資安是數位發展部施政時的重要目標,數位發展部部長唐鳳表示,2023年以推動零信任架構為主要目標,跨機關資料交換將擴大透過T-Road進行交換。
圖片來源:
數位發展部
數位發展部從8月27日掛牌迄今,一部兩署的運作模式,飽受各界關切。數位發展部部長唐鳳在年終媒體茶敘時表示,資安是數位發展部施政時的重要目標,在2023年的施政方針,是以政府透過推動零信任架構為主要目標,並積極將政府之間的跨機關資料交換,擴大透過T-Road進行交換,預計在未來兩年,具有全國人民個資的資安A級機關,都會導入這樣的標準。
她也強調,預計在2023年1月成立的資通安全研究院,將成為政府推動主動防禦機制時的重要夥伴;至於臺灣是否應該禁用中國短視頻抖音App,唐鳳表示,公務機關已經禁用抖音,至於其他民間的使用,以及是否應該朝向立法等議題,都會在12月26日舉行的資安會報中,進一步廣泛討論。
政府選定A級機關導入零信任網路架構
唐鳳表示,零信任架構的重點在於「身分驗證」,若以之前確診居家辦公、簽公文為例,須確保她在任何地方簽發公文,都必須透過生物辨識的密碼驗證、經過核可的裝置設備,並確認是在安全的連線環境中進行。
她說,每一次簽署公文時,都必須重複確認上述三件事情,不因部長的身分,不因身處內網環境,也不因輸入正確密碼等單一因素,就確認公文簽署的就是唐鳳本人。
唐鳳指出,每一次的系統、資料存取,包括簽公文在內,都必須重複做到帳號密碼驗證、設備驗證,以及安全網路連線的驗證,這就是零信任架構中所謂的「永不信任、持續驗證」的精神。
許多資安等級最高級的A級機關,例如總統府、國防部或是水電、醫療等關鍵機署設施,也都是駭客鎖定攻擊的熱門標的,而駭客以往常見的攻擊手法,也都是藉由取得某臺設備的控制權或是取得某個密碼,開始橫向移動。
就如同小偷闖進大門後就可以進到房間,為了杜絕這樣的事件發生,就必須設法查出小偷如何能闖入內部的原因,就如同駭客入侵某個系統必須要找出根因,不僅要記錄且要溯源,找到真正關鍵因素,知道誰發動攻擊。
而她也說,透過零信任架構,駭客即便掌握其中一項入侵的要素,我們還是可以透過其他措施,進一步降低駭客入侵的可能性,以及造成的損害。
據了解,技服中心已經在2021年,完成零信任網路的概念性驗證研究及部署機制,到2022年7月,則確定;針對資通安全責任等級的A級機關,在2022年至2024年間,優先導入零信任網路架構,並促進臺灣資服業者發展零信任網路資安產業鏈,這些任務在數位發展部資通安全署成立之後,由其接手規畫後續事宜。
所有個資A級機關,只能透過T-Road進行跨機關資料交換
T-Road(政府資料傳輸平臺)是在政府原有的骨幹網路GSN,建置一條資料傳輸的通道,而國發會也在此通道規範資料傳輸的格式和準則,讓各級機關做相關的資料交換或連結時,有共通的標準可以遵守,該平臺在2020年底完成建置,並於2021年全面推廣。
唐鳳表示,未來兩年,數位部也會輔導所有擁有全國民眾個資的資安A級機關,全面導入T-Road這樣的標準,目前已經有內政部、警政署、勞保局、健保署、教育部、財政部,以及經濟部等22個機關,將其50個跨部門的資訊交換導入T-Road這套安全系統。
她也提及,外界關心在政府機關內、外網進行資料交換時,是否會因為有內、外網分別,而容易遭到駭客攻擊呢?唐鳳表示,政府推廣T-Road作為政府之間跨機關的資料交換平臺,就是為了杜絕這個可能性,未來將加速推廣T-Road,確保這些重要的機關不會採用T-Road以外的方式,進行跨機關的資料交換。
網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益
資通安全研究院任務目標偏重主動防禦,人才要求即戰力
