近年來,隨著全球數位科技快速演進,網路攻擊不僅更加頻繁,手法也更為多樣且隱密。這些攻擊不再局限於資訊領域,更深入政治、經濟、軍事甚至民生基礎設施,已成為當代國家安全面臨的重要挑戰。在這樣的背景下,臺灣也公布最新的《國家資通安全戰略2025》。
《國家資通安全戰略2025》是在因應全球資安威脅升級與新興科技挑戰的背景下,由國安會諮詢委員李育杰等專家與政府高層共同研擬而成,核心目標在於強化臺灣的整體資通安全能力,構築一個兼具韌性與穩定性的數位國家。
李育杰指出,臺灣在面臨複合式戰爭形態以及多元化的網路攻擊情境時,若欠缺整合性且前瞻的防護策略,恐將在未來的國際競局中陷入被動。正因如此,政府提出了《國家資通安全戰略2025》,冀望透過更縝密且宏觀的規劃,使臺灣得以應對日趨嚴峻的網路威脅,同時維繫國家安全與社會福祉。
從《資安即國安》到《國家資通安全戰略2025》
在民主陣營中,資訊公開與網路自由度高,一方面鼓勵了創新發展,另一方面卻也為網路攻擊提供了相對開放的環境。因此,民主國家在制定國家資安戰略時,更需在維護公民自由與保障國家安全之間找到平衡點。
「資安是民主國家的防衛基礎,」李育杰認為,「資安與民主價值並非二選一」,而是如何在制度層面拿捏適當的尺度,建立更堅實的防禦體系,同時仍然尊重人民基本權利。
在「國家資通安全戰略2025」之前,臺灣已有數次重要的資安策略發展。李育杰提到,「資安即國安」理念從2016年蔡英文總統執政以來便已成為國家政策的核心之一。
最初2018年發布的《資安即國安》版本,以政府內部的資安體制建構為核心目標,推動跨部門的協作,大致確立了資安「鐵三角」的概念,包括強化資安治理、推動關鍵防護技術與培育人才,但因政府組織尚未調整到位,加上預算歸屬與編列方式並不穩定,執行成效雖有進展,卻也受限。
而蔡英文政府在2021年推出的《資安即國安2.0》,則更進一步深化了跨部門的聯防架構,政府在延續原有精神的同時,將防護範疇進一步擴大,建立起由國安會、國安局、國防部、調查局、刑事局以及數位發展部共同構成的「資安六塊基」聯防機制。這一變革不僅體現了政府對於資安防護需求的深化認識,也為後續數位發展部的成立鋪平了道路,從而促進了人才培育和資安產業的初步發展。
2024年,賴清德總統在就職演說重申,面對來自境外尤其是中國的不斷滲透和各類威脅,臺灣必須從全民意識、法制建構、民主韌性等多個角度入手,形成全面的安全防護體系。他提出,經濟發展策略中將特別重點推動半導體、人工智慧、軍事工業、安全監控,以及次世代通訊這五大信賴產業,藉此構築堅固的國家經濟與安全屏障。
在賴清德總統的政策框架下,除了五大信賴產業的發展,更進一步強調要在全社會層面提升防衛韌性,尤其著眼於能源、關鍵基礎設施,以及運輸、金融和資通網路的安全保護。為此,政府在就職滿月的記者會上宣布成立「全社會防衛韌性委員會」,則希望整合民間資源與政府力量,從國防、民生、災防及民主等四大方面,全面強化國家安全網。
國安會如今在前期建立的堅實基礎與架構上,加上必須因應日趨嚴重複雜的資安威脅,推出了《國家資通安全戰略2025》,不僅延續了資安即國安2.0版的基本戰略方向,也投入更多資源以擴大資安戰備準備,並加入全社會與重要關鍵產業共同防衛的思維,並以持續打造「堅韌、安全、可信賴的智慧國家」作為新資安戰略的願景。
