在全社會防衛的基礎上打造國家資安韌性，國家資通安全戰略2025即將正式公布

自2016年蔡英文總統上任以來，政府便以「資安即國安」為核心理念，積極推動國家安全戰略。這一理念不僅代表著對資訊安全領域的高度重視，更反映出在全球網路威脅日益多元、複雜的背景下，資訊安全與國家安全早已密不可分。

蔡英文在兩屆總統任期內，從最初的《資安即國安》1.0版到隨後推出的2.0版，均展現出政府在資安防護、跨部門協作，以及國際聯防上的決心與具體行動。

隨著2024年賴清德總統就任，儘管繼續沿用「資安即國安2.0版」（2021年至2025年）的戰略基調，但政府進一步提出了《國家資通安全戰略2025》，以期在未來四年內全面提升全社會防衛韌性。

這份戰略文件不僅針對能源及關鍵基礎設施的安全進行規畫，同時涵蓋資通、運輸與金融網路等多個層面，主要願景則是打造一個堅韌、安全、可信賴的智慧國家。國安會諮詢委員李育杰強調，該戰略目前已獲得總統同意，正在進行文字修正與排版調整，預計將於3月正式對外公布。

臺灣整體資安戰略沿革：從資安即國安到國家資通安全戰略2025

蔡英文政府從2016年起便提高資安的重要性，也確立了《資安即國安》的基本原則，從最初2018年正式對外公布的1.0版開始，便以建立資安防護體系為核心，強調跨機關、跨部門合作，構築資安防護的「鐵三角」架構——由國安會、國安局與行政院資安處構成。這一機制的推出，象徵著臺灣在面對網路威脅時，已經認識到單一單位無法獨自應對，必須通過協同作戰來形成有效防線。

隨後，蔡英文政府在2021年推出的《資安即國安2.0版》中，政府在延續原有精神的同時，將防護範疇進一步擴大，建立起由國安會、國安局、國防部、法務部調查局、內政部刑事局以及數位發展部共同構成的「資安六塊基」聯防機制。這一變革不僅體現了政府對於資安防護需求的深化認識，也為後續數位發展部的成立鋪平了道路，從而促進了人才培育和資安產業的初步發展。

進入2024年，賴清德總統在就職演說重申，面對來自境外尤其是中國的不斷滲透和各類威脅，臺灣必須從全民意識、法制建構、民主韌性等多個角度入手，形成全面的安全防護體系。他提出，經濟發展策略中將特別重點推動半導體、人工智慧、軍事工業、安全監控，以及次世代通訊這五大信賴產業，藉此構築堅固的國家經濟與安全屏障。

在賴清德總統的政策框架下，除了五大信賴產業的發展，更進一步強調要在全社會層面提升防衛韌性，尤其著眼於能源、關鍵基礎設施，以及運輸、金融和資通網路的安全保護。為此，賴清德在總統就職滿月的記者會上宣布成立「全社會防衛韌性委員會」，則希望整合民間資源與政府力量，從國防、民生、災防及民主等四大方面，全面強化國家安全網。

國安會如今在前期建立的堅實基礎與架構上，加上必須因應日趨嚴重複雜的資安威脅，推出了《國家資通安全戰略2025》，不僅延續了資安即國安2.0版的基本戰略方向，也投入更多資源以擴大資安戰備準備，並加入全社會與重要關鍵產業共同防衛的思維，並以持續打造堅韌、安全、可信賴的智慧國家作為新資安戰略的願景。

網路攻擊成實體攻擊前奏，資安防禦化被動為主動

現今世界，網路攻擊日益呈現漏洞武器化和數位集權化的趨勢。李育杰指出，許多國家級網軍的數量、素質及資源均達世界頂尖水平，這些高效組織能夠利用網通設備發起供應鏈攻擊，進而滲透到政治、軍事、情報機關，甚至針對關鍵基礎設施進行精確打擊。這種網路攻擊往往被視為大規模實體攻擊的前奏，對國家安全構成嚴重威脅。

