檢è¦/éå - å å¹ç§æ大å¸
檢è¦/éå - å å¹ç§æ大å¸
檢è¦/éå - å å¹ç§æ大å¸
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
2011 健 康 與 管 理 學 術 研 討 會<br />
2 0 1 2 健 康 與 管 理 學 術 研 討 會<br />
民 國 一 ○ 一 年 十 月<br />
我 國 資 通 安 全 流 程 分 析 之 探 討<br />
A Study on Information and Communication Security Process Analysis<br />
作 者 一<br />
1*<br />
林 宜 隆<br />
元 培 科 技 大 學 資 訊 管 理 學 系<br />
3<br />
尹 延 齡<br />
作 者 三<br />
國 防 大 學 資 訊 管 理 學 系<br />
2 作 者 二 蕭 瑞 祥<br />
淡 江 大 學 資 訊 管 理 學 系<br />
4<br />
周 彥 霖<br />
作 者 四<br />
國 防 大 學 資 訊 管 理 學 系<br />
摘躔 要 :ć<br />
有 鑑 於 現 在 資 通 訊 科 技 發 展韙 一 日 千 里 ,ā 受 到 高 度 運跮 算 能 力 、 網 際 網 路跡 高 通 透 性 的 支 援 ,ā 全 球 已 逐 漸軌 邁 入<br />
網 際 網 路跡 與 資 訊 普 及 的 數 位 經 濟 時頗 代 ,ā 在 創 造 新 法 則 與 新 思 維 模 式 的 同 時頗 ,ā 資 訊 也 面 臨 了 日 趨 嚴 重 與 多<br />
樣 的 安 全 威 脅 。 我 國 資 訊 通 訊 安 全 基 礎 建 設 ,ā 為 強 化 資 通 訊 安 全 能 力 ,ā 國 家韑 安 全 會 議 已 於 八 十 九 年 五 月<br />
奉 總 統 指 示 研 提 「 建 立 我 國 通 資 訊 基 礎 建 設 安 全 機 制 Ķ 建 議 書頟 ,ā 於 同 年 3 月 規 劃蹄 成 立 「 國 家韑 資 通 安 全<br />
會 報 技 術 服 務 中 心 Ķ( 以 下 簡 稱 技 服 中 心 ),ā 積 極 推 動 我 國 資 通 安 全 基 礎 建 設 工 作 。 由 於 近 年 來 各 國 皆 有<br />
感 於 資 訊 安 全 的 重 要 性 ,ā 逐 漸軌 將 資 訊 安 全 議 題 提 升 為 國 家韑 安 全 層 次 ,ā 本 研 究 收 集 「 美 國 、 中 國 、 韓 國 等<br />
三 個鞄 國 家韑 資 安 發 展韙 現 況 Ķ 及 「 國 內 資 安 現 況 Ķ,ā 除 搜 尋 各 國 網 站 、 公 開 文 獻 等 ,ā 最 後 彙 總 三 個鞄 國 家韑 資 訊 安<br />
全 政 策 與 目 標 、 組 織 與 沿 革靣 、 作 法 等 流 程 分 析 。 然 而 在 推 動 我 國 數 位 經 濟 時頗 ,ā 必 須 面 對蹹 全 球 複 雜 多 變 的<br />
資 安 環 境蹜 ,ā 以 及 日 益 嚴 重 的 資 安 威 脅 。 因 此 ,ā 持 續 精 進 與 落 實蹴 各 項 資 安 防 護 工 作 ,ā 並 發 展韙 我 國 資 安 產 業 ,ā<br />
實蹴 屬 必 要 。<br />
關 鍵 字 :ć 國 家韑 資 通 安 全 會 報 技 術 服 務 中 心 。<br />
1. 前 言<br />
隨 著 時頗 代 進 步 ,ā 數 位 技 術 的 推 廣 及 產 業 電踝 子 化 持 續 推 展韙 ,ā 我 國 已 邁 向 高 度 資 訊 化 與 數 位 化 社 會 。 根頨<br />
據 行 政 院 主 計 處 電踝 子 資 料頔 處 理 中 心 100 年 9 月 所 公 布 之 「 電踝 腦 應 用 概 況 報 告 Ķ 顯 示 ,ā 我 國 「 個鞄 人 電踝 腦 設<br />
置 數 達跲 1,264.9 萬 台 ,ā 平 均 每 千 人 擁 有 546.1 台 Ķ、「 家韑 庭韨 部 門 電踝 腦 普 及 率 為 71.26%,ā 每 百 戶 家韑 庭韨 擁 有 98.0 台 ,ā<br />
網 際 網 路跡 連 線 比 率 逾跻 94.80%Ķ,ā 另 外 在 「 之 伺 服 器 設 置 數 為 31.3 萬 台 ,ā 普 及 率 為 10.57%Ķ、「 使 用 虛 擬 伺 服<br />
器 家韑 數 為 1.7 萬 家韑 ,ā 占 使 用 實蹴 體 伺 服 器 家韑 數 比 率 23.16%Ķ,ā 從 以 上 的 數 據 顯 示 ,ā 對蹹 於 數 位 科 技 產 品 的 運跮 用 ,ā<br />
無 論 一 般 大 眾 或 企 業 用 戶 ,ā 均 已 高 度 融 入 日 常 生 活 與 業 務 維 運跮 過跸 程 中 ,ā 而 伴 隨 資 訊 便 利 而 來 的 則 是 面 臨<br />
高 度 資 安 風靨 險 ,ā 為 能 使 本 國 國 民 、 企 業 在 安 全 無 虞 的 環 境蹜 下 使 用 資 訊 所 帶 來 的 便 利 ,ā 自 2001 年 開 始 ,ā 政<br />
府 展韙 開 三 階 段 ,ā 各 為 期 四 年 之 重 大 資 通 安 全 計 畫 , 以 逐 步 提 升 我 國 資 安 完 備 度 。<br />
行 政 院 於 2010 年 頒踧 布 「2010 資 通 安 全 政 策 白 皮 書頟 Ķ,ā 內 容韕 說 明 在 「 國 家韑 資 通 訊 安 全 發 展韙 方 案頥 Ķ 具 體<br />
