「數位部應該是第一個有機會重新打造系統的部會。」數位部政務次長闕河鳴強調。
去年8月底,數位發展部(簡稱數位部)正式掛牌成立,國內首次設立一個專門的部會,推動政府及產業的數位發展,涵蓋電信、資安、網路、資訊等相關業務。
數位部不僅推動產業數位化,在數位政府、資安上也扮演公部門採用新技術的推手,積極運用資訊科技協助政府機關加速轉型,改進機關作業方式。數位部扮演政府部門創新的火車頭,展示各種流程簡化的新作法,去年數位部成立第一天,唐鳳的第一份公文,就結合行動自然人憑證及FIDO,不在辦公室而是在車上直接簽核。
由於數位部為新成立的部會,籌備期間和唐鳳、部長室幕僚共同勾勒數位部全新IT架構的正是闕河鳴。他原本為陽明交大電機系副教授,在數位部成立後擔任政務次長,為數位部的CIO,督導提升國內資安措施,政府機構資安架構,以及規畫備援通訊網路,強化我國的數位韌性。
從無到有重新打造IT
數位部承接了許多部會的業務,雖然移撥到數位部的業務部門可能更熟悉原本的資訊系統,但數位部仍決定要打造全新的IT架構。由闕河鳴和部長室資訊背景幕僚聯手,自上而下勾勒出數位部內部的IT規畫、組織和資安規畫。
相較於其他部會歷經多次組織改造整併,既有IT環境不斷疊加、複雜,闕河鳴表示,數位部為全新的部會,有機會打造自己的資訊系統,因此,一開始就相當重視IT架構規畫,「我們一開始的策略是,不要有機房,不要有地端的AD伺服器,不要有任何的地端伺服器」。
導入零信任網路
闕河鳴解釋,這個規畫的背後有幾個原因,首先是,由於數位部所屬機關分散在3到4個地點辦公,如果採用傳統的內網外網架構,可能讓系統更為複雜,所以,因此從成立第1天就導入零信任機制,所有ID都上到雲端AD,直接在雲端控管帳號身分,部內所有系統包括公文、電子郵件系統都能透過雲端進行身分認證,還包括筆電等設備認證。
「包含公文、電子郵件、報帳系統等,第1天就使用一致的身分識別系統」,闕河鳴表示,這樣的規畫了排除無法支援雲端身分認證的業者,甚至,也有廠商得配合數位部需要進行調整。
為了強化數位韌性,目前數位部採用CDN業者的雲端零信任方案,並將身分認證移至另一雲端AD伺服器,避免集中於數位部機房。使用者不論從何處存取數位部資源,需經過零信任雲端存取控制及雲端AD身分驗證。為提高身分鑑別安全等級,目前正推動身分驗證機制介接內政部行動自然人憑證,目標是讓所有經過雲端AD驗證的服務,也需經過行動自然人憑證的身分驗證。另外,今年也將導入相關機制強化設備安全驗證。
根據行政院國家資通安全會報提出「國家資通安全發展方案」規畫,將發展零信任網路資安防護環境納入政策之一,推動政府機關採用零信任網路,以強化政府的資安防禦能量。
政府在2022年先選出幾個機關,逐年推動零信任網路後續擴大到資通安全等級A級機關,這個重責大任落到數位部身上,數位部自己更是身先士卒,甫一成立就導入零信任。
政府的零信任網路設計,主要參考NIST SP800-207提出的零信任架構,結合向上集中防護,政府零信任網路以門戶部署方式,包括3個核心機制,身分鑑別、設備鑑別,以及信任推斷。
當使用者透過設備連至存取閘道,就會由決策控制器判斷是否開放連接到機關的資訊系統,其中身分鑑別採用FIDO2的無密碼雙因子身分鑑別,透過生物識別取代密碼,身分鑑別聲明則提供JWT與SAML兩種標準函式庫,供機關取得鑑別聲明;在設備鑑別方面,採用TPM及設備健康代理程式,鑑別設備的身分及健康狀態。至於信任推斷則基於分數和情境,依據身分鑑別、設備鑑別、設備健康程度、IP位址、登入時間等,計算出信任分數,比對條件決定允許或是拒絕。