在外部威脅方面，李育杰將臺灣面對的挑戰畫分為三大類：首先，是國家級資安威脅：包括供應鏈攻擊、鎖定關鍵基礎設施的破壞行動，及利用假訊息、爭議訊息等手段進行複合攻擊。

其次，則是面對新興科技挑戰：隨著新科技（如人工智慧）的迅速發展，網路攻擊手段也在不斷進化，使得防禦工作難度倍增；最後，則是要面對網路犯罪猖獗：包括勒索軟體、網絡詐騙等非國家行為者所引發的安全問題，同樣對國家資安構成壓力。

除了外部攻擊，臺灣在資安治理上也面臨內部挑戰。李育杰認為，內部挑戰主要可以歸納為三大方向：第一，資安應變能力與韌性待提升：目前公私部門在面對網路攻擊時，仍存在應變反應機制不夠成熟、跨部門協作不足的問題，亟需加強應變目標和能力。

第二，戰略夥伴鏈結需求強化：隨著全球資安威脅形勢變化，跨國界、跨領域的合作成為必然，臺灣需要與先進戰略夥伴接軌，建立更緊密的資安聯防網路。

第三，主動防禦與嚇阻能力不足：當前資安防護多以被動防禦為主，如何轉型為主動防禦模式、加強威脅預警和防禦部署，則是內部必須面對並解決的問題。

李育杰特別指出，資安資源的合理投入、跨機關協調、關鍵基礎設施資安治理的落實，以及公私協力與互信機制的建立，都是現階段臺灣必須解決的內部難題。面對這些挑戰，他也援引美國前總統拜登在2021年5月發布的行政命令《EO 14028》中亦有類似警示——漸進式的改進無法達成所需的安全保障，必須做出大膽變革與重大投資，才能捍衛國家核心利益。

兩大跨領域戰略準則：戰略夥伴鏈結與堅實治理機制

即將對外公布的《國家資通安全戰略2025》中，李育杰闡明了制定此戰略的根本方向，即以「打造堅韌、安全、可信賴的智慧國家」為終極願景。

為了實現這一願景，此份戰略文件特別強調兩大準則，分別是：戰略夥伴鏈結及堅實資安治理機制及防護。

戰略夥伴鏈結的目標，就是要以先進戰略夥伴為標竿，全面鞏固國防與政府戰備能力，不僅要做到強化國際資安合作、擴大國際聯防，並且要協助戰略夥伴提升資安能量。具體措施有三：

首先，在國際合作與資安標準接軌方面，必須與戰略夥伴建立互信機制，統一資安標準，實現資訊與資安資源的互通共享。

其次，做到跨產官學交流與實務協作，可以透過各種形式的交流合作與參與國際競賽，建立起事務性協作平臺，從而提升整體資安實力。第三，加強國際資安聯防，在提升自身資安能量的同時，也協助戰略夥伴強化防護，形成國際聯防網路，進一步提升共同應對境外威脅的能力。

「堅實資安治理機制及防護」這一準則，主要針對公私部門的資安治理，提出以下三大重點：

第一，推行零信任架構：改變傳統的防護理念，從「信任預設」轉向「全程驗證」，強調身分鑑別、設備鑑別及信任推斷，並制定相關驗證標準與指引。

第二，建立資料備援與跨域保護：推動跨領域資料備份，盤點並更新跨境與雲端傳輸法規，確保關鍵資料在遭受攻擊時有足夠備援，防範內部威脅。

第三，部署後量子密碼技術：因應量子電腦可能帶來的破密風險，檢視現行資料加密法規，並投入資源研發及推動後量子密碼的安全防護架構，確保資料在傳輸與儲存過程中受到充分保護。

李育杰也進一步說明，政府在推動堅實資安治理機制的過程中，零信任與資料治理是轉型中的關鍵舉措。他建議，可以從下列幾個方面著手：

首先，全面推動零信任核心原則，針對包括國防機關及關鍵基礎設施在內的公部門，必須加快推動資安治理制度建構，落實身分與設備的多重驗證。藉由制定零信任相關標準與指引，輔導相關單位完成轉型，並同步推動零信任產業的發展，以建立一個由內而外的安全防護網。