規 劃蹄 下 ,ā 主 要 期 望 藉 由 「 強 化 整 體 回 應 能 力 Ķ、「 提 供 可 信 賴 的 資 訊 服 務 Ķ、「 優 質 化 企 業 競 爭 力 Ķ、「 建 構躬<br />
資 安 文 化 發 展韙 環 境蹜 Ķ 四 大 政 策 目 標 的 設 定 ,ā 以 及 參 考 國 際 資 安 策 略 之 規 劃蹄 ,ā 使 我 國 達跲 到 「 安 全 信 賴 的 智<br />
慧 台 灣 ,ā 安 心 優 質 的 數 位 生 活 Ķ 之 願 景 。<br />
2. 國 際 資 通 安 全 分 析<br />
近 年 來 各 國 皆 有 感 於 資 訊 安 全 的 重 要 性 ,ā 逐 漸軌 將 資 訊 安 全 議 題 提 升 為 國 家韑 安 全 層 次 ,ā 本 研 究 蒐 集 「 美<br />
國 、 中 國 、 韓 國 等 三 個鞄 國 家韑 資 安 發 展韙 現 況 Ķ 及 「 國 內 資 安 現 況 Ķ,ā 最 後 彙 總 三 個鞄 國 家韑 資 訊 安 全 政 策 與 目 標 、<br />
組 織 與 沿 革靣 、 作 法 於 本 研 究 報 告 「 美 、 中 、 韓 等 三 個鞄 國 家韑 資 通 訊 安 全 發 展韙 現 況 及 分 析 Ķ。<br />
2.1 美 國<br />
* Corresponding author
2.1.1 願 景 及 政 策 目 標<br />
美 國 白 宮韓 於 2003 年 頒踧 布 保 護 個鞄 人 與 機 構躬 資 訊 資 產 安 全 的 「The National Strategy to Secure Cyberspace<br />
(NSSC)Ķ,ā 說 明 資 通 安 全 的 目 標 是 保 衛 國 家韑 關 鍵 基 礎 建 設 免 於 網 路跡 攻 擊 、 減 少 資 通 訊 網 路跡 的 弱韪 點 、 降 低<br />
網 路跡 攻 擊 損 失 及 縮 短 災 難 復 原鞝 的 時頗 間 ,ā 並 體 認 「 所 有 的 資 訊 參 與 者 都 有 責 任 與 義 務 瞭 解 並 保 護 自 身 作 業<br />
網 路跡 安 全 Ķ[1]。2009 年 頒踧 布 「 網 路跡 空 間 政 策 審 議 (Cyberspace Policy Review)」,ā 以 邁 進 一 個鞄 可 靠 的 、 有 彈<br />
性 、 值靹 得 信 賴 的 數 位 基 礎 架 構躬 未 來 。2011 年 頒踧 布 「 國 際 網 路跡 空 間 策 略 (International Strategy for Cyberspace)<br />
」,ā 在 國 際 間 致 力 於 推 動 一 個鞄 開 放 、 協 同 、 安 全 、 可 信 賴 的 資 訊 和 通 訊 基 礎 設 施 ,ā 用 以 支 持 國 際 貿 易 和 商<br />
業 、 強 化 國 際 安 全 、 促 進 自 由 表 達跲 和 創 新 。 為 了 實蹴 現 此 一 目 標 ,ā 美 國 將 建 立 和 維 持 一 個鞄 規 範 行 為 ,ā 負 責<br />
指 導 各 國 行 動 、 維 持 夥蹣 伴 關 係 ,ā 與 支 持 網 路跡 空 間 法 律 規 範 的 環 境蹜 。2012 年 發 表 數 位 化 政 府 策 略 ,ā 確 保 政<br />
府 以 智 慧 、 安 全 和 實蹴 惠 的 方 式 因 應 新 數 位 化 世 界 ,ā 以 利 民 眾 在 任 何 地 方 、 時頗 間 、 設 備 地 使 用 高 品 質 數 位<br />
化 政 府 資 訊 與 服 務 。<br />
2.1.2 組 織<br />
有 關 美 國 資 安 相 關 組 織 圖蹙 一 所 示 ( 由 於 原鞝 稿 為 日 文 文 獻 ,ā 因 此 有 關 圖蹙 一 中 之 名 稱 對蹹 照 中 文 如 表 1-2 所<br />
示 ),ā 並 針 對蹹 美 國 國 土 安 全 部 、 美 國 管 理 暨躤 預踣 算 局 、 美 國 國 家韑 網 路跡 安 全 辦 公 室 與 美 國 聯 邦 總 務 署 等 之 說 明<br />
如 下 [2]:ć<br />
1. 美 國 國 土 安 全 部 (Department of Homeland Security,āDHS)<br />
美 國 政 府 在 911 事 故 之 後 ,ā 所 設 立 直 屬 白 宮韓 的 聯 邦 行 政 部 門 ,ā 藉 以 統 合 國 家韑 所 有 力 量 以 對蹹 抗 恐韱 怖 主 義 ,ā<br />
其 負 責 國 內 安 全 及 防 止 恐韱 怖 活 動 。<br />
2. 美 國 管 理 暨躤 預踣 算 局 (Office of Management and Budget,āOMB)<br />
位 於 美 國 總 統 直 轄 的 組 織 ,ā 進 行 聯 邦 政 府 的 預踣 算 準 備 及 總 統 府 的 預踣 算 管 理 支 援 。 對蹹 各 政 府 機 關 的 程 序 和<br />
政 策 ,ā 也 進 行 對蹹 於 政 策 實蹴 施 次 序 的 效頒 果 與 評 價 。<br />
美 國 聯 邦 政 府 資 訊 安 全 管 理 法 (The Federal Information Security Management Act,āFISMA) 要 求 政 府 各 單 位<br />
每 年 向 OMB 提 交 資 訊 安 全 評 鑑 報 告 ,āOMB 根頨 據 各 部 以 及 總 檢 查 長 提 交 的 報 告 ,ā 對蹹 各 部 的 資 訊 安 全 總 體<br />
情 况 進 行 評 估 與 協 調 之 責 ,ā 期 使 聯 邦 政 府 各 部 門 得 以 在 成 本 控 制 下 有 效頒 地 施 行 安 全 計 畫 。<br />
