iThome
如果說,中央政府各級機關分別代表人的頭腦和軀幹,那地方政府往往就代表人的四肢,只不過,如果人的循環代謝不好,末稍神經訊息傳遞不良,無法順利把頭腦和軀幹的訊息順利傳送到四肢時,經常就會出現腳掌被腳踏車壓到,但頭腦無法接收到痛感的現象。
行政院資安處處長簡宏偉表示,這其實就是目前臺灣中央政府和地方政府在資安防護上遇到的真實現象,中央政府被視為駭客鎖定攻擊的標靶時,各種防護機制也隨之強化,但是鞭長莫及的地方政府卻成為整體政府資安防護上的「必然漏洞」,尤其當有許多第一線的基層機關,還在使用十年前採購的電腦和不安全的微軟XP作業系統時,更侈言臺灣政府的資安防護有多全面。
XP是明顯資安漏洞,初估基層機關至少需汰換萬臺電腦
還記得去年8月,嘉義市政府建設處工商科就曾經發生一起高齡11年的筆記型電腦,鋰電池爆炸自燃的意外事件,這起事件因為沒有造成人員傷亡,爆炸的電腦也以報廢作結。但從這個新聞事件可以發現,還是有很多地方政府第一線員工所使用的電腦,使用年限甚至已經超過十年,最主要的原因在於,有許多地方政府、機關和學校所採購的電腦,都是利用2008年推出的擴大內需發展方案時先後採購的,如果相關的電腦設備還持續使用迄今,也都大約十年左右。
但在過去十年間,除了微軟作業系統XP已經在2014年完全終止所有的產品支援與軟體更新外,整體的網路環境更形複雜,以及有更多不一樣的網路攻擊鎖定臺灣公務部門,例如針對式攻擊的APT(進階持續性威脅)攻擊等,都已經是臺灣政府無法忽視的資安風險。
中央機關與部會因為多屬A級和B級單位,對於資安的要求有一定水準,如果有電腦設備汰換需求,也往往可以在使用年限內,順利編列預算汰換;若是地方政府管轄的機關,有資源的地方政府可能會願意編列電腦汰換的預算,更多則需要仰賴中央政府伸出援手,協助這些地方政府所管轄的機關部會,有機會編列汰換電腦設備的預算。
簡宏偉表示,政府是一體的,中央政府資安環節已經逐步跟上的同時,有許多地方政府也需要跟上政府對資安要求的腳步,而最實際的作為就是協助這些地方政府的機關部會汰換老舊、高風險的電腦,「目前初估需要汰換的電腦就超過上萬臺,但詳細的數字仍須由部會和地方政府回報。」他說。
打造六都資安區域聯防,才是基層機關資安防護的真諦
政府組織往往範圍太過龐大,除了中央政府之外,臺灣總共22個直轄縣市政府,都在「政府」的定義之下。在政府一體的前提下,不論是中央政府或是地方政府,即便中央政府和地方政府的任務和預算有所區別,現任執政者是需要全部概括承受所有的毀譽和責任。
因此,為了展望未來三十年的臺灣經濟發展需求,行政院國家發展委員會推出前瞻基礎建設計畫,希望可以由政府帶頭強化投資動能,也藉此帶動國家整體經濟成長。行政院希望透過未來8年支出8,824.9億元,可以吸引公民營企業投資超過兆元(1兆777,7.3億元)。
其中,在關鍵基礎建設計畫中,編列數位建設特別預算有460.69億元,外加其他預算272.11億元,並針對網路安全、寬頻建設、內容建設、服務建設和人才建設等五個項目規畫內容和預算;其中,網路安全專案政府編列138.8億元,而資安處主要是負責強化政府基層機關資安防護及區域聯防專案,預算編列共35億元,約占該專案的4分之1。
假設,共同供應契約一臺桌上型電腦加上螢幕初估3萬元,最少需要汰換1萬臺地方政府鄉鎮市公所超過10年以上的電腦,至少需要花費3億元以上;若是需要汰換2萬臺電腦,需要花費6億元左右。
