五、智慧物聯網與雲端運算為產業發展與數位轉型之趨勢,惟資安威脅日增,允宜積極研發資安前瞻技術及強化新興領域資安防護,以完善產業發展環境
行政院「第六期國家資通安全發展方案(110年至113年)」,以「打造堅韌安全之智慧國家」為願景,朝「建構主動防禦基礎網路」、「成為亞太資安研訓樞紐」、「公私協力共創網安環境」等三大目標推動,另「六大核心方案」亦規劃於110年至113年投入54.70億元經費發展「資安卓越產業」,推動方向包括:強化新興領域防護,打造高階實戰場域及各核心產業導入資安,期建立全球資安產業創業基地,有效提升我國資安完備度。經查:
(一)預算編列及執行情形
六大核心方案之「資安卓越產業」執行機關包括經濟部、科技部、通訊傳播委員會(下稱通傳會)、教育部及行政院資安處;110年度經濟部、科技部、通傳會、行政院資安處及教育部共計推動11項子計畫,合共編列預算13.45億元,累計實支數10.14億元(實支率75.39%);111年度賡續投入12.25億元(詳表3-5-1)。
表3-5-1 110-111年「資安卓越產業」計畫預算編列情形簡表
單位:新臺幣億元
機關
名稱
計畫名稱
110年度
111年度
預算數
實支數
預算數
經濟部
5G資安防護系統開發計畫
0.90
0.90
0.90
臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫
1.01
0.97
0.94
資安跨域整合聯防計畫-資安產業推動暨關鍵基礎設施資安強化旗艦計畫(主動式資安情資與智能偵防技術計畫)
0.52
0.49
0.43
人工智慧技術拔尖與產業領航計畫-人工智慧導向資安共創技術計畫
0.45
0.44
-
人工智慧技術深耕與產業共創計畫
-
-
0.19
資安跨域整合聯防計畫-資安產業推動暨關鍵基礎設施資安強化旗艦計畫
2.31
2.05
1.91
小計
5.19
4.85
4.37
科技部
臺灣資安卓越深耕-學術型資安研究
1.25
1.08
1.25
小計
1.25
1.08
1.25
通傳會
推動5G垂直應用場域實證、法規調適與網路資安之防護研析計畫
0.70
0.35
0.70
5G及物聯網資安防護:健全電信資安防護設備建置
2.00
0.00
1.50
小計
2.70
0.35
2.20
行政院資安處
臺灣資安卓越深耕-資安卓越中心計畫
4.09
3.84
4.00
小計
4.09
3.84
4.00
教育部
臺灣資安卓越深耕-擴增資安師資計畫
0.22
0.02
0.43
小計
0.22
0.02
0.43
合 計
13.45
10.14
12.25
說 明:通傳會110年度執行之2項計畫,截至111年7月27日2項計畫實支數已分別為0.70億元及1.37億元,合計2.07億元。
資料來源:行政院資安處提供。
(二)資安卓越產業推動策略之具體作法暨績效目標初步成果,110年度部分未達成目標之項目,允宜持續加強辦理
我國應有厚實之資安產業做後盾,方得以因應5G、AI與IoT技術帶動之數位轉型及智慧化需求不斷提升,帶動整體數位經濟發展,六大核心方案之「資安卓越產業」執行期程110年至113年,透過強化新興領域防護、開發AIoT及醫療等新興領域解決方案、成立資安攻防及跨國合作機構及完善資安高教環境等策略,期打造能被信賴之資安系統,其具體作法及預計達成目標詳附錄6。
另110年度各項策略其年度績效目標多數達成,惟尚有部分項目待持續加強辦理(詳表3-5-2),如:110年度強化新興領域防護策略訂定開發對應前瞻創新資安防護技術與機制10項之績效目標,尚由科技部刻正透過前瞻資安科技專案研發中。
表3-5-2 資安卓越產業各推動策略110年度績效目標達成度尚待持續辦理者一覽表
各項策略
110年績效目標
110年度達成情形
(一)強化新興領域防護
1.透過AI技術及專業分工協助網路安全將資安從產品演進為元件
