從去年520上任後,總統蔡英文一句「資安等於國安」的宣示,將中央政府的資安政策,拉高到國家安全的層級,也為臺灣邁向數位國家的基礎方向定調。但是,如何將這個政策願景,轉化為具體的政策方針,一直到11月中,行政院國家資通安全會報發布了第五期的「國家資通安全發展方案」才正式定案。這也意味著,影響未來四年臺灣資安政策發展的指導藍圖,正式出爐了。
這份決定2017年到2020年的國家資安發展戰略中,不同於過去大多聚焦在政府機關的資安,而更進一步要培育臺灣資安產業的發展。行政院更趁這份方案公布之際,也同步舉辦了資安產業策略會議(SRB),要將產業界和學界意見納入未來推動資安產業的參考。
沒有資安,就沒有數位經濟
行政院長賴清德在資安SRB會議總結時指出,政府在數位國家・創新經濟DIGI+計畫中,有一個很重要的目的就是要推動臺灣的數位經濟發展,這必須要有良好的資安環境作為前提,「沒有資安就沒有數位經濟。」他說。
也因此,去年,政府先將過去由行政院主導的資安層級,拉升到總統府的位階,並由國家安全委員會諮詢委員李德財負責,其次則在資通安全會報之外,於2016年8月1日正式在行政院成立專責資安機關「資通安全處」,來強化資安政策的執行力。
另外,政府也開始意識到關鍵基礎設施的安全的重要性,相關預算已在2017年編列了12.4億元,還有在立法院審查的25.7億元,另外在前瞻基礎建設預算中,則有25億元是用於資安基礎建設。賴清德表示,希望在提升臺灣資安防護能力的同時,也能滿足臺灣下一個階段的產業發展需求。
最後一項正在進行中的則是法規面,立法院目前正在審查包括行政院版本在內的6個資安管理法案版本,要作為未來明確規範政府和業者資安作為的參考。
而11月中正式發布的國家資通安全發展方案,則是涵蓋了上面幾項,政府已經完成或正在進行的資安政策,進一步勾勒出未來4年的政府資安發展藍圖。
過去資通安全政策聚焦中央政府
臺灣不是現在才開始重視資安,而是早從2001年,就發布了第一期計畫,第一個重要任務就是成立資安會報,臺灣才開始有計畫性地推動資通安全建設。初期為了建構政府資安防護體系,先建立資安分級來按級實施防禦,並針對關鍵基礎設施推動資訊安全管理制度,另一方面也開始教育政府IT人員和主管的資安意識。到了2005年,進入第二期計畫。有了安全等級分級後,開始建置一個國家級的資安監控中心(NSOC),針對23個機關提供監控與預警服務。
前面兩個時期,都算是打基礎的工作,到2009年,行政院正式發布了「國家資通訊安全發展方案(98年至101年)」版本,這就是所謂的第三期發展方案,其下一口氣推出了30個行動方案,一方面開始重視整體的資安應變能力,並透過多種方法,如資安演練等,來改善政府資安通報應變機制,另一方面,也開始思考民間產業的資安防護,如強化電子商務資訊安全等,要開始將政府資安推動經驗,擴大到民間企業。
儘管早在2009年,行政院就舉辦過一次資安產業的SRB策略會議,以「塑造資安文化、推升資安產值」為題,其中也有計畫要培植臺灣資安產業,也喊出5年300億元資安核心產值的目標,當時趨勢科技創辦人張明正更是直接建議,政府應該朝雲端資安來推動產業。但在第三期發展方案中,仍以內需市場的電子商務安全為主要重點,或是透過政府擴大資安投資來拉抬資安產業。