而最新正式公布的《國家資通安全戰略2025》,在延續過去成功經驗的基礎上,特別強化了全社會的防衛韌性、公私協力、關鍵基礎設施的保護以及新興科技應用的安全性。李育杰強調,《國家資通安全戰略2025》延續了《資安即國安2.0版》的基本願景「打造堅韌、安全、可信賴的智慧國家」,但在政策內涵與施行策略上更加細緻且明確,特別突顯『堅韌』的觀念,強調全民共同參與與投入資安防護的重要性。
國際資安局勢的複雜化與高風險化
全球化與數位化的演進,已使網路成為國家與國家之間角力的重要場域。李育杰表示,過去傳統戰爭以陸海空為主,如今則出現「網路(Cyber)戰」的概念,甚至廣義地涵蓋認知作戰與資訊操控等面向。包括中國、俄羅斯、北韓、伊朗等國家,以及來自非國家組織的駭客集團,都積極運用網路攻擊手法,試圖竊取情報、攫取經濟利益或破壞敵對陣營的基礎設施。
由於臺灣面對的資安威脅來源相當清晰,主要來自中國的國家級駭客攻擊。他表示,過去全球主要國家級駭客攻擊團體來自俄羅斯、北韓、伊朗與中國,其中中國對臺灣的威脅尤其明顯且具針對性。
此外,臺灣所處的地緣政治環境,已使我們長期面對對岸的滲透與攻擊;若再加上他國或國際駭客集團插手,資安威脅的複雜度與深度已不容小覷。特別是針對關鍵基礎設施所展開的遠端攻擊,往往在戰略上被視為「先聲奪人」或「癱瘓敵方」的重要手段。倘若平時未做好資安防護,戰時將可能飽受重大衝擊。
李育杰表示,中國的駭客早已不再只是民間團體,他們透過國家力量與民間企業的「公私協力」,以供應鏈攻擊、Living off the Land(LoTL,通常指的是攻擊者利用目標系統內建的合法工具、軟體或系統功能來發動攻擊)等隱密手法對臺灣展開攻擊。
他特別提到2022年美國眾議院議長裴洛西訪臺期間,中國就曾短暫發動「快閃式」網路攻擊示警,這種現象提醒臺灣,未來面對的威脅可能不只是示威,而是真正危及國家安全。
除了國家級的資安威脅外,李育杰也特別關注資安威脅從傳統的惡意軟體攻擊逐步轉向以新興科技為手段,尤其是AI與量子運算的應用。他強調:「雖然AI能協助提升資安防護能力,但同時也增加了資安的複雜性,AI工具本身的安全性與風險也必須納入戰略考量。」
李育杰表示,未來的資安威脅將不再只是單純的軟體漏洞,而是涉及資料安全、AI模型的操控、資料中毒等更複雜的情境,因此政府需提早布局,從治理機制的角度著手,制定相關的安全標準與政策,提前部署防範措施。
李育杰舉例,隨著量子運算技術的日益成熟,現行廣泛使用的RSA、ECC等傳統密碼體系將面臨嚴重的挑戰。他提醒,NIST已提出了後量子密碼(PQC)標準,臺灣也應及早跟進,評估並導入相關技術,確保國家資安不落後於國際趨勢。
攝影/洪政偉
資安戰略四大支柱的挑戰
《國家資通安全戰略2025》是臺灣在面對全球資安威脅升級與新興科技挑戰的重要戰略規劃。為了應對日益嚴峻的資安挑戰與國際局勢的變化,政府提出以四大核心支柱進行整體布局與規劃,強化臺灣的整體資通安全能力。
第一個支柱為「全社會防衛韌性」。李育杰指出,資安問題的解決不僅僅在於技術層面的提升,更關鍵的是必須從全民的資安認知與參與開始,因此,此支柱的核心是推廣全民資安意識,培養全民參與資安防禦的能力,建立全民共同防禦資安威脅的社會韌性。
第二個支柱是「國土與關鍵基礎設施安全」。李育杰強調,現代戰爭形態已經逐漸轉變為混合戰與複合式作戰,而資安攻擊常為傳統戰爭的前奏。特別是關鍵基礎設施一旦遭受攻擊,將會立即且嚴重影響民眾的日常生活與社會安定。因此,針對國土與關鍵基礎設施,必須進一步強化安全治理,避免在危機發生時陷入被動。
