隨科技應用範圍持續擴大,資安威脅亦與日俱增,國家安全會議於「資安即國安2.0」戰略報告中,將「打造堅韌、安全、可信賴之智慧國家」列為目標願景,中央政府近年度(109至102年度)編列之資安經費介於8億至10億餘元間,另於前瞻基礎建設計畫推動資安基礎建設,第1期至第3期特別決算數共93億餘元,並賡續於第4期特別算編列25億餘元之相關資安計畫,用於改善及強化資通安全環境。近年資安業務推動情形如下:
(一)資安業務執行情形與資安威脅現況
自90年至109年止,中央政府已完成5期之資通安全發展計畫或方案,為因應國際趨勢與新型態資安攻擊威脅,行政院接續於110年2月提出第6期「國家資通安全發展方案(110年至113年)」,作為各機關推動資安防護計畫之依循;迄112年配合行政院組織改造,依現行機關與主政業務滾動修正第6期發展方案,調整國家資通安全會報組織架構及機關(單位)分工,並依實務需求與建議修改部分內容,修訂計畫業於112年6月7日奉行政院核定。
資安署於112年6月公開之111年度國家資通安全情勢報告指出,111年我國政府面臨之資安威脅包括掃描刺探、入侵攻擊、政策規則、惡意程式、攻防演練、系統服務及阻斷服務等7 類,以掃描刺探類(47.2%)最高,主要係針對已知漏洞、遠端服務及密碼猜測之探測行為;第2名為入侵攻擊類(26.9%),係針對網頁入侵行為,包含針對系統攻擊以獲取非法權限等;而第3名為政策規則類(13.3%),針對違反機關特權帳號被異常存取、或由預期外之主機登入等行為,其餘4類合計12.6%。
(二)中央政府資安經費運用情形
為推動資通安全業務,中央政府除於年度預算編列相關經費,辦理資通安全防護、研究及檢測等業務外,另於前瞻基礎建設計畫特別預算推動多項資安計畫,經費運用情形如下:
1.公務預算:109至112年度中央政府各機關資安預算編列數介於8.21億元至10.2億元間(詳表1),經常門占比皆超逾7成;112年度預算較111年度增加1.82億元,主要係數位部主管成立後,資安業務移撥調整後之增編數。113年度預算案除由各機關編列資安運作與維護經費外,尚推動之跨年期資安計畫約9億餘元:
(1)「整體政府資通安全防禦技術暨系統韌性強化計畫」總經費13.92億元,計畫期間4年(112至115年),由數位部及所屬資安署編列執行,係捐助資安研究院辦理各級政府服務韌性運作、提升政府資訊資源應用效能、定期系統健檢作業與網路攻防演練等服務,112及113年度各編列2.54億元。
(2)「資安跨域整合聯防計畫」總經費32.35億元,計畫期間4年(110至113年),列為科技發展計畫預算,分由教育部、經濟部、交通部、衛福部、金管會、內政部、法務部及數位部暨所屬負責推動,截至112年底累計預算數23.67億元,113年度續編7.27億元。
表1 109至112年度資安防護經費預算統計表 單位:新臺幣千元
項目
109年度
110年度
111年度
112年度
金額
占比(%)
金額
占比(%)
金額
占比(%)
金額
占比(%)
資本門
235,382
26.99
232,294
28.29
220,356
26.30
281,823
27.63
經常門
636,772
73.01
588,877
71.71
617,420
73.70
738,292
72.37
合計
872,154
100.00
821,171
100.00
837,776
100.00
1,020,115
100.00
說 明:1.各年度預算數包括例行性運作、維護與相關資安計畫經費。
2.依據資通安全署表示政府各部門113年度資安經費預算係於113年5月下旬完成統計,故尚未能提供預算數據。
資料來源:資通安全署提供。
2.前瞻基礎建設計畫特別預算:
(1)第1及第2期「推動資安基礎建設」決算數共計72.75億元(詳表2),用於設施相關費用,主要為行政院主管編列22.51億元(30.94%)最高,其次為內政部主管18.06億元(24.82%)及財政部主管13.63億元(18.74%)。
