【資安周報第56期】尋找臺灣資安新動能系列報導（一）：2017年政府資安預算編列25億元，歷年最高

立法院在這個預算會期正要審查2017年相關政府預算，根據科技會報的統計，今年度的資安預算編列高達25.7億元，比去年增加一倍之多；資安預算占國家整體預算比例，占比也從去年的千分之零點七一，提升到今年千分之一點三九的占比。

在今年資安預算編列項目中，行政院資安處處長簡宏偉表示，8大資安旗艦計畫將是年度資安計畫的基礎，透過強化關鍵基礎設施的資安防護措施，進一步達到提升整體國家資安防護能力。其中，與關鍵基礎設施相關的主管機關都必須在今年度，擇一完成包括ISAC（資安資訊分享與分析中心）、SOC（資安監控中心）或者是CERT（Computer emergency response teams，電腦緊急應變中心）重要的資安資料蒐集與分析平臺。

簡宏偉說：「強化8大關鍵基礎設施的ISAC等平臺的建置，將有助於提升國家整體資安防護能力，也可以讓國家的資安防護，從點進一步延伸到線和面的層次。」

2017年政府資安預算編列25億元，歷年最高

行政院在2016年8月1日正式成立資安專責機構資通安全處（簡稱資安處）後，並在同年8月，由國家安全會議以及行政院共同召開「資安及國安策略會議」，並於9月擬定要在2017年推動「資安旗艦計畫」，由各個部會針對資安議題提案，計畫審查後將編列相關預算去執行該計畫。

簡宏偉表示，目前8大資安旗艦計畫已經由科技部進行彙整，送交立法院在第二會期（俗稱預算會期）進行審查，目前初估8大資安旗艦計畫預算為8億元，其他資安預算則包括先前規畫的「106年加速政府資安防護計畫」編列2億元，技術服務中心預算編列4.26億元，以及其他散見各部會，由部會編列的資安相關預算約為9億元，目前政府在2017年所有編列與資安相關預算，大約為25.7億元。

根據資安處和科技會報的統計，以2016年為例，資安相關預算大約為12億元左右，2017年編列的資安相關預算則增加一倍以上，顯見政府願意在資安領域多投入更多預算。

至於整體資通訊相關經費，科技會報依照各部會提報計畫內容經費做統計，2017年資通訊相關經費為291.5億元，歷年來，資通訊相關經費也大約為300億元上下，資通訊編列經費雖然與過往差異不大，但是資安費用占整體資通訊比例，2017年足足增加一倍之多。

目前2017年政府總預算歲入大約編列1兆8,456億元，以資安預算占總預算比例來看，大約為千分之一點三九；而美國在歐巴馬政府時代，投入大約6,261億元臺幣加強政府資安，占美國一年預算中的千分之七。

從臺美資安預算占總預算的比例來看，凸顯兩國對於資安的重視程度以及願意投入的資源，中間的差異目前仍很難以道里計；但若是從臺灣過往資安預算編列的金額來看，今年是歷年來預算最高、預算增加幅度最大的一次。

關鍵基礎設施的主管機關都要建置ISAC

簡宏偉表示，這次8大資安旗艦計畫的內容，最主要目的是希望補足臺灣關鍵基礎設施中的資安作為，畢竟，關鍵基礎設施安全性足以影響多數臺灣民眾生活時，如何事先防範以避免遭到駭客入侵或其他資安威脅等，則是資安處聯合科技部一起評選各部會提出的資安旗艦計畫內容時，重點考量因素之一。

所以，目前所有資安旗艦計畫的基本就是，與關鍵基礎設施有關的主管機關，都必須自建產業相關的ISAC（資安資訊分享與分析中心）、SOC（資安監控中心）和CERT（Computer emergency response teams，電腦緊急應變中心）等三個資安關鍵基礎平臺。

要落實資安防護最重要的基本功夫，就是必須要能夠了解臺灣整體面臨的資安威脅現況，簡宏偉說：「沒有資料就無法分析，就不會知道臺灣面臨哪些資安威脅。」所以，重要的關鍵基礎設施的主管機關，都建立各自資安資訊蒐集分享與分析的平臺後，才真正有辦法做到掌握臺灣關鍵基礎設施面臨的資安動態。

許多人最有印象的就是，金管會將會在今年上半年成立一個由銀行成員組成的F-ISAC，資安處也提供5千萬的經費作為初期平臺建立和維運的費用，後續營運會由參加銀行成員提供相關經費。

