臺灣電力公司資安經驗談,改進網路實體隔離環境的單向資料傳輸
談到網路實體隔離,可說是相當嚴謹的資安防護機制,但實體隔離的網路其實仍有資料處理及資料交換的需求,如何解決單向資料傳輸的安全問題,是一大考驗。
在昨日(3月15日)臺灣資安大會現場,
李建隆表示,為確保關鍵基礎控制系統安全,臺電公司將其程式控制系統運作在與資訊網路實體隔離的環境,而且,他們甚至也不仰賴電信業者的線路,而是在全省部署自有的電力通信光纖。
在關鍵基礎設施的資安防護上,則包含了限制相關外接設備(如USB、光碟機)的使用,
其中單向傳輸機制,主要對應臺電本身的資料處理及交換需求,像是讓控制系統的各項資訊,能在兼顧資通安全的狀況下分享至資訊網路,提供臺電人員在作業檢修、告警及相關決策作業的資訊。
現場李建隆也實際舉出一些例子來說明,像是在配電系統等的匯流排上讀取電壓、電流、頻率這些資訊,需要經統計與資料分析,以檢視供電穩定度;又或是在發電、輸電、配電系統與電力調度上,常常會有一些告警的資訊,要讓長官在資訊網路上就能掌握電力狀況,如果是實體隔離就無法分享出來,因此要透過單向傳輸將資訊傳至資訊網路來處理。
在臺電公司的單向資料傳輸發展上,李建隆表示可分成3大階段,最早他們是應用RS232埠的Simplex單工傳輸方式,只是當時的資料需求量相對較少,但對於現代來說並不適用,因此他們也嘗試尋求解決之道,像是資訊系統處同仁做出了一個網路控制器的方案,
根據李建隆的說明,這個OneWayBox資料擷取機制有些獨到之處,
進一步來看,該硬體設備內包含2個FTP伺服器,相互之間網路並不介接,而是透過一個可自動切換的小型儲存裝置來介接與切換。李建隆也特別解釋,這是利用小型儲存裝置上的防寫入機制,也就是以硬體方式,來強化單向傳輸的防護性,相當獨特。由資訊部所設計這款的OneWayBox,目前將提供給臺電公司內部使用,同時,他們也已經針對這樣的設備,提出新型專利申請審查。
臺灣電力公司資訊系統處處長李建隆,在經驗分享議程結束時,也展示了他們所設計、本週才新拿到的OneWayBox設備,吸引不少現場與會者紛紛上前請益。
同時,他們也已經針對這樣的設備,提出新型專利申請審查。臺灣電力公司資訊系統處處長李建隆,在經驗分享議程結束時,也展示了他們所設計、本週才新拿到的OneWayBox設備,吸引不少現場與會者紛紛上前請益。