觀察臺灣政府當前所面臨的資安風險，行政院國家資通安全會報技服中心主任吳啟文認為，可以先從世界經濟論壇（WEF）列入的科技風險，作為參考指標——在科技風險的排名變化來看，網路攻擊從去年的第六名提升到今年的第三名，資料詐欺或竊盜則從去年的第五名提升到今年的第四名，另外，有一個沒有列入前十名、卻與各國政府資安息息相關的選項，就是關鍵資訊基礎設施崩潰。

為了因應層出不窮的資安風險，他說：「政府去年開始針對G-ISAC轉型成國家級的N-ISAC（國家級資安資訊分享與分析中心），並於今年1月正式運作；預計今年底完成N-CERT（國家級電腦網路危機處理中心），明年則會完成複雜度更高的N-SOC（國家級資安監控中心）。」

臺灣資安威脅型態多變，APT仍是重點威脅

吳啟文指出，APT攻擊過往主要是鎖定政府部門，但到了近期，駭客都關注臺灣發生的重大新聞事件，並利用這些重大事件發送與事件相關的惡意郵件，讓相關的公務部門人員無意之間開啟這些惡意郵件，增加惡意郵件的成功率。

根據技服中心的統計數字，2017年惡意郵件數量大幅降低，甚至出現2017年惡意郵件的數量，是2016年某個月份惡意郵件數量的千分之五的比例，但吳啟文提醒，除了政府對於這類惡意郵件的防禦有成效之外，更值得觀察的是，駭客鎖定的APT攻擊目標，已經更精準且手法更複雜，並不能掉以輕心。

如果更進一步追蹤並分析駭客攻擊行為，吳啟文指出，技服中心觀察駭客所使用的中繼站，已經出現變化——早期是使用一般個人電腦與伺服器，植入後門程式之後，便遠端操控桌面軟體進行控制；中期則以網路設備包括路由器為主，透過內建VPN功能，將流量轉到上層的主控端；近期則以雲端服務短期租用為主，透過快速更換對應網域方式，可以規避各種資安產品的偵測，往往也造成追查駭客來源的困難度。

吳啟文表示，現在許多駭客都會利用共用性系統與雲端服務，作為入侵的管道。首先，鎖定單一公務機關或委外廠商的電腦，作為發動APT攻擊的灘頭堡；其次，入侵包括AD（目錄服務）伺服器， 竊取內網的通行證；緊接著，駭客可能竄改共用性系統軟體的共用機制，滲透共用性系統；然後，駭入使用共用性系統的公務人員電腦，進行跨機關的全面滲透；最後，則是進行資料的竊取，目標是儲存在公文、檔案系統和資料庫，甚至是雲端硬碟的重要機敏資料，並對外回傳給駭客組織。

吳啟文也以去年政府部門實際爆發的資安事件，來說明相關狀況。他指出，網頁攻擊事件數量最多，超過四成（40.21％），爆發資安事件的原因，依序是網站設計不當、應用程式漏洞，以及採用弱密碼等因素。但可惜的是，許多政府機關都沒有保留完整的記錄檔（Log），以致於無法確認資安事件真正發生的原因。他也說，若分析這三年政府機關資安事件的發生原因，應該可以發現，部分受駭的設備類型，已經轉成物聯網裝置。

根據技服中心統計，去年政府機關遭駭的管道，最多就是透過網站伺服器入侵，就發現駭客組織ifactoryx利用沒有修補的網站漏洞，攻擊臺灣34個政府機關網站，進行網站的網頁置換，總計有44網站受駭。

而基於資安業者的調查發現，這些受駭網站都使用舊版的網頁編輯器Fckeditor，而駭客就是利用Fckeditor漏洞發動攻擊。吳啟文表示，系統業者協助政府機關單位從舊版Fckeditor，升級到新版CKEditor 4.6.2，並於官網提供漏洞修補資訊，讓其他沒有維護合約的機關可以從官網，自行下載漏洞修補檔案；另外，為了確保安全，也協助移除Fckeditor檔案上傳功能的套件與調整設定；網站若有上傳檔案需求時，則限制檔案類型，並針對該目錄，移除執行檔案的權限，避免駭客上傳惡意程式並且執行。

資安是機關風險一部分，從PDCA著手資安防護

「資安管理是一個PDCA的循環，」吳啟文表示，資安是機關風險的一部分，應將資安認知提升到全機關單位，並透過資安治理的模式，提升對資安的正式程度。而根據2017年到2020年制定的資安發展藍圖來看，為了達成打造安全可信賴數位國家的願景，我們需要達到幾個目標，例如：建構國家資安聯防體系、提升整體資安防護機制，以及強化資安自主產業研發。

他也進一步指出，在政府資安績效指標的達成上，以完備資安基礎環境。若要做到這一點，除了需完成資安管理法的立法程序，以及建立IoT資安檢測環境，並且推動安全認證標章外，最重要的就是，建立政府資安治理模式，推動政府機關資安治理成熟度自評，或第三方評鑑，就可以達到第三級（Level 3）指標。

在建構國家資安聯防體系的目標上，需要循序漸進。例如，先建置關鍵基礎設施領域的ISAC、CERT以及SOC，然後進一步提升到完成跨域資安聯防體系，建立國家級的N-ISAC，並於今年1月執行，年底會完成N-CERT的建置，預計明年完成N-SOC，並建立地方政府區域聯防體系；此外，也要精進網路犯罪防制能量，除了要提升數位鑑識能量外，同時，要建構跨域追查的環境。

而在推升資安產業自主研發能量時，更關鍵的部份，是能夠提供試驗場域，提升臺灣資安產業自主研發能力，並推動將臺灣資安產品納入共同供應契約規範，並將臺灣自主研發資安產品的使用率，從既有的三成多提升到五成，而且，也要建立並推動資安產業標準及檢測與認證、驗證機制，並結合產學研的研發能量，發展臺灣自己資安關鍵技術，希望臺灣資安產業產值可以達到550億元。最後，在孕育優質資安人才，除了鼓勵大專院校增設資安課程或專班，以系統化、制度化方式培育資安人才外，更希望政府機關可以設置專職的資安人力，最終可以建立千人資安應變小組。

吳啟文認為，政府在資安防護的作為上，透過長期監控與外部情搜發布警訊，做到早期預警；接著，推動政府組態基準（GCB），納入網通設備與Linux系統，並在網站與系統的開發，納入安全的軟體開發生命周期（SSDLC），讓政府機關所使用的資訊設備與端點系統，可以制定一致性的安全設定，以降低駭客入侵的管道與可能性；透過資安事件通報應變機制，協助受駭機關事件復原、緊急應變處理，可以在最短時間內恢復系統運作；也同時透過資安情搜與分析威脅樣態，交叉分析各種資料，希望可以挖掘潛在威脅並進行通報處理，以掌握攻擊手法與趨勢。

關於政府資安的防護，他也提出建議，認為能夠從廣度、深度和速度三個面向著手。在廣度的作為上，政府可以透過資安旗艦計畫，以及前瞻基礎建設等兩大專案計畫，重新建構政府機關基礎設施，並打造地方政府區域治理資安聯防體系，同時，可以結合大數據分析和人工智慧（AI）技術，預測資安攻擊趨勢；深度的部份，則應強化內網與外網的縱身防禦作法，並擴大資安稽核與技術檢測，可以主動挖掘問題、改善問題；最後，在速度上，則藉由制定各種資安計畫與落實資安應辦事項，提升資安事件偵測及反應速度，並且透過資安通報與各種網路攻防演練，增加資安事件應變速度。