行政院資安處處長簡宏偉表示,政府今年編列的資安預算總額高達25億元,是歷年最高,並制定8大資安旗艦計畫,要求關鍵基礎設施相關的主管機關,都必須建置ISAC資安資訊分享與分析平臺。

圖片來源: 

iThome

立法院在這個預算會期正要審查2017年相關政府預算,根據科技會報的統計,今年度的資安預算編列高達25.7億元,比去年增加一倍之多;資安預算占國家整體預算比例,占比也從去年的千分之零點七一,提升到今年千分之一點三九的占比。

在今年資安預算編列項目中,行政院資安處處長簡宏偉表示,8大資安旗艦計畫將是年度資安計畫的基礎,透過強化關鍵基礎設施的資安防護措施,進一步達到提升整體國家資安防護能力。其中,與關鍵基礎設施相關的主管機關都必須在今年度,擇一完成包括ISAC(資安資訊分享與分析中心)、SOC(資安監控中心)或者是CERT(Computer emergency response teams,電腦緊急應變中心)重要的資安資料蒐集與分析平臺。

簡宏偉說:「強化8大關鍵基礎設施的ISAC等平臺的建置,將有助於提升國家整體資安防護能力,也可以讓國家的資安防護,從點進一步延伸到線和面的層次。」

2017年政府資安預算編列25億元,歷年最高

行政院在2016年8月1日正式成立資安專責機構資通安全處(簡稱資安處)後,並在同年8月,由國家安全會議以及行政院共同召開「資安及國安策略會議」,並於9月擬定要在2017年推動「資安旗艦計畫」,由各個部會針對資安議題提案,計畫審查後將編列相關預算去執行該計畫。

簡宏偉表示,目前8大資安旗艦計畫已經由科技部進行彙整,送交立法院在第二會期(俗稱預算會期)進行審查,目前初估8大資安旗艦計畫預算為8億元,其他資安預算則包括先前規畫的「106年加速政府資安防護計畫」編列2億元,技術服務中心預算編列4.26億元,以及其他散見各部會,由部會編列的資安相關預算約為9億元,目前政府在2017年所有編列與資安相關預算,大約為25.7億元。

根據資安處和科技會報的統計,以2016年為例,資安相關預算大約為12億元左右,2017年編列的資安相關預算則增加一倍以上,顯見政府願意在資安領域多投入更多預算。

至於整體資通訊相關經費,科技會報依照各部會提報計畫內容經費做統計,2017年資通訊相關經費為291.5億元,歷年來,資通訊相關經費也大約為300億元上下,資通訊編列經費雖然與過往差異不大,但是資安費用占整體資通訊比例,2017年足足增加一倍之多。

目前2017年政府總預算歲入大約編列1兆8,456億元,以資安預算占總預算比例來看,大約為千分之一點三九;而美國在歐巴馬政府時代,投入大約6,261億元臺幣加強政府資安,占美國一年預算中的千分之七。

從臺美資安預算占總預算的比例來看,凸顯兩國對於資安的重視程度以及願意投入的資源,中間的差異目前仍很難以道里計;但若是從臺灣過往資安預算編列的金額來看,今年是歷年來預算最高、預算增加幅度最大的一次。

關鍵基礎設施的主管機關都要建置ISAC

簡宏偉表示,這次8大資安旗艦計畫的內容,最主要目的是希望補足臺灣關鍵基礎設施中的資安作為,畢竟,關鍵基礎設施安全性足以影響多數臺灣民眾生活時,如何事先防範以避免遭到駭客入侵或其他資安威脅等,則是資安處聯合科技部一起評選各部會提出的資安旗艦計畫內容時,重點考量因素之一。

所以,目前所有資安旗艦計畫的基本就是,與關鍵基礎設施有關的主管機關,都必須自建產業相關的ISAC(資安資訊分享與分析中心)、SOC(資安監控中心)和CERT(Computer emergency response teams,電腦緊急應變中心)等三個資安關鍵基礎平臺。

要落實資安防護最重要的基本功夫,就是必須要能夠了解臺灣整體面臨的資安威脅現況,簡宏偉說:「沒有資料就無法分析,就不會知道臺灣面臨哪些資安威脅。」所以,重要的關鍵基礎設施的主管機關,都建立各自資安資訊蒐集分享與分析的平臺後,才真正有辦法做到掌握臺灣關鍵基礎設施面臨的資安動態。