3. 美 國 國 家韑 網 路跡 安 全 辦 公 室 (National Cyber Security Division,āNCSD)<br />
被 設 置 在 美 國 國 土 安 全 部 (DHS) 內 ,ā 與 公 共 ,ā 私 人 和 國 際 實蹴 體 協 作 ,ā 以 確 保 網 絡 空 間 及 美 國 的 網 路跡 資 產 。<br />
美 國 從 2006 年 起 ,ā 每 兩 年 由 美 國 國 土 安 全 部 (DHS) 主 辦 之 「 網 路跡 風靨 暴 演躽 習 (Cyber Storm)Ķ 計 畫 ,ā 主 要 目<br />
的 在 測 試 美 國 對蹹 於 網 路跡 攻 擊 應 變 能 力 ,ā 而 保 護 網 絡 空 間 的 安 全 更 是 NCSD 的 首靫 要 任 務 。 並 推 動 軟 體 安 全<br />
品 質 保 證 (Software Assurance) 計 畫 ,ā 以 利 建 立 安 全 發 展韙 軟 體 與 產 品 之 機 制 。<br />
4. 美 國 聯 邦 總 務 署 (General Services Administration,āGSA)<br />
基 於 1949 年 聯 邦 財 產 暨躤 行 政 服 務 法 (Federal Property and Administrative Service Act of 1949,āFPASA),ā 被 設<br />
立 於 聯 邦 政 府 在 採 購 的 基 準 制 定 和 支 援 的 組 織 。 為 使 能 進 行 根頨 據 美 國 管 理 暨躤 預踣 算 局 (OMB) 制 定 對蹹 政 府 機 構躬<br />
的 資 訊 安 全 要 求 。<br />
圖蹙 一 美 國 資 訊 安 全 相 關 組 織 ( 原鞝 稿 為 日 文 文 獻 )<br />
( 各 国 の 情 報 セキュリティ 政 策 における 情 報 連 携 モデルに 関 する 調 査 ,ā2009 [2])<br />
2.1.3 作 法<br />
美 國 政 府 於 1984 年 開 始 正 視 資 訊 安 全 議 題 ,ā 藉 由 相 關 法 令 規 範 與 政 策 實蹴 行 ,ā 推 動 資 安 的 建 置 與 發 展韙<br />
活 動 ,ā 以 增 強 資 安 能 量 。 其 作 法 包 含 制 定 資 通 訊 相 關 標 準 、 培 育 資 安 人 才 、 加 強 資 安 技 術 研 發 等 ,ā 以 期<br />
達跲 到 安 全 及 可 信 賴 的 社 會 ,ā 並 提 昇 個鞄 人 、 企 業 與 國 家韑 資 安 防 護 能 力 。2001 年 的 911 事 故 可 以 視 為 美 國 資 訊
2011 健 康 與 管 理 學 術 研 討 會<br />
安 全 政 策 的 重 要 分 水 嶺 [3]。 自 該 事 件 以 後 ,ā 美 國 聯 邦 政 府 成 立 直 屬 白 宮韓 的 國 土 安 全 部 (Department of<br />
Homeland Security,āDHS),ā 以 統 整 交 通 運跮 輸 、 電踝 信 通 訊 、 能 源 、 消顆 防 等 國 土 安 全 議 題 ,ā 其 資 通 安 全 政 策 重<br />
點 ,ā 也 由 電踝 腦 與 電踝 子 商 務 ,ā 轉 而 重 視 國 土 安 全 議 題 和 確 保 電踝 子 化 政 府 之 資 通 安 全 [1]。 並 加 強 了 對蹹 資 訊 技<br />
術 的 投 入 和 控 管 ,ā 把 發 展韙 的 重 點 轉 移 到 了 實蹴 用 技 術 、 資 訊 戰 對蹹 抗 技 術 上 ,ā 同 時頗 加 強 了 與 其 他 學 科 領 域 的<br />
研 究 合 作 ,ā 以 及 政 府 與 企 業 間 的 研 究 合 作 [3]。<br />
美 國 境蹜 內 85% 的 關 鍵 基 礎 建 設 屬 於 民 營 ,ā 為 此 美 國 提 出 實蹴 質 防 護 關 鍵 基 礎 建 設 之 國 家韑 政 策 ,ā 對蹹 政 府 、<br />
關 鍵 基 礎 建 設 業 者 、 民 間 團蹘 體 及 個鞄 人 如 何 建 立 合 作 及 聯 盟 的 新 典 範 ,ā 提 供 具 體 策 略 ,ā 以 增 進 國 家韑 安 全 [1]。<br />
2009 年 歐 巴 馬 總 統 上 任 後 ,ā 匯 集 各 界 專 家韑 學 者 的 意 見 ,ā 針 對蹹 過跸 去 美 國 的 網 路跡 安 全 政 策 與 現 況 進 行 綜<br />
合 性 評 估 ,ā 於 同 年 5 月 29 日 公 布 「 網 路跡 空 間 政 策 審 議 (Cyberspace Policy Review)Ķ 報 告 ,ā 承 諾 建 立 起 可<br />
靠 且 堅 固 的 資 通 訊 基 礎 ,ā 並 宣 布 加 強 美 國 網 路跡 安 全 的 新 計 畫 ,ā 將 資 安 提 升 至 國 家韑 安 全 的 層 次 ,ā 主 要 推 動<br />
之 10 項 近 程 資 安 行 動 方 案頥 如 下 :ć( 參 考 自 「2010 資 通 安 全 政 策 白 皮 書頟 Ķ[1])<br />
1. 任 命 國 家韑 級 專 責 資 安 主 管 ;Ć<br />
2. 批 准鞔 更 新 的 國 家韑 戰 略 ;Ć<br />
3. 指 示 資 安 為 政 府 重 要 且 優 先 的 施 政 目 標 ;Ć<br />
4. 指 派 負 責 民 眾 隱 私 權 與 自 由 權 之 最 高 首靫 長 ;Ć<br />
