跳到主要內容區塊
:::

中央政府資通安全業務推動情形之探討

Facebook twitter Plurk print
一、111年網路攻防演練發現部分機關資通系統存有風險,另資安稽核結果尚有共同性缺失,資安防護仍待持續精進,並完備資安法修法事宜,以建構可信賴之資通安全環境 日期:112年8月 報告名稱:中央政府資通安全業務推動情形之探討 目錄大綱:參、相關問題探討 資料類別:專題研究 作者:芮家楨

依資通安全管理法(以下簡稱資安法)第5條規定,主管機關應規劃並推動國家資通安全政策、資通安全科技發展及資通安全整體防護等事宜,且定期公布國家資通安全情勢報告,以及稽核行政院所屬或監督機關之資通安全維護計畫實施情形,並公布年度公務機關資安稽核概況報告。111年度政府部門資通安全威脅及維護計畫實施情形等如下:

(一)111年政府部門面臨之資安威脅以掃描刺探類最高,入侵攻擊類次之

資安署112年6月公開之111年度國家資通安全情勢報告指出,111年我國政府面臨之資安威脅包括掃描刺探、入侵攻擊、政策規則、惡意程式、攻防演練、系統服務及阻斷服務等7 類,以掃描刺探類(47.2%)最高,主要係針對已知漏洞、遠端服務及密碼猜測之探測行為;第2名為入侵攻擊類(26.9%),係針對網頁入侵行為,包含針對系統攻擊以獲取非法權限等;而第3名為政策規則類(13.3%),針對違反機關特權帳號被異常存取、或由預期外之主機登入等行為,其餘4類合計12.6%。

(二)中央政府111年資安事件較110年增加9件,網路攻防演練結果發現5成以上之演練機關對外資通系統存有風險

依據資安署統計108至111年政府機關通報之資安事件分析,111年政府部門發生之資安事件共計597件(詳表3.1.1),較108年310件增加287件(增幅92.58%);如與110年696件相較,減少99件(減幅14.22%),主要因地方政府減少108件(減幅26.21%),而中央政府增加9件(增幅3.17%)。此外,111年度網路攻防演練共針對66個演練機關之5,406個對外系統進行演練,演練結果發現35個機關對外資通系統存在弱點,占演練機關總數53.03%,顯示演練機關之資通系統仍存在一定程度之風險與威脅。

表3.1.1 108至111年政府部門通報之資安事件統計表 單位:件數

 

108年

109年

110年

111年

合計

合計

310

525

696

597

2,128

中央政府

185

259

284

293

1,021

地方政府

125

266

412

304

1,107

資料來源:依資安署提供資料繪製。

各機關發生資通安全事件時,應依資通安全事件通報及應變辦法即時處理,按事件輕微與嚴重情形於72及36小時內召開會議,1個月內完成調查改善(詳圖3.1.1),以迅速完成損害控制或復原作業,降低資通安全事件對各機關業務之衝擊影響,且確保資通安全事件發生時之跡證保存。依該應變辦法第2條規定,資安事件影響等級區分為 4 個級別,由重至輕分別為4 級、3 級、2 級與1 級;108至110年政府部門通報之資安事件共計2,128件,按級別區分,件數占比以1級85.39%最高,2級12.69%次之(詳表3.1.2);歸納事件發生之原因,以111年為例,資安事件發生之前3名為網站設計不當、弱密碼或密碼遭暴力破解,以及設備異常或毀損。

圖3.1.1 資通安全事件通報及應變流程圖

資料來源:資安署官網。

表3.1.2 政府部門通報資安事件級別分析表 單位:件數;%

1級

2級

3級

4級

合計

108

254

45

11

0

310

81.94

14.52

3.55

0.00

100.00

109

451

65

9

0

525

85.90

12.38

1.71

0.00

100.00

110

619

66

11

-

696

88.94

9.48

1.58

0.00

100.00

111

493

94

10

-

597

82.58

15.75

1.68

0.00

100.00

合計

1,817

270

41

-

2,128

85.39

12.69

1.93

0.00

100.00

資料來源:整理自資安署提供資料。

(三)111年部分資安稽核項目結果未盡理想,且尚有相關共同性缺失,允宜持續追蹤改善情形

111年數位部遴選23個受稽機關(17個公務機關及6個特定非公務機關),針對其資通安全維護計畫推動情形,進行實地查核,抽檢結果顯示,9個稽核項目中,以「資通安全政策及推動組織」表現最佳,而「資訊及資通系統盤點及風險評估」64.12分成績最低,「資通系統發展及維護安全」65分次低,餘「核心業務及其重要性」、「資通系統或服務委外辦理之管理措施」及「資通安全防護及控制措施」皆未達70分(詳表3.1.3),待追蹤研謀改善。

表3.1.3 實地稽核個別項目成績分布表

策略面

管理面

技術面

核心業務及其重要性

資通安全政策及推動組織

專責人力及經費配置

資訊及資通系統盤點及風險評估

資通系統或服務委外辦理之管理措施

安全維護計畫與實施情形之精進及績效管理機制

資通安全防及控制措施

資通系統發展及維 護安全

資通安全事件通報 變及情資評估因應

68.24

75.00

70.44

64.12

68.24

70.88

69.71

65.00

72.88

資料來源:整理自112年6月公布之111年度國家資通安全情勢報告。

另部分機關經稽核後尚有共同性缺失,包括未有效落實核心業務與核心資訊系統之界定、研訂資通安全目標,未有一致性之客觀衡量指標、資訊委外作業未訂定安全管理措施、監督內容及受託者應辦理之安全維護事項、委外廠商稽核作業未訂定委外廠商稽核計畫相關管理規範,且未明確訂定廠商稽核之挑選原則及家數、資訊資產盤點作業,惟盤點範圍與內容完整性不足、資安事件通報及應變程序未訂定事件相關證據之資料保護規範、欠缺事件調查復原與後續矯正改善追蹤機制等。

(四)積極完備資安法相關修法事宜,以利加速建構完善之國家資通安全環境

我國資安法於107制定公布,自108年1月1日施行,鑒於近年來公務機關及關鍵基礎設施資安事件頻傳,本院多位委員陸續研提相關資安法修正意見,經數位部綜整並參酌資安風險現況與議題後,規劃主要修法方向如下:

1.主管機關調適:管轄機關改為數位發展部,並由資通安全署主責資安政策執行事項。

2.特定非公務機關增設資安長及應置資安專職人員:配置專職人員擔任資安人員,強化資安防護。

3.擴大稽核對象:主管機關除針對各特定非公務機關及所屬機關稽核外,規劃擴大納入地方政府得實施稽核,以瞭解其落實情形。

另該部表示,此次修法範圍較廣,將邀集機關、業者及學者專家等召開說明會,並請納管機關及利害關係人提供實務執行問題,供作資安法與相關法規之修法參據。


下載

一、111年網路攻防演練發現部分機關資通系統存有風險,另資安稽核結果尚有共同性缺失,資安防護仍待持續精進,並完備資安法修法事宜,以建構可信賴之資通安全環境-附件1(doc) (odt) (pdf)
2023-08-01