改良式個人電腦異常連線排查實務 - 以臺北市政府捷運工程局為例




                        人力不足(現行作法為資訊人力和資安人力混用)、因經費不足
                        致無法適時強化資安防護設備、機關決策者對資安防護機制不
                        在意及不支持、或未適時檢討與落實已建立之資安防護檢查程
                        序等，皆容易導致機關電腦遭駭客或不良意圖者入侵情事。如
                        2018年8月全球最大的晶圓代工半導體製造廠台積電因新機台安
                        裝軟體時操作不慎導致晶圓出貨延遲與成本增加，衝擊第三季
                        營收損失約77億元           [4,7] ，即屬未落實已建立之資安防護檢查程序
                        之值得警愓案例。

                        此外，犯罪學理論中尚有一重要理論「破窗理論」                                [12] ，可以用
                   來解釋當機關電腦有安全漏洞而無因應之道時，就很容易逐漸形成
                   機關資安威脅，甚至衍生資安事件。破窗理論假設環境中不良現象
                   被放任存在、不處理時，這種不良現象就會誘發其他人模仿，又
                   或是破壞程度變本加厲，造成更壞的結果。舉例來說，一幢建築物
                   出現少許破窗，如果沒有立即修復好那些破窗，隨之可能將會有破
                   壞者打破更多的窗戶，最終甚至會闖入建築內。如果又發現無人居
                   住於該建築內，也許接著就佔領、定居建築物，甚者是縱火。又或
                   是一條人行道上可能有些許紙屑，如果無人清理，不久後就會積放
                   更多垃圾，最終人們會視為理所當然地將垃圾順手丟棄在地上，甚
                   至連餐廳內的垃圾都會理所當然的棄置於街頭，造成市容更大的髒
                   亂。諸如此類微小的破窗、紙屑，造成了人們生活環境逐漸失序，
                   久而久之犯罪就因此滋生、蔓延。當機關電腦發生如圖1-2之電腦連
                   線中繼站之安全漏洞案例，如果僅針對通報的電腦進行資安排查而
                   未進一步追查，其結果就會如破窗理論般，其他已有中繼站連線行
                   為的電腦將可能造成機關資料損失或形象受損。
                        破窗理論核心概念就是「防微杜漸」，認為斷絕細小、輕微脫
                   序、反社會行為的發生，就可以防制大型、嚴重的犯罪行為，因此
                   衍生出預防犯罪的兩大具體策略，第一是發現有微小的犯罪行為時
                   就應該要加以阻止、消除，第二點是實施阻止的措施要快速、及
                   時，不能拖延。這二項措施也可以應用在機關電腦之資安防護作為
                   上，其一就是機關電腦應有基礎防護能力並在發生異常現象時，即
                   有適當的人力及資源進行相關修補與改善措施；其二則是機關應有
                   適當的機制去找出疑有異常行為的電腦進行快速排查。針對第一點
                   將於下節中介紹現行政府機關電腦設備防護措施，而第二點則以本
                   局為例於第三章中介紹一個具效率且可行的個人電腦異常連線偵測
                   及排查流程。












                                                     155