闕河鳴表示,接下來2年,數位部會在各級政府推動零信任。在其他部會原有的資訊架構下,和合作的部會共同討論,按照各部會的實際情形,擬定導入零信任架構作法。
不過,其他政府機構既有IT環境,在經年累月組織的整併、疊加之下,系統架構相當複雜,對導入零信任帶來不小的挑戰。
由數位部資安署、技服中心負責協助各部會推動零信任機制,先選擇業務比較單純、資訊向上集中的部會,目前已與文化部、退輔會合作,在兩個部會原有的資訊系統下,穿著衣服改衣服,為2個部會導入零信任架構,和部會原本的身分識別架構對照,以找出需要解決的問題。
另外,為了推動零信任機制,數位部也認證國內外廠商,除了以資安檢核驗證他們的工具是否合格,並且實際落地使用,將通過認證的廠商納入信賴的業者名單中,其他政府機構要導入零信任架構時,從中選出適合的合作廠商。
除了和個別部會合作,透過示範部會引導其他政府機關導入零信任網路,數位部也準備從T-Road著手推動零信任。闕河鳴表示,政府推動零信任的主要目的是確保重要資料的安全,並非為導入而導入,盤點政府哪些重要的資料需要保護,原本T-Road的規畫作為政府部門之間的資料的交換管道,因此T-Road上的交換資料也需要受到保護,明年會在T-Road上導入零信任架構,當T-Road上的47個機關進行傳輸資料時,應用零信任架構,驗證機關的身分識別、傳輸設備識別,搭配行為鑑別,偵測是否有陌生設備異常的大量傳輸資料行為,來加強T-Road的資訊安全。
數位部寄望從T-Road應用零信任機制,讓其他規模更大的部會,從T-Road的資料交換感受到零信任架構的優點,慢慢擴大至更多政府機關加速採用零信任架構。
數位部政務次長闕河鳴表示,數位部的資訊系統就像樣品屋,但和一般美觀卻不見得實用的樣品屋不同,數位部經過實戰經驗,將系統變成建議方案導入其他部會。攝影/洪政偉
採用行動自然人憑證,導入行動公文簽核
除了資安,在傳統政府機關的公文作業流程裡,公務人員一般使用實體自然人憑證,在辦公室的電腦或公務筆電上,搭配讀卡機、自然人憑證,才能完成線上簽核公文,去年2月,內政部資訊中心推出行動自然人憑證,將實體憑證行動化,結合FIDO以生物特徵取代密碼輸入,讓公務員擺脫實體憑證使用限制,即使出勤在外開會,能隨時使用手機上的行動自然人憑證,通過FIDO驗證,完成線上公文簽核。
內政部去年2月才推出行動自然人憑證,儘管努力推動其他部會或地方政府機關的系統採用行動自然人憑證,但礙於既有系統調整更動等原因,其他部會採用的進度緩慢。數位部去年8月底成立,甫一成立即在公文簽核導入行動自然人憑證,部長更是親身示範以行動自然人憑證簽署第一份電子公文。
但是數位部推動行動公文簽核並不順利,他們和公文系統合作廠商、內政部測試許多次,最初系統常常出現不穩定的情形,後來他們發現導致不穩定的幾個原因。例如數位部沒有內部網路,全面改透過外部CDN服務來進行零信任認證,所有網路流量都經由CDN的服務,再連到內政部行動自然人憑證系統,但有時可能出現連線超時的情形,最後他們發現原因可能和網速有關,尤其是使用者在外透過行動網路,可能因當下的行動網路環境有比較多的使用者分享頻寬,導致連網速度降低,影響行動公文簽核服務。另外,他們也發現數位部使用的雲端防火牆,如果開啟過多的連接埠,也會導致使用行動公文簽核出現暫時性卡住的情形。