但除去這些終端電腦的汰舊換新外,簡宏偉認為,這種產品更新背後的目的就是要解決許多基礎資料該如何落實的問題。他進一步解釋,更換新的電腦可以做到強化基層機關資安防護,除了提升電腦使用效率外,也因為是使用比較安全的作業系統,也可以減少這些地方政府機關面臨的資安風險。
未來所有資安相關的設備採購,工業局都會盡可能的放上共同供應契約,讓各個機關可以自由選購,但是,簡宏偉認為,這次針對基層機關的設備汰換,如果只是單純的「更換電腦和螢幕」,可能又回歸傳統的設備削價競爭上,並不能真正達到資安處希望強化基層資安防護的想法。因此,他表示,這次的基層機關電腦設備的汰換,不會只是單純的軟硬體設備的更新,而是必須要搭配其他的資安服務,藉此完善基層機關的資安防護機制。
簡宏偉認為,行政院推出數位建設中的「強化政府基層機關資安防護級區域聯防」,關鍵絕對不在於協助地方政府機關汰換電腦,而是透過這一波電腦的更新,讓更多基層公務人員至少有安全的作業系統可以使用外,更重要的是,要打造以六都帶頭的區域資安聯防計畫,更可以進一步結合各縣市政府想要發展的智慧城市,並帶動區域治理,才是這個資安專案最重要的意義。
「更重要的關鍵是在區域聯防,」簡宏偉指出,透過六都或者是有意願的縣市政府打造六個區域治理平臺,也可就近和各大區網中心合作,針對不同區域所需要打造的智慧城市樣貌,以及提出所需要資安聯防的服務。但是,這目前需要由地方政府主動提報相關的計畫申請,透過一個資安聯防的區域概念,讓地方政府的資安可以因為區域聯防的方式有所提升。
也因此,他表示,目前資安處也正在訂定相關的原則,希望將資安與服務連結,同時設計一套機制可以結合中央與地方政府的需求,面對汰換下來的電腦設備,則必須落實相關的資料刪除與清理等環節。
資安計畫僅占前瞻基礎建設的1%
從整個前瞻基礎建設中的預算分配,數位建設編列特別預算460.69億元,其他預算272.11億元,只占整體預算分配的8.3%,比例並不高,而數位建設就是希望打造一個超寬頻網路社會,可以做到城鄉連網零落差、優質寬頻隨手得。
行政院科技會報引述世界銀行2016年世界發展報告指出,「寬頻普及率每提高10%,GDP(國民生產毛額)可增加約1.21%,」 因此,政府也希望藉由推動Gb級的寬頻網路建設,實現數位4.0的智慧生活,像是3D實境即時導航 、自駕車、無人機的智慧交通;或者是即時防救災、環境品質智慧治理的智慧安全 、甚至是超高畫質3D影像協助遠距或緊急事故醫療的智慧醫療都是數位4.0生活的印證。
數位建設包含範圍很廣,在網路安全的預算編列中,簡宏偉表示,與資安處直接相關的資安預算其實只有2項,分別是強化政府基層機關資安防護及區域聯防(預算編列35億元),另外就是比較大範圍的強化國家資安基礎建設,總額60億元的預算編列中,資本門6億元是編列特別預算,另外經常門54億元則是由其他預算支應。
以行政院規畫的前瞻基礎建設的分類,數位建設預算比例不超過1成;若把資安處直接負責的資安相關計畫與預算來看,資安預算也只占數位建設的13%。畢竟,相對其他需要更龐大土方建設的預算編列來看,資安相關預算及計畫占整體前瞻基礎建設的1%。但直白而言,資安專案在未來國家重要的兆元投資的規畫中,仍僅占滄海之一粟的比例。
熱門新聞
2024-12-10
2024-11-29
2024-12-10
2024-12-11
2024-12-10
2024-12-08