數位發展部
數位發展部從8月27日掛牌迄今,一部兩署的運作模式,飽受各界關切。數位發展部部長唐鳳在年終媒體茶敘時表示,資安是數位發展部施政時的重要目標,在2023年的施政方針,是以政府透過推動零信任架構為主要目標,並積極將政府之間的跨機關資料交換,擴大透過T-Road進行交換,預計在未來兩年,具有全國人民個資的資安A級機關,都會導入這樣的標準。
她也強調,預計在2023年1月成立的資通安全研究院,將成為政府推動主動防禦機制時的重要夥伴;至於臺灣是否應該禁用中國短視頻抖音App,唐鳳表示,公務機關已經禁用抖音,至於其他民間的使用,以及是否應該朝向立法等議題,都會在12月26日舉行的資安會報中,進一步廣泛討論。
政府選定A級機關導入零信任網路架構
唐鳳表示,零信任架構的重點在於「身分驗證」,若以之前確診居家辦公、簽公文為例,須確保她在任何地方簽發公文,都必須透過生物辨識的密碼驗證、經過核可的裝置設備,並確認是在安全的連線環境中進行。
她說,每一次簽署公文時,都必須重複確認上述三件事情,不因部長的身分,不因身處內網環境,也不因輸入正確密碼等單一因素,就確認公文簽署的就是唐鳳本人。
唐鳳指出,每一次的系統、資料存取,包括簽公文在內,都必須重複做到帳號密碼驗證、設備驗證,以及安全網路連線的驗證,這就是零信任架構中所謂的「永不信任、持續驗證」的精神。
許多資安等級最高級的A級機關,例如總統府、國防部或是水電、醫療等關鍵機署設施,也都是駭客鎖定攻擊的熱門標的,而駭客以往常見的攻擊手法,也都是藉由取得某臺設備的控制權或是取得某個密碼,開始橫向移動。
就如同小偷闖進大門後就可以進到房間,為了杜絕這樣的事件發生,就必須設法查出小偷如何能闖入內部的原因,就如同駭客入侵某個系統必須要找出根因,不僅要記錄且要溯源,找到真正關鍵因素,知道誰發動攻擊。
而她也說,透過零信任架構,駭客即便掌握其中一項入侵的要素,我們還是可以透過其他措施,進一步降低駭客入侵的可能性,以及造成的損害。
據了解,技服中心已經在2021年,完成零信任網路的概念性驗證研究及部署機制,到2022年7月,則確定;針對資通安全責任等級的A級機關,在2022年至2024年間,優先導入零信任網路架構,並促進臺灣資服業者發展零信任網路資安產業鏈,這些任務在數位發展部資通安全署成立之後,由其接手規畫後續事宜。
所有個資A級機關,只能透過T-Road進行跨機關資料交換
T-Road(政府資料傳輸平臺)是在政府原有的骨幹網路GSN,建置一條資料傳輸的通道,而國發會也在此通道規範資料傳輸的格式和準則,讓各級機關做相關的資料交換或連結時,有共通的標準可以遵守,該平臺在2020年底完成建置,並於2021年全面推廣。
唐鳳表示,未來兩年,數位部也會輔導所有擁有全國民眾個資的資安A級機關,全面導入T-Road這樣的標準,目前已經有內政部、警政署、勞保局、健保署、教育部、財政部,以及經濟部等22個機關,將其50個跨部門的資訊交換導入T-Road這套安全系統。
她也提及,外界關心在政府機關內、外網進行資料交換時,是否會因為有內、外網分別,而容易遭到駭客攻擊呢?唐鳳表示,政府推廣T-Road作為政府之間跨機關的資料交換平臺,就是為了杜絕這個可能性,未來將加速推廣T-Road,確保這些重要的機關不會採用T-Road以外的方式,進行跨機關的資料交換。
資通安全研究院任務目標偏重主動防禦,人才要求即戰力
2023年1月將成立國家資通安全研究院(簡稱資安院),唐鳳表示,剛開始180人的規模,是在一部兩署、總計598人的員額之外,也會有國安會和國防部指派的代表擔任董事。
