张建伟：主流范式的危机——法律经济学理论的反思与重整

柬埔寨親中，前總理公開稱「不歡迎台灣在此設辦事處」 我國與柬國雖有商業交流，但兩國沒有邦交，也沒有設立辦事處

見書店招牌下的「Sea to see, to see the city.」，希望藉由書店讓讀者有機會更認識所居住的這座島嶼、這片海洋，以及這一個港灣城市。Photo Credit:女書店官方FB No.4 三餘書店 地址：高雄市新興區中正二路214號 三餘書店成立於2013年，是高雄第一家以人文閱讀、生活創意以及藝術表演為主題的獨立書店。

因此女書店收集中文地區最完整的女性、性別議題圖書與影音產品見書店招牌下的「Sea to see, to see the city.」，希望藉由書店讓讀者有機會更認識所居住的這座島嶼、這片海洋，以及這一個港灣城市。所以很多女性在此舉辦相關活動，2023年陽明交大教授林志潔宣傳新書《法律有關係》，分享女性主義法社會學的案例，獲得網友讚賞，「謝謝老師總是用實例分享深奧的法律演變，說明淺顯易懂」。不同於租書店，這裏全額退還押金。不少旅客假日會造訪或者書店，有網友表示，「好讚的書店」、「好美的書屋」。

一樓是書店和閱讀區，二樓則是蔬食咖啡廳，可以享用到蛋奶素的餐點、手沖咖啡和甜點蛋糕。不同於圖書館，這裏借期無限。「大企業應該努力讓自己符合這套國際標準，而沒有足夠資源完全投入的中小企業，也應該理解它的觀念，對資安都會有一定的幫助。

第三，資安業者在企業資安解決方案完整，但缺乏支援工控環境，需要跨領域更新發展。上述案例都是嚴重的資安危機，尤其這些機構作為國家重要基礎建設、以及龍頭製造業，當受到資安威脅時，所影響的層面不只是單一機構的損失，更對整體社會造成巨大衝擊。資策會資安科技研究所資深工程師黃鼎傑博士說明，傳統思維大多預想工廠是一個封閉網路，對於資料傳輸安全性並沒有較多的設計。2007年，伊朗境內的核電廠受到Stuxnet蠕蟲感染，潛伏兩年後才開始作用，攻擊電廠內的高速離心機，事件遲至2010年才爆發出來。

「智慧製造已是趨勢，業者應該更重視資安對產業造成的影響，而導入與獲得IEC-62443工業控制安全標準的認證，會是重要的一步。2018年，台積電受到變種WannaCry病毒入侵，2天損失52億台幣。

但事實上，在2019年已有高達60%工廠內的工業通訊標準都是透過乙太網路傳遞，更別說未來智慧工廠的實踐下，將會產生更大的資安保障需求，如不嚴肅以對，其資安漏洞恐成為國家與社會的一大隱憂。透過滲透與修補模擬進行演練測試，可幫助國內製造業認識可能的風險，或是進行攻防演習。除了防護系統的研發與應用外，資安所也同時針對OT人員開設「工控攻防演練」及「IEC-62443工業控制安全標準」的教育訓練課程，希望能補足人才缺口，為台灣製造業提供完善的資安服務，以因應工業4.0的轉型需求，並以更高標的資安水準獲取國際客戶的信任。回應（respond）─分析、並了解問題點在何處。

復原（recover）─在事件發生後，立刻復原被影響的設備或機台。偵測（detect）─必須設有入侵偵測系統，一旦有狀況就能立即反應。2014年，德國煉鋼廠的鼓風爐控制權被駭客入侵，進而造成該工廠遭受巨大損失與破壞。」黃鼎傑博士認為，工控資安將成為下個五年重要的議題，企業們應及早投入教育訓練與積極盤點自身狀況，並且往國際認證努力，站上與世界同樣的資安標準。

同時也應保持防火牆的隔離，甚至是單向的資料傳輸管道，以確保沒有受外界影響。目前此項技術已分別與台灣電力公司、台灣自來水公司進行基礎設施場域的防護試驗，透過分析廠區錄好的封包資料，不僅能嚴格控管廠內網路的封閉性，更能實際把關駭客可能潛入工業OT環境的各種攻擊行為，諸如：偵察、惡意命令注入、偽冒回應假數據、DoS癱瘓等。

黃鼎傑博士指出，針對以上三個困境，資策會資安所正極力在國內推動觀念，包括由國際自動化學會（ISA）提出並由美國國家標準學會（ANSI）公開頒布的IEC-62443，是目前全球普遍認定的「工業自動化及控制系統」安全標準，該標準提供了OT良好的工程管理指南，針對工業環境下的風險管理提出完整的SOP，並給出完整的防護與資安指標。防護（protect）─在平時就應針對員工進行教育訓練，增進OT人員對資安的意識。

尤其台灣為科技代工業的關鍵角色，以外銷為主要市場，年產值可達14兆391億元，如果在資安標準上未能符合全球廠區的要求，就有可能被排除在供應鏈之外、失去競爭力。在上述五個階段中，最重要的部分就是前三項的前段保護與偵測，但目前市面上僅有少數相關產品，且人員教育訓練的資源更是有所不足。Photo Credit：TNL Brand Studio資策會資安科技研究所資深工程師黃鼎傑博士資安不只是國安，更是經濟力的靠山在5G、AI、物聯網的出現下，雖為產業帶來商機，卻也同時帶來資安威脅與風險。第二，台灣是ICT產品生產大國，但產品多未具備資安功能，也未符合國際標準規範。因此，資策會資安所針對這個問題，特別以OT（Operational Technology）觀點提出工業資訊安全意識，希望能帶領台灣整體正視資安議題的重要性，並將國際資安標準納入企業運作的核心環節，進而帶動資安防護的提升，不僅是自身對外在駭客攻擊的防護，更是提升整體國家競爭力的關鍵。從識別到修復，全方位監控廠區資安黃鼎傑博士進一步以網路安全框架CSF的五個功能作為工控資安的基礎步驟： 識別（identify）─架設監控系統，每半年至一年應檢測工廠內的控制器（PLC）、監控器（HMI）是否有漏洞或問題

