【透視國家層級的資安政策制定方向】中國網軍鎖定攻擊臺灣的經驗，反成政府資安防護優勢

臺灣不只在地理位置具有戰略地位，連面對詭譎多變的網路戰爭中，臺灣也同樣扮演關鍵的角色。從這麼多年推動政府、企業重視資安的經驗，我們可以發現，長期面對中國網軍鎖定攻擊的臺灣政府部門，也逐漸「從做中學」，彙整多年遭到攻擊的經驗，「三折肱而成良醫」，逐步累積相關攻擊手法與防禦方式，現在，臺灣政府或許是全世界最懂得中國網軍攻擊手法、也知道該如何防禦的被鎖定攻擊對象，而這樣的經驗，成為臺灣在面對來自中國網路攻擊的優勢。

臺灣發展資安的重要機會，在於能否累積足夠的攻防經驗

根據行政院資安處公布的2018年政府服務網路（GSN）監看及防護資料，當中顯示，每個月有大約2億次的網路掃描（Port Scan），駭客企圖探測政府網路的各種弱點；在此同時，每個月則有2千萬次到4千萬次的網路攻擊，全年合計有超過3億6千萬次對政府網路的攻擊，目的則是希望透過入侵臺灣政府網路、取得政府相關重要機敏資訊。

從統計結果來看，實際上，有成功突圍的攻擊行為，全年大約為360起左右，其中有12起資安攻擊事件，列為資安等級三級以上的重大資安事件，其他的則是資安等級一級、二級的輕微資安事件，像是網頁置換等狀況。也就是說，平均每一天，網軍會成功攻擊一次，若以每個月而言，會有一次三級以上的資安攻擊事件，這也顯示，臺灣政府對於資安防護的成功率高達99.9999％。

當然，資安沒有百分之百的安全，只要有其中0.0001％的風險，都有可能成為駭客成功入侵的破口，對於相關的網路攻防，我們絕對不能掉以輕心，所以，政府每年都會做各種資安稽核，以及相關的攻防演練，透過模擬來強化政府的資安防護能力，並分享與累積機關資安管理及網路安全的防護經驗。

總統府國家安全會議諮詢委員 李德財：從現有的國安會、行政院資安處，以及國家通訊傳播委員會（NCC）等機構，已經形成臺灣資安鐵三角，透過彼此合作，也讓政府有能力更快速因應並處理各種資安事件，對於所轄機關及全民資安意識的宣傳與提升，也不遺餘力。　攝影／洪政偉

中美貿易戰開打，臺灣遭到的網路攻擊也升溫

近期中美貿易大戰開打後，臺灣並沒有從中缺席。

中國網軍接受到中國政府高層的任務指派，大幅度提升竊取資通訊敏感科技的情報蒐集，根據國內與國外知名的資安監控與預警中心（SOC）的研究報告指出，光是在2018年下半，疑似中國網軍攻擊的頻率明顯增加，採取的攻擊方式也有所不同，從以往的跳板攻擊轉向直接攻擊，到了去年8月後，又轉回使用跳板攻擊，並且租用東歐國家等第三國雲服務作為跳板攻擊。關於這種種手法的彈性轉變，都使得資安防護的難度更加提升。

事實上，網路戰爭是實體戰爭的前哨戰，當中國網軍攻擊與入侵的行為升溫時，也代表兩國情勢趨於緊張，因此，國安會資安辦與行政院資安處、通傳會、國防部資通電軍及國安局等，都持續強化偵防能量，並提高關鍵基礎設施的資安防護等級與作為，以便因應中國網軍帶來的網路威脅。

以目前我國的資安發展態勢來看，行政院以「資安即國安」作為上位概念，在2017年通過第五期106年至109年的「國家資通安全發展方案」，並提出「完備資安基礎環境、建構國家資安聯防體系、提升資安產業自主能量、孕育優質資安菁英人才」等四大策略。

更重要的是，「資安管理法」正式於今年1月1日生效，明定政府機關及指定的關鍵基礎設施業者（CIIP）都受「資安管理法」管轄，讓資安管理法成為政府要求機關單位落實資安的根本母法。

公私協力，提升資安防護力

從現有的國安會、行政院資安處，以及國家通訊傳播委員會（NCC）等機構，已經形成臺灣資安鐵三角，透過彼此合作，也讓政府有能力更快速因應並處理各種資安事件，對於所轄機關及全民資安意識的宣傳與提升，也不遺餘力。

一般而言，要打好網路戰，分成多種層次。以政府和大企業來看，我國優先從關鍵基礎設施建置SOC等基礎建設；然後鎖定高科技與金融產業，例如，針對半導體協會溝通，建立公私協力（Public Private Partnership，PPP）的概念，協助做好產業資安，並透過資安聯防的方式，成立資安服務體系，把能量介接到民間，整合做聯合監控機制。

我國的資安鐵三角也透過公私協力的方式，來強化資安聯防機制。首先，由行政院資安處要求八大關鍵基礎設施業者，建立資安長制度，同時，也設立ISAC（資訊資安情資分享與分析中心）、SOC，以及CERT（資安緊急應變回應中心），並透過TWCERT/CC連結全球資安聯防體系，落實強化資安通報及緊急應變的能量，確保數位國家的安全。

至於國家通訊傳播委員會的部分，經過一年的努力，已經完成建置「國家通訊暨網際安全中心（NCCSC）」，透過維護八大關鍵資訊基礎設施領域的資訊網路骨幹，強化早期預警、持續控管與維運、通報應變和協助處理與改善等四大面向的運作，藉以確保該資通訊業者可以「持續營運」，並讓民眾可以安心與便利享受各項資訊服務。

推動關鍵基礎設施的測試場域，鼓勵臺灣資安業者投入

在此同時，政府也投入更多的資源在推動「資安旗艦計畫」，以及「前瞻基礎建設計畫」，不僅要強化關鍵基礎設施業者的資安防護能力，也要積極做到區域資安聯防及服務整合的概念，將地方政府納入國家資安防護網，並提升智慧城市的資安防護能量。

同時，政府也積極提升資安產業的自主能量，希望有更多本土資安業者可以投入關鍵基礎設施的防護，因此，從2016年開始，政府希望透過油、水、電等關鍵基礎設施業者，將汰換的工控系統釋出，作為本土資安業者練兵的測試場域（Test Bed），參與的資安業者，也從2017年的三家，增加到2018年的七家。

未來，政府也會加速推動資安工業合作案，由政府釋放更多的測試場域，結合國外工控設備大廠，以及民間資安產業的力量，透過公私協力的方式，提升臺灣資安創新與創業的能量。

當然，在2018年9月正式對外公布的《資安戰略報告》也是公私協力的最佳展現，透過座談會集思廣益，加上納入近八十位民間產業專家與學者意見所得出的成果，最終希望可以強化全民資安意識、凝聚各界共識，真正做到為「數位國家、創新經濟」奠定堅實的基礎。

為了確保資安稽核的有效性，政府也會開始逐步推動第三方驗證（Independent Verification and Validation，IV&V）。在這項工作的初期，會先以金融業為主，針對資安滲透測試，做第三方獨立驗證，確認資安滲透測試的結果是否真正達到目標。

最後，沒有信任就沒有安全的前提下，臺灣多年的民主自由及信任，是臺灣推動資安時的最大優勢，先前推動IP Cam監控攝影設備的安全標準，許多已經遵循相關規範的臺灣業者，整體財報都有很大的成長，而這就是產品獲得信任的最佳例證。口述⊙李德財、文⊙黃彥棻　本文出自《iThome 2019臺灣資安年鑑》