《關鍵基礎設施(電腦系統)條例》(PCICSO)是香港政府為加強關鍵基礎設施營運者(CIO)的網絡安全及韌性而推出的新框架。 該條例自 2026 年 1 月起生效,規定關鍵基礎設施營運商負有法定責任,須保護其電腦系統免受網絡威脅、主動管理風險,並有效應對網絡安全事件。這項法規明確指出,關鍵基礎設施營運商現須就系統、設備及數據的處理方式,展現嚴格且可執行的管控措施。
《關鍵基礎設施(電腦系統)條例》(PCICSO)
PCICSO 監管框架圍繞三項核心義務建構,旨在為資訊長(CIO)提供一套全面且系統化的網路風險管理方法。資訊長(CIO)的定義係指由監管機構依據下列因素指定之組織:該組織對電腦系統核心運作的依賴程度、受控資料的敏感性、對基礎設施的運作與管理控制程度,以及為符合合規要求所提供的資訊。
資訊長必須遵守的三項核心義務是:
- 組織層面:為確保網路安全具備明確的責任歸屬、政策及監督機制,相關治理與組織要求。
- 預防性:預防及保護措施,要求營運商實施適當的技術與運作保障措施,以確保關鍵電腦系統的安全。
- 事件通報與應對:具備要求及時偵測、處理及通報重大網路安全事件的能力。
重點摘要
雖然該條例涵蓋了廣泛的規定,但資訊長應特別留意其中幾項重點。根據該條例附表 3 第 1 部分的規定,營運商必須制定相關政策,以:
- 識別、評估、監控、緩解及應對與電腦系統安全及系統漏洞相關的風險
- 控制對關鍵電腦系統的存取權限
- 管理系統所採用之電腦相關服務及產品的供應商
業界領先的合規支援解決方案
以裝置與Endpoint 為基礎
PCICSO 指南極為重視Endpoint 狀態與漏洞管理,要求必須及時偵測、評估並修復漏洞。僅應允許符合規範的裝置與關鍵系統進行互動,而對於缺少修補程式、軟體過時或存在安全風險的端點,則必須予以封鎖或限制,直至完成修復為止。MetaDefender 透過在授予存取權限前強制執行裝置合規性,並依據組織政策評估每個終端裝置,以支援符合這些要求。此評估包含漏洞與修補程式狀態,確保僅有符合所需安全態勢的裝置才能連線。
此外MetaDefender Endpoint 跨終端裝置Endpoint 漏洞與修補程式管理,涵蓋作業系統及第三方應用程式。該解決方案可主動偵測漏洞、消除風險並提供建議的修復方案,並支援 1,100 多種應用程式的修補作業。為了確保合規執行可被稽核,並利於事件調查,所有終端裝置的安全與合規狀態皆可透過My Central Management 進行集中監控與稽核。
降低可移除媒體Media
存取控制是該條例的重點關注領域之一。這使得資訊長(CIO)更需要仔細管理通往關鍵系統的所有存取途徑,包括可移除式儲存媒體。
在營運環境中,USB 及其他可攜式儲存媒體的使用仍相當普遍,特別是在網路被分割或隔離的環境中,這使得它們成為 OT/ICS 環境中高風險的攻擊途徑。根據 SANS《2025 年 OT/ICS 預算報告》,15.2% 的攻擊途徑源自遭入侵的可移除式儲存媒體。
為降低這些風險,OPSWAT 組織透過以下方式防範可移除儲存媒體帶來的風險:
- 在入口處減輕可移除Media :MetaDefender 透過在入口處掃描並淨化可移除媒體,確保流入關鍵環境的資料流安全無虞。該產品已被納入艾默生 (Emerson) 的 DeltaV 銀級聯盟,證明其在多種環境與應用情境中的有效性。
- 運行Endpoint 與裝置管控: MetaDefender 透過在可移除媒體插入時主動掃描,並確保僅有未受感染的裝置或內容能存取關鍵系統,為營運環境提供進階的端點防護。