第三個支柱是「供應鏈安全」。他指出,供應鏈資安在現今國際貿易與政府運作中扮演極為重要的角色,資安成熟度不足的供應商將直接影響整體資安防禦的有效性。因此,政府應設定明確的資安成熟度標準,並要求廠商提供軟硬體產品的資安履歷,透過資安研發檢測及其他措施,建立起堅固的供應鏈資安防護網絡。
第四個支柱則是「新興科技導入資安應用」。李育杰表示,人工智慧(AI)等新興技術能有效提升資安產業的防禦效率,降低資安人才的培訓門檻。但在導入新興科技時,也須同步注意新科技可能引發的資安挑戰,例如AI本身的安全風險。因此,新科技的導入必須伴隨更全面的風險管理機制。
政府與企業的協作策略
李育杰認為,面對日益複雜的資安挑戰,政府必須更積極地與企業合作。他提到,政府目前已在推動資安防護的過程中,強化對供應商的資安成熟度要求,同時推行更為嚴格的資安稽核機制,例如對政府前十大供應商進行紅隊測試,以更主動的方式提高企業資安水準。
此外,他特別強調政府應協助企業進行資安自評,建立標準化的自評工具,並將資安自評結果作為企業獲得政府資源或合作機會的評估依據,透過此方式逐步提升產業整體資安實力。他表示:「透過清楚的自評工具,企業能更清楚知道自身資安的現況與不足,進而有動力進行改善。」
資安預算正規化:從非常態到經常性支出
李育杰表示,資安建設若要真正落實,資源的投入是最關鍵的環節。然而長久以來,臺灣政府機關對於資安經費的編列仍普遍停留在「臨時性」或「專案性」的概念,導致各機關資安支出缺乏穩定性與連續性。
他進一步解釋,目前政府機關的資安支出多半仰賴科技計畫的經費,然而科技計畫通常是以短期目標為主,結案後經費便中斷,無法長期穩定支應資安工作的運作需求。
他認為,這樣的模式並不健康,應當將資安經費視為「經常門」預算,就像水電費一般,成為各政府單位必須固定編列的基本開支,而非以專案的形式不定期爭取。
李育杰舉例,目前在政府預算體系中,資安支出往往被歸類為「採購」或「專案性支出」,而非經常性預算的一部分。這樣的編列方式導致資安經費每年需重新爭取,缺乏穩定性。例如,某些單位若遇到預算刪減,可能導致防火牆等資安設備無法更新,進而增加資安風險。
主計總處的看法是,資安應該有獨立的科目,或者納入資訊相關預算。然而,根據現行法規,這仍需進一步突破。目前,部分資安服務的採購是可行的,但仍存在分類上的爭議。例如,資安服務是否應納入經常門?某些服務涉及勞務委外,而非單純的經常性支出,這也導致預算的彈性受限。
他認為,若資安預算能夠納入經常門,就如同人事經費一般,成為必須支出的項目,那麼政府機關將能確保資安維護的持續性,而不會因為經費刪減而影響防護能力。
李育杰坦言,長期以來,政府部門對資安的治理多偏重於管理層面,技術層面的投入相對有限。這種觀念源自於早期「資安即管理」的迷思,認為透過完善的管理機制即可降低資安風險。然而,隨著資安威脅日趨複雜,單純的管理手段已無法有效應對攻擊,必須輔以技術防禦,例如零信任架構、多因子認證等。
此外,政府資安技術的發展也受到「委外機制」的影響。過去政府多依賴外部廠商提供技術服務,而自身缺乏足夠的技術能力。這導致政府在資安治理上,主要扮演「管理者」的角色,卻難以直接掌控技術實施的細節。
然而,資安治理不應僅限於管理,而應涵蓋技術與策略。例如,「公民安全」(Public Safety)概念正在逐步推動,要求承接政府案子的業者須符合一定的資安成熟度標準,確保資安防護從源頭開始。
零信任架構的導入與挑戰