5. 釐 清 政 府 部 會 在 網 路跡 安 全 中 的 資 安 權 責 ;Ć<br />
6. 發 起 國 家韑 資 安 公 眾 意 識 和 教 育 運跮 動 ;Ć<br />
7. 發 展韙 國 際 網 路跡 安 全 政 策 框頦 架 加 強 國 際 夥蹣 伴 關 係 ;Ć<br />
8. 制 訂 網 絡 安 全 事 故 應 變 計 畫 ;Ć<br />
9. 制 訂 研 究 和 發 展韙 網 路跡 戰 略 框頦 架 ;Ć<br />
10. 建 立 網 絡 安 全 身 分 管 理 之 遠 景 和 戰 略 ;Ć<br />
2.1.4 小 結<br />
自 2009 年 起 ,ā 雲 端 運跮 算 技 術 (Cloud Computing) 已 成 為 資 訊 技 術 最 熱 門 的 話 題 之 一 。 美 國 聯 邦 政 府 於<br />
2009 底 針 對蹹 各 政 府 機 關 開 設 雲 端 運跮 算 技 術 和 服 務 的 網 站 ,ā 作 為 歐 巴 馬 政 府 削 減 預踣 算 、 提 升 行 政 效頒 率 、 環<br />
境蹜 綠 化 等 政 策 的 重 要 基 礎 ,ā 並 任 命 新 的 聯 邦 政 府 資 訊 長 -Vivek Kundra,ā 展韙 開 一 連 串 的 雲 端 運跮 算 政 府<br />
(Government Cloud) 改 造 計 畫 [4]。<br />
美 國 所 發 展韙 的 資 訊 技 術 與 資 訊 安 全 在 全 世 界 都 具 有 重 要 的 指 標 意 義 。 透 過跸 對蹹 美 國 國 家韑 資 訊 安 全 政 策<br />
幾 十 年 的 演躽 進 趨 勢 的 觀 察蹸 ,ā 可 以 充 分 瞭 解 美 國 在 國 際 資 安 佈 局 與 意 圖蹙 的 轉 變 和 資 訊 化 時頗 代 所 帶 來 的 威<br />
脅 、 挑 戰 和 機 會 。 對蹹 美 國 國 家韑 資 訊 安 全 政 策 進 行 回 顧 和 探 討 ,ā 有 助 於 我 們靽 充 分 瞭 解 美 國 國 家韑 資 訊 安 全 政<br />
策 ,ā 從 而 作 為 制 定 和 完 善 我 國 資 訊 安 全 政 策 良 好 的 指 導 。<br />
2.2 中 國<br />
2.2.1 願 景 及 政 策 目 標<br />
中 國 基 本 建 立 適 應 資 訊 安 全 保 障 體 系 建 設 需 求 的 資 訊 安 全 標 準 體 系 ;Ć 完 成 150 項 國 家韑 標 準 的 制 定 ;Ć<br />
自 主 制 定 高 品 質 國 家韑 標 準 比 例 達跲 到 40%;Ć 提 高 實蹴 質 參 與 國 際 標 準 化 活 動 的 水 準 ,ā 在 制 定 國 際 標 準 上 取 得<br />
突 破 [5]。<br />
中 國 將 加 快 經 濟 社 會 各 領 域 資 訊 化 進 程 ,ā 大 力 推 進 資 訊 安 全 認 證 認 可 體 系 建 設 已 成 為 完 善 資 訊 安 全<br />
保 障 體 系 、 全 面 提 升 資 訊 化 水 準 的 客 觀 需 求 ,ā 為 資 訊 安 全 認 證 發 展韙 提 供 重 要 發 展韙 機 遇跶 [6]。<br />
2.2.2 組 織<br />
有 關 中 國 資 安 相 關 組 織 ( 如 :ć 全 國 資 訊 安 全 標 準 化 技 術 委 員鞬 會 、 中 國 資 訊 協 會 資 訊 安 全 專 業 委 員鞬 會 、<br />
國 家韑 資 訊 中 心 資 訊 安 全 研 究 與 服 務 中 心 等 ) 說 明 如 下 [7]:ć<br />
1. 全 國 資 訊 安 全 標 準 化 技 術 委 員鞬 會<br />
全 國 資 訊 安 全 標 準 化 技 術 委 員鞬 會 為 中 國 專 門 從 事 資 訊 安 全 標 準 化 工 作 的 技 術 組 織 ,ā 主 要 關 注 資 訊<br />
安 全 管 理 技 術 和 資 訊 安 全 管 理 標 準 化 的 國 際 發 展韙 動 向 。 主 要 工 作 重 點 為 數 位 簽 章 、 公 開 金 鑰 基 礎 建 設<br />
(Public Key Infrastructure,āPKI)/ 授 權 管 理 基 礎 建 設 (Privilege Management Infrastructure,āPMI) 技 術 、<br />
資 訊 安 全 評 估 、 資 訊 安 全 管 理 、 應 急 回 應 等 關 鍵 性 標 準 的 研 究 與 制 定 。<br />
2. 中 國 資 訊 協 會 資 訊 安 全 專 業 委 員鞬 會<br />
中 國 資 訊 協 會 資 訊 安 全 專 業 委 員鞬 會 是 1998 年 10 月 在 中 國 資 訊 協 會 指 導 下 籌 建 ,ā 並 由 國 家韑 民 政<br />
部 批 准鞔 成 立 。<br />
3. 國 家韑 資 訊 中 心 資 訊 安 全 研 究 與 服 務 中 心<br />
國 家韑 資 訊 中 心 資 訊 安 全 研 究 與 服 務 中 心 從 事 國 家韑 資 訊 安 全 領 域 的 工 作 ,ā 主 要 分 成 下 列 幾 方 面 :ć<br />
發 展韙 規 劃蹄 和 戰 略 研 究 、 大 型 安 全 工 程 建 設 與 管 理 、 資 訊 安 全 技 術 標 準 化 、 資 訊 安 全 仲 介 服 務 、 資 訊
資 源 開 發 、 及 安 全 技 術 服 務 方 面 。<br />
4. 中 國 互 聯 網 協 會 - 網 路跡 與 資 訊 安 全 委 員鞬 會<br />