使用行動自然人憑證作線上公文簽核,經過不斷測試解決問題,「從第一天到現在,我有約一半的公文簽核使用行動自然人憑證完成,不只是外出時使用,即使在部內也會使用行動自然人憑證簽核公文」,他說。
將數位部IT打造為樣品屋
在建築業,建商的建案完工之前,為了預先銷售,會先依照原先的規畫打造一間樣品屋,讓對建案有興趣的買家,可以先看看樣品屋,預覽將來房子完工後的情形,來決定是否購買。
數位部作為所有政府機關數位轉型的推手,也將自己的IT當成政府數位轉型的樣品屋,「數位部的資訊系統就像樣品屋,但和一般美觀卻不見得實用的樣品屋不同,數位部經過實戰,將系統變成建議方案導入其他部會」,闕河鳴表示,只有通過實戰才能知道可不可行,通過這個方式,慢慢將樣品屋改造成可居住、架構比較先進的系統。
以數位部的零信任架構為例,數位部不只是為了自己採用,更大的任務是因應政府整體資安即國安戰略的需求,用自己的導入經驗,來協助其他政府機構導入零信任架構。
在其既有的IT系統下,以穿衣服改衣服的方式導入零信任機制,背後靠的是數位部、產業署、資安署,3至400多位公務員使用半年以上累積的實戰經驗,「對其他部會而言,資訊部門可能是附屬單位,但對我們來說,數位部在打造樣品屋,每2個星期會檢視現有資訊系統發生什麼問題」,闕河鳴表示,除了數位部自己使用資訊系統,也對外提供給其他政府部門使用,目前數位部已開發一些模板,並放棄自己的網站的著作權,開放其他政府單位使用,已有其他單位採用,建立他們自己的網站。
作為政府數位轉型的推手,下一步還將針對公務人員每天最常做的3件事,看電子郵件、收公文、報帳,和主計總處討論,從上而下,推動各機關使用數位憑證,加速作業數位化。
CIO小檔案
闕河鳴 數位發展部政務次長
學歷:美國南加大電機工程博士
經歷:曾任南加大資訊科學研究院研究助理,曾任中研院資科所助理,於交大擔任電信工程學系助理教授,2009年擔任交大電機系助理教授,升為副教授,2017年起擔任國發會亞洲.矽谷計畫人資長、執行長。2021年擔任陽明交大電機系副教授,2022年任數位部政務次長。
攝影/洪政偉
機關檔案
數位發展部
地址:臺北市中正區延平南路143號
成立時間:2022年8月27日
主要業務:促進全國通訊、資訊、資通安全、網路與傳播等數位產業發展、統籌數位治理與數位基礎建設,並促進數位經濟發展及加速國家數位轉型
員工數:495人(3月底為止)
部長:唐鳳
資訊部門檔案
資訊部門督導主管職稱:數位發展部政務次長
資訊部門督導主管姓名:闕河鳴
資訊部門人數:15人
資訊部門分工:資訊處分共用系統科、資通安全科、支援服務科
IT預算:約8,300萬元
IT大事記
2022年8月:建構全臺第一個基於Web3思維之高安全性、高可用性星際檔案(IPFS)架構政府機關網站;無內外網區分的網路架構,提供安全的行動辦公環境;採用行動自然人憑證進行公文線上簽核
2022年11月:數位部及所屬機關全面施行雲端零信任身分驗證機制
2022年12月:導入No Code敏捷式設計工具,逐步建立機關內部所需各式表單流程
2023年2月:向各部會推廣網站韌性及雲原生架構
2023年3月:啟動內部雲原生開發轉型;推動Schema容器化以及上雲作業
2023年4月:完成No Code系統容器化及上雲作業並導入DevOps機制
2023年5月:推動身分驗證機制介接行動自然人憑證;規劃一般公務機密文書線上簽核
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19