近年來,「零信任架構」(Zero Trust Architecture, ZTA)成為資安領域的重要策略,強調「永不信任、持續驗證」,確保每一個存取請求都經過嚴格身份驗證。然而,政府部門在導入零信任架構時,仍面臨諸多挑戰,包括技術落地、適用範圍、以及資源配置問題。
目前某些單位已經推動零信任架構的部分應用,例如採用多因子驗證(MFA)來強化身份識別。但問題在於,許多機關將「零信任」視為單一技術層面的改善,而非完整的安全框架。例如,有單位以為只要全面導入多因子驗證,就等同於實施零信任架構,然而零信任的核心理念遠不止於此。
他認為,零信任理想的做法應該是:盤點關鍵系統,分階段導入——應先針對最具風險的系統進行零信任落實,而非一次性全面導入;建立資安白名單機制——強化存取控制,確保只有授權設備、使用者與應用程式能夠存取敏感資料;強化行為分析機制——透過行為基礎(Behavior-Based)的安全策略,提高偵測異常行為的能力,例如利用機器學習分析用戶行為,判斷是否存在異常存取行為。
這樣的策略不僅能讓資源配置更有效率,也能確保零信任的概念真正落實,而不只是流於表面的技術更新。
此外,資安風險管理的核心,在於如何根據風險等級分配資源,而非對所有系統一視同仁。例如,在密碼安全的討論中,部分專家認為「後量子密碼學」(Post-Quantum Cryptography, PQC)的導入尚未緊迫,因為現階段並無可用的量子電腦能夠破解現有加密技術;然而,若某些機密資料的保密期限長達20年,則必須考量在未來20年內可能出現的風險,像是針對長期保密需求的系統,優先導入先進加密技術(如PQC)。
這種風險管理策略適用於各類資安決策,例如:短期內不涉及高度敏感資訊的系統,則可採用現行加密標準,避免不必要的成本增加。他表示,透過風險評估,確定哪些單位與系統應優先導入零信任架構。這種做法能夠確保資安資源被用在真正關鍵的地方,而不會造成無謂的開銷或效能浪費。
政府資安治理的核心挑戰,在於如何建立一個長期穩定、可持續發展的安全框架,而不只是應對短期的威脅。現行的資安治理多偏向「合規導向」,強調政策與法規的遵循,例如制定資安標準、稽核機制等。然而,合規本身並不等同於安全,真正的資安治理應該包含:
從「合規導向」轉向「風險導向」
現行政府資安治理多以法規為基準,要求各機關符合標準,但未必能因應不斷變化的攻擊手法。未來應強調風險導向的管理方式,根據威脅趨勢與實際風險調整防禦策略。
資安威脅不僅限於單一機關,而是整體政府與產業鏈的問題。例如,若政府機關的委外單位資安能力不足,將對整體安全造成威脅。因此,政府應建立更嚴謹的公民安全標準,確保承包商、供應鏈等皆符合資安要求。
李育杰認為,應該提升政府內部技術能力,減少對外部依賴。過去政府在資安技術層面多依賴委外,導致內部缺乏關鍵技術專才,難以掌控核心資安機制。未來應推動資安人才培育計畫,提升政府內部技術能力,確保關鍵資安技術能由內部團隊主導。
例如,傳統資安機制多以靜態規則為基礎,例如設定固定的防火牆規則、存取權限等,但這些方式難以應對變化迅速的資安攻擊。未來應導入動態資安監控機制,結合人工智慧分析、威脅情報共享機制,以提升資安防護的即時性與精準度。
跨部門協作的重要性
資安不只是資訊部門的責任,而是所有政府單位都應共同關注的議題。因此,政府應推動更有效的跨部門協作機制,以確保資安治理能夠全面落實。例如:建立跨機關資安應變小組——確保發生資安事件時,各機關能快速協作、有效應對,而非各自為政。