中 國 互 聯 網 協 會 - 網 路跡 與 資 訊 安 全 委 員鞬 會 由 中 國 從 事 網 際 網 路跡 相 關 行 業 的 網 路跡 運跮 營 商 、 服 務 提<br />
供 商 、 設 備 製 造 商 、 系 統 集 成 商 以 及 研 究 、 教 育 機 構躬 等 70 多 家韑 網 際 網 路跡 業 者 共 同 發 起 成 立 。 其 宗 旨<br />
和 職 責 為 :ć 以 資 訊 安 全 的 政 策 和 市 場 為 軸 心 ,ā 企 業 、 用 戶 、 政 府 對蹹 網 路跡 資 訊 安 全 應 用 與 發 展韙 主 要 需<br />
求 為 著 力 點 ,ā 並 以 世 界 貿 易 組 織 (World Trade Organization,āWTO) 的 規 則 為 背 景 ,ā 積 極 開 展韙 以 下 工<br />
作 :ć<br />
對蹹 企 業 、 用 戶 、 政 府 的 相 關 需 求 進 行 交 流 溝 通 。<br />
對蹹 企 業 、 用 戶 、 政 府 的 相 關 合 作 發 揮 仲 介 作 用 。<br />
對蹹 企 業 、 用 戶 、 政 府 的 相 關 專 案頥 組 織 策 劃蹄 推 進 。<br />
接 受 有 關 部 門 、 用 戶 和 企 業 的 委 託 ,ā 實蹴 施 有 關 專 業 項 目 。<br />
2.2.3 作 法<br />
中 國 自 1984 年 開 始 注 意 機 敏 部 門 的 資 安 工 作 ,ā 亦 參 考 美 國 資 安 標 準 ,ā 發 展韙 一 系 列 與 國 際 接 軌 的 國 家韑<br />
資 安 標 準 ,ā 訂 定 資 安 相 關 法 規 與 權 責 、 驗 證 機 構躬 等 ,ā 大 幅 提 高 其 資 安 水 準 。2005 年 在 中 國 國 家韑 資 訊 化 領<br />
導 小 組 會 議 上 審 議 通 過跸 ,ā 於 2006 到 2020 年 的 中 國 國 家韑 資 訊 發 展韙 戰 略 中 ,ā 中 國 已 將 資 訊 安 全 列 入 2006 到 2020<br />
年 中 國 國 家韑 資 訊 發 展韙 戰 略 中 ,ā 顯 示 中 國 將 其 視 為 一 個鞄 十 分 重 要 的 議 題 [1]。 由 於 資 訊 技 術 運跮 用 的 深 入 和 擴<br />
展韙 ,ā 網 路跡 安 全 與 資 訊 安 全 變 得 越 來 越 重 要 ,ā 而 電踝 腦 病 毒 是 影 響 資 訊 安 全 及 妨 礙 資 訊 運跮 用 的 重 要 因 素 ,ā 因<br />
此 ,ā 中 國 資 訊 安 全 國 家韑 重 點 實蹴 驗 室 提 出 資 訊 安 全 防 護 的 能 力 、 發 現 隱 患 的 能 力 、 網 路跡 應 急 反 應 的 能 力 及<br />
資 訊 對蹹 抗 的 能 力 等 四 種 網 路跡 安 全 能 力 ,ā 以 確 保 資 訊 安 全 [3]。<br />
「 國 家韑 中 長 期 科 學 和 技 術 發 展韙 規 劃蹄 綱 要 Ķ 中 ,ā 提 出 將 「 信 息韵 產 業 及 現 代 服 務 業 Ķ 列 為 國 家韑 長 期 重 點<br />
發 展韙 產 業 ,ā 在 「 面 向 核頤 心 應 用 的 信 息韵 安 全 Ķ 中 點 出 關 鍵 資 安 技 術 方 向 ,ā 且 以 研 發 減 稅 、 政 府 採 購 、 軍 民<br />
合 作 及 國 際 合 作 四 大 面 向 之 鼓踴 勵 措 施 推 進 中 國 資 安 技 術 發 展韙 。<br />
為 統 籌 規 劃蹄 和 指 導 「 十 一 五 Ķ 期 間 資 安 標 準 工 作 ,ā 且 為 資 安 保 障 體 系 建 設 提 供 基 礎 性 技 術 支 援 ,ā 大<br />
陸 國 家韑 標 準 化 管 理 委 員鞬 會 、 國 務 院 資 訊 化 工 作 委 員鞬 會 聯 合 發 表 「 國 家韑 信 息韵 化 安 全 標 準 化 『 十 一 五 ĺ 規 劃蹄 Ķ<br />
[8]。 其 重 點 在 於 開 展韙 資 安 標 準 戰 略 與 基 礎 理 論 研 究 、 資 安 標 準 的 制 定 與 推 廣 工 作 、 建 立 參 加 國 際 標 準 化<br />
活 動 的 長 期 機 制 :ć<br />
1. 開 展韙 標 準 戰 略 與 基 礎 理 論 研 究 :ć 進 一 步 加 強 資 訊 安 全 標 準 戰 略 與 基 礎 理 論 研 究 ,ā 密 切 跟 蹤 資 安 保 障<br />
技 術 發 展韙 動 態躊 ,ā 做 好 頂 層 設 計 和 整 體 規 劃蹄 ,ā 構躬 建 一 個鞄 結 構躬 合 理 、 科 學 實蹴 用 、 能 與 國 際 銜 接 、 體 現 自<br />
主 可 控 的 資 安 標 準 體 系 ,ā 指 導 資 安 標 準 制 定 工 作 。<br />
2. 加 快 急 需 標 準 的 制 定 :ć 結 合 國 家韑 資 訊 安 全 監 管 、 電踝 子 政 務 與 電踝 子 商 務 等 重 大 工 程 建 設 和 產 業 發 展韙 的<br />
資 安 標 準 需 求 ,ā 重 點 做 好 基 礎 類 、 管 理 類 和 系 統 類 標 準 的 研 究 制 定 ,ā 為 資 安 保 障 體 系 建 設 提 供 支 撐 。<br />
每 年 研 究 制 定 30 項 左 右 國 家韑 標 準 ,ā 到 「 十 一 五 Ķ 末 完 成 150 項 國 家韑 標 準 的 制 定 ,ā 其 中 自 主 制 定 標 準<br />
60 項 。<br />
3. 做 好 標 準 的 推 廣 實蹴 施 :ć 進 一 步 加 強 標 準 的 推 廣 應 用 和 檢 查 力 度 ,ā 提 高 標 準 應 用 效頒 果 ,ā 重 點 做 好 新 頒踧<br />