其次，加強跨領域資料備份與規範修正，他表示，在數位治理日益複雜的今天，跨境與雲端傳輸的法律法規亟待修正與完善。政府應積極推動境外資料備份及核心功能備援工作，從制度層面確保資料在遭遇網路攻擊時能夠迅速恢復，避免因內部威脅而造成更大損失。

第三，加速後量子密碼技術的研發與導入。隨著量子電腦技術的快速發展，傳統資料加密技術面臨前所未有的挑戰。李育杰建議，政府應立即檢視現行相關法規，投入必要資源推動後量子密碼技術的研發與應用，並同步調整現有資安架構，為未來可能出現的新型解密技術做好準備。

四大支柱的互補與協同效應

《國家資通安全戰略2025》以四大支柱作為國家資通安全的根基，分別為：Resilience（全社會防衛韌性）、Infrastructure（國土防衛與關鍵基礎設施）、Supply Chain（關鍵產業與供應鏈）及Emerging Technology（新興科技，聚焦人工智慧應用與安全），這四大支柱合稱為RISE，其內涵不僅涵蓋防禦與應變能力，更延伸到跨部門、跨產業乃至國際間的合作，藉此提升國家整體的資通安全防護水準。

支柱一：全社會防衛韌性

提升全社會防衛韌性作為整體戰略的首要任務，主要目標在於建構一個全民參與、全面協同的防護網絡，這不僅僅是技術層面的防禦，更多的是在文化與意識上的普及與滲透。

李育杰表示，透過定期的資安教育、跨部門聯合演練與國際交流，能夠讓民眾、企業及政府單位在面對網路威脅時，能夠迅速啟動應變機制，將損害降至最低。這種從上至下、橫向到縱向的協同防禦機制，是確保國家資通安全的重要基石。

支柱二：國土防衛與關鍵基礎設施安全

國土防衛與關鍵基礎設施的安全問題，涉及到國防、民生、災防和民主四大領域資安防禦與韌性，這些領域一旦遭到網路攻擊，不僅會影響民生，更可能引發連鎖效應，甚至危及國家主權與社會穩定。

戰略中針對這一層面的詳細規畫，體現了從風險評估、技術防護到事後應變的一體化管理思路，他表示，透過定期風險盤點、分級分類管理與跨部門協同應變，臺灣正努力打造一個全流程、多層次的防禦體系。

支柱三：關鍵產業與供應鏈安全

當前全球供應鏈正面臨前所未有的挑戰與變數，而臺灣關鍵產業更是國家經濟命脈的重要支柱，從金融、電信到醫療等行業，每一環節的資訊安全都直接關係到整體運作的穩定性。

戰略中針對關鍵產業與供應鏈的盤點、列管、風險評估及防護機制，不僅能夠降低外部攻擊帶來的衝擊，同時也有助於促進產業內部資訊安全生態的健康發展。通過政府、企業與學研機構的緊密合作，形成聯防機制，將有效保護國內產業鏈的穩定與競爭力。

支柱四：人工智慧應用與安全

在新興科技浪潮中，人工智慧（AI）的應用已經滲透到各行各業，但同時也帶來了全新的安全隱憂。如何在推動AI技術發展的同時，確保其在應用層面不成為安全漏洞，是戰略中亟待解決的關鍵課題。

透過推動「Secure by Design」原則、建立國際標準及鼓勵技術創新，臺灣致力於在AI領域形成一個自我完善且能夠自我監控的安全體系。此外，升級資安科研與促進公私合作，不僅可以加速AI技術在資安防護中的應用，更能夠在面對未來可能出現的新型網路攻擊時，提前做好風險管理與防範準備。

奠基於「兩大基石」的整體戰略

《國家資通安全戰略2025》作為國家在資通安全領域的重要發展藍圖，其核心目標在於提升整體網路安全防護能力，並且確保國家關鍵資訊系統及基礎設施免受各種資安威脅。為了實現這一戰略目標，李育杰提出了「兩大基石」作為戰略運作的根本依據，並搭配涵蓋跨部門、跨領域合作的跨支柱基盤及公私協力與國際合作，作為實踐資安戰略的底氣。

