第13卷第3期
中華民國108年6月出刊

關閉章節選單
頭條故事HEADLINE
NEWS
網路攻擊無所不在 食衣住行當心被駭通訊傳播網路資通安全防護之策略與整備(上篇)
人物專訪FOCUS
INTERVIEW
在不疑處有疑 資安攻防永無休止我國國家資通安全之願景及推動情形―專訪行政院資通安全處首任處長簡宏偉
會務側寫NCC
LOCOMOTION
委員會議重要決議
基礎設施事務處
上一章

在不疑處有疑 資安攻防永無休止我國國家資通安全之願景及推動情形
―專訪行政院資通安全處首任處長簡宏偉

行政院旗下負責政府資安政策制定、資安工作執行、以及資安產業發展的資安處,扮演著國家資訊安全工作的防衛角色,更是資安政策藍圖的計劃及推動者。有鑑於國際資安事件頻傳,本期特專訪行政院資通安全處首任處長簡宏偉,分享我國國家資通安全之願景及推動情形!

我國國家資通安全之願景及推動情形

我國自民國90年開始積極推動政府機關對資通安全的重視,陸續展開四個階段,各為期四年之重大資通安全計劃,從機制、計劃到方案,逐步從執行面慢慢拓展到政策方向面陸續完成階段性工作。

第一期資通安全計劃的目標是建立資安防護體系,首要任務則是推動政府機關分級。由於資安的本質就是風險管理,因此藉由透過界定風險分級的標準,同時導入資訊安全管理的制度,讓大家開始了解在資訊安全領域裡相關的管理機制,進一步推廣人員對資安的認知,以達到更好的資安管理成效。

第二期資通安全計劃,主要目的是健全整體資安防護能力,同時成立國家資安作業中心,負責處理資安事件。這一期的任務除了把分級標準更加精緻外,實施範圍也擴及到教育體系,並且建立國家資安作業中心,提供一般性的預警服務,以及網路上資安事件監控的能力。沿續第一期導入資訊安全管理制度,第二期開始著手推動資訊安全長的設置,直到資訊安全法通過後資訊安全長正式入法,讓政策到管理到技術,可以三向同步。

第一期、第二期的資安防護能力建構完成後,第三期的資通安全計劃開始朝向強化整體資安應變能力邁進,規劃資安事件發生時的通報及應變機制,總共規劃了30個行動方案,同時在推動第三期時,個人資料保護法也立法完成並開始實施,大幅提昇資安法規的完備度。

民國102年進入第四期的發展方案,將二線監控及情報分享,轉由民間廠商提供集中式的、整合式的資訊安全監控中心(Security Operation Center, SOC)服務。資安並非政府一言堂式的政策就可解決的,更需要與產業密切結合,所以第四期方案計劃完成二線監控的平台,同時針對戰爭等級持續修訂。第一期把分級制度導入資訊安全系統(Information Security Management System, ISMS);第二期成立SOC;第三期制定關鍵基礎設施領域層級之電腦緊急應變團隊(Computer Emergency ResponseTeam, CERT);第四期成立資安資訊分享與分析中心(Information Sharing and Analysis Center, ISAC),而第五期的重點則是著重在資安的治理。

資安治理應將課責回歸到各部會,由行政院資通安全處提供方法、指標以及機制,讓各部會在共同的框架下思考資安的做法與管理,因此,第五期目標是建立各部會的課責性,從安全可信賴的政府,拓展到安全可賴的數位國家。除此之外,第五期更重要的是建立產業、區域、國家,乃至於國際性的聯防體系,藉此提升整體的資安防護機制。所以,第五期規劃4項推動策略以達成這些願景及目標。

第一個策略推動資安管理法、建立資安基礎環境,並在經濟部及NCC(國家通訊傳播委員會)的協助下開始訂定產業的標準。第二個策略是整合中央及地方政府、部會及其所屬,建構國家聯防體系。為使資源能夠有效整合,以六都為領頭羊協助週遭縣市,不但可達到區域聯防,更可有效防止資源過度分散。

第三個策略是藉由產業的資安需求引導資安產業發展,推升資安產業自主的能量。我國有140幾萬家中小企業,在這些中小企業中,或許部分已打入國外供應鍊,可以回饋寶貴經驗;或許正值面臨產業轉型,需要建立對資安的認知。另外,針對電商面對網路詐欺事件頻傳,更要強化電商的資安。一方面希望藉由產業的資安需求引導資安產業的發展,另一方面則是藉由需求擴大而培育人才,這也是第四個策略。

第四個策略裡對於資安人才培育包括一般性的跨域人才、資安的專業人才、法規的人才,以及高階經理人的培養,例如:國防人才培育、退伍以後如何銜接、公務人員對於資安的認知,都是人才培育計劃裡需要納入的重點。針對以上4項推動策略,推動的進程自106年建立法規及聯防起,107年推動產業自主,108年培育資安人才,至109年則是計劃的整合及資訊分享,進入資安2.0。