布 國 家韑 標 準 的 推 廣 應 用 工 作 。 建 立 健 全 標 準 服 務 機 制 ,ā 整 合 優 化 資 安 標 準 化 資 源 ,ā 統 一 規 劃蹄 和 建 設<br />
國 家韑 資 安 標 準 化 資 訊 網 路跡 服 務 平 台 體 系 ,ā 提 供 高 效頒 、 便 捷 、 準 確 的 資 安 標 準 資 訊 服 務 ,ā 全 面 推 進 信<br />
息韵 安 全 標 準 的 實蹴 施 應 用 。<br />
4. 積 極 參 與 國 際 標 準 化 活 動 :ć 建 立 參 與 國 際 標 準 化 活 動 的 長 效頒 機 制 ,ā 積 極 參 加 國 際 標 準 化 會 議 ,ā 加 強<br />
國 際 、 雙 邊 、 多 邊 和 區 域 標 準 化 交 流 與 合 作 ,ā 加 強 國 際 和 國 外 先 進 標 準 研 究 ,ā 推 進 國 際 標 準 採 用 ,ā<br />
建 立 穩 定 的 國 際 標 準 化 人 才 隊 伍 ,ā 爭 取 國 際 標 準 化 活 動 中 的 話 語 權 ,ā 提 高 實蹴 質 參 與 國 際 資 安 標 準 化<br />
活 動 的 能 力 。「 十 一 五 Ķ 期 間 ,ā 力 爭 提 交 2 - 3 項 國 際 標 準 提 案頥 ,ā 成 為 1 - 2 項 國 際 標 準 的 編 輯 。 爭 取<br />
在 中 國 舉 辦 1 - 2 次 國 際 標 準 工 作 會 議 和 區 域 資 訊 安 全 標 準 工 作 會 議 。<br />
2.2.4 小 結<br />
目 前 ,ā 中 國 政 府 在 積 極 部 署 雲 端 運跮 算 發 展韙 規 劃蹄 ,ā 各 地 正 在 積 極 探 索 發 展韙 地 方 雲 端 運跮 算 ,āIT 企 業 、 通<br />
信 運跮 營 商 積 極 拓 展韙 雲 端 運跮 算 領 域 的 發 展韙 空 間 ,ā 中 國 在 政 策 層 面 的 引 導 逐 步 深 化 ,ā 法 律 層 面 的 探 索 也 開 始<br />
展韙 開 。 隨 著 中 國 「 十 二 五 Ķ 規 劃蹄 的 公 布 ,ā 中 國 的 經 濟 發 展韙 方 式 正 在 改 變 。「 十 二 五 Ķ 規 劃蹄 中 提 及 將 推 動 國<br />
家韑 七 大 戰 略 新 興 產 業 ,ā 在 其 中 的 新 一 代 資 訊 技 術 當 中 ,ā 雲 端 運跮 算 的 發 展韙 被 中 國 官 方 列 為 重 要 發 展韙 項 目 。<br />
2.3 韓 國
2011 健 康 與 管 理 學 術 研 討 會<br />
2.3.1 願 景 及 政 策 目 標<br />
1. 願 景 :ć「 建 立 創 意 及 信 賴 的 知 識 資 訊 化 社 會 Ķ。<br />
2. 目 標 :ć「 會 做 事 的 知 識 型 政 府 Ķ、「 使 用 數 位 的 優 質 生 活 Ķ、「 值靹 得 信 賴 的 資 訊 社 會 Ķ、「 具 創 意 的 Soft<br />
PowerĶ、「 尖 端 數 位 整 合 基 礎 建 設 Ķ。 有 關 韓 國 國 家韑 資 訊 化 發 展韙 願 景 與 策 略 如 圖蹙 二 所 示 。<br />
圖蹙 二 韓 國 2012 年 國 家韑 資 訊 化 發 展韙 願 景 與 策 略 [9]<br />
2.3.2 組 織<br />
有 關 韓 國 資 安 相 關 組 織 如 圖蹙 三 所 示 ( 由 於 原鞝 稿 為 日 文 文 獻 ,ā 因 此 有 關 圖蹙 三 中 之 名 稱 對蹹 照 中 文 如 表<br />
一 所 示 ),ā 在 韓 國 2008 年 2 月 通 過跸 李 明 博 政 權 的 政 府 機 關 的 大 規 模 組 織 改 編 ,ā 有 關 資 訊 安 全 的 組 織 結 構躬 也<br />
作 為 重 大 的 變 化 :ć「 資 訊 與 通 訊 部 (Ministry of information and Communication,āMIC)Ķ 被 廢 止 ,ā 其 機 能 被 「 行<br />
政 安 全 部 (Ministry of Public Administration and Security,āMOPAS)Ķ、「 知 識 經 濟 部 (Ministry of Knowledge<br />
Economy,āMKE)Ķ、「 韓 國 廣 播 通 信 委 員鞬 會 (Korea Communication Commission,āKCC)Ķ 所 承 繼 。<br />
在 韓 國 關 於 政 府 機 關 、 民 間 部 門 的 資 訊 安 全 ,ā 重 要 基 礎 設 施 防 護 等 資 訊 安 全 的 對蹹 策 ,ā 由 於 已 採 取 前<br />
MIC 的 整 體 方 向 ,ā 由 MIC 的 下 部 組 織 「 韓 國 資 訊 安 全 局 (Korea Information Security Agency,āKISA)Ķ 進 行<br />
著 實蹴 際 業 務 對蹹 應 。<br />
為 了 讓 政 策 與 時頗 俱鞂 進 ,ā2009 年 7 月 23 日 「 韓 國 資 訊 安 全 局 (KISA)Ķ、「 韓 國 國 家韑 網 路跡 發 展韙 局 (National<br />
Internet Development Agency of Korea,āNIDA)Ķ 以 及 「 韓 國 資 訊 技 術 國 際 協 力 機 構躬 (Korea IT International<br />