2023年1月將成立國家資通安全研究院(簡稱資安院),唐鳳表示,剛開始180人的規模,是在一部兩署、總計598人的員額之外,也會有國安會和國防部指派的代表擔任董事。
她也說,成立資安院的任務目標很明確,就是4年之內可以應用到的各種資安工作,包括攻防、相關建設等等,都是資安院的工作目標;若是4年以外的資安前瞻或先期研究,或是上游的工作等,則是國科會成立的資安科研中心的任務。
不過,唐鳳表示,資安署也會持續就法規、人才等部分,提出相關的政策和能量;對於未來資安院的人才選任,也會有專業的考試、甄選等,除了筆試以外,也規畫藍隊模擬機考的平臺,以確保甄選的人才都具有即戰力,她也會親自參加藍隊模擬機考的考試。
她強調,未來數位發展部數位政府司也會積極借重資安院的力量,不會等到出現攻擊行為才去加強相關的防護,而是會針對有哪些攻擊形式,例如今年8月初美國裴洛西議長訪臺時,駭客發動了分散式阻斷式服務(DDoS)攻擊,如果是攻擊其他標的,會關注的是它們能否撐得住。
她也說,遭到攻擊的對象如果撐不住,是不是應該要像危老建築重建、進行重構呢?而這部分工作會由數位政府司與資安署聯手,透過主動防禦的方式,確保資安院的能量會投入最關鍵位置的主動重構上。
政府禁用抖音,民眾在周知風險後自行評估是否使用
美國有多個州立法宣布禁用中國短視頻抖音App,臺灣政府日前也宣布政府部門禁用抖音。唐鳳表示,其實,在2019年,政府就已經有《各機關對危害國家資通安全產品限制使用原則》,目的就是希望公務部門意識到:如果相關產品即便這一刻、這一版本沒有資安漏洞,但因為那些產品的掌控權,是握在危害國家資通安全的勢力手上,也不能確保下一個版本也是安全的。
她說,只要有選擇,希望至少公務部門,可以改用其他軟、硬體產品或服務來代替;如果一時之間無法找到替代品,不僅是要在斷網的情況下使用,也必須經過主管機關的資安長,以及資安署都同意,才能進行這樣的例外使用。所以抖音因為資安疑慮,在公務部門是不能使用的,而且,若在斷網的狀況下使用抖音這樣的App,是沒有意義的,
至於民眾是否應該主動禁用或遠離抖音App,唐鳳表示,公務部門禁用抖音是因為使用者行為會回傳中國,而抖音App下次更新時的主導權也在中國,如果民眾在清楚相關的資安風險仍繼續使用抖音,至少表示他們是在充分了解危害的情況下繼續使用。
她說,公務機關的責任就是把不能使用的原因清楚說明後,外界理解後可以自行判斷,但是否要走向立法限制、要求民間禁用等等,將會在12月26日舉行的行政院資安會報做進一步討論。
從5G到非同步軌道衛星,強化網路通訊韌性
從烏克蘭戰爭可以發現,面對緊急災變時,確保網路以期能夠對外保持通聯,是非常重要的關鍵基礎設施。唐鳳對此也表示,在立法院的支持下,會打造一些可以移動的通訊網路,包括可移動式的衛星接收站,以及可以放在行李箱或背包上的5G小型核網等。不過,她說,挑選作為驗證非同步衛星的各縣市700個點與國外3個點,則以固定為主,少數為車載和移動,一旦遇到大地震或是地方通訊遭到破壞時,都可以確保連外通訊的能力。
另外,為了確保偏鄉、山上的通訊韌性,在法定87個偏遠鄉鎮都已經有Gbps速率的連網服務,也有777個村里有100Mbps速率的連網服務,唐鳳指出,這樣的網路速度可以提供高解析度、即時的視訊服務,未來若需要山難救援或保持即時通聯,都很有幫助。
此外,她表示,這些改善通訊連網速度的點位也會透過開放資料(Open Data)的方式對外釋出,目前已經有一些離線地圖的應用,例如「魯地圖」,一旦在山上迷路時,可以就近找到附近通訊點。
確保網路通訊的韌性,手機載具的安全性也很重要。她也說,數位部除了會在通傳的關鍵基礎設施,進行相關的資安稽核演練外,也會針對來自高風險地區的高銷量智慧型手機進行資安抽測,目前已經完成17款手機的抽測。
https://www.ithome.com.tw/news/154918