觀點

強化政府資安防禦能力 從稽核與健診開始

2013 / 02 / 04
廖珮君
強化政府資安防禦能力 從稽核與健診開始

進入資訊化社會,國與國之間的資訊戰也越演越烈,日前在科技會報新春記者會上,行政院科技政委張善政便直接表示,國安局破獲敏感資料外流的事件頻率很可觀,也因此,提昇政府單位資安防禦能力,便成當務之急的工作。

 

除了行之有年的社交工程演練外,科技會報自2012年下半年開始,委由技服中心針對政府單位進行資安稽核與健診,資安辦主任蕭秀琴指出,初期將以持有機敏資料、過去曾經發生過資安事件的單位為主,2012年已完成6個單位的資安健檢,2013年預計擴大到20個單位。

 

張善政進一步指出,資安健檢不是只有找出機關的資安漏洞,還會要求機關提出檢討改善方案,並在健檢後一段時間進行稽核,以確保機關落實強化資安的動作。在此同時,也將重新調整技服中心的定位,將退居第二線,負責分析、處理重大資安事件,對政府資安提出建議或策略規劃,至於第一線資安監控業務則交由民間執行,而技服僅負責協助使用單位評估。

 

其實,除了強化自身資安防禦能量外,建議政府也應積極思考遇到事件時該如何蒐證,透過國家力量進行反制、避免相同事件重複上演。舉例來說,前不久,紐約時報和華爾街日報先後傳出遭大陸駭客攻擊的消息,但一直沒有明確證據,不過之前有兩名匿名美國前官員向美聯社表示,歐巴馬政府的國家情報委員會正準備提出一份新的「國家情報評估(NIE)」,舉證大陸政府在這類網路間諜行動中所扮演的角色,以此強調歐巴馬政府對這類威脅的關切,甚至可能採取外交或貿易上的手段來反制中國。