財政部財政資訊中心主任蘇俊榮表示,財政雲是未來10年政府最重要的財政資訊系統。

圖片來源: 

iThome

隨著即將到來的五月報稅月,有許多民眾愛用的稅額試算和網路報稅服務等,都是財政部財政資訊中心歷經長期的規畫與推動,才能達到每年有約200萬名民眾選擇方便快速網路報稅服務的成果。

身為財政部財政資訊中心主任蘇俊榮,在二代稅賦平臺的如期如質完工,扮演相當關鍵的角色,甚至於,專案執行時的農曆年開工日,蘇俊榮甚至在大家還在放假時,就主動打電話和委外廠商拜年、寒暄、盯進度,更完成臺灣第一個政府機關採購軟體品質管理制度CMMI-ACQ。

蘇俊榮表示,財政部財政資訊中心擁有每個人的財產資料,除了要落實資料安全防護和系統存取控管外,為了國家財政資訊系統的長期發展,財政雲更是未來10年國家財政資訊系統能否健全發展的重要關鍵。以下為書面專訪內容:

財政資訊中心掌握全臺民眾的財產資訊,面對雲端和大資料的分析應用的趨勢,有相關的規畫和應用嗎?

財政部主掌全國財政,管理龐大國家資產,業務範圍涵蓋國庫、賦稅、關務、國有財產及促參等業務。為了有效管理國家資產推動財政業務,現有財政相關資訊已累計有數百億筆財政資料,以往採傳統資料處理方式,提供財政決策支援,隨著資料量膨脹的速度愈來愈快、非結構性的資料也愈來愈多,傳統資料處理方式已不堪負荷,難以正確、及時的提供財政決策支援,因此,極需引進大資料分析應用技術,解決目前所面臨問題。

因此,財政資訊中心已著手規畫「財政巨量資料研究中心研發計畫」,主要目標包括:「支援財政決策,健全財政發展」、「提升研發能量,培養財政巨量資料分析人才」;計畫重點則包括:「設置財政巨量資料研究中心」、「建置財政巨量資料分析研究室」、「透過委託或共同研究等方式,與學研界合作,邀請專家學者進駐研究」、「辦理顧問諮詢及教育訓練」及「財政巨量資料應用議題研究」。

包括:維護財政紀律、租稅公平、健全財政、活化國家資產以及靈活調度國庫,都是財政部現階段施政重點。因此,為了達成這些任務,初期已蒐集財政部所屬機關提出的財政巨量資料13項應用議題,未來將與專家學者合作共同研究,並逐年滾動修正議題內容,期能符合施政目標。

財政部的大資料分析應用又如何推動和執行呢?

財政部與科技部合作,運用國家高速網路與計算中心所提供大資料分析平臺服務以進行巨量資料分析應用,並透過雲端運算方式進行。

主要使用的雲端服務包括國家高速網路與計算中心主機(CPU)資源、記憶體資源及雲端儲存空間等IaaS(基礎設施即服務);可以建立Hadoop大資料分析平臺、平臺管理系統(如資源管理與監控機制、帳號與程式管理機制、資通安全防護、資料轉換介接機制)及網路連線建立等PaaS(平臺即服務);當然,最普及的SaaS(軟體即服務)財政資料中心也沒有缺席,主要是透過視覺化分析軟體呈現大資料分析結果。

而這些經過分析的資料,又如何儲存保護呢?

財政資訊中心則建置一套財政資料永保機制,永久保存本部國稅、地方稅、電子發票、關務、國庫、國有財產及促參等資料,每年依照備份永保策略進行資料永保。

政府有越來越多雲端機房建置和共構的想法,財政雲的規畫如何逐步踏實?

財政部主要業務有國庫、賦稅、國產、關務及促參,為推動業務的運作,現階段各主要業務有其應用系統及機房,考量應用系統開發及設備使用年限,短時間內將所有業務納入財政雲機房共構,不符成本效益,也浪費系統開發建置資源。

為逐步踏實推動財政雲,從二方面著手,一是邀集部屬機關成立跨機關之推動小組,由本中心主任擔任總召集人,本部暨所屬各機關副首長擔任召集人,研議財政雲端基礎設施、財政共用應用系統開發標準及應用系統雲端化等事宜。

另一方面我們擬定了中長期的推動方式,讓推動小組的成員,面對未來業務推動時,在資訊系統開發建置方面,有依循的方向及原則。

細部財政雲端服務網的規畫為何?