建置國家資安戰情協同應變中心

李育杰強調，建置「國家資安戰情協同應變中心」是整個戰略運作的首要基石。這個中心的成立不僅僅是一個監控機制，更是國家對資安風險進行全局掌控和應變調度的重要平臺。

該中心需要根據全國各項資通安全相關數據製作「國家資安風險地圖」，動態建立一張涵蓋國內外各項威脅與風險的地圖，他表示，這張地圖不僅能夠呈現現有的安全漏洞和風險點，更有助於預測未來可能出現的新型攻擊手法與威脅趨勢，從而提前做好防範準備。

以外，為了確保資訊完整與及時更新，也會擴大收攏全國公私部門、各大產業乃至國際資安監控的情資。這意味著，無論是政府機構、企業單位還是學術界，都能夠共享關鍵資安情報，共同構成一個龐大而高效的監控網路。李育杰認為，透過這種跨領域的資訊共享機制，能夠迅速發現並評估潛在威脅，從而在最短的時間內做出應變決策。

面對可能發生的各種資安事件，除了在監控層面提供即時情報外，還需具備快速反應與整合協調能力，這包括建立完善的作業機制準則與工作規範，確保在發生安全事故時，各部門能夠密切配合，迅速啟動應變機制，並在事故控制後進行全面的復原與事後檢討。他說：「這樣的協同應變能力，正是現代國家資安防護體系不可或缺的一環。」

強化國家資通安全會報及資訊資安預算正規化

與建立資安應變中心並行的另一項基石是「強化國家資通安全會報及資訊資安預算正規化」，這部分主要聚焦於跨部門協調及資源分配，以確保整體資安戰略能夠獲得充足的資金與人力支持，並能夠依據法規及政策規範有序推進。

國家資通安全會報作為跨部會協調機構，負責整合政府各部門在資安領域內的工作，它不僅需要推動資安相關法規的修訂與完善，還要在各項資安政策落實過程中扮演監督與調度的角色。透過這種統一的會報體系，能夠避免各部門在資安措施上出現協同不足或資源浪費的情況，從而提高整體防護效能。

政府機關及關鍵基礎設施是資安防護的重中之重，這些單位在面臨高度風險的現代網路環境時，必須具備充足的預算與專業人力。李育杰認為，資安預算的正規化不僅僅是財政數字上的分配，更意味著政府在資安領域的長期承諾與持續投入。為此，各部門必須定期接受施行成效的考核，以便根據最新情勢及安全需求調整資源配置。

在資通安全的領域中，私部門擁有龐大的技術能力、創新研發實力以及豐富的實戰經驗。李育杰指出，將私部門納入國家資安體系中，可以彌補政府在技術創新和快速反應方面的不足。透過與私部門建立緊密合作機制，不僅能夠加強資訊交流，還能夠在防禦措施、技術研發、風險評估等方面形成強大的聯合防禦能力。這種公私協力模式，將成為推動整體國家資通安全戰略的重要動力。

跨支柱基盤：整合多元資安防護力量

在兩大基石的基礎上，李育杰進一步強調了跨越四個支柱的基盤建構。這部分不僅延續以往「資安即國安2.0」的理念，更進一步擴充與深化，主要包括「六塊基聯防體系」以及「跨部會協防體系資源與支援」等層面，並輔以公私協力團隊，構成一個全國性、多層次的資安防護網絡。

六塊基聯防體系的運作與分工

「六塊基聯防體系」是以國家安全為核心、以資通訊安全防護為目標的戰略架構。這一體系中，每個單位均有明確的職責與分工，李育杰表示，國安會是總統決定國家安全有關大政方針的諮詢機構，對於國安相關的議題蒐集資訊並分析研究，進行必要的諮詢幕僚和協調作業，再將研究結果提報給總統參考，發揮其諮詢功能。

