資安事件頻傳,驅使政府不斷與駭客進行攻防演練。我國資安規範與參考指引發展,從民國94年至今,便不斷針對機關內部需求,來擬定、修正相關內容。目前政府在Web應用程式、E-mail及電子資料保護等三環節上較為脆弱,因此將以此擴大實務導入。行政院研考會表示,三項參考指引早已在機關內實際導入,現在則是依據各機關單位導入後的需求進行增修,調整出最實用、可執行性的制度。
中華民國資訊軟體協會「政府資安作業共通規範─資安參考指引發展與推廣」專案協同計畫主持人郭秋田表示,由於Web應用程式普遍存在著承包商應用程式碼撰寫缺失、缺乏檢測工具協助,加上設計程式的承包商後續維護能力不足等問題,使得Web的安全性頻遭質疑。再者,是E-mail的安全,近幾年社交工程攻擊日益趨增,駭客透過內含特別節慶、熱門議題的垃圾郵件,令使用者受騙開啟,進而深入企業內部獲取機密資料。最後,則是電子資料的保護,許多機敏資料因企業單位欠缺資料保護的觀念,常有意或無意的將資料透過USB、網路傳輸、藍芽等方式外洩,造成不可補救的局面。縱觀以上,皆是政府機關目前首要應當保護的項目。
有鑑於此,我國資安規範與參考指引遂不斷針對此來擬定計畫,研考會表示,目前E-mail及Web應用程式已具有相當成熟度,但由於社交工程氾濫與Web應用程式的安全問題是現階段主要兩大威脅,所以會是今年特別注重的核心項目,今年將會開設資安教育訓練課程,以提升對此之認知。而對於E-mail參考指引發展,郭秋田說,現階段目標為A級單位應於今年將惡意郵件開啟、點閱率分別降至10%與6%以下,但郭秋田認為,這部分因涉及較多「人」的成份,需不斷進行攻防演練、提高使用者的正確觀念,推行會具有較高難度。而現階段A級單位僅進行內部社交工程演練,預計今年9月開始,研考會更將涉入,進行年度攻防演練,以提高相關的認知。
最後郭秋田指出,許多企業完全仰賴IT工具,認為有如防火牆等工具就安全無虞,但殊不知應當依照企業內部需求調整安全標準。因此,完善的IT工具及解決方案僅是輔助效果,有一專業的顧問團隊才能將防護工作做到盡善盡美,協助企業修正內部所需符合的資安政策,並將IT設備所產生的大量訊息整合,找出問題以即時解決。