- Media 作為額外的防護層: MetaDefender Endpoint 與MetaDefender Media 透過強制執行掃描與淨化政策,提供額外的安全防護層。
- 集中式防護監控:透過My Central Management MetaDefender 與MetaDefender 支援集中式政策執行,用以控制裝置存取權限、監控與管理可攜式媒體的使用,以及記錄活動日誌。
管理承包商與Supply Chain 存取權限及Secure 儲存
由於關鍵基礎設施無法完全隔離運作,日常營運往往需要向供應商、承包商及合作夥伴帶入的外部裝置授予網路存取權限。由於時間壓力或驗證工具不足,臨時裝置(例如第三方筆記型電腦和替換用工作站)可能無法經過適當的篩查,從而形成潛在的初始攻擊途徑。
SANS《2025 年工業控制系統/營運技術》報告與 IBM《2025 年資料外洩成本》報告中的最新產業數據顯示:
- 瞬態裝置攻擊激增221%
- 27.3%的所有 OT 事件源自臨時裝置
- 第三方及供應鏈安全事件平均每次造成約 490 萬美元的損失
MetaDefender Drive 授予臨時裝置存取關鍵網路的權限前,先對其進行掃描與驗證,以解決這些問題。藉由安全的開機前掃描,操作人員能夠深入檢查裝置,超越主機作業系統的層級,在裝置進入網路之前偵測潛在威脅。
對於因運作限制而無法關機的關鍵系統MetaDefender Drive 支援「運行中掃描」功能,可在作業系統運作期間對裝置進行檢查,從而讓系統在無法接受停機時間的關鍵環境中,仍能進行深度檢查。
此外Drive Smart TouchDrive MetaDefender Drive 能像標準USB 一樣儲存資料,同時將未經掃描的檔案隱藏起來,僅允許已掃描的檔案進行分享或傳輸,從而實現安全的檔案儲存。
網路分段與單向資料流
除了邏輯分段之外,PCICSO 亦意識到,某些關鍵系統所需的安全保障,已超出軟體控制所能提供的範圍。防火牆、存取控制清單(ACL)及分段政策,仍容易受到設定錯誤、憑證濫用及零日漏洞攻擊的影響。對於可用性與完整性至關重要的高影響系統而言,透過實體方式建立信任邊界,是至關重要的控制措施。
MetaDefender 透過硬體強制實施的單向資料流來滿足此需求,確保資料能從關鍵環境傳輸出去,以進行監控、分析及合規報告,同時防止任何入站通訊。 有別於依賴政策執行的傳統網路控制措施,此方法透過設計本身便能消除整類攻擊向量。它能防止惡意軟體、遠端指令及橫向移動重新侵入受保護系統,此舉呼應了 PCICSO 對降低系統性風險及限制關鍵系統暴露途徑的重視。
從營運角度來看MetaDefender 能協助資訊長在不影響系統隔離的前提下,履行監控、記錄與報告的義務。日誌、遙測資料及營運指標可安全地傳輸至 IT 或 SOC 環境進行集中分析,同時保持 OT 及控制系統的完整性,從而符合法規要求。
從合規到韌性
遵循香港新頒布的《網絡安全條例》指引,有助於組織落實裝置合規性、管控檔案傳輸、管理可移除儲存媒體,以及實施網路分段。隨著關鍵基礎設施的互聯程度日益加深,同時仍依賴無法承受中斷的系統,安全管控措施必須在不影響日常運作的情況下有效運作。
OPSWAT 將這些功能整合於終端裝置、可移除媒體、臨時裝置及資料流之中,不僅能針對常見的入侵途徑進行防禦,同時也提供監管機構所期待的全面可視性。若想進一步了解OPSWAT 如何OPSWAT 關鍵基礎設施組織滿足這些要求並強化網路韌性,請立即聯繫我們的專家。