她也說,成立資安院的任務目標很明確,就是4年之內可以應用到的各種資安工作,包括攻防、相關建設等等,都是資安院的工作目標;若是4年以外的資安前瞻或先期研究,或是上游的工作等,則是國科會成立的資安科研中心的任務。
不過,唐鳳表示,資安署也會持續就法規、人才等部分,提出相關的政策和能量;對於未來資安院的人才選任,也會有專業的考試、甄選等,除了筆試以外,也規畫藍隊模擬機考的平臺,以確保甄選的人才都具有即戰力,她也會親自參加藍隊模擬機考的考試。
她強調,未來數位發展部數位政府司也會積極借重資安院的力量,不會等到出現攻擊行為才去加強相關的防護,而是會針對有哪些攻擊形式,例如今年8月初美國裴洛西議長訪臺時,駭客發動了分散式阻斷式服務(DDoS)攻擊,如果是攻擊其他標的,會關注的是它們能否撐得住。
她也說,遭到攻擊的對象如果撐不住,是不是應該要像危老建築重建、進行重構呢?而這部分工作會由數位政府司與資安署聯手,透過主動防禦的方式,確保資安院的能量會投入最關鍵位置的主動重構上。
政府禁用抖音,民眾在周知風險後自行評估是否使用
美國有多個州立法宣布禁用中國短視頻抖音App,臺灣政府日前也宣布政府部門禁用抖音。唐鳳表示,其實,在2019年,政府就已經有《各機關對危害國家資通安全產品限制使用原則》,目的就是希望公務部門意識到:如果相關產品即便這一刻、這一版本沒有資安漏洞,但因為那些產品的掌控權,是握在危害國家資通安全的勢力手上,也不能確保下一個版本也是安全的。
她說,只要有選擇,希望至少公務部門,可以改用其他軟、硬體產品或服務來代替;如果一時之間無法找到替代品,不僅是要在斷網的情況下使用,也必須經過主管機關的資安長,以及資安署都同意,才能進行這樣的例外使用。所以抖音因為資安疑慮,在公務部門是不能使用的,而且,若在斷網的狀況下使用抖音這樣的App,是沒有意義的,
至於民眾是否應該主動禁用或遠離抖音App,唐鳳表示,公務部門禁用抖音是因為使用者行為會回傳中國,而抖音App下次更新時的主導權也在中國,如果民眾在清楚相關的資安風險仍繼續使用抖音,至少表示他們是在充分了解危害的情況下繼續使用。
她說,公務機關的責任就是把不能使用的原因清楚說明後,外界理解後可以自行判斷,但是否要走向立法限制、要求民間禁用等等,將會在12月26日舉行的行政院資安會報做進一步討論。
從5G到非同步軌道衛星,強化網路通訊韌性
從烏克蘭戰爭可以發現,面對緊急災變時,確保網路以期能夠對外保持通聯,是非常重要的關鍵基礎設施。唐鳳對此也表示,在立法院的支持下,會打造一些可以移動的通訊網路,包括可移動式的衛星接收站,以及可以放在行李箱或背包上的5G小型核網等。不過,她說,挑選作為驗證非同步衛星的各縣市700個點與國外3個點,則以固定為主,少數為車載和移動,一旦遇到大地震或是地方通訊遭到破壞時,都可以確保連外通訊的能力。
另外,為了確保偏鄉、山上的通訊韌性,在法定87個偏遠鄉鎮都已經有Gbps速率的連網服務,也有777個村里有100Mbps速率的連網服務,唐鳳指出,這樣的網路速度可以提供高解析度、即時的視訊服務,未來若需要山難救援或保持即時通聯,都很有幫助。
此外,她表示,這些改善通訊連網速度的點位也會透過開放資料(Open Data)的方式對外釋出,目前已經有一些離線地圖的應用,例如「魯地圖」,一旦在山上迷路時,可以就近找到附近通訊點。
確保網路通訊的韌性,手機載具的安全性也很重要。她也說,數位部除了會在通傳的關鍵基礎設施,進行相關的資安稽核演練外,也會針對來自高風險地區的高銷量智慧型手機進行資安抽測,目前已經完成17款手機的抽測。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19