資料來源:European Union Agency for Network and Information Security(2016). Securing Smart Airports.
隨著創新科技發展快速,近年機場安全與保安面臨巨大轉變,例如:透過聯網化與數位化實體控管措施(Physical Security Control),已顯著提升機場風險管理能力。創新科技驅動智慧空港發展,協助確保機場具更高等級之安全性與安保性,卻可能同時提升智慧空港資訊安全風險;鑑此,歐盟網路暨資訊安全局(European Union Agency for Network and Information Security,以下簡稱ENISA)2016年12月16日發布《Securing Smart Airports》,旨在提升智慧空港(包含飛航管理(Air traffic management))之安全性及韌性,作為機場營運單位提供無縫且安全旅客體驗服務之發展指引。
ENISA將智慧空港定義為「透過聯網化與資料導向之風險管理能力,提供旅客更好且無縫的旅行體驗,以及確保旅客、機場營運單位與一般民眾更高等級之安全性」;其中,具聯網化與資料導向風險管理能力之設備皆可認列為空港之智慧資產設備,包含:所有具資料處理能力且可提供多元加值服務(如數據整合、輔助相關人員做決策、自動執行任務)之物聯網設備,以下將進一步說明其涵蓋範圍與其相對應之資安防護措施。
財團法人台灣經濟研究院研究一所\彭義琹 助理研究員
ENISA提出智慧空港資訊安全防護措施第一步應針對空港所有智慧資產設備進行盤點,且盤點項目應包含該資產設備所屬單位、串聯之系統、資料流等。ENISA已透過多次專家訪談與交流會,釐清與定義空港智慧資產設備涵蓋範圍。其中,ENISA將智慧資產設備分為9大構面,包含:(1)機場監管作業、(2)航空公司/機場空側營運作業、(3)機場陸側營運作業、(4)機場安全與保安、(5)旅客服務、(6)資通訊系統、(7)作業人員管理、(8)旅客管理、(9)資源管理,詳細內容請參考下圖。
上圖為空港智慧資產設備涵蓋範圍示意圖
接續,ENISA提出智慧空港資訊安全防護措施第二步為:機場營運單位應根據空港智慧資產設備盤點內容,進行分析與評估可能產生之資訊安全威脅,並進行威脅建模(Threat Modelling,TM),以利後續建立相對應之資訊安全防護措施。以下針對常見可能造成智慧空港資訊安全威脅之5類行為進行說明。
一、 人為惡意行為:包含阻斷服務(Denial of Service,DoS)、攻擊資訊安全漏洞(Exploitation of Software Vulnerabilities)、攻略監管系統,以獲取受管制資訊、網路攔截攻擊(Network/Interception Attack)、釣魚式攻擊(Social Attacks)、竄改機場資訊、非經授權遠端操控智慧資產設備、惡意攻擊資通訊軟體系統,以及物理性攻擊智慧資產設備(如利用爆破性炸彈使智慧資產設備受損)。
二、 人為失誤行為:可能因相關資通訊人員之人為疏失,對機場整體智慧資產設備造成資訊安全威脅(如系統癱瘓),影響機場營運作業。
三、 系統故障:可能因智慧資產設備之元件受損,導致串聯之系統故障,因而影響其他所有與其介接之系統或智慧資產設備。
四、 自然與社會事件:可能因天災(如地震、暴風雪、水災、沙塵暴等)、人為災害(如核爆事故)或社會事件(如人員罷工、軍隊攻擊),對機場智慧資產設備造成破壞,而威脅機場資訊安全。
五、 第三方單位服務中斷或故障:機場委外廠商(如提供雲端儲存數據服務之廠商)故障,將同時危害機場與其介接之系統,而使智慧資產設備面臨資訊安全威脅。
針對以上5類常見可能造成機場資訊安全威脅之行為,ENISA提出智慧空港資安防護措施之指引,包含:(1)建置適當資訊安全防護措施、(2)適當管控機場資訊與網路之存取權、(3)其他措施,如建立整合系統停機程序,並指出相關資安防護措施可遵循以下國際標準,包含:ISO 27001與ISO 27002(資訊安全管理)、ISO 27033(資訊網路安全標準)、ISO 22301(營運持續管理系統)、NIST網路安全框架(NIST Cybersecurity Framework),以及飛航管理產業資訊安全標準(CANSO Position Paper on Cyber Security)等。
下篇文章將針對網路攻擊事件模擬案例與ENISA提出之相對應資安防護措施進行介紹。
[1] European Union Agency for Network and Information Security (2016). Securing Smart Airports.
1. 「本網站所刊載之所有資料內容及素材,皆屬於交通部科技顧問室所有,非經交通部科技顧問室同意不得將全部或部分內容轉載於任何形式之媒體、不得任意轉載作商業用途」
2. 「本網站資訊內容受著作權法保護者,除有合理使用情形外,任何形式轉載、重製、散布、公開播送、出版或發行本網站內容應取得該著作財產權人同意或授權後,方得利用。」
3. 「本網站所刊載之所有資料內容及素材,得於受著作權保護之範圍內利用,然使用時,應註明出處。」