第13卷第4期
中華民國108年8月出刊

關閉章節選單
頭條故事HEADLINE
NEWS
國安、資安、通安 打造滴水不漏資安防護鐵三角通訊傳播網路資通安全防護之策略與整備(下篇)
會務側寫NCC
LOCOMOTION
委員會議重要決議
李福懿
回首頁

國安、資安、通安 打造滴水不漏資安防護鐵三角通訊傳播網路資通安全防護之策略與整備
(下篇)

一、前言

前一期本篇文中,從觀察全球資安威脅之趨勢及2001年美國發生911恐怖攻擊事件後,關鍵基礎設施成為網路攻擊重點等面向,參照比對美國資安防護之規劃與佈局,國土安全防衛、網絡安全相關重要主管單位的組織改造與任務變動等因應作為。

本期則續為簡介我國資安防護戰略—「資安即國安」,及國家安全會議國家資通安全指導小組的三大戰略目標,接著說明本會之資安防護策略三大目標、三項任務及願景,亦簡介本會建置之國家通訊暨網際安全中心NCCSC,以及二大主要系統平臺之功能。

二、我國資安防護戰略

為打造國家資安防護機制,蔡總統上任之初,即提出「資安即國安」的戰略概念,以確保資訊網路上各種活動的資訊安全,維繫國家體制正常運作,並促進數位經濟的永續發展。

依2016年8月資安即國安策略會議結論,訂定「打造安全可信賴的數位國家」戰略願景,國家安全會議國家資通安全指導小組第13 次委員會議進而制訂三大戰略目標。

3×3×3的國家級資安戰略方針
圖13×3×3的國家級資安戰略方針
資料來源:國家資通安全戰略報告1

()目標一:打造國家資安機制,確保數位國家安全

依據蔡總統「資安即國安」戰略規劃,國家安全會議國家資通安全辦公室、行政院資通安全處,與國家通訊傳播委員會(以下簡稱本會)組成資安防護鐵三角,分別從國安、資安及通安等層面保護國家及社會安全。整合三方面能量,更全面、快速、有效的對資安事件進行應變處理,建構起國家整體資通安全防護網,保障國家安全、維護社會安定、給予民眾安心。

資安防護鐵三角
圖2資安防護鐵三角
資料來源:NCCSC維運團隊繪製

()目標二:建立國家資安體系,加速數位經濟發展

英美加澳紐五眼聯盟(Five Eyes)、歐盟、我國等國家,都已制定國家網路安全戰略。國家資安防護需要政府各部門、民間企業及非政府組織的協力合作。我國則透過八大關鍵資訊基礎設施(含政府、高科技園區、能源、水資源、通訊、交通、銀行與金融、緊急救援與醫院)及其主管機關、公私領域、民間企業及非政府組織的協力合作,建立國家層級全面資安聯防架構,結合全民共同攜手,通力合作,才能為數位國家的進展,奠定最堅實的基礎。

公私協同,防護資安
圖3公私協同,防護資安
資料來源:NCCSC維運團隊繪製

()目標三:推動國防資安自主研發,提升產業成長

透過主管機關、法人單位、產學合作、新創公司合作,引導我國資安傑出廠商或團隊,結合研究法人及學研能量,並連結「智慧機械」、「亞洲‧ 矽谷」、「綠能科技」、「生醫產業」、「國防產業」、「新農業」及「循環經濟」等5+2 產業創新計畫及相關科專計畫,研發「國家安全防衛所需資安整合性」的產品或系統,帶領我國資安產業升級轉型,滿足國家安全防護之資安產業自主研發策略,活絡資安投資及國際輸出。

三、通傳網路資安防護策略與整備

隨著各項資訊科技技術高度發展,帶動各項應用服務邁入網路社會,使得通訊網路成為我國數位國家、創新經濟的關鍵驅動力量,是國家持續運作之神經網路,也是國家關鍵基礎設施資安防護的重中之重,更是國家之Life Line。而對於天然災害、經濟間諜竊取、恐怖攻擊、敵對國家網路攻擊等各項威脅與破壞,將嚴重影響國家各項機能之持續運作,導致社會與經濟活動的運行不穩定,為維繫國家、經濟、社會持續運作,實有賴於八大國家關鍵基礎設施領域主管機關之通力合作。

基於通訊傳播領域是能源、水資源、交通、金融、醫療、政府機關及科學園區等七大國家關鍵基礎設施領域之神經網路及必要之資通訊設施,並與各大領域息息相關,本會積極致力於強化通傳事業資通安全防護,提升通訊傳播網路以生命線Life Line等級維護日常營運的不中斷及高品質,並依「資安即國安」策略會議之裁示、行政院國家資通安全發展方案之政策決定,於國家安全會議國家資通安全辦公室及行政院資通安全處的指導下,執行資安旗艦計畫及前瞻建設計畫,已於107年底前完成「國家通訊暨網際安全中心,NCCSC」之建置,並於107年11月15日恭請蔡總統進行揭牌與啟用,在職掌範圍內與通訊傳播業者作業平臺互相介接,並與七大關鍵基礎設施領域主管機關形成國家層級資安聯防體系,推動公私協同合作,以共同促進我國數位經濟的永續發展。

