38. 情境如附圖所示。承上題，依據本案資安檢查報 告及公司背景條件；由於既有工廠內的工控系統(Industrial Control System，ICS)資安防護不足，考量增強維護廠商的遠 端作業及工廠工控系統的防護能力，將著手規劃提升相關資 安防禦措施，請問下列何項計劃或執行作業有誤？
(A) XYZ 公司的工控系統並非完全實體隔離，因此在資 安防護設計必須依序考量：機密性、完整性和可用性
(B) 規劃虛擬修補（Virtual Patching）機制，保護實體防 護不足與無法更新修補的設備與工控系統
(C) 強化網路通訊安全降低網路連線風險，包含： Internet, Intranet, WLAN & 廠商維護通訊路徑
(D) 遠端連線必須使用 VPN，並且管理所有工業控制系 統的操作存取權限

在一般的 IT 環境 中，資安設計思維多半強調「CIA」三要素，順序通常是：機密性（Confidentiality）→ 完整性（Integrity）→ 可用性（Availability）。
然而，在 工控系統（ICS） 的脈絡下，因為工廠生產線連續運轉的關鍵需求，「可用性（Availability）」通常是放在第一優先，再來才考量完整性（Integrity），最後是機密性（Confidentiality）。

各選項解析

• (A) XYZ 公司的工控系統並非完全實體隔離，因此在資安防護設計必須依序考量：機密性、完整性和可用性

  • 這句話不符合工控系統的優先順序（工控應是「可用性」優先），而且在實務上 ICS 很少把「機密性」放在第一位。因此此項是錯誤的作法。

• (B) 規劃虛擬修補（Virtual Patching）機制，保護實體防護不足與無法更新修補的設備與工控系統

  • 在工控系統或舊設備無法隨意打補丁時，採用防火牆、IDS/IPS 或是 proxy 進行「虛擬修補」是正確的防禦做法。

• (C) 強化網路通訊安全降低網路連線風險，包含：Internet、Intranet、WLAN 與廠商維護通訊路徑

  • ICS 與外網連線或與維護廠商之間的遠端連線，若沒有妥善的存取控制與加密防護，風險非常高，故此作法是正確且必要的。

• (D) 遠端連線必須使用 VPN，並且管理所有工業控制系統的操作存取權限

  • 在工控網路中，確保遠端連線的安全性（如採用 VPN 或跳板機機制）並且控管操作人員權限，這是十分正確的作法。

結論

由於 ICS 環境在資安設計時最先考量「可用性」，(A) 項所述之「必須依序考量：機密性、完整性和可用性」並不符合工控環境的實際優先順序，因此 (A) 有誤。