總統府國家安全會議諮詢委員 李德財

臺灣不只在地理位置具有戰略地位,連面對詭譎多變的網路戰爭中,臺灣也同樣扮演關鍵的角色。從這麼多年推動政府、企業重視資安的經驗,我們可以發現,長期面對中國網軍鎖定攻擊的臺灣政府部門,也逐漸「從做中學」,彙整多年遭到攻擊的經驗,「三折肱而成良醫」,逐步累積相關攻擊手法與防禦方式,現在,臺灣政府或許是全世界最懂得中國網軍攻擊手法、也知道該如何防禦的被鎖定攻擊對象,而這樣的經驗,成為臺灣在面對來自中國網路攻擊的優勢。

臺灣發展資安的重要機會,在於能否累積足夠的攻防經驗

根據行政院資安處公布的2018年政府服務網路(GSN)監看及防護資料,當中顯示,每個月有大約2億次的網路掃描(Port Scan),駭客企圖探測政府網路的各種弱點;在此同時,每個月則有2千萬次到4千萬次的網路攻擊,全年合計有超過3億6千萬次對政府網路的攻擊,目的則是希望透過入侵臺灣政府網路、取得政府相關重要機敏資訊。

從統計結果來看,實際上,有成功突圍的攻擊行為,全年大約為360起左右,其中有12起資安攻擊事件,列為資安等級三級以上的重大資安事件,其他的則是資安等級一級、二級的輕微資安事件,像是網置換等狀況。也就是說,平均每一天,網軍會成功攻擊一次,若以每個月而言,會有一次三級以上的資安攻擊事件,這也顯示,臺灣政府對於資安防護的成功率高達99.9999%。

當然,資安沒有百分之百的安全,只要有其中0.0001%的風險,都有可能成為駭客成功入侵的破口,對於相關的網路攻防,我們絕對不能掉以輕心,所以,政府每年都會做各種資安稽核,以及相關的攻防演練,透過模擬來強化政府的資安防護能力,並分享與累積機關資安管理及網路安全的防護經驗。

總統府國家安全會議諮詢委員 李德財:從現有的國安會、行政院資安處,以及國家通訊傳播委員會(NCC)等機構,已經形成臺灣資安鐵三角,透過彼此合作,也讓政府有能力更快速因應並處理各種資安事件,對於所轄機關及全民資安意識的宣傳與提升,也不遺餘力。 攝影/洪政偉

中美貿易戰開打,臺灣遭到的網路攻擊也升溫

近期中美貿易大戰開打後,臺灣並沒有從中缺席。

中國網軍接受到中國政府高層的任務指派,大幅度提升竊取資通訊敏感科技的情報蒐集,根據國內與國外知名的資安監控與預警中心(SOC)的研究報告指出,光是在2018年下半,疑似中國網軍攻擊的頻率明顯增加,採取的攻擊方式也有所不同,從以往的跳板攻擊轉向直接攻擊,到了去年8月後,又轉回使用跳板攻擊,並且租用東歐國家等第三國雲服務作為跳板攻擊。關於這種種手法的彈性轉變,都使得資安防護的難度更加提升。

事實上,網路戰爭是實體戰爭的前哨戰,當中國網軍攻擊與入侵的行為升溫時,也代表兩國情勢趨於緊張,因此,國安會資安辦與行政院資安處、通傳會、國防部資通電軍及國安局等,都持續強化偵防能量,並提高關鍵基礎設施的資安防護等級與作為,以便因應中國網軍帶來的網路威脅。

以目前我國的資安發展態勢來看,行政院以「資安即國安」作為上位概念,在2017年通過第五期106年至109年的「國家資通安全發展方案」,並提出「完備資安基礎環境、建構國家資安聯防體系、提升資安產業自主能量、孕育優質資安菁英人才」等四大策略。

更重要的是,「資安管理法」正式於今年1月1日生效,明定政府機關及指定的關鍵基礎設施業者(CIIP)都受「資安管理法」管轄,讓資安管理法成為政府要求機關單位落實資安的根本母法。

公私協力,提升資安防護力

從現有的國安會、行政院資安處,以及國家通訊傳播委員會(NCC)等機構,已經形成臺灣資安鐵三角,透過彼此合作,也讓政府有能力更快速因應並處理各種資安事件,對於所轄機關及全民資安意識的宣傳與提升,也不遺餘力。

一般而言,要打好網路戰,分成多種層次。以政府和大企業來看,我國優先從關鍵基礎設施建置SOC等基礎建設;然後鎖定高科技與金融產業,例如,針對半導體協會溝通,建立公私協力(Public Private Partnership,PPP)的概念,協助做好產業資安,並透過資安聯防的方式,成立資安服務體系,把能量介接到民間,整合做聯合監控機制。

我國的資安鐵三角也透過公私協力的方式,來強化資安聯防機制。首先,由行政院資安處要求八大關鍵基礎設施業者,建立資安長制度,同時,也設立ISAC(資訊資安情資分享與分析中心)、SOC,以及CERT(資安緊急應變回應中心),並透過TWCERT/CC連結全球資安聯防體系,落實強化資安通報及緊急應變的能量,確保數位國家的安全。

至於國家通訊傳播委員會的部分,經過一年的努力,已經完成建置「國家通訊暨網際安全中心(NCCSC)」,透過維護八大關鍵資訊基礎設施領域的資訊網路骨幹,強化早期預警、持續控管與維運、通報應變和協助處理與改善等四大面向的運作,藉以確保該資通訊業者可以「持續營運」,並讓民眾可以安心與便利享受各項資訊服務。

推動關鍵基礎設施的測試場域,鼓勵臺灣資安業者投入

在此同時,政府也投入更多的資源在推動「資安旗艦計畫」,以及「前瞻基礎建設計畫」,不僅要強化關鍵基礎設施業者的資安防護能力,也要積極做到區域資安聯防及服務整合的概念,將地方政府納入國家資安防護網,並提升智慧城市的資安防護能量。

同時,政府也積極提升資安產業的自主能量,希望有更多本土資安業者可以投入關鍵基礎設施的防護,因此,從2016年開始,政府希望透過油、水、電等關鍵基礎設施業者,將汰換的工控系統釋出,作為本土資安業者練兵的測試場域(Test Bed),參與的資安業者,也從2017年的三家,增加到2018年的七家。

未來,政府也會加速推動資安工業合作案,由政府釋放更多的測試場域,結合國外工控設備大廠,以及民間資安產業的力量,透過公私協力的方式,提升臺灣資安創新與創業的能量。

當然,在2018年9月正式對外公布的《資安戰略報告》也是公私協力的最佳展現,透過座談會集思廣益,加上納入近八十位民間產業專家與學者意見所得出的成果,最終希望可以強化全民資安意識、凝聚各界共識,真正做到為「數位國家、創新經濟奠定堅實的基礎。

為了確保資安稽核的有效性,政府也會開始逐步推動第三方驗證(Independent Verification and Validation,IV&V)。在這項工作的初期,會先以金融業為主,針對資安滲透測試,做第三方獨立驗證,確認資安滲透測試的結果是否真正達到目標。

最後,沒有信任就沒有安全的前提下,臺灣多年的民主自由及信任,是臺灣推動資安時的最大優勢,先前推動IP Cam監控攝影設備的安全標準,許多已經遵循相關規範的臺灣業者,整體財報都有很大的成長,而這就是產品獲得信任的最佳例證。口述⊙李德財、文⊙黃彥棻 本文出自《iThome 2019臺灣資安年鑑》


Advertisement

更多 iThome相關內容