比照辦公室?

在進入具體控制措施前,必須先理解一個根本前提:發電廠的OT環境與一般企業IT系統,在本質上是兩個截然不同的世界。

面向 一般企業IT 發電廠OT環境
可用性要求 99.9%(容許分鐘級中斷) 99.999%以上(跳機即為國家級事件)
修補週期 即時更新,重啟可接受 需配合大修或停機窗口,修補週期長達數月
系統生命週期 3-5年 15-20年,部分系統已EOL(生命週期終止)仍持續運轉
資安vs.安全 資安是優先事項 工安(人員與設備安全)永遠凌駕於資安之上
變更管理 敏捷部署 每一行指令變更都需層層簽核與衝擊評估

這些差異意味著:將IT世界的資安思維直接套用於OT環境,不僅無效,還可能引發營運風險。 大林發電廠的換證過程,正是從這個認知出發,逐一檢視並強化了四個OT環境特有的防護盲點。

OT資安管理四大防護深化盲點與實戰對策

盲點一:可攜式媒體的「使用前掃毒」承諾,如何做到100%軌跡留存?

對應控制項:A.8.12(可攜式媒體管理)、A.8.13(使用者端點裝置的防惡意軟體)

問題的本質
工控環境中存在一個IT世界難以想像的日常:許多OT系統處於氣隙隔離(Air-gapped)狀態,無法連網,因此系統更新、程式碼部署、參數調整,都必須依賴USB隨身碟等可攜式媒體進行資料傳輸。
程序書可能明確要求「使用前必須掃毒」,但實務上常見的盲點是:掃了,但沒有留下任何軌跡—誰掃的?什麼時候掃的?掃描結果為何?該媒體曾用於哪些設備?這些關鍵資訊若無法追溯,當某一台設備出現異常行為時,資安團隊將無法回溯判斷是否為可攜式媒體引入的惡意程式所致。

在大林發電廠的輔導對策
我們在輔導過程中導入可攜式媒體強制管控機制,並非購置昂貴的專用硬體,而是善用既有防毒軟體的日誌功能與內部表單設計:

關鍵領悟:軌跡留存的目的不在於「增加同仁負擔」,而在於當事件發生時,組織有能力在30分鐘內完成因果追溯,而非花費3天重建事實。

盲點二:控制室的實體安全,為何需要氣體式滅火器?

對應控制項:A.7.3(辦公室、房間與設施的實體安全)

問題的本質
多數組織對實體安全的想像停留在「門禁卡+監視器+滅火器」的基本配置。但在發電廠的控制室內,一台伺服器機櫃的火災,可能導致整座機組的非計畫性跳機,進而影響區域電網穩定。傳統的乾粉或灑水滅火系統,不僅可能對精密電子設備造成不可逆的損傷,滅火過程中的粉塵或水漬更可能擴大災損範圍。

在大林發電廠的輔導對策
我們在實體安全評估中,積極建議將控制室的滅火系統升級評估為氣體式滅火器(如惰性氣體或化學氣體系統),並納入資產保護的正式評估文件:

關鍵領悟:CII的實體安全評估,不能停留在「有滅火器就好」的合規思維,而應是「哪一種滅火方式最能同時保護人員、設備與營運連續性」的風險決策。

盲點三:歷史紀錄的生命週期管理—「留到天荒地老」反而是風險

對應控制項:A.8.10(資訊的刪除)

問題的本質
OT環境中,發電運轉數據、設備運轉日誌、控制指令歷史等機敏紀錄,往往因為「以後可能還會用到」或「刪掉怕出事」的心態,而無限期保留在系統中。然而,從資安合規的角度來看,過期且無業務留存必要的機敏紀錄若未及時銷毀,反而會增加數據外洩的攻擊面與合規風險—尤其是當這些歷史數據包含早期的系統架構資訊、過時但未更新的帳密資訊,或已不再適用的控制邏輯時。

在大林發電廠的輔導對策
我們在輔導中導入資訊生命週期管理機制,核心做法是建立一套「什麼該留、留多久、誰可看、何時刪」的明確規則:

關鍵領悟:「會刪資料」比「會存資料」更需要紀律。過期的機敏紀錄不是歷史資產,而是未爆彈。

盲點四:多套管理制度的一致性整合—顧問的真正核心價值

對應控制項:A.8.13(使用者端點裝置的防惡意軟體)、A.8.15(權限管理)

問題的本質
大林發電廠作為台電體系的一員,日常運作已高度標準化—運轉人員有既定的交接班程序、設備巡檢表單、工作許可流程。然而,當一套嚴謹的ISMS被導入時,最常見的困境是:ISMS要求一套表單,日常運轉使用另一套表單—兩者紀錄的資訊重疊但不一致,導致稽核時難以舉證,日常同仁也覺得「多做一套文書」徒增負擔。

在大林發電廠的輔導對策

關鍵領悟:合規不是「多做一套」,而是「把現在做的事,用符合規範的方式記錄下來」。顧問的價值在於幫組織省下不必要的重工,而非創造更多文件。

結語:關鍵基礎設施的資安,是「做實事」而非「做樣子」

大林發電廠的換證過程,沒有捷徑,沒有花招。24小時的前置輔導中,團隊在會議室,逐一比對程序書與現場實務的每一處落差;稽核當天,驗證機構的稽核員不是坐在會議室看文件,而是走進控制室、走進機房、走到第一線運轉人員面前,驗證「紙上寫的」與「現場做的」是否真正一致。
關鍵基礎設施的資安防護,最終考驗的不是技術有多先進,而是紀律是否內化為日常、程序是否經得起最嚴格的檢視。
大林發電廠通過了這次考驗,但這不是終點—CII的資安沒有「畢業」的一天,只有持續精進、持續驗證、持續守護國家供電韌性的每一天。

關鍵基礎設施與 OT 系統面臨合規挑戰? 與御策顧問團隊探討防護策略