財政雲端服務網總共分三期推動,逐步將所有應用系統全部移到財政部的雲端機房中。第一期從2015年~2018年,主要的目的是成立「建構財政雲端服務網計畫」,將各機關新興業務納入本計畫辦理,而所需的各項應用系統,則以架設於財政雲端機房為原則,架設於各機關原本機房環境為例外。

第二期推動則是從2019年~2021年,主要是推動財政部共用系統,包括辦公室自動化以及電子公文等,而各機關架設於外網的部分業務系統,則移至財政雲端機房。

最後第三個階段則是從2022年~2024年,主要是將各機關所有架設在外網的系統,全部都移到財政雲端機房;而各機關架設在內網的部分業務系統,也同樣移到財政雲端機房。

資安是財稅資訊系統最在意的環節,沒有安全就沒有服務。就財政資訊中心的作法,除了資安認證外,又如何面對各種內在和外在的資安威脅和攻擊呢?

資訊安全目前已逐漸成為國家級安全議題,財政資訊中心掌管全國財政資料,在資料面具高機敏性,範圍涵蓋全國納稅義務人,對於資訊安全推動及防護更是不遺餘力。

財政資訊中心從制度、技術和系統等三個面向落實資安防護措施。在制度面,從2010年推動「賦稅資訊系統整合再造更新整體實施計畫」後,各地區國稅局稅務系統集中至本中心,並整合各地區國稅局及本中心資訊安全管理制度(ISMS),以「異中求同」、「同中求異」及「持續優化」三階段進行整合、凝聚共識,並於2012年取得六合一資訊安全管理制度ISO27001國際驗證。

在技術面,以防禦縱深角度,布署防毒、防火牆、郵件過濾裝置及IDS/IPS、Web應用程式防火牆等軟硬體設備,在網路規畫採取「實體隔離」政策,輔以7x24資訊安全監控,並配合每年至少辦理2次弱點掃描、1次滲透測試及專業安全檢測等。從事前檢測、事中監控及事後定期稽核,強化資訊安全。

在系統面,主要就是落實權責分工,存取控制上,以使用者─角色─群組─程式做4階層的權限控管;在稽核軌跡上,則採取集中化管理,建置稽核管理系統蒐集使用者行為的人(帳號)、事(業務系統)、時(時間戳記)、地(網路地址)及物(資料庫資料),並提供規則判斷、示警功能、日常自行查核及定期稽核等機制。

本中心從制度面提升同仁資訊安全意識、技術面布建防禦縱深防護及系統面之權限控管與稽核作業,全面性對內在及外在資安威脅及攻擊進行防護,未來除在業務面創新服務外,也將運用新科技、持續優化整體資訊安全。

政府機關一直是駭客APT攻擊鎖定的目標,有許多攻擊手法來自電子郵件。目前,在電子郵件的安全上,財政資訊中心又如何捍衛使用者郵件安全呢?

財政資訊中心對於資安要求極高,資安設備建置完整,在電子郵件寄送的安全防護方面,使用了防病毒及防垃圾郵件伺服器(SPAM)、防毒牆、防火牆、入侵防護系統(IPS),端末電腦也安裝防毒軟體,完善的資安建置可大幅降低惡意攻擊、APT攻擊或被植入木馬程式等惡意程式的機率。

即使不慎被植入木馬程式,也會因財政資訊中心的網路架構是內外網實體隔離而不易外洩資料。加上,每年辦理2次惡意電子郵件社交工程演練及教育訓練,也有助於強化同仁對電子郵件資安意識。

財政資訊中心也建立專業的SOC(資安控管中心)部門負責資安事件的監控及通報,並透過分析各網路設備或主機的登錄檔(Log)判斷是否有異常連線行為。如果有發現ㄛ有異常連線行為,通報,其「持續優化」三階段進行整合,異常連線時,SOC會立即通報給相關負責人確認。因此,財政資訊中心在多重把關下,不會讓惡意攻擊將資料送出去。

政府一體,若要評比臺灣政府和其他國家對於資安防禦的能力,您覺得臺灣的評分為何?和其他國家相較,優劣程度比較為何?對於數位環境中的資安自保之道又是甚麼呢?

由於資通訊產業是政府重點的發展產業,經過幾十年的發展,臺灣的資通訊技術已奠定堅實的基礎,加上資通訊產品在國內的普及率在國際間亦名列前茅,難免會面臨駭客和資安的威脅。尤其對岸擁有國家級的網軍,對我國的資訊安全形成極為嚴重的威脅和挑戰。

有鑑於此,我國政府在行政院層級也成立的國家資通安全會報,督導政府機關落實資訊安全工作,並定期實施各種資安演練及教育訓練;另外也委由技服中心成立NSOC,監控政府重要資訊設備,因此政府機關的資訊安全工作,每年都在持續精進改善。

我相信,在政府的重視和各機關的努力下,我國的資安在國際間應該位列前段班。當然,天下沒百分之百的安全,未來我們將仍以PDCA的方法持續改善資訊安全的防護,以因應駭客日新月異的手法。

面對數位環境一日千里、瞬息萬變,要從心做起,惟有秉持危機意識,時時接收新知,並落實資訊安全,方有機會立足自保。

 

相關報導請參考:「臺灣資安大會現場直擊」


熱門新聞

Advertisement