國家資訊安全防護體系運作現況

文 / 國家資通安全會報技術服務中心


隨著網際網路的日益普及以及電子商務的快速成長，資訊能力已經對國家整體競爭力造成長遠影響。對於我國而言，雖然資訊工業的實力已居全球舉足輕重的地位，但在網際網路整體環境與相關應用能力方面仍有待急起直追；面對新世紀的來臨，及早規劃提升我國資訊力是一件刻不容緩的要務。
維護資通安全 刻不容緩
在網際網路時代，對政府而言，主要的任務有三：第一，善用網際網路的力量，提升政府的服務效率；第二，建立完善的法規、標準...等環境，讓企業及人民能善用網際網路所帶來的各種效能；第三，維護資通安全。其中，在第三點的維護資通安全方面，政府首先必須設法解除人民對電子交易的不信任感，以化解發展電子商務的阻礙。目前英、美、日、歐盟等皆已積極從事智慧卡（Smart
Card）的研發與規格制定，並進行各項網路犯罪的相關法律研訂及電子簽章的使用。英國有確保網站品質的TrustUK戳記計畫（Trust
UK Hallmark）；美、日兩國亦相當重視資通安全與加密解密技術之研發工作。凡此種種，都有賴政府行政及立法機構的全力配合，以加速推動相關法規的修訂與通過。




隨著現代資訊化社會的來臨，許多大型企業、金融機構、政府機關以及各軍事單位都相繼採用電腦資訊化作業，以減少人力、物力、財力之投資與維護，於是許多重要的資料都將儲存在電腦中或利用電腦通訊網路進行傳遞。然而，這些儲存或傳遞的資料均可能涉及商業機密、個人隱私權，甚至國家安全之機密。因此，政府也必須制定相關法規，以防範電腦網路犯罪與危機，並維護資訊系統安全。尤其在資訊戰爭的威脅下，政府更重要的課題是必須有能力防止他國運用各種手段展開攻擊；面對各國全力發展資訊戰的威脅，我國資訊及通訊安全之維護，已成為最重要的主題。



建立國家資通訊系統通報及應變機制
由於資通訊安全基礎建設發展涵蓋範圍廣泛，舉凡政治、心理、經濟、科技和軍事等各領域，均可能被他國運用資訊技術手段爭奪資訊優勢的目標，而為確實掌握我國政府機關（機構）及重要民間業者之資訊及網路系統免遭受破壞，或在不當使用等緊急事故發生時，能迅速作必要之應變處置，並在最短時間內回復正常運作以降低該事故可能帶來之損害，因此有必要建立國家層級之資通訊安全指揮機制，並結合內政、外交、國防、財政、教育、法務、經濟、交通等部會及國家安全局，針對電力、電信、金融、交通等國家基礎建設之安全防護，共同研析相關因應作為，透過協調各部會積極規劃建立國家資通訊系統通報及應變機制，方能為我國資通訊安全提供最佳之保障。


國家資通安全推動策略
為推動國家資通安全，行政院資訊通信發展推動小組完成撰擬「建立我國通資訊基礎建設安全機制計畫」，並於民國90年1月17日報經行政院通過同意辦理，現就資通安全推動的策略分由政策面、管理面及技術面等三個構面，說明如下：




政策法規推動面

1 宣導資安共識

在數位經濟的網路社會中，民眾在理財、購物、金融交易、申辦政府公文書表時，運用資訊媒體的機會日益增加，而盜錄、偽造、冒用、篡改、入侵、中毒等智慧型犯罪事件層出不窮。就群體而言，系統癱瘓可能造成社會恐慌；對個人而言，則可能造成金錢財物的損失，因此推動資安的首要工作在於宣導資通安全的重要性，建立全民的共識。

2 推動法令制訂

電子交易之運用日益普及，為促進電子化政府及電子商務之發展，成立公共金鑰基礎（PKI）推動小組負責研修國家
PKI交互認證及管理政策、健全法制環境、積極推動電子簽章法施行細則、確保電子交易安全。

3 積極建立標準

標準規範的建立是資通安全產業發展及使用者採用產品及系統需求規格的依據，訂定資通安全技術標準、資通安全檢測技術、資通安全驗證方法、資通安全認證程序、資通安全管理標準、資訊產品安全標準、資訊產品安全準則等，為優先辦理的目標。




資安組織管理面

1 設立專責機構

於行政院下設立國家資通安全會報，下設「綜合業務」、「技術服務中心」、「標準規範」、「稽核服務」、「網路犯罪」、「資訊蒐集」及「危機通報」等七個工作組，分別由NICI小組、經濟部、國科會、法務部及主計處等單位推動相關工作。

2 建立通報系統

於國家資通安全會報下常態編設「國家資通安全應變中心」，下設事業機構、國防體系、行政機關、學術機構、民營機構等六個分組。由行政院主計處擔任總召集單位，並負責建立資通安全事前預警機制、彙總各分組有關資通安全事件通報、分析報告及協調技術服務中心提供相關技術支援等事項。

3 規劃安全分級

資通安全危害等級計分為四級。『A』級：影響公共安全、社會秩序、人民生命財產；『B』級：系統停頓，業務無法運作；『C』級：業務中斷，影響系統效率；『D』級：業務短暫停頓，可立即修復。『B』級（含）以下由「國家資通安全應變中心」副召集人處理；到達『A』級時，則由「國家資通安全應變中心」召集人負責處理。




核心技術發展面

1 核心技術研發

推動國家資通安全基礎建設、電子憑證交互認證、密碼模組開發、資通安全產品檢測等關鍵性核心技術，以支持國內資通安全產業的競爭力；另在資訊系統安全的作業上，推動安全保證體系、發展主動偵防技術、建置攻防模擬環境、研發安全漏洞偵測及網路入侵預警系統，為主要的工作項目。

2 資安技術支援

建立宣導網站、提供資通安全防護觀念及相關即時資訊。成立技術服務團隊、執行主動偵測及輔導各單位對系統弱點部分進行改善。另蒐集國內外訓練機構之資通安全教育課程，俾利在關鍵時機提供必要之資源與協助。




推動國家資通安全整體作法

1.建立PKI公開金鑰基礎建設

為提升我國網際網路及電子商務國際競爭力，應儘速建立安全及可信賴之網路環境，規劃CA認證機制，將可建立安全及可信賴的認證制度，促進政府網際服務網、國內網際網路及電子商務的應用發展。民國90年10月編成PKI推動小組積極推動，成立憑證政策審定單位，憑證互通管理機構及政府單位各級憑證管理中心等事宜。

2 建立安全服務團

成立固定編組之安全服務團，平時擔任國內政府機關及重要民間網站之弱點偵測、入侵追蹤及提供相關修補建議等工作，在重點時間對國內各重要網站提供網站掃描及監控，即時對遭受入侵的網站及相關資通安全之重要訊息提供緊急通報，俾利狀況處理。

3 訓練推廣

蒐集國內各公民營資訊訓練機構相關之資安教育訓練課程，彙整公布於網站提供各界參考，並規劃對政府及重要民生事業機構之主管及資安人員按實際需要辦理不同層級的資安教育訓練，俾能落實資通安全的工作，確保國家安全。



未來展望
資通安全工作是個長期的、無止境的攻防與挑戰，因此，在短期的工作目標上，以建立國家層級的通報系統，達到遭遇資訊戰攻擊時能作到預先防制、應變處理及事後復原的基本要求為主；在長期的工作目標上，則期望能建立與國際接軌的資安機制，一方面能推動資安產業在國內自力研發的能力，一方面能大幅提升國內工商產業在國際商業上的競爭力。