本會之資安防護策略以建構國家資安聯防體系,提升整體資安防護機制,強化資安自主產業發展為目標,進而達成「提供安全可靠通訊環境」願景及「建立公私聯防體系、確保通訊網路順暢」、「提升網際防護能量、提供穩定通訊服務」、「快速復原通傳網路、降低資安事件風險」三大任務。因而NCCSC的啟用,是臺灣資安防護歷史上重要的里程碑,亦是「資安即國安」概念的具體實現,代表我國在建構國家安全聯防體系方面,又邁進了一大步。

NCCSC包含網路運作平臺及資安監控分析通報平臺二平臺,透過NCCSC的正式啟用,可以即時掌握、有效管理通訊傳播網路安全;再結合資安事件的自動化蒐集、分析、通報、應變與分享,加上和國際友邦情資交換合作的防護機制,可以大幅提升國家整體資通安全,達到國際資安聯防的效益。

()網路運作平臺(Communications-Network Operation Center, C-NOC)

為確保通訊傳播領域之行動通信、固定通信、衛星通信、有線電視、國際海纜及DNS網域6大網路服務正常運作,本會透過網路運作平臺(C-NOC),掌握通訊傳播網路之正常運作及故障狀態,強化通訊傳播網路之運作管理、障礙修復及應變處置,以達成事前準備、事中通報應變及事後加速復原目標,有效提升通訊傳播網路持續營運能力,保障民眾通訊傳播網路近用權益。

()資安監控分析通報平臺

本會為強化資安事件應變及聯防機制,已建置資安監控分析通報平臺,該平臺包含資訊分析與分享平臺(Communications Information Sharing and AnalysisCenter, C-ISAC)、資安監控平臺(Communications Network Operation Center, C-SOC)、資安通報應變平臺(Communications Computer Emergency ResponseTeam, C-CERT),以彙集多元資安情資來源,提供資安事件分析與資安關聯情資分享,提升整體通訊傳播業者資安防護能力,降低資安事件衍生之風險。本平臺目前主要資訊來源有通傳業者及本會布點主機誘捕蒐集之資安事件、行政院國家資安資訊分享與分析中心(N-ISAC)分享之資安情資以及美國、日本、南韓及巴西等合作國之交換垃圾郵件,透過本平臺與政府各部會、公私領域落實專業分工及密切協作,並與國際進行資安情資交流及合作,精進提升通訊傳播網路之關鍵基礎設施防護,強化資安事件訊息之監控、分享與分析及通報機制。資安監控分析通報平臺之三個子平臺主要任務如下:

  1. 1.資安監控平臺(C-SOC):主要任務為全天候即時監控網際網路攻擊行為,協助國內主要IASP業者掌握資安重要情資。
  2. 資訊分析與分享平臺(C-ISAC):著重於通訊傳播領域情資分析與分享,藉由與各領域ISAC自動化介接,建立水平與垂直分享機制,透過於通傳網路內誘捕系統佈點主機之建置,分析相關資安事件,快速掌握各式資安威脅活動,協助提升整體通傳領域資安防護能量。
  3. 資安通報應變平臺(C-CERT):主要任務為建立事件通報應處流程及維運團隊,全天候即時掌握資通安全事件處置情形。

四、結語

確保通訊網路之不中斷,是鞏固數位國家、創新經濟及維護國家安全之基礎,NCCSC預計至109年底將計有109家通訊傳播業者共同加入公私領域聯防,完成通訊傳播6大基礎網路防護整備,強化通傳領域之早期預警、持續控管、通報應變及協處改善四大面向之運作,確保業者持續營運,提供Life Line的高品質傳輸,以支援國家正常運作。

國家關鍵基礎設施與資安防護之完整體系,必須政府各部會、公私領域確實落實專業分工及密切協同,組成國家資安聯防團隊,透過國際組織與友邦進行國際聯防、情資分享及交流合作,才能真正有效發揮八大領域關鍵資訊基礎設施之資安聯防效益。

通訊傳播網路攸關人民生活基本需求,亦是國內各產業發展重要基礎設施,更是國家安全的關鍵環節。近年來通訊傳播環境的無障礙與安全議題引發各界重視,且世界各國無不加強關注此議題,通傳會未來仍持續強化通訊傳播事業資通安全防護能量,提升通訊傳播網路資通安全防護能力,期以確保寬頻通訊網路上各種活動的資訊安全,促進數位經濟的永續發展。

(作者為基礎設施事務處技正)

參考資料

  1. 朱惠中(民106)。漫談關鍵基礎設施保護。清流雙月刊106年1月號。
  2. 國家安全會議國家資通安全辦公室(107)。國家資通安全戰略報告。
  1. 1國家安全會議,2018
下一章
調整文字大小 回首頁 瀏覽其他期 NCC NEWS 列印本章節 分享本頁面

關閉搜尋

分享本文章

關閉分享