許多人最有印象的就是,金管會將會在今年上半年成立一個由銀行成員組成的F-ISAC,資安處也提供5千萬的經費作為初期平臺建立和維運的費用,後續營運會由參加銀行成員提供相關經費。

簡宏偉表示,根據金管會資訊處的規畫,因應金融科技發展所打造的F-ISAC,其實是一個整合性資安資訊與分析平臺,還會整合資安監控中心(SOC)及電腦緊急應變中心(CERT)功能,打造出具備複合式功能,不只是單純的ISAC平臺而已。

同樣的概念也推廣到其他關鍵基礎設施的主管機關,像是交通部就會建置T-ISAC;衛福部會建置H-ISAC;科技部是關鍵基礎設施中科技園區的主管機關,則會建置S-ISAC;通訊傳播的主管機關NCC(通傳會)原本就已經有建置與各大ISP串接的N-ISAC;政府機關因為有GSN網路,原先就有建置G-ISAC。

教育部是各級學校的主管機關,雖然不列在關鍵基礎設施的範圍中,但原先已經有建置A-ISAC,接下來也會強化學術網路(TANET)相關的資安建置。他指出,目前因為經濟部主管的能源與水資源的關鍵基礎設施,可能會因應未來組改的需求,變成經濟與能源部,因此,原本建置能源相關的M-ISAC,可能進一步拆成能源以及水資源等兩個ISAC。

政府率先制訂ISAC等平臺建置SOP

但是,各部會如果沒有相關平臺建置經驗,可能就會像以往的資訊建置案一樣,部會先寫完RFP(Request For Proposal,需求建議書)之後,再對外進行公開招標,可能又是採用價格標,仍由最低價廠商得標。這樣的問題可能會變成,某些主管機關所建置的平臺,因為採用不同於其他機關的規格和標準,到時候,如何做到不同平臺彼此之間的資料交換和資訊分享,得設法做各種介接,又是一種時間和金錢、心力的浪費。

由於政府對於包括ISAC、SOC或者是CERT的建置都很有經驗,所以,簡宏偉表示,資安處和TWCERT合作,正在著手進行把如何建置ISAC、SOC和CERT的規範、步驟,和所採用的訊息交換標準(像是採用以XML為基準的.stix作為ISAC平臺資料交換的標準)等,整理出相關的標準作業程序(SOP),作為未來各個部會建置相關平臺的共通參考。他認為,有了這樣的共通規範,不論是由哪個廠商得標,彼此的平臺都可以順利做到資料分享與分析。

簡宏偉指出,從研考會到國發會的工作經驗,讓他清楚知道什麼才是有效的管考指標,因此,資安處提供相關單位建置包括ISAC在內的各種資安平臺的SOP,也會和科技部取得共識,會制訂合適的KPI(關鍵績效指標)以避免重複管考。

他認為,資安處在整個資安旗艦計畫中,扮演的是專案經理(PM)的角色,可以實際去檢視每一項計畫的執行進度,且資安處同仁每個人也都要認養一個計畫並深入了解該計畫內容,「唯有真正了解計畫內容,才有辦法去審查和稽核該計畫。」他說。

此外,技服中心也會協調出一個技術團隊,協助資安處進行稽核管理,確認計畫有按照該有的進度進行;如果發現計畫執行有問題,就會發動實地查證作稽核,而這樣的稽核不像以往是定期稽核,而是全年度不管什麼時候都可以發動。

這8大資安旗艦計畫中,除了ISAC的建置外,也包含各部會在「資安即國安」政策方針下所提出來的計畫,例如,內政部警政署為了預防及打擊科技犯罪,並精進刑事科技能量,提出一個強化資安鑑識的計畫內容就是一例。行政院資安處在資安旗艦計畫中,主要負責國家資安防護前導計畫,簡宏偉表示,主要是協助其他部會導入資安處的新構想,包括網路架構調整、安全管理的領域。

2017年伊始,我們開始尋找臺灣資安新動能,從資安預算編列的大幅增加,看出政府願意在資安投注更多的資源和心力,並透過8大資安旗艦計畫的推動,為國家整體資安防護奠定基礎。這是尋找臺灣資安新動能系列一,接下來我們也將繼續將發現到臺灣的資安拼圖,持續呈現給大家。文⊙黃彥棻

 

行政院資安處處長簡宏偉表示,政府推動的8大資安旗艦計畫中,最重要的核心任務之一就是,關鍵基礎設施有關的主管機關,都應該建置產業相關的資安資訊分享與分析平臺(ISAC)。


Advertisement

更多 iThome相關內容