偵測（detect）─必須設有入侵偵測系統，一旦有狀況就能立即反應。2014年，德國煉鋼廠的鼓風爐控制權被駭客入侵，進而造成該工廠遭受巨大損失與破壞。

復原（recover）─在事件發生後，立刻復原被影響的設備或機台。第二，台灣是ICT產品生產大國，但產品多未具備資安功能，也未符合國際標準規範。

2007年，伊朗境內的核電廠受到Stuxnet蠕蟲感染，潛伏兩年後才開始作用，攻擊電廠內的高速離心機，事件遲至2010年才爆發出來。同時也應保持防火牆的隔離，甚至是單向的資料傳輸管道，以確保沒有受外界影響。

透過滲透與修補模擬進行演練測試，可幫助國內製造業認識可能的風險，或是進行攻防演習。黃鼎傑博士指出，針對以上三個困境，資策會資安所正極力在國內推動觀念，包括由國際自動化學會（ISA）提出並由美國國家標準學會（ANSI）公開頒布的IEC-62443，是目前全球普遍認定的「工業自動化及控制系統」安全標準，該標準提供了OT良好的工程管理指南，針對工業環境下的風險管理提出完整的SOP，並給出完整的防護與資安指標。Photo Credit：TNL Brand Studio資策會資安科技研究所資深工程師黃鼎傑博士資安不只是國安，更是經濟力的靠山在5G、AI、物聯網的出現下，雖為產業帶來商機，卻也同時帶來資安威脅與風險。防護（protect）─在平時就應針對員工進行教育訓練，增進OT人員對資安的意識。

」黃鼎傑博士認為，工控資安將成為下個五年重要的議題，企業們應及早投入教育訓練與積極盤點自身狀況，並且往國際認證努力，站上與世界同樣的資安標準。從識別到修復，全方位監控廠區資安黃鼎傑博士進一步以網路安全框架CSF的五個功能作為工控資安的基礎步驟： 識別（identify）─架設監控系統，每半年至一年應檢測工廠內的控制器（PLC）、監控器（HMI）是否有漏洞或問題。

雖然了解資安對於產業的影響力，但目前的台灣仍面臨下述三個困境：首先，製造業資安認知較弱，大多數業者不知道為何或如何導入。第三，資安業者在企業資安解決方案完整，但缺乏支援工控環境，需要跨領域更新發展。

除了防護系統的研發與應用外，資安所也同時針對OT人員開設「工控攻防演練」及「IEC-62443工業控制安全標準」的教育訓練課程，希望能補足人才缺口，為台灣製造業提供完善的資安服務，以因應工業4.0的轉型需求，並以更高標的資安水準獲取國際客戶的信任。因此，資策會資安所針對這個問題，特別以OT（Operational Technology）觀點提出工業資訊安全意識，希望能帶領台灣整體正視資安議題的重要性，並將國際資安標準納入企業運作的核心環節，進而帶動資安防護的提升，不僅是自身對外在駭客攻擊的防護，更是提升整體國家競爭力的關鍵。

資策會資安科技研究所資深工程師黃鼎傑博士說明，傳統思維大多預想工廠是一個封閉網路，對於資料傳輸安全性並沒有較多的設計。資安演練：工控資安將成為下個五年重要的議題為了更進一步讓社會了解工控資安的實際運作模型，資策會資安所打造了一個工控資安測試平臺（Testbed），透過規畫攻擊場景，以惡意命令控制水閥開關，以及偽冒監看數據回應。回應（respond）─分析、並了解問題點在何處。尤其台灣為科技代工業的關鍵角色，以外銷為主要市場，年產值可達14兆391億元，如果在資安標準上未能符合全球廠區的要求，就有可能被排除在供應鏈之外、失去競爭力。

上述案例都是嚴重的資安危機，尤其這些機構作為國家重要基礎建設、以及龍頭製造業，當受到資安威脅時，所影響的層面不只是單一機構的損失，更對整體社會造成巨大衝擊。「大企業應該努力讓自己符合這套國際標準，而沒有足夠資源完全投入的中小企業，也應該理解它的觀念，對資安都會有一定的幫助。

在上述五個階段中，最重要的部分就是前三項的前段保護與偵測，但目前市面上僅有少數相關產品，且人員教育訓練的資源更是有所不足。但事實上，在2019年已有高達60%工廠內的工業通訊標準都是透過乙太網路傳遞，更別說未來智慧工廠的實踐下，將會產生更大的資安保障需求，如不嚴肅以對，其資安漏洞恐成為國家與社會的一大隱憂。

目前此項技術已分別與台灣電力公司、台灣自來水公司進行基礎設施場域的防護試驗，透過分析廠區錄好的封包資料，不僅能嚴格控管廠內網路的封閉性，更能實際把關駭客可能潛入工業OT環境的各種攻擊行為，諸如：偵察、惡意命令注入、偽冒回應假數據、DoS癱瘓等。2018年，台積電受到變種WannaCry病毒入侵，2天損失52億台幣。