制定統一的資安標準與最佳實踐——避免不同機關採用不一致的資安政策,導致安全漏洞;強化與產業界的合作——透過與民間企業、資安研究機構的合作,掌握最新攻擊手法與防禦策略。
李育杰認為,政府資安治理的未來發展應朝向制度化、技術導向與跨部門協作的方向前進。透過資安預算的正規化、零信任架構的導入、風險導向的資安管理,以及提升政府內部技術能力,才能建立真正穩固的資安防禦體系,應對日益嚴峻的資安挑戰。
公私協力提升資安治理效率
隨著資安威脅日益複雜,單憑政府力量顯然不足以因應快速演進的資安挑戰,因此《資安戰略2025》特別強調公私協力與國際合作的必要性。
李育杰指出,政府與民間必須共同建立更加密切的資訊分享平台,將情資即時交流,形成完整的防禦生態系統。他進一步說明,政府目前計劃推動對前十大政府供應商進行紅隊(Red Team)模擬演練,由廠商自費六成,政府補助四成,進行主動防禦與安全測試,從而提高整體資安防護水準。
他舉出美國政府的例子,美國聯邦政府設有18F等單位,專門從產業界聘請專家協助部會進行數位轉型與資安防護,台灣未來也應借鑑類似模式,建立國家級的資安快速反應團隊(如資安快打旋風),定期巡檢各項重要基礎設施,並提供人才培訓、工具分享與國際情報合作,達到提升整體防護能力的目的。
資安人才培育:降低門檻,提升專業力
李育杰觀察,當前資安人才供不應求,人才的培育速度遠不及產業需求。他認為解決資安人才短缺的問題,必須透過制度性的培育、鼓勵年輕世代投入資安領域,同時輔以先進科技手段,例如運用人工智慧(AI),降低入門門檻,讓更多年輕人能快速投入資安工作。
他提到,資安院與資安卓越中心(CCoE)應扮演重要的角色,提供免費的基礎課程,並邀請資安產業內的「大神」擔任講師,提供高階技術訓練,為產業培育真正具備高度能力的人才。此外,透過資安稽核和自評表制度,引導企業或機關自行檢測資安成熟度,從而達到內部自我提升的目的。
李育杰表示:「資安的人才永遠不夠,但通過好的AI工具、有效的培訓計畫與公私協力的人才交流機制,能有效紓解人力不足的問題,同時提升整體的防護能力。」
未來展望與資安治理的長期策略
展望未來五年,李育杰認為臺灣在資安領域將面臨三大挑戰:首先是國際地緣政治的持續變化導致資安威脅更加複雜;其次是國內資安治理機制的升級與改革;最後則是資安人才的培育與維持。
李育杰建議,臺灣應加強國際合作,不僅與美國、日本、歐盟等民主國家建立緊密的資安合作關係,更要積極參與國際資安論壇與聯合演習,從經驗交流與實務合作中累積實力。
在資安治理方面,他強調政府必須持續強化現有機制,例如加強國家資通安全會報的執行力,設立具專業背景的資安執行長來協助行政院副院長的統籌工作,避免因人事更迭而影響資安工作的連續性。
此外,李育杰更建議政府應參考國際經驗,成立跨部門的「國家資安戰情協同應變中心」,進行統一的資安情資掌握與協同應變調度,以確保全國資安情勢能得到即時掌控與快速反應。
李育杰總結,國家資通安全《資安戰略2025》的推出是一個新起點,政府與企業、公私協力,以及國際間的合作都必須持續深化。「臺灣在資安上的努力不能只是『漸進式』的改變,而是要有大膽且迅速的轉型,以面對迫切的危機。」李育杰表示,只有透過公私部門的通力合作、資安預算的正規化及資安人才的全面培育,才能建構出符合未來需求的完整資安防禦體系。
熱門新聞
2025-05-22
2025-05-19
2025-05-19
2025-05-19
2025-05-20
2025-05-20
2025-05-20