(2)第3期特別決算相關資安計畫經費21.17億元,以數位部主管12.91億元(60.98%)最高,主要係推動「臺灣資安卓越深耕-資安卓越中心計畫」8.07億元、「5G及物聯網資安防護-健全電信資安防護設備建置計畫」3.49億元及「推動5G垂直應用場域實證、法規調適與網路資安之防護研析計畫」1.35億元;第4期特別預算編列25.03億元,以數位部主管17.49億元(69.87%)最高,係推動「強化公部門網路服務與運算雲端基礎設施計畫」0.19億元、「臺灣資安卓越深耕-資安卓越中心計畫」6.5億元、「政府基層機關資安主動防禦計畫」9.2億元及「5G資安防護系統開發計畫」1.6億元。
表2 前瞻基礎建設計畫第1期至第4期特別預(決)算資安經費統計表
單位:新臺幣千元
第1期特別決算
106至107年度
第2期特別決算
108至109年度
第3期特別決算
110至111年度
第4期特別預算 112至113年度
2,495,568
4,779,384
2,116,520
2,503,323
資料來源: 依據第1期及第2期特別決算「推動資安基礎建設」科目及各部會提供第3及第4期資安經費資料彙整。
(三)中央政府111年資安稽核結果顯示,尚有多項共同性缺失,允宜持續追蹤改善情形
111年間數位部遴選23個受稽機關,針對其資通安全維護計畫推動情形進行實地查核,抽檢結果顯示,9個稽核項目中,以「資通安全政策及推動組織」75分表現最佳,而「資訊及資通系統盤點及風險評估」64.12分成績最低,「資通系統發展及維護安全」65分次低,餘「核心業務及其重要性」、「資通系統或服務委外辦理之管理措施」及「資通安全防護及控制措施」皆未達70分(詳表3)。
表3 111年間數位部實地稽核個別項目成績分布表
策略面
管理面
技術面
核心業務及其重要性
資通安全政策及推動組織
專責人力及經費配置
資訊及資通系統盤點及風險評估
資通系統或服務委外辦理之管理措施
安全維護計畫與實施情形之精進及績效管理機制
資通安全防及控制措施
資通系統發展及維 護安全
資通安全事件通報 變及情資評估因應
68.24
75.00
70.44
64.12
68.24
70.88
69.71
65.00
72.88
說 明:9個稽核項目滿分皆為100分。
資料來源:整理自112年6月公布之111年度國家資通安全情勢報告。
依稽核結果歸納之共同性缺失,包括未有效落實核心業務 與核心資訊系統之界定、研訂資通安全目標,未有一致性之客觀衡量指標、資訊委外作業未訂定安全管理措施、監督內容及受託者應辦理之安全維護事項、委外廠商稽核作業未訂定委外廠商稽核計畫相關管理規範,且未明確訂定廠商稽核之挑選原則及家數及欠缺事件調查復原與後續矯正改善追蹤機制等,後續應追蹤研謀改善。
(四)積極推動公部門事前巡檢,協助機關發掘潛在威脅,以及早研議改善措施,俾建構可信賴之資通安全環境
近年來公務機關及關鍵基礎設施資安事件頻傳,由監察院政府部門資通安全調查報告與新聞媒體多次報導之政府機關資安事件觀之,主要發生型態包括非法入侵、網路攻擊、人為疏失及管理不當等,因個資外洩事件涉有個人隱私曝露之風險,頗為各方所關切。另國家資通安全研究院(以下簡稱資安研究院)依國內部分非法入侵通報事件歸納之資安防護建議包括:針對存有漏洞之設備,主動檢視該系統檔案完整性;官方網站公告之最新軟、韌體版本經驗證更新對系統之穩定性後,應儘速更新;停產或終止維護之設備型號,應規劃補償控制措施;設定安全組態與運用安全之API,需確保委外程式碼部署之安全;限制程式碼之特權,以最小權限存取原則等資安管理防護措施。
有鑑於此,為確保各機關依其資通安全責任等級實施資安防護作業,數位部於112年起推動韌性巡檢,113年賡續列入「整體政府資通安全防禦技術暨系統韌性強化計畫」捐助資安研究院執行。是以,數位部允宜督導資安研究院縝密規劃巡檢作業,提早發現架構可能存在脆弱點與功能運作風險與以及時補強,並落實資安管理防護措施,以維護公共服務安全性。
綜上,政府持續面臨資通安全威脅與挑戰,主管機關應密切掌握資安情資,賡續強化防禦措施,而各機關亟須確實執行資安防護作業,以有效降低資安風險,俾完善國家資通安全環境建構。
(分機:1930 芮家楨)