至於國防部則負責軍事領域的資訊安全，其任務不僅在於防範外部攻擊，更重視主動發起防禦行動，確保軍事資訊系統的絕對安全。這要求軍事單位不斷更新防禦技術，並進行模擬演練，以便在遭遇攻擊時能夠迅速反擊並將損失降到最低。

國安局則承擔起情報安全與情報蒐集的重任，他指出，這一部門需要及時掌握國內外資安形勢，收集各種潛在威脅的情報，並對情報進行快速研判。通過與其他單位的資訊共享，國安局能夠提前預警，並與國防部、其他安全機構形成無縫聯動。

面對各種資安攻擊事件，具有公權力的法務部調查局和內政部刑事局負責事件的鑑識、溯源及執法，李育杰認為，這兩個部門在事發後扮演著極其關鍵的角色，從技術層面查明攻擊來源，並依據法律對涉事者進行責任追究，從而形成對犯罪行為的震懾效應。

除了上述部門外，數位發展部則負責數位韌性建設、產業資安，以及資安法遵與宣導工作。這意味著，除了實際防禦外，數位發展部還需要著眼於整個產業生態系統的安全建設，推動各行各業提升自身的資安防護水準，同時強化公眾與企業對於資安意識的認識，進一步建立全社會的防禦網絡。

跨部會協防體系與大聯盟資源整合

隨著「資安即國安」戰略目標的不斷升級，國家需要建立一個橫跨政府各部門以及關鍵產業的協同防護體系。這正是跨部會協防體系的核心所在，其主要任務在於將重要政府機關、關鍵基礎設施及產業供應鏈等各方面資源全面納入資安防護範疇，實現信息共享與協同作戰。

國發會和國科會在這一體系中扮演著資源挹注、科研推動及產業發展的重要角色。他表示，這兩個機構不僅負責資金與技術的輸入，還需引領整個產業界的創新研發工作，形成一個從基礎研究到應用實踐的循環。

此外，各主管關鍵基礎設施的部會，如內政部、教育部、經濟部、交通部、衛福部、金管會與通傳會等，也必須在各自職責範圍內建立嚴密的防護措施，確保整個系統運作穩定。

臺灣資安應對策略的多元化與深化

在全球化日益加深的今天，國家資通安全不再是單一國家內部的議題，而是涉及跨國合作與國際協同。外交部負責資安外交協力，通過參與國際機構、資安專業社群以及跨國產學研合作，與先進戰略夥伴及友邦國家建立起緊密聯繫。李育杰表示，這種跨國協作模式，能夠在面對跨國性資安威脅時，迅速調動多方資源，共同應對複雜多變的網路攻擊局面。

除了政府部門的協同作業外，公私團隊協力同樣是資安防護體系中的重要一環。這些團隊通常由國內關鍵產業、資安產業專家、學術界及科研機構共同組成，主要在釐清潛在風險、投注充足資源、並在創新技術研發上攜手合作。透過這種跨部門、跨產業的聯防機制，能夠在整個防護鏈中形成多層次、全方位的防護屏障，確保國家資訊安全戰略的有效落實。

《國家資通安全戰略2025》是一份面向未來、布局全局的國家戰略文件，從國家資安戰情協同應變中心的架構，到資通安全會報的統籌督導，再到六塊基聯防體系與跨部會規畫大聯盟的細緻分工，每一項措施都體現了國家在資訊安全領域的戰略規畫與前瞻布局。更重要的是，通過積極推動公私協力與國際合作，國家不僅能夠有效整合各方資源，更能夠在全球資訊安全生態中占據主動地位。

未來，隨著資訊技術的持續革新與網路威脅的不斷演變，《國家資通安全戰略2025》將在不斷調整與完善中，成為未來四年，推動國家安全與社會穩定的重要支柱。透過這一戰略的實施，無論是在技術創新、風險防範，還是在國際合作層面，都將形成一股強大的力量，為國家在數位時代的長治久安提供堅實保障。

國安會諮詢委員李育杰表示，在《資安即國安2.0》的基礎上，總統同意於今年三月，對外公布最新版本的《國家資通安全戰略2025》。