國家資安策略與規劃

行政院資通安全辦公室主任 潘城武

我國資通安全之策略規劃 潘城武

目錄

• 前言

• 法規與組織

• 運作機制

• 發展方案

• 結語

前言

• 光明與黑暗=>規律與混沌

– 要不要有域界管制?

– 要不要有網路監控?

– 要不要有實名制?

– 要不要有軟體許可制?

前言

3

社交工程 網路釣魚

殭屍網路 惡意程式

個資竊取 機敏外洩

網頁掛馬 網頁置換

組織駭客 遠端攻擊

跨平台攻擊 Bonet擴散

Internet 應用朝向Web整合服務及Ubiquitous發展，數位匯流、雲端服務、行動終端及多樣化的資訊應用，伴隨著更為嚴峻之資安挑戰

虛擬層穿透

防火牆 入侵偵測系統

機關用戶

伺服器主機櫃

雲端服務

行動裝置

惡意應用 個資詐騙

資料揭露 惡意廣告

阻斷服務

國家資通安全會報過去到現在

89年8月總統核定「建立我國通資訊基礎建設安全機制」

90年1月行政院成立國家資通安全會報，通過「建立我國通資訊基礎建設安全機制計畫(90-93)」 (第1期機制計畫)

98年8月行政院「塑造資安文化、推升資安產值」產業科技策略會議 98年1月行政院核定「國家資通訊安全發展方案(98-101)」

93年3月行政院核定「建立我國通資訊基礎建設安全 機制計畫(94-97)」(第2期機制計畫)

95年9月修正會報設置要點 93年7月會報調整組織架構、編組與權責分工

97年3月《2008資通安全政策白皮書》

99年7月《2010資通安全政策白皮書》

100年12月行政院核定「關鍵資訊基礎建設保護政策指引（CIIP） 」 100年3月修正會報設置要點，成立行政院資通安全辦公室

法規與組織--成立依據

• 行政院國家資通安全會報設置要點 :行政院於100/3/7以院臺經字第1000093156號函修正本要點，成立「行政院資通安全辦公室」，負責國家資訊通信安全相關事項之政策協調、聯繫及推動，下設網際防護及網際犯罪偵防等二體系，負責整合資安防護資源、推動資安相關政策、防範網路犯罪、維護民眾隱私及建立資通訊基礎建設安全等工作。

• 依100/10/27行政院院臺人字第 1000105050 號令訂定於101/1/1起施行之「行政院處務規程」第28條規定：

– 資通安全辦公室為常設性任務編組，其內部組設及主管權責另以要點訂之。

– 資通安全辦公室負責統籌國家資通安全政策、通報應變、重大計畫推動與管考及辦理相關會議。

5

行政院100年3月7日院臺經字第1000093156號修正發布「行政院國家資通安全會報設置要點」

成立「行政院資通安全辦公

室」，負責推動資安相關業務。

設「網際防護」及「網際犯罪偵防」等二體系分別由行政院研考會、法務部及內政部共同主辦，下設相關組。

取消「策略規劃組」(本院科技會報辦公室主

責) 。

新增「防治網路犯罪組」，由內政部主辦，負責網路犯罪查察、電腦犯罪防治等事件工作。

法規與組織--行政院國家資通安全會報設置要點

6

運作機制

7

發展方案--發展歷程

建立我國通資訊基礎建設安全機制

確保我國擁有安全、可信賴的資訊通訊環境

安全信賴的智慧台灣，安心優質的數位生活

8

90-93年

94-97年

98-101年

第1期：建立我國通資訊基礎建設安全機制計畫

第2期：建立我國通資訊基礎建設安全機制計畫 (94-97年)

第3期：國家資通訊安全發展方案 (98-101年)

1. 提升通報應變時效 2. 健全資安防護能力 3. 深化資安認知及教育 4. 促進國際合作

1. 強化整體回應能力 2. 提供可信賴的資訊服務 3. 優質化企業競爭力 4. 建構資安文化發展環境

1. 開啟政府推動我國資通訊安全建設之路

2. 建立我國整體資安防護能力

•資訊安全管理系統(ISMS)

•資安責任等級分級

•資安演練

•政府機關資訊安全長責任制度(CISO) •國家資通安全防護管理平台(NSOC) •強化資安內稽 •資安關鍵指標 •實體隔離

•關鍵資訊基礎建設防護(CIIP) •強化緊急應變與復原能力 •強化電子商務資訊安全 •厚植資安產業競爭力 •培育全民資安素養 •資訊系統分類分級

國家資通訊安全發展方案發展藍圖

9

發展方案--四期方案之目標與方向

• 目標: 建構安全便利的資通訊環境

• 方向:

– 完備保障資通訊供需雙方之法律規定

– 制定安全便利的軟硬體運作規範

– 建立及時反應之資通應變通報機制

– 架構全面整合之資通安全監控機制

– 籌設網際犯罪偵防體系

– 建構資通訊安全所需之人力資源

方向

• 完備保障資通訊供需雙方之法律規定 – 協助修正「國家安全法」部分條文

– 推動研擬資安法之可行方案

• 制定同時滿足個資保護所需的安全便利軟硬體運作規範 • 導入「政府組態基準」( Government Configuration Baseline, GCB)

• 導入並驗證「虛擬介面基礎環境」(Virtual Desktop Infrastructure, VDI)

• 完成我國下一代網路IPv6「網際網路通訊協定升級推動方案」

• 協助推動外館「跨國骨幹網路」規劃

• 評估建置國家級DNSSEC之可行性

• 研擬雲端服務安全標準規範建立及時反應新興威脅之資通應變通報機制

• 修訂「國家資通安全通報應變作業綱要」

• 架構結合CIIP之資通安全監控研析機制 • 規劃技術服務中心擔任國家資通訊安全所需之定位及專業能量

• 規劃成立國家層級分析態樣情中心

• 籌設網際犯罪偵防體系 • 推動國際資通訊安全交流合作

• 協助妥擬組織型專業網駭攻擊之因應方案

• 培育資通訊安全所需之足夠人力資源

發展方案--辦理中工作

• 召開資通安全會報委員會議(每半年召開一次)

• 修正「國家資通安全通報應變作業綱要」

• 規劃「完備我國資訊安全管理法規之分析」委託研究計畫

• 規劃「國家資通訊安全發展方案(102-105年)」

• 協助處理資安事件通報

• 辦理資安研討會(業界、學者及公協會)

• 參訪各政府機關、產業及學界的資安作業環境

• 蒐集彙整各機關、組織資安訊息統計資料

12

結語 國家 CERT,ISAC 網域監控,資安法,國際

合作,TWGCB, CIIP,

組織機關 ISMS, SOC GovMail,GovFolder(檔案雲(Storage as a

Service), 金資獎

人 憑證 VDI

應用層 資安雲,單一簽入 S/W許可制,GovStore

傳輸層 加密

網路層 FIREWALL 實名制

資料鏈結層 流量監控

實體層 VPN MPLS