跳到主要內容區塊
:::

我國資安基礎建設推動與經費執行之探討

Facebook twitter Plurk print
八、各機關提出資安計畫之急迫性及妥適性允宜審酌,避免資源浪費及重複配置 日期:106年7月 報告名稱:我國資安基礎建設推動與經費執行之探討 目錄大綱:肆、推動資安基礎建設相關問題分析 資料類別:專題研究 作者:高振源

「強化國家資安基礎建設」計畫

依據行政院資安處所提供資料,「強化國家資安基礎建設」計畫,期程自106至109年,總經費60億元,包括中央政府特別預算6億元及附屬單位預算54億元,目的係以強化我國各項資安基礎建設,包括「鏈結資安產學能量」、「資安專業人才培育」、「建立關鍵資訊基礎設施(CII)領域」、「資安資訊分享平台(ISAC)機制」、「網路犯罪預防與打擊」與「骨幹網路資安防禦」等五大主題,相關計畫如附表4-12。

附表4-12:「強化國家資安基礎建設」計畫內容概況表

計畫名稱

預期效益

部會

國家關鍵資訊基礎設施案-先期作業

1.健全緊急應變組織,維護我國資安環境。

2.促進國際交流合作,建立資安形象。

3.完善通報應變機制,提升事故處理能量。

行政院資安處

國家資通安全防護整合服務

1.提供政府機關資通安全事件偵測及通報應變機制服務。

2.提供政府機關資通安全強化之技術服務與建議。

3.國家關鍵資訊基礎設施資安防護之協助與推動。

4.協助執行資通安全相關演練及稽核。

5.資通安全教育、訓練及宣導。

6.資通安全技術整合與應用之推動。

7.資通安全國際交流及合作。

行政院資安處

預防暨打擊科技犯罪精進刑事科技能量

1.完成網際攻擊模擬及樣態分析平臺,利用模擬平台,了解攻擊態樣,以發掘網路犯罪。

2.完成警政署及所屬各警察機關電腦端點鑑識平臺,深化資安聯防機制。

內政部

臺灣學術網路資安磐石

1.完成自動化DNS安全掃描系統,清查過時的DNS 主機,並追蹤改善。

2.建構整體校園網路維運拓墣管理機制。

3.佈建縣市教育網路防火牆聯防系統。

教育部

法務資安整體防禦基礎建設

1.提升法務機關網路資通安全防護縱深。

2.建立穩定健全法務網路之基礎環境。

3.隔絕未經授權之外來資安威脅。

4.建立跨境中繼站防制系統

5.建置法務部調查局外勤六直轄市處之轄區治安機關跨域鑑識服務分中心。

法務部

資安產業推動暨關鍵設施(水資源、民營能源)

1.邀請政府機關、產官學研資安專家、業者交流與凝聚共識,提升產業推動效益。

2.建立資安人才資料庫供政府與產業需求所用。

3.建立資安情資來源,建構涵蓋兩類以上應用場域,以及10種以上威脅情資來源。

4.完成資安產業創新、產業輔導、人才培訓、採購機制等相關法制政策規劃與建議。

經濟部

關鍵基礎設施資安資訊分享與分析中心

1.資安資訊分享: 即時及主動取得其他資安中心提供之資安情資資料,分享資安資訊。

2.強化資安意識: 透過資安資訊分享,提升會員資安相關意識,藉此強化交通機構資安防護意識。

3.預防事件擴大: 藉由通報及應變程序,針對資安事件進行分析、排除及追蹤處理,在最短時間內協助排除資安事件,防範資安事件擴大。

交通部

衛福部

資安前瞻創新研發

促成學界與產業界合作研究、技術移轉、及國際合作。

科技部

數位匯流/IoT資安威脅防禦機制暨資安實驗室建置與服務

1.建構數位匯流/IoT 資安網路實驗平台與資安檢測實驗室。

2.建置監控及通報系統同步取得通傳事業網路資安攻擊事件資訊,整合政府資源共同降低資安事件衝擊。

3.建立並維運通傳資通安全中心(SOC)情蒐平台,主動彙集多元資安情資來源,即時提供通傳事業之資安事件分析、資安趨勢、資安關聯之情資分享(C-ISAC),提升整體通傳事業資通安全水準,降低資安事件衍生之風險,保障國內資通安全與人民權益。

通傳會

金融資安資訊分享與分析中心(F-ISAC)

1.金融資安資訊分享與分析中心(F-ISAC)建置。

2.建置金融網路危機處理中心 (Financail Network Computer Emergency Response Network Computer Emergency Response Team,簡稱 F-CERT),並與金融資 安資訊分享與分析中心(F -ISAC)合併運作。

金管會

政府骨幹網路資安防護

1.提供安全可靠的公務傳輸環境。

2.強化政府共構機房及防護專區(GSN DMZ)網站防護區域聯防暨先期部署防禦,提升資安防護效益。

國發會

※註: 1.資料來源,行政院資安處提供。

允宜審酌各機關提出計畫之急迫性及妥適性

為強化政府和部分民間單位的資安防護,並配合資安組織及運作機制調整,政府持續研修資安管理相關規定,以健全法制基礎,期強化公私協同合作機制,深化資安人力培訓,並提升國家關鍵資訊基礎設施防護,如交通、能源、水資源、通訊傳播、銀行與金融、緊急救援與醫院等實體或虛擬資產、系統或網路。

關鍵基礎設施安全性足以影響多數民眾生活時,如何事先防範以避免遭到駭客入侵或其他資安威脅是政府應重視的重點,雖強化國家資訊基礎設施防護中為補足我國關鍵基礎設施中的資安作為有其必要性。惟過去各部會如果沒有相關平臺建置經驗,可能就會像以往的資訊建置案一樣,部會先寫完RFP(Request For Proposal,需求建議書)之後,再對外進行公開招標,可能又是採用價格標,仍由最低價廠商得標。可能會導致某些主管機關所建置的平臺,因為採用不同於其他機關的規格和標準,屆時如何做到不同平臺彼此之間的資料交換和資訊分享,得設法做各種介接,又是一種時間和金錢、心力的浪費。

政府在強化國家資通安全及資訊基礎設施防護軟硬體基礎設施計畫階段時,允宜審酌各機關提出計畫之急迫性及妥適性,避免資源浪費及重複配置,並制定資安相關平臺共通標準,將現有資源與人力做有效整合。


下載

八、各機關提出資安計畫之急迫性及妥適性允宜審酌,避免資源浪費及重複配置-附件1(doc) (odt) (pdf)
2017-07-01
八、各機關提出資安計畫之急迫性及妥適性允宜審酌,避免資源浪費及重複配置-附件2(pdf)
2017-07-01