為實現我國資通安全願景,政策規劃及實施面臨的挑戰及因應策略

資安處推動資安法,防護底限在保障自由、保障民主法制,而最大的挑戰在於如何讓一般民眾、政府單位以及產業瞭解資安即國安?為什麼資安和國安是相關聯的?為什麼要立資安法?資安的防護底線在哪裡?為了和民眾溝通,透明的法律程序及作法,甚至是嚴謹的關鍵記錄設施提供者的指定程序都是重要的環節,其最終目的也都是為了建立政府和民眾良好的溝通機制及互信的基礎。

從個人端,如何讓民眾了解個資、電腦如何保護?所謂的資安、風險是什麼?又在哪裡?從社會及政府端,包括水、電、通訊傳播、緊急醫療、交通運輸、經濟,高科技園區等,資安防護如何維持這些關鍵基礎設施正常運作不受影響?進一步到國家層級,若發生大量的攻擊事件、或所觀察到的資安發展趨勢,資安資訊如何分享?國防體系如何防禦?而當大家對這些層次都有一定的認知後,執行細節相對來說就簡單了!

資通安全管理法實施後,公務機關、特定非公務機關配合實施之情形

資安管理法立法前的資安責任等級分為A、B、C、D四級,後來變為A、B、C級,再演變增加C+級。資安管理法立法通過後,為將所有機關全數納入,分級改為A、B、C、D、E,即使是E級的機關,就算只有一部電腦,也是要遵守法規。關於資安事件,以往分為1、2、3、4級,若個人資料掉了需要達一定數量才能定為3級事件,但其實若屬特種個資,不論數量都應該列為3級事件;如同關鍵基礎設施影響社會運作,若發生資安事件等級都應比一般事件更高。

而為使資源有效利用,資安責任等級應以金字塔為規劃概念,意即等級愈高數量愈少,摒除以往以部會層級為主的分級,改以事件衝擊的影響大小做為評估基礎,資安人力配置也是如此,等級愈高、所需配置的資安專責人力就應該也愈多。

當資安法通過後,正式有了法源依據,不但分級標準從原先的數量,改成以事件的重要性分級,納法對象的涵括面也更廣。第一階段納入政府機關、國營事業、政府捐贈財團法人,關鍵基礎設施提供者則列入第二階段;同時各主管機關也制定相關的管理規則及指定程序,經由透明的指定程序過程、讓大家凝聚共識,更能符合現在的需求。

現階段,在責任等級部分,已大致完成由各機關重新提報責任等級初審,接下來針對各部會有意見的,還在協調溝通中。

國家資通安全技術服務中心在資通安全管理法實施前與後,扮演的角色是否有調整?請分享中心目前之成果,及未來推動重點?

制度不能一成不變,否則組織就沒有生命力就會老化!組織必須成長,但也要慢慢賦予它更多的要求。因此在第五期計劃中,要求技術服務中心要有研究量能,尤其新興的供給相關的議題上,例如Block trian、行動支付等,還有IoT物聯網等等,如同TDC對於NCC,技術服務中心亦應扮演智庫的角色,除了提供技術支援,也提供政策上的建議。未來,更希望讓技術服務中心朝向行政法人轉型,重視制度的運作,在運營上會較穩定,而擁有適度的公權力,在協助各部會時效果會更好。

國際資安廠商報告顯示,我國107年受到惡意軟體攻擊次數與比例都是全球平均值的2倍。而當面臨惡意軟體攻擊,如何因應以降低受攻擊的資安風險

國際資安廠商的報告有很多面向。第一、除了看攻擊的次數統計、攻擊成功的次數是否也有統計呢?根據統計,每個月平均被掃描2億次,平均遭受攻擊的次數是2000萬次到4000萬次。若以106年被攻擊成功的件數為371件,其中3級12件,依此來算,防禦率是百萬分之一。換言之,防禦率若能維持在百萬分之一,當攻擊次數愈多,相對代表著資安事件也會愈來愈高。在這種情況下,政府要如何因應?這就要回到整體聯防,縱深防禦的概念。

首先,政府網際服務網(GSN)在入口就先擋掉70%的攻擊,接下來從GSN到部會,再過濾20%,部會到所屬機關再過濾5%,如此一來到了實際的個人端只剩下5%的攻擊,攻擊當然就逐漸降低,這就是縱深防禦。因此,不論是個人或委外廠商,對應重視資安認知,不但要有足夠的設定,例如spam mail、防毒掃毒等,管理是否依照標準程序,資訊的分享,制度的建立,也需要持續的改善,因為資安不只是純技術面的事情,同樣也包括策略及管理。

簡宏偉
學歷 中正大學資訊工程研究所碩士
現職 行政院資通安全處處長
經歷 曾任國家發展委員會資訊管理處處長、行政院研考會資訊管理處副處長、僑務委員會科長、交通部中央氣象局資訊中心技正等職,另曾於私人企業服務。
專長 平行及分散式運算、計算機演算法、物件導性程式設計、資訊安全及專案管理等。
 
下一章
調整文字大小 回 NCC 首頁 瀏覽其他期 NCC NEWS 列印本章節 分享本頁面

搜尋本期

關閉搜尋

分享本文章

關閉分享