關鍵基礎設施的資安實盾:大林發電廠OT系統換證驗證與ICS防護實務
發布日期:2026-06-30
前言:沒有捷徑的資安最後防線
關鍵基礎設施(CII)的資安防護,從來不是一場華麗的展示,而是一場沉默的技術攻防。沒有剪綵儀式,沒有擺拍照片—只有螢幕上跳動的封包、機櫃間穿梭的檢測指令,以及稽核員銳利目光下的每一道程序驗證。
台灣電力股份有限公司大林發電廠,作為供應南台灣穩定電力的核心樞紐,其OT(營運技術)系統的資安韌性直接關係到民生供電的穩定性。團隊近期完成了國家級關鍵基礎設施的ISO/IEC 27001:2022外部換證驗證,透過4天全日(共計24小時)的密集前置實地輔導,以及1天全程外部陪同稽核,成功通過國際驗證機構的嚴格考驗。
本文不談空泛的原則,直接揭露OT環境中四項最容易被低估卻最致命的防護深化盲點,以及我們在大林發電廠輔導中驗證的對策。
為什麼CII的OT資安不能比照辦公室?
在進入具體控制措施前,必須先理解一個根本前提:發電廠的OT環境與一般企業IT系統,在本質上是兩個截然不同的世界。
| 面向 | 一般企業IT | 發電廠OT環境 |
|---|---|---|
| 可用性要求 | 99.9%(容許分鐘級中斷) | 99.999%以上(跳機即為國家級事件) |
| 修補週期 | 即時更新,重啟可接受 | 需配合大修或停機窗口,修補週期長達數月 |
| 系統生命週期 | 3-5年 | 15-20年,部分系統已EOL(生命週期終止)仍持續運轉 |
| 資安vs.安全 | 資安是優先事項 | 工安(人員與設備安全)永遠凌駕於資安之上 |
| 變更管理 | 敏捷部署 | 每一行指令變更都需層層簽核與衝擊評估 |
這些差異意味著:將IT世界的資安思維直接套用於OT環境,不僅無效,還可能引發營運風險。 大林發電廠的換證過程,正是從這個認知出發,逐一檢視並強化了四個OT環境特有的防護盲點。
OT資安管理四大防護深化盲點與實戰對策
盲點一:可攜式媒體的「使用前掃毒」承諾,如何做到100%軌跡留存?
對應控制項:A.8.12(可攜式媒體管理)、A.8.13(使用者端點裝置的防惡意軟體)
問題的本質
工控環境中存在一個IT世界難以想像的日常:許多OT系統處於氣隙隔離(Air-gapped)狀態,無法連網,因此系統更新、程式碼部署、參數調整,都必須依賴USB隨身碟等可攜式媒體進行資料傳輸。
程序書可能明確要求「使用前必須掃毒」,但實務上常見的盲點是:掃了,但沒有留下任何軌跡—誰掃的?什麼時候掃的?掃描結果為何?該媒體曾用於哪些設備?這些關鍵資訊若無法追溯,當某一台設備出現異常行為時,資安團隊將無法回溯判斷是否為可攜式媒體引入的惡意程式所致。
在大林發電廠的輔導對策
我們在輔導過程中導入可攜式媒體強制管控機制,並非購置昂貴的專用硬體,而是善用既有防毒軟體的日誌功能與內部表單設計:
- 強制掃描點設置:在ICS(工業控制系統)環境入口處設置唯一授權的掃描工作站,所有欲進入OT網域的可攜式媒體,必須且僅能在該工作站完成掃描。
- 軌跡留存標準化作業:掃描完成的媒體,須貼上當日授權標籤,並將掃描紀錄(含媒體序號、掃描時間、掃描結果、操作人員)登載於專屬管控表單,表單經資安主管核簽後歸檔。
- 稽核軌跡聯防:將表單紀錄與防毒軟體log、門禁刷卡紀錄進行交叉比對,確保「宣稱有掃」的人「確實出現在掃描站」且「系統有產生對應紀錄」,三項缺一不可。
關鍵領悟:軌跡留存的目的不在於「增加同仁負擔」,而在於當事件發生時,組織有能力在30分鐘內完成因果追溯,而非花費3天重建事實。
盲點二:控制室的實體安全,為何需要氣體式滅火器?
對應控制項:A.7.3(辦公室、房間與設施的實體安全)
問題的本質
多數組織對實體安全的想像停留在「門禁卡+監視器+滅火器」的基本配置。但在發電廠的控制室內,一台伺服器機櫃的火災,可能導致整座機組的非計畫性跳機,進而影響區域電網穩定。傳統的乾粉或灑水滅火系統,不僅可能對精密電子設備造成不可逆的損傷,滅火過程中的粉塵或水漬更可能擴大災損範圍。
在大林發電廠的輔導對策
我們在實體安全評估中,積極建議將控制室的滅火系統升級評估為氣體式滅火器(如惰性氣體或化學氣體系統),並納入資產保護的正式評估文件:
- 風險評估先行:在資產保護計畫中明確定義控制室為「高價值資產集中區域」,並計算火災導致非計畫性停機的潛幾損失(包括設備更換成本、供電中斷的社會影響、復機時間成本)。
- 保護目標明確化:氣體式滅火系統的導入評估,須具體定義保護標的(如DCS控制櫃、SCADA伺服器、通訊設備),並與現有的消防系統進行整合規劃。
- 程序書配套:將滅火系統的定期檢測、演練與保養納入「實體安全管理程序」,確保設備「有裝、有用、有人會操作」。
關鍵領悟:CII的實體安全評估,不能停留在「有滅火器就好」的合規思維,而應是「哪一種滅火方式最能同時保護人員、設備與營運連續性」的風險決策。
盲點三:歷史紀錄的生命週期管理—「留到天荒地老」反而是風險
對應控制項:A.8.10(資訊的刪除)
問題的本質
OT環境中,發電運轉數據、設備運轉日誌、控制指令歷史等機敏紀錄,往往因為「以後可能還會用到」或「刪掉怕出事」的心態,而無限期保留在系統中。然而,從資安合規的角度來看,過期且無業務留存必要的機敏紀錄若未及時銷毀,反而會增加數據外洩的攻擊面與合規風險—尤其是當這些歷史數據包含早期的系統架構資訊、過時但未更新的帳密資訊,或已不再適用的控制邏輯時。
在大林發電廠的輔導對策
我們在輔導中導入資訊生命週期管理機制,核心做法是建立一套「什麼該留、留多久、誰可看、何時刪」的明確規則:
- 資料分類分級:依據業務性質與法規要求,將OT環境中的歷史紀錄分為三類:法定留存(依電業法需保存特定年限)、營運參考(無強制要求但有參考價值)、過期敏感(已無業務需求且含機敏資訊)。
- 訂定留存期限與銷毀程序:針對不同類別明確訂定保存期限,並設計銷毀核准與執行表單,確保刪除行為有授權、有記錄、可追溯。
- 銷毀軌跡留存:即便已執行刪除,刪除行為本身的記錄(刪除清單、核准人、執行時間、刪除方式)仍須依稽核軌跡要求保留。
關鍵領悟:「會刪資料」比「會存資料」更需要紀律。過期的機敏紀錄不是歷史資產,而是未爆彈。
盲點四:多套管理制度的一致性整合—顧問的真正核心價值
對應控制項:A.8.13(使用者端點裝置的防惡意軟體)、A.8.15(權限管理)
問題的本質
大林發電廠作為台電體系的一員,日常運作已高度標準化—運轉人員有既定的交接班程序、設備巡檢表單、工作許可流程。然而,當一套嚴謹的ISMS被導入時,最常見的困境是:ISMS要求一套表單,日常運轉使用另一套表單—兩者紀錄的資訊重疊但不一致,導致稽核時難以舉證,日常同仁也覺得「多做一套文書」徒增負擔。
在大林發電廠的輔導對策
- 流程盤點與映射:逐一盤點運轉部門既有的日常表單(如交接班日誌、設備異常通報單、維護工作許可證),將表單中的每一欄位對應到ISMS要求的控制措施與記錄需求。
- 表單整併與微調:在確保不遺漏ISMS要求的前提下,將重複欄位整併,將不足欄位微調增補,使一線同仁「照常填寫日常表單」的同時,即已滿足ISMS的稽核軌跡要求。
- 程序書同步修訂:將整併後的表單流程回饋修訂至資訊安全政策與程序書中,確保「說、寫、做」三者一致。
關鍵領悟:合規不是「多做一套」,而是「把現在做的事,用符合規範的方式記錄下來」。顧問的價值在於幫組織省下不必要的重工,而非創造更多文件。
結語:關鍵基礎設施的資安,是「做實事」而非「做樣子」
大林發電廠的換證過程,沒有捷徑,沒有花招。24小時的前置輔導中,團隊在會議室,逐一比對程序書與現場實務的每一處落差;稽核當天,驗證機構的稽核員不是坐在會議室看文件,而是走進控制室、走進機房、走到第一線運轉人員面前,驗證「紙上寫的」與「現場做的」是否真正一致。
關鍵基礎設施的資安防護,最終考驗的不是技術有多先進,而是紀律是否內化為日常、程序是否經得起最嚴格的檢視。
大林發電廠通過了這次考驗,但這不是終點—CII的資安沒有「畢業」的一天,只有持續精進、持續驗證、持續守護國家供電韌性的每一天。