拒絕服務攻擊

Denial of Service (DoS) 攻擊是指攻擊者透過大量流量或惡意請求，使網路設備、伺服器或應用程式無法正常運作，導致服務中斷。根據 NIST SP 800-61 (Computer Security Incident Handling Guide) 的定義，DoS 攻擊屬於可用性（Availability）威脅，與機密性（Confidentiality）和完整性（Integrity）並列為資訊安全三大核心要素。進階形式為分散式拒絕服務攻擊（DDoS），利用多個受控節點同時發動。在汽車資安情境中，如本案例所示，攻擊者可利用 OCPP 1.6 協議的未加密特性，透過重複連接與身份欺騙，使充電樁或充電管理系統（CSMS）無法服務，進而影響車主移動性與充電基礎設施的穩定性。這與 ISO/SAE 21434 中定義的「資通系統可用性」直接相關，是車輛全生命週期風險評估的重點項目。

企業應採取系統化步驟應對 DoS 風險。第一步為資產識別與威脅建模，依 ISO/SAE 21434 識別所有連接車輛的介面（如 OBD-II、OTA、V2X、充電介面）。第二步為設計防禦機制，包括網路分段、流量清洗、入侵偵測系統（IDS）及速率限制（Rate Limiting）。第三步為建立應變流程，確保在攻擊發生時能快速切換備援系統或啟動緊急模式。以臺灣某電動車充電網路廠商為例，導入 DDoS 防護服務後，系統可用性從 98.5% 提升至 99.9%，客戶投訴率降低 40%，並成功通過 TISAX 認證審核。量化指標通常包含：平均修復時間（MTTR）、系統可用性百分比、以及單次攻擊導致的營運損失金額。

臺灣企業在應對 DoS 攻擊時面臨三大挑戰。首先是法規認知不足，許多中小企業尚未將 DoS 防護納入臺灣《資通安全管理法》的合規範疇，建議依法規要求建立資通安全事件應變機制。其次是技術人才稀缺，汽車資安跨域人才兼具汽車工程與資訊安全背景者極少，企業可透過與學術機構合作或委託專業顧問機構進行技術移轉。第三是成本效益考量，部分企業認為 DoS 攻擊發生機率低而延後投資。解決方案應以風險量化為基礎，依 ISO/SAE 21434 的風險評級（如 Attack Feasibility + Impact）優先強化高風險場景，如充電樁遠端控制介面。建議在 12 個月內完成從風險評估到防禦部署的完整建置，以符合國際供應鏈客戶的資安要求。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Denial of Service相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact