【iThome 2024 CIO大調查系列2｜CIO觀點】高雄市府3作法加速推動資安轉型，更以AI強化城市治理

近年來發展快速的高雄市，因應愈來愈高的威脅，在中央的補助之下，高雄市增加對資安的投資，高雄市政府資訊中心主任劉俊傑表示，目前高雄市政府在強化資安正推動3項做法，第一項做法是建立主動防禦，過去的資安策略較為被動防禦，例如採購防火牆、防毒軟體等，現在轉向採用比較主動式的防禦，例如蒐集Log資料，包括端點資料，以主動分析發現異常事件。他以紅軍演練為例，傳統委託業者扮演紅隊，利用駭客入侵找出哪裡有弱點，但市府進一步希望掌握入侵可能留下哪些Log資料，透過工具設定檢視規則，主動掃描新的Log，當發現可疑的異常情形，再由專業人員進一步分析。

建立主動偵測防禦、強化資安管理制度、產官學合作培養稽核能力

去年資訊中心開始導入這套做法，先用於偵測資訊中心底下的系統，今年計畫擴大到高雄市政府B級機關，明年再納入C級機關，其他機關由於沒有自己的資訊系統，因此明年可望納入整個市府的資訊系統。不只是市府內的資訊系統，甚至要將這套偵測機制在2026年擴大到OT系統，例如交通號誌系統、水閘門控制系統等等。

除了導入主動偵測防禦機制，劉俊傑指出，過去資安以技術為主，現在逐漸回歸到資安風險管理，類似網路世界的風險管理，如同實體世界購買保險的風險分散、風險管理，市府規畫先強化完備資安管理制度，根據這些管理制度需求，規畫應該採購哪些資安設備。「軟硬體技術面的解決方案應該輔助制度能夠做得更快、更好，更省時省力，達到更好的效果」，劉俊傑說。

因此，第二個做法是推動專案強化市府的資安管理制度，包括國家資通安全管理法及子法，政府推動的資安治理成熟度，以及國際上的ISO 27001、ISO27701、ISO27008等等，以往這些管理制度、標準各自推動，可能導致重覆執行，市府計畫將這些制度及標準整併，以更有效率的方式推動落實管理制度，強化資安風險管理。高雄市政府也希望利用自動化工具，讓推動管理制度更便利。

鑑於管理制度需要定期稽核，因此第三個做法是推動產官學合作，由於市府底下有200多個機關，以現有的人力難以逐一稽核各個機關，傳統的稽核方式是高中低所有風險等級一次稽核，劉俊傑認為，這麼做不符合風險管理的角度，因此調整做法，先稽核每個機關的高風險項目，再稽核較低的風險項目。另外，依照法規要求，不同資安責任等級機關需要的資安專責人員，這些人雖需具備相關證照，但缺乏稽核的經驗，由於不能稽核自己所在的機關，市府鼓勵專責人員稽核其他機關，並委託外部業者扮演教練的角度，針對稽核主題提供檢核表，並且先教育訓練市府的資安稽核人員，至於人力不足的問題，市府與學校合作，透過資安研究領域的老師尋找適合的學生，協助市府的資安稽核工作，由業者帶領市府的資安專責人員、學生進行稽核，為了鼓勵學生參加，市府聯合產官學頒發獎狀或證書予學生，對其未來就業加分。

運用AI改善城市治理

目前高雄市政府也積極運用AI改善市政、民眾服務，主要分為兩個方向，一個是透過智慧城市專案，媒合各個局處面臨問題，和外部民間企業的資源，來測試運用新科技解決問題，AI即是其中一例，例如運用AI協助輕軌偵測軌道上的異物、是否淹水，加強軌道運輸的安全管理，或是在KTV等場所，利用附近監視器及麥克風，透過AI辨識影像、聲音判斷是否發生高風險的行為，聯絡快打部隊前往處理。

另一方向是市府的聊天機器人，過去運用NLP技術的聊天機器人，但會有回答錯誤的情形，市府與資訊服務業者合作，計畫運用生成式AI技術，利用RAG技術克服公部門資料外洩的風險，並且降低生成式AI的幻覺問題。

劉俊傑表示，先蒐集各機關網站QA資料，作為檢索的資料，再運用生成式AI（微軟Open AI企業版，具有專屬資料庫）以比較自然的方式回答民眾的問題，將幻覺限制在可控的資料範圍內，初步評估成效不錯。另外，目前民眾陳情撥打1999專線話務量龐大，並且民眾經常會詢問客服某個特定單位窗口的分機號碼，他認為未來1999可運用生成式AI技術的聊天機器人，來降低真人客服的工作負擔。

今年高雄市府也測試微軟Copilot，目前先由資訊中心測試產生會議紀錄、摘要，未來如果效果不錯再擴大至其他單位，然而，劉俊傑也表示，確實在某些方面能夠節省時間，由於訂閱的費用並不低，並非每位同仁都需要使用，並不會採購大量Copilot授權讓每位同仁都能使用。

至於產生公文部分，因公文牽涉市府對外的公權力，政府機關在外界高度關切下，較不被允許出錯，需要更慎重的評估考量是否用於產生公文。「先從基本公務上，讓大家使用比較熟悉，且對使用者規範有概念後，再一步步導入比較嚴謹的公文系統」，劉俊傑說。

儘管目前高雄市政府測試Copilot企業版服務，仍是雲端部署的服務，但劉俊傑表示，今年Computex電腦展中，邊緣端的AI運算成為趨勢，全才型的生成式AI固然很好，但各局處僅需要專精特定業務領域資料的AI知識助理，隨著小參數模型發展，未來幾年他相信地端AI應用方案將會愈來愈成熟。

除了投資資安與AI，高雄市政府近幾年也積極整併各局處的小機房，資訊向上集中至資訊中心管理，高度虛擬化的大機房，以私有雲方式服務其他局處，利用資訊向上集中，讓IT預算高低不一的各局處可以統一作資料備分。

由於資訊向上集中，也讓IT的系統備援更為重要，因此高雄市政府也強化數位韌性，今年將過去位於鳳山的縣府機房改建為第一備援機房，用以備援市府大部分的VM。另外，市府也與AWS公有雲合作，租用2臺伺服器，可使用80個VM虛擬機器，定時將各局處單位共同且重要的VM備分到AWS，例如市府官網、公文系統、API平臺等，讓位於境外的公有雲作為第二備援中心。經過測試，如果高雄市政府四維的資料中心系統出現異常，約5到10分鐘內可以由AWS境外的VM支援。