2.開發對應前瞻創新資安防護技術與機制10項
3.建置5G「軟體整合開發暨運作程序與「軟體系統」資通安全分析及檢測平台,導入國 際軟體安全開發模式規範與流程,建立5G系統網路軟體安全分析檢測基本工具與基本程序
經濟部研發數位國土探析模組技術,可支援網路服務伺服器主機之常用通訊協議服務主機探析模式,目前探析覆蓋率達82%。
科技部刻正透過前瞻資安科技專案,研發61項前瞻關鍵資安技術或機制
通傳會已完成實驗室之基礎設施及資通訊軟硬體建置規劃,採購作業流程進行中,並規劃5G資通安全檢測實驗室架構及盤點各設備商可提供之規格及其資安防護措施,因疫情導致缺料及航班減少,俟收到設備並完成佈建後即進行相關實驗。
(二)開發AIoT及醫療等新興領域解決方案(含各產業導入資安)
透過各產業推動平台,盤點並在資訊及數位、臺灣精準健康、國防及戰略、綠電及再生能源、民生及戰備等核心戰略產業導入所需資安各1案
已完成國防及展略產業、綠電及再生能源產業、民生及戰備產業,惟資訊及數位及臺灣精準健康產業尚待導入
(四)完善資安高教環境
提高增聘資安教師員額,達20名
教育部已於110年5月27日訂定發布「教育部協助國立大學資安師資員額請增及彈性薪資作 業要點」,並於110年5月31日開始受理學校申請案,惟申請案尚未審結,致110年度增聘資安教師員額未達20名,預算實支數僅0.02億元(實支率9.09%)。
資料來源:行政院資安處提供。
(三)允宜積極研發資安前瞻技術、強化新興領域資安防護及產業供應鏈資安成熟度,以因應產業發展與數位轉型之趨勢
1.資安威脅隨著數位科技應用發展日增
通傳會「110年度強化台灣電腦網路危機處理暨協調中心計畫」補助計畫期末報告指出:
(1)近年我國企業資安事件通報遞增:依據台灣電腦網路危機處理暨協調中心(TWCERT/CC)處理我國企業資安事件通報,109年計124件與企業相關之資安通報,其中比率最高之前3類分別為社交工程、釣魚網頁、系統被入侵;110年接獲官網通報與企業相關者計145件(占61.97%),其中中小型企業占27.6%,大型企業占72.4%,較109年增加21件(增幅16.94%);與企業相關之資安事件通報類型,比率最高之前3類型分別釣魚網頁(占比33.48%)、諮商(占比28.33%)及社交工程(占比18.88%),而通報企業產業分佈以金融保險業最高共有47筆(占比32%),資通服務業35筆(占比24%)、製造業19筆(占比13%)。
(2)我國資通訊軟硬體產品漏洞成為資安威脅:TWCERT/CC受理國內外資安研究人員針對我國資通訊軟硬體產品進行漏洞通報,110年已審核並公開167個CVE漏洞編號(分屬於軟體服務系統、伺服器及IoT設備),以嚴重程度區分,Critical有42個、High有40個、Medium有83個、Low有2個。顯示隨著數位科技應用發展,智慧物聯網與雲端運算為產業發展與數位轉型之趨勢,產品資安漏洞成為新興之風險,資安威脅日增,政府允宜強化公私協力,積極研發資安前瞻技術及強化新興領域資安防護,以完善產業發展環境。
2.我國產業供應鏈資安成熟度尚待強化
依據工業局110年度「新興物聯網資安示範推動計畫」所建置之國內供應鏈資安評估模型於110年9月上線後至11月底,已累計超過100家公司使用,累計服務178家次,而依據此178家次供應商自我評估之結果,產業供應鏈總體資安成熟度平均為62(達到C級),顯示對於國際資安標準所要求之控制措施整體上仍有改善空間;另電子零組件製造業、機械設備製造業、金屬製品製造業等產業供應鏈廠商在「識別能力」成熟度差異大,相較於金融產業較不重視風險評估、資安評估;又資安業者反應目前仍缺乏可供創新技術或跨領域研發服務之試驗場域,廠商缺少實際測試及與其它資安服務模擬串接之機會,允宜積極建立資安服務驗證示範場域,以利厚實資安業者之研發創新能力。