簡宏偉表示，根據金管會資訊處的規畫，因應金融科技發展所打造的F-ISAC，其實是一個整合性資安資訊與分析平臺，還會整合資安監控中心（SOC）及電腦緊急應變中心（CERT）功能，打造出具備複合式功能，不只是單純的ISAC平臺而已。

同樣的概念也推廣到其他關鍵基礎設施的主管機關，像是交通部就會建置T-ISAC；衛福部會建置H-ISAC；科技部是關鍵基礎設施中科技園區的主管機關，則會建置S-ISAC；通訊傳播的主管機關NCC（通傳會）原本就已經有建置與各大ISP串接的N-ISAC；政府機關因為有GSN網路，原先就有建置G-ISAC。

教育部是各級學校的主管機關，雖然不列在關鍵基礎設施的範圍中，但原先已經有建置A-ISAC，接下來也會強化學術網路（TANET）相關的資安建置。他指出，目前因為經濟部主管的能源與水資源的關鍵基礎設施，可能會因應未來組改的需求，變成經濟與能源部，因此，原本建置能源相關的M-ISAC，可能進一步拆成能源以及水資源等兩個ISAC。

政府率先制訂ISAC等平臺建置SOP

但是，各部會如果沒有相關平臺建置經驗，可能就會像以往的資訊建置案一樣，部會先寫完RFP（Request For Proposal，需求建議書）之後，再對外進行公開招標，可能又是採用價格標，仍由最低價廠商得標。這樣的問題可能會變成，某些主管機關所建置的平臺，因為採用不同於其他機關的規格和標準，到時候，如何做到不同平臺彼此之間的資料交換和資訊分享，得設法做各種介接，又是一種時間和金錢、心力的浪費。

由於政府對於包括ISAC、SOC或者是CERT的建置都很有經驗，所以，簡宏偉表示，資安處和TWCERT合作，正在著手進行把如何建置ISAC、SOC和CERT的規範、步驟，和所採用的訊息交換標準（像是採用以XML為基準的.stix作為ISAC平臺資料交換的標準）等，整理出相關的標準作業程序（SOP），作為未來各個部會建置相關平臺的共通參考。他認為，有了這樣的共通規範，不論是由哪個廠商得標，彼此的平臺都可以順利做到資料分享與分析。

簡宏偉指出，從研考會到國發會的工作經驗，讓他清楚知道什麼才是有效的管考指標，因此，資安處提供相關單位建置包括ISAC在內的各種資安平臺的SOP，也會和科技部取得共識，會制訂合適的KPI（關鍵績效指標）以避免重複管考。

他認為，資安處在整個資安旗艦計畫中，扮演的是專案經理（PM）的角色，可以實際去檢視每一項計畫的執行進度，且資安處同仁每個人也都要認養一個計畫並深入了解該計畫內容，「唯有真正了解計畫內容，才有辦法去審查和稽核該計畫。」他說。

此外，技服中心也會協調出一個技術團隊，協助資安處進行稽核管理，確認計畫有按照該有的進度進行；如果發現計畫執行有問題，就會發動實地查證作稽核，而這樣的稽核不像以往是定期稽核，而是全年度不管什麼時候都可以發動。

這8大資安旗艦計畫中，除了ISAC的建置外，也包含各部會在「資安即國安」政策方針下所提出來的計畫，例如，內政部警政署為了預防及打擊科技犯罪，並精進刑事科技能量，提出一個強化資安鑑識的計畫內容就是一例。行政院資安處在資安旗艦計畫中，主要負責國家資安防護前導計畫，簡宏偉表示，主要是協助其他部會導入資安處的新構想，包括網路架構調整、安全管理的領域。

2017年伊始，我們開始尋找臺灣資安新動能，從資安預算編列的大幅增加，看出政府願意在資安投注更多的資源和心力，並透過8大資安旗艦計畫的推動，為國家整體資安防護奠定基礎。這是尋找臺灣資安新動能系列一，接下來我們也將繼續將發現到臺灣的資安拼圖，持續呈現給大家。文⊙黃彥棻

行政院資安處處長簡宏偉表示，政府推動的8大資安旗艦計畫中，最重要的核心任務之一就是，關鍵基礎設施有關的主管機關，都應該建置產業相關的資安資訊分享與分析平臺（ISAC）。