而從2013年展開的第四期計畫,也就是國家資通訊安全發展方案(102~105年本),因為網路社會的成熟,因為資安不只是政府或企業關心的議題,更是與民眾切身相關。這個階段不只是要保護政府機關,還要防止政府機關的資安疏漏,造成企業或民眾的損失。主要完成工作,包括了成立二線資安監控服務SOC平臺,來強化政府因應資安攻擊的對抗能力,也開始資安外部稽核,以及實施大規模的政府部門網路攻防演練,並訂定了資通訊設備,如電腦的部署政府組態基準(GCB),要求政府電腦設備須符合一定的安全配置。2016年更將這套政府組態基準,擴大推廣到中央部會的所屬三、四級機關,還有地方政府。另外,搭配新版個資法的實施, 政府也訂定了一套「個人資料去識別化」規範,作為個資處理的參考,並由政府機關帶頭試用。
過去四期國家資通安全發展計畫,大多為了強化中央政府的資安防護為主,從但是到了第五期,才開始有了截然不同的新戰略。
在剛正式核定發布的「國家資通安全發展方案(106年至109年)」方案中,主要是依循蔡英文的施政願景,透過第五期方案來造安全可信賴的數位國家,三大目標是建構國家資安聯防體系、提升整體資安防護機制,以及強化資安自主產業的發展。因為政府將資安從行政院執行層級,拉到總統府的層級,也讓三大目標的落實,從中央政府為主,擴大到涵蓋中央與地方的國家級資安戰略,這是過去四期方案最根本上的不同。
在具體的推動策略上,除了從上述三項衍生的「完備資安基礎環境」、「建構國家資安聯防體系」和「推升資安產業自主能量」之外,這份主導未來四年資安政策的藍圖還將培養優質資安人才列入推動策略,為前三項策略培育所需的人才。
第五期方案的四大策略
第一項策略指的基礎環境,主要就是正在立法院審議的資安法規,其次則是技術面的強化國家基礎網路的韌性(具有足夠強度的防禦能力和應變能量)和未來IoT產業發展需要的安全標準。另外還要建立政府資安治理模式,尤其要建立一套國家層級的資安風險管理機制,主要針對國家重要資產和關鍵基礎設施的資安管理。
第二項國家資安聯防體系政策,尤其受到金融業的支持,因為過去一年多來,金融業苦於多種駭客攻擊不斷,對於資安聯防的迫切性更為重視,而地方政府也樂見中央機關開始將全國納入聯防,臺北市資訊局局長李維斌在資安產業發展會議上直言:「對於資安,沒人、沒錢,情資就很重要。」一旦建立了聯防體系後,資安能量不足的地方政府,才更能及早獲得情資來預防資安事件的發生。
目前資安會報下也增設了關鍵資訊基礎設施安全管理組,將國安會、資安處和通傳會串連7個關鍵基礎設施主管部會,來擴大國家資安聯防機制的運作,並計畫要建置8大關鍵基礎設施的國家級ISAC、CERT和SOC,來形成從上到下的三層式資安聯防與合作網路,這就是政府想要實現的國家級資安聯防體系,甚至還能串連到國際情資的分享。不只中央政府,第五期方案也以6都為首,串連周邊縣市資源,建立地方聯合資安防護網,再與國家資安聯防團隊合作。
第五期的第三項策略是培養臺灣資安產業自主能量,這就是發展臺灣資安產業的主要計畫。除了在資安會報中增設產業發展組和國防需求組,將國防需求釋出給國內產業,甚至供臺灣本土資安廠商的練兵之用,作為進軍全球資安市場的支持,這是類似以色列政府培植資安產業的作法,透過國防帶動民間企業實力。
本土資安產業推動又分成兩個作法,一是發展新興資安產業,另一則是輔導現有資安產業的升級,並鼓勵產學合作研發新興資安技術,目標是在2020年創造出550億元資安產業產值。
這也正呼應了工研院資訊與通訊研究所所長闕志克的看法,他建議,未來我國政府資安網軍具備的技術與工具,也應當有自動化網路攻防系統,同時,可朝向建立國產滲透測試產業的技術基礎發展。
最後一項人才培育,除了過去慣用的作法外,特別要強化資安實戰能力,如建立攻防演練平臺來練手。
另外政府也要設置資安專職人力,甚是要在2020年前建立千人資安應變小組,來滿足政府機關的資安人力需求,日後又能作為產業資安人才的來源之一。
日期:106-12-02 資料來源:iThome