跳到主要內容區塊
:::

議題研析

探討網路漏洞產生資通安全之研析 撰成日期:106年3月 更新日期:106年3月1日 資料類別:議題研析 作者:蘇顯星 編號:R00150

(一)資通及網路安全納入國家安全法規定

網路是全新的技術空間,全球駭客持續入侵各國相關資訊系統,非法及破壞事件有日益頻繁而嚴重的情形,網軍專門偷竊他國各類情報,包括軍事、政治、商業等機密,並破壞他國的電腦系統,已然對國家安全造成了威脅,尤其是近年來中國大陸國力成長後,諸如華為等解放軍或官方支持的公司,可能藉著提供原廠技術的方式,預先埋入駭客技巧。我國面臨網路犯罪與駭客入侵癱瘓政府機關網站案件日增,面對近年來網路犯罪及攻擊猖獗,包括透過垃圾郵件、網路釣魚、社交工程、網路詐騙及資訊戰爭等行為,導致關鍵基礎設施資訊系統中斷、國防資訊洩密、網頁置換及遭受非法入侵的事例屢見不鮮,也常見各種利用網際網路造謠、煽動的網路謠言與聚集活動,造成社會或民眾普遍不安。從現在盛行的網路攻擊手法顯現,對於新型態網路犯罪和網路攻擊,對國家安全及關鍵基礎設施的威脅,絕對不可掉以輕心。尤其現今資訊系統之軟、硬體中已被廣為運用的潛在弱點,如被有心人士或敵對國家利用,將可能引發國家安全層級的資安問題。

國家安全法係就國家安全維護之基本法律,對國家安全具重大之危害性犯罪或破壞行為,均應納入本法規範,對於國家安全維護事項,宜因應時代發展與政策需要,作戰略性、戰術性規劃,前瞻性、宏觀性的設計。因應全球化、資訊化時代來臨,國家安全之威脅已不再限於實體,已經擴大到「第五空域(網際空域)」,全球關注駭客持續入侵資訊及網路系統,竊取個資、智慧財產、商業機密,以及軍事機密資料,對人權、經濟與國安均造成威脅,尤其是各國紛紛以官方力量或軍事化方式因應。因此,將資通及網路安全納入國家安全之戰略性規劃實有必要,且符合國際趨勢。爰建議國家安全法增訂第2條之2條文「中華民國國家安全之維護,應及於確保國家安全之網際網路設施、資料、檔案及連結之安全。對於前項網際網路設施、資料、檔案及連結之安全,不得為非法輸出、輸入、干擾、變更、刪改、滅失或以其他非法方法破壞其正確運作。」揭示我國國家安全之維護應包含網際網路。又網際網路範圍無遠弗屆,為避免其範圍涵蓋過廣,爰明定應限於確保國家安全之必要範圍。

(二)建立網路安全防護及監測機制

根據各國相關資料及傳播媒體報導,顯示各國因應全球資訊化的來臨,均投入大量的人力與物力,進行未來網際網路安全的防護及監測機制,且隨著資訊的普及化與網路的國際化,在面對駭客攻擊及網路犯罪案件快速增加,甚至已經面臨網路軍事化的趨勢下,完整規劃包括戰略性資安法制及戰術性安全機制,是政府當前刻不容緩的工作。因應網路日益軍事化之國際趨勢,對我國竊密之內容不僅止於軍事、政治機密,甚至擴及高科技、商業機密及個人資料。因此,電腦網路防衛方面,除了重要基礎建設防護外,發展電腦網路防衛政策也屬國家政策的重要議題,將資訊行動劃分成更符合國家防衛能力。基於我國資訊保障及與其相關的重要基礎建設防護及電腦網路防衛功能,建議制定資通安全管理之專法,規定有關網路安全防護及監測措施之實施,如有事實足認有危害國家安全或社會秩序情節重大之情事,得採取必要之網路監測工作,並準用通訊保障及監察法第五條及第七條規定辦理。中央機關(構)、軍隊及與資安有關之團體,為辦理網路安全防護措施及監測工作,得指定專責單位或指派專人為之。

(三)增訂資安設備採購、審查及測試標準

目前網路駭客主要利用進階持續性滲透攻擊(Advanced Persistent Threat, APT)資料庫製造特定限量病毒,攻擊特定目標。加以「監控與資料擷取系統(Supervisory Control and Data Acquisition,簡稱SCADA)」之核心電腦進行大規模攻擊,儼然已成為駭客主要攻擊的目標,未來我國所面臨的將會是相當複雜且難以獨自處理的重大資通安全防護問題。以一般傳統的安全解決方案,似乎無法有效偵測或反應APT攻擊,對於APT攻擊的資安,一般企業並沒有能力解決。建議參照日本政府於2013年2月特別建置了一個進階持續性滲透攻擊(APT)資料庫,能更有效率地收集APT相關威脅訊息,並與國內政府機關與企業、國外企業、國際資安組織和國外政府等共同分享的模式,由國家建構有效的防禦策略,與企業分享,並增加資安設備採購之限制條件。

目前全球僅中國大陸強制智慧型手機,平板電腦、筆電廠商要通過作資安測試,其他各國手機及資訊認證只有規定通訊介面、電池相容、電器安全三項,有關資安測試則由各公司自行建立資安檢核機制。然而面對日益嚴重網路攻擊資安危害,確有必要制定資通安全管理之專法,建立一套資安檢測標準,讓政府及相關業者得以遵循,並鼓勵廠商自願檢測,建立市場監督機制。依法授權由資訊科技中央主管機關會同國家安全機關,制訂資通訊設備採購、審查及測試標準國家標準。

(四)增訂違反網路安全之處罰

資訊系統及網路安全端賴通訊設施之暢通,包括有線或無線電信線路、資訊設備及網路系統之正常運作,主要發揮通訊及信息傳遞功能,確保網際網路連結資料、檔案安全;又基於有效保護網路安全,對於網路為不法侵入、破壞之行為,應有處罰之明文規定,建議制定資通安全管理之專法,應對違反規定者課以處分,明定人民對於網際網路設施、資料、檔案及連結之安全,不得為非法輸出、輸入、干擾、變更、刪改、滅失或以其他非法方法破壞其正確運作。增訂違反規定者,處有期徒刑或科罰金,以有效落實資通及網路安全之維護。