Cooperation Agency,āKOICA)Ķ 整 併 為 「 韓 國 資 訊 安 全 局 (KISA)Ķ,ā 以 為 網 民 打 造 一 條 進 入 溫 暖 舒 適 的 數 位<br />
世 界 之 路跡 自 許 [1]。<br />
KISA 完 成 南 韓 整 體 資 通 訊 危 機 處 理 機 制 ,ā 由 政 府 常 設 的 「KrCERT/CC(Korea Computer Emergency<br />
Response Team Coordination Center)Ķ 負 責 運跮 作 之 後 ,ā 即 以 資 通 訊 產 品 安 全 驗 證 、 資 通 訊 系 統 安 全 管 理 認 證<br />
與 資 通 訊 危 機 處 理 機 制 為 工 作 重 點 [8]。<br />
圖蹙 三 韓 國 資 訊 安 全 相 關 組 織 ( 原鞝 稿 為 日 文 文 獻 )<br />
( 各 国 の 情 報 セキュリティ 政 策 における 情 報 連 携 モデルに 関 する 調 査 ,ā2009 [2])
表 一 圖蹙 三 之 組 織 名 稱 對蹹 照 表<br />
英 文 縮 寫 英 文 全 名 中 文 翻 譯<br />
大 統 領 - 總 統<br />
首靫 相 - 總 理<br />
NCSSC National Cyber Security Strategy Council 國 家韑 網 絡 安 全 戰 略 會 議<br />
NIS National Intelligence Service 國 家韑 情 報 局<br />
NCSC National Cyber Security Center 國 家韑 網 絡 安 全 中 心<br />
MIC Ministry of information and Communication 資 訊 與 通 訊 部<br />
MKE Ministry of Knowledge Economy 知 識 經 濟 部<br />
MOPAS Ministry of Public Administration and Security 行 政 安 全 部<br />
MOJ Ministry of Justice 法 務 部<br />
KCC Korea Communication Commission 韓 國 廣 播 通 信 委 員鞬 會<br />
CTRC Cyber Terror Response Center 網 路跡 恐韱 怖 襲 擊 應 對蹹 中 心<br />
SPO Supreme Prosecutors' Office 韓 國 大 檢 察蹸 廳<br />
ICIC Internet Crime Investigation Center 網 路跡 犯 罪 偵 查 中 心<br />
KISA Korea Information Security Agency 韓 國 資 訊 安 全 局<br />
KISC Korea Information Security Center 韓 國 資 訊 安 全 中 心<br />
有 關 韓 國 資 安 相 關 組 織 ( 如 :ć 國 家韑 情 報 局 、 國 家韑 網 絡 安 全 戰 略 會 議 、 行 政 安 全 部 、 韓 國 資 訊 安 全 局 …ċ 等 )<br />
說 明 如 下 [7][2]:ć<br />
1. 韓 國 國 家韑 情 報 局 (National Intelligence Service,āNIS) 前 身 為 韓 國 中 央 情 報 部 (Korean Central Intelligence<br />
Agency,āKCIA),ā 是 韓 國 的 情 報 及 國 家韑 安 全 機 關 。 首靫 任 部 長 是 金 鍾 泌 ,ā 於 1961 年 成 立 。 總 結 關 於 在 國<br />
家韑 公 共 部 門 的 安 全 保 障 的 業 務 ,ā 資 訊 系 統 的 安 全 對蹹 策 的 計 畫 、 調 整 、 政 策 制 定 及 國 家韑 公 共 部 門 對蹹 象 資<br />
訊 系 統 的 對蹹 策 支 援 、 重 要 基 礎 設 施 保 護 、 資 訊 安 全 系 統 的 認 證 等 作 為 主 要 的 業 務 內 容韕 。<br />
2. 韓 國 國 家韑 網 絡 安 全 戰 略 會 議 (National Cyber Security Strategy Council,āNCSSC) 根頨 據 2004 年 被 公 佈 的 「 國<br />
家韑 資 訊 安 全 基 本 方 針 Ķ 被 設 置 的 總 統 直 轄 的 委 員鞬 會 。 為 了 強 化 對蹹 網 絡 攻 擊 的 國 家韑 綜 合 水 平 且 有 系 統 的<br />
對蹹 應 力 ,ā 制 定 國 家韑 網 絡 安 全 政 策 的 同 時頗 ,ā 進 行 著 有 關 資 訊 安 全 關 聯 制 度 的 討 論 ,ā 並 進 行 國 家韑 全 面 的 網<br />
絡 安 全 政 策 綜 合 性 的 調 整 。<br />
3. 韓 國 行 政 安 全 部 (Ministry of Public Administration and Security,āMOPAS)2008 年 的 行 政 改 革靣 的 結 果 ( 前<br />
MIC),ā 承 擔 國 家韑 ,ā 政 府 組 織 管 理 ,ā 人 事 管 理 ,ā 電踝 子 政 務 和 災 難 安 全 有 關 的 事 務 。 此 外 ,āMOPAS 積 極<br />
支 持 當 地 政 府 、 地 方 行 政 、 金 融 、 區 域 發 展韙 ,ā 促 進 更 大 的 地 方 自 治 。MOPAS 國 際 管 理 發 展韙 中 心 密 切<br />
