近年來發展快速的高雄市,因應愈來愈高的威脅,在中央的補助之下,高雄市增加對資安的投資,高雄市政府資訊中心主任劉俊傑表示,目前高雄市政府在強化資安正推動3項做法,第一項做法是建立主動防禦,過去的資安策略較為被動防禦,例如採購防火牆、防毒軟體等,現在轉向採用比較主動式的防禦,例如蒐集Log資料,包括端點資料,以主動分析發現異常事件。他以紅軍演練為例,傳統委託業者扮演紅隊,利用駭客入侵找出哪裡有弱點,但市府進一步希望掌握入侵可能留下哪些Log資料,透過工具設定檢視規則,主動掃描新的Log,當發現可疑的異常情形,再由專業人員進一步分析。
建立主動偵測防禦、強化資安管理制度、產官學合作培養稽核能力
去年資訊中心開始導入這套做法,先用於偵測資訊中心底下的系統,今年計畫擴大到高雄市政府B級機關,明年再納入C級機關,其他機關由於沒有自己的資訊系統,因此明年可望納入整個市府的資訊系統。不只是市府內的資訊系統,甚至要將這套偵測機制在2026年擴大到OT系統,例如交通號誌系統、水閘門控制系統等等。
除了導入主動偵測防禦機制,劉俊傑指出,過去資安以技術為主,現在逐漸回歸到資安風險管理,類似網路世界的風險管理,如同實體世界購買保險的風險分散、風險管理,市府規畫先強化完備資安管理制度,根據這些管理制度需求,規畫應該採購哪些資安設備。「軟硬體技術面的解決方案應該輔助制度能夠做得更快、更好,更省時省力,達到更好的效果」,劉俊傑說。
因此,第二個做法是推動專案強化市府的資安管理制度,包括國家資通安全管理法及子法,政府推動的資安治理成熟度,以及國際上的ISO 27001、ISO27701、ISO27008等等,以往這些管理制度、標準各自推動,可能導致重覆執行,市府計畫將這些制度及標準整併,以更有效率的方式推動落實管理制度,強化資安風險管理。高雄市政府也希望利用自動化工具,讓推動管理制度更便利。
鑑於管理制度需要定期稽核,因此第三個做法是推動產官學合作,由於市府底下有200多個機關,以現有的人力難以逐一稽核各個機關,傳統的稽核方式是高中低所有風險等級一次稽核,劉俊傑認為,這麼做不符合風險管理的角度,因此調整做法,先稽核每個機關的高風險項目,再稽核較低的風險項目。另外,依照法規要求,不同資安責任等級機關需要的資安專責人員,這些人雖需具備相關證照,但缺乏稽核的經驗,由於不能稽核自己所在的機關,市府鼓勵專責人員稽核其他機關,並委託外部業者扮演教練的角度,針對稽核主題提供檢核表,並且先教育訓練市府的資安稽核人員,至於人力不足的問題,市府與學校合作,透過資安研究領域的老師尋找適合的學生,協助市府的資安稽核工作,由業者帶領市府的資安專責人員、學生進行稽核,為了鼓勵學生參加,市府聯合產官學頒發獎狀或證書予學生,對其未來就業加分。
運用AI改善城市治理
目前高雄市政府也積極運用AI改善市政、民眾服務,主要分為兩個方向,一個是透過智慧城市專案,媒合各個局處面臨問題,和外部民間企業的資源,來測試運用新科技解決問題,AI即是其中一例,例如運用AI協助輕軌偵測軌道上的異物、是否淹水,加強軌道運輸的安全管理,或是在KTV等場所,利用附近監視器及麥克風,透過AI辨識影像、聲音判斷是否發生高風險的行為,聯絡快打部隊前往處理。
另一方向是市府的聊天機器人,過去運用NLP技術的聊天機器人,但會有回答錯誤的情形,市府與資訊服務業者合作,計畫運用生成式AI技術,利用RAG技術克服公部門資料外洩的風險,並且降低生成式AI的幻覺問題。
劉俊傑表示,先蒐集各機關網站QA資料,作為檢索的資料,再運用生成式AI(微軟Open AI企業版,具有專屬資料庫)以比較自然的方式回答民眾的問題,將幻覺限制在可控的資料範圍內,初步評估成效不錯。另外,目前民眾陳情撥打1999專線話務量龐大,並且民眾經常會詢問客服某個特定單位窗口的分機號碼,他認為未來1999可運用生成式AI技術的聊天機器人,來降低真人客服的工作負擔。
今年高雄市府也測試微軟Copilot,目前先由資訊中心測試產生會議紀錄、摘要,未來如果效果不錯再擴大至其他單位,然而,劉俊傑也表示,確實在某些方面能夠節省時間,由於訂閱的費用並不低,並非每位同仁都需要使用,並不會採購大量Copilot授權讓每位同仁都能使用。
至於產生公文部分,因公文牽涉市府對外的公權力,政府機關在外界高度關切下,較不被允許出錯,需要更慎重的評估考量是否用於產生公文。「先從基本公務上,讓大家使用比較熟悉,且對使用者規範有概念後,再一步步導入比較嚴謹的公文系統」,劉俊傑說。
儘管目前高雄市政府測試Copilot企業版服務,仍是雲端部署的服務,但劉俊傑表示,今年Computex電腦展中,邊緣端的AI運算成為趨勢,全才型的生成式AI固然很好,但各局處僅需要專精特定業務領域資料的AI知識助理,隨著小參數模型發展,未來幾年他相信地端AI應用方案將會愈來愈成熟。
除了投資資安與AI,高雄市政府近幾年也積極整併各局處的小機房,資訊向上集中至資訊中心管理,高度虛擬化的大機房,以私有雲方式服務其他局處,利用資訊向上集中,讓IT預算高低不一的各局處可以統一作資料備分。
由於資訊向上集中,也讓IT的系統備援更為重要,因此高雄市政府也強化數位韌性,今年將過去位於鳳山的縣府機房改建為第一備援機房,用以備援市府大部分的VM。另外,市府也與AWS公有雲合作,租用2臺伺服器,可使用80個VM虛擬機器,定時將各局處單位共同且重要的VM備分到AWS,例如市府官網、公文系統、API平臺等,讓位於境外的公有雲作為第二備援中心。經過測試,如果高雄市政府四維的資料中心系統出現異常,約5到10分鐘內可以由AWS境外的VM支援。
熱門新聞
2024-12-29
2024-12-28
2024-12-28
2024-12-28
2024-12-27
2024-12-30
2024-12-27
2024-12-30