資己資彼 建構關鍵資安防護力

數位時代
現今的資安攻擊已從小型、炫技性質轉變為大型、有組織的目標攻擊,而且,攻擊頻率越來越高,影響範圍也越來越擴散,從個人、家庭、企業到國家,對於資訊安全的重視已毋庸置疑。

新科技的崛起,不但改變了人們的生活樣貌、影響政府機關與企業的營運作業流程,更帶來全新的資安危機。從ㄧ銀ATM事件、台灣券商遭DDoS攻擊,以及席捲台灣等多個國家的WannaCry勒索軟體風暴,可以發現,當前的安全攻擊型態已從早期的惡作劇或炫技性質轉變成有組織的商業化行為,更重要的是,資安威脅無所不在,帶來的危害也遠超乎想像,對政府機關尤甚如此。

中華電信數據通信分公司總經理 馬宏燦
數位時代

「相較於過往,現今的資安攻擊層出不窮,政府機構與企業單位必須化被動為主動打造、優化安全防禦機制,才能夠有效降低被惡意份子挾持、攻擊的頻率。」中華電信數據通信分公司總經理馬宏燦表示,今(2017)年是中華電信第三年舉辦GOVSEC活動,與會人數越來越多,代表各級政府機關對於資訊安全議題的重視度愈來愈高,為了協助政府單位更快、更好的落實資全防禦,中華電信一方面積極深化資訊安全產品能量,一方面透過「共同供應契約」的機制,協助政府機關輕鬆採購資安健診、滲透測試、社交工程郵件測試服務、弱點掃描、SOC監控等服務,快速提升政府單位的安全防護力。

化被動為主動 以資安基礎建設落實數位國土安防

國發會副主委 龔明鑫
數位時代

「從近期的資安事件來看,駭客竊取的不只是個人資料,包括企業與政府的機敏資料都是其覬覦的內容。」隨著資訊科技從PC、行動裝置進展到物聯網應用,相對應的資訊服務模式也跟著從防禦(Prevention)、偵測健檢(Detection)、減災回應(Mitigation)進展到預測威脅(Prediction),對此,國發會副主委龔明鑫表示認同,並建議透過建置世界級的物聯網資安分享中心、以人工智慧等新技術優化物聯網安全防禦能力等方式確保聯網裝置的可靠性與安全性。

物聯網等新科技的崛起將加速全新的數位經濟時代的到來,為打造安全可信賴的數位經濟時代,政府除透過國家資訊安全發展方案(草案階段)著手建置國家等級的資訊安全機制以提升自我防禦能力,更進一步藉由推動資通安全管理法(草案階段)完備法治環境。龔明鑫表示,在執行方面,政府計畫從兩個面向進行:首先是透過資安旗艦計畫整合產、學、研力量發展資安自主技術,其次是透過前瞻計畫中的數位基礎建設確保行政機關的資安、救災用的行動通訊與資訊安全基礎建設的完整性。

行政院資通安全處副處長 徐嘉臨
數位時代

行政院資通安全處副處長徐嘉臨指出,現有的資安相關法規的適用對象多侷限於特定部門或事項,如刑法36章、電信法、電子簽章法、國家機密保護法、銀行法、醫療法與個人資料保護法等等,欠缺一個可以同時規範公務機關、關鍵基礎設施提供者等非公務機關且以風險管理為核心的資通安全專法。

「台灣政府已將資訊安全防護視作國土安全防護的一環。」徐嘉臨表示,為完善資訊國土安防,除行政院須負責規劃與推動國家資通安全政策、資通安全科技發展、國際交流與資通安全整體防護事宜,公務機關與關鍵基礎設施提供者也必須訂定、修正與實施資通安全維護計畫,方能化被動為主動的預防安全攻擊,進而完善關鍵防護力。

中華電信提供特優等級服務 強化政府資安能量

面對來勢兇猛的資訊安全攻擊,各級政府機關除須擬定對應的安全維護計畫,還需要透過適切的專家與資安工具,方能發揮事半功倍的安全防禦能力。

中華電信數據通信分公司副總工程師 洪進福
數位時代

「資安不只是技術問題,更是管理問題。」中華電信數據通信分公司副總工程師洪進福進一步解釋,政府單位與企業在面對勒索軟體、DDoS攻擊、進階持續性攻擊(APT)、資料外洩與物聯網裝置受駭等五種常見外部攻擊時,受限於資安人力、經費與能量不足,人員的資安意識不足,對資安事件的通報意願不高,甚至是委外開發的軟體品質管理等因素,導致政府機關與企業無法在第一時間回應、處理安全攻擊,有鑑於此,建議政府機關與企業以「(盤點)辨識」、「(縱深)防禦」、「(多重)偵測」與「(制度化)應變」等四大手法完善關鍵防護力。

洪進福表示,有別於其他資安供應商,中華電信是從ISP網路機房端切入,從底層基礎建設到上層資訊治理,從事前預防、事中監控到事後處理都有對應的解決方案,因此,可以協助政府機關快速因應、落實資通安全維護計畫。例如透過資安健診重新檢視網路架構、網路惡意活動、使用者電腦、伺服器主機與各項安全設定等,挖掘出潛伏的惡意程式或檔案,找出被惡意連線的受駭主機,以及各種潛在風險等,進而加強防護。

「目前,中華電信已透過『資安服務共同供應契約』提供資安健診服務、滲透測試服務、社交工程郵件測試服務、弱點掃描服務、SOC監控等服務,且有高達四項服務都獲得行政院資安處評鑑為特優等級」展望未來,洪進福表示,中華電信將持續不斷的深化安全防禦能量,協助更多的政府機關、學校機構,以及企業單位降低安全風險,確保政府服務、學校教育與企業營運的永不中斷。