合 作 ,ā 如 發 展韙 與 國 際 組 織 合 作 的 領 域 和 與 外 國 政 府 提 供 政 策 諮 詢 和 分 享 韓 國 的 政 策 ,ā 如 電踝 子 政 務 和 公<br />
務 員鞬 培 訓 的 行 政 措 施 。 有 關 MOPAS 資 訊 化 戰 略 辦 公 室 的 機 能 如 下 :ć<br />
民 營 企 業 的 資 訊 安 全 政 策 的 籌 劃蹄<br />
用 戶 隱 私 的 強 化<br />
電踝 子 認 證<br />
樹 立 堅 實蹴 的 網 絡 文 化<br />
4. 韓 國 資 訊 安 全 局 (Korea Information Security Agency,āKISA)<br />
資 訊 和 通 信 基 礎 設 施 的 脆 弱韪 性 分 析 和 評 價 ,ā 垃 圾 郵 件 的 抵 制 ,ā 支 持 資 訊 安 全 產 業 ,ā 資 訊 安 全 教 育 ,ā<br />
在 國 家韑 一 級 全 面 推 動 資 訊 安 全 保 障 措 施 。 有 關 KISA 的 機 能 如 下 :ć<br />
資 訊 安 全 政 策 和 體 制 研 究<br />
加 密 技 術 的 發 展韙<br />
發 展韙 先 進 的 技 術 系 統 和 網 絡 安 全<br />
資 訊 安 全 技 術 標 準 的 制 定 和 標 準 化<br />
基 於 CC(Common Criteria) 的 資 訊 安 全 產 品 / 系 統 的 評 價<br />
電踝 子 簽 名 認 證 管 理
2011 健 康 與 管 理 學 術 研 討 會<br />
事 件 響 應 ( 的 Cyber118 CERT-CC/KR 的 操 作 )<br />
支 持 關 鍵 基 礎 設 施 保 護<br />
為 保 護 個鞄 人 資 訊 的 研 究 和 措 施<br />
人 力 資 源 開 發 ( 公 共 關 係 教 育 和 培 訓 )<br />
2.3.3 作 法<br />
韓 國 政 府 為 了 把 握 資 訊 科 技 所 創 造 出 來 的 數 位 契 機 ,ā 於 1999 年 提 出 「Cyber Korea 21Ķ 的 計 畫 ,ā 政 策<br />
主 要 目 的 在 於 發 展韙 韓 國 的 資 訊 科 技 產 業 ,ā 希 望 使 得 韓 國 能 夠 早 日 成 為 一 個鞄 資 訊 化 的 社 會 。<br />
為 因 應 韓 國 邁 向 U 化 社 會 ,ā2005 年 3 月 韓 國 資 訊 通 信 部 成 立 U-Korea 策 略 規 劃蹄 小 組 ,ā 完 成 U-Korea 政 策 草<br />
案頥 ,ā 到 2006 年 3 月 確 立 U-Korea 總 體 政 策 規 劃蹄 ,ā 主 要 目 的 在 引 導 南 韓 的 IT 應 用 朝 向 解 決 新 社 會 與 經 濟 需 求 ,ā<br />
並 著 眼 2011 年 能 讓 韓 國 成 為 透 過跸 無 所 不 在 網 路跡 建 構躬 一 個鞄 更 便 利 的 網 路跡 社 會 ,ā 為 落 實蹴 此 目 標 ,āU-Korea 以 「The<br />
FIRST u-society on the BEST u-InfrastructureĶ 為 願 景 策 略 ,ā 鎖 定 在 四 項 關 鍵 建 設 發 展韙 U 化 社 會 五 大 應 用 ,ā 其<br />
中 在 現 代 化 社 會 建 設 (Streamlining Social Infrastructure) 願 景 策 略 中 提 出 「 鞏 固 U 化 環 境蹜 的 安 全 性 Ķ 之 關 鍵 任<br />
務 。<br />
在 韓 國 2007 年 的 「 資 訊 化 白 皮 書頟 (Informatization White Paper)Ķ 中 ,ā 可 分 為 幾 個鞄 部 份 :ć 電踝 子 化 政 府<br />
(e-Government)、 數 位 經 濟 (Digital Economy)、 數 位 生 活 (Informatization of Daily Life)、 建 立 U 化 基 礎 設 施<br />
(Establishment of u-Infrastructure)、 資 訊 科 技 產 業 (IT Industry) 以 及 資 訊 安 全 (Information Security) 等 六 大 領 域 ,ā<br />
其 中 在 資 訊 安 全 領 域 提 到 ,āU 化 社 會 將 會 面 臨 到 許 多 安 全 上 的 衝 擊 [17]。 在 此 方 面 ,āMIC 已 在 2006 年 發 表<br />
「 無 所 不 在 的 資 訊 安 全 (Ubiquitous Information Security)Ķ 策 略 ,ā 將 從 建 立 安 全 的 基 礎 通 信 設 施 方 面 、 用 戶<br />
的 保 護 隱 私 方 面 、 建 立 信 任 服 務 與 設 施 方 面 、 建 立 乾 淨 網 際 網 路跡 環 境蹜 等 四 個鞄 構躬 面 加 以 實蹴 行 建 立 無 所 不 在<br />
的 安 全 社 會 。<br />
2.3.4 小 結<br />
綜 觀 韓 國 政 府 在 資 訊 科 技 的 發 展韙 上 ,ā 一 直 都 相 當 有 計 畫 的 實蹴 現 。 從 制 定 計 畫 ,ā 著 手 基 礎 建 設 ,ā 到 確<br />
實蹴 的 按 時頗 進 行 建 設 ,ā 及 提 供 完 整 的 服 務 ,ā 都 是 精 心 策 劃蹄 地 的 執 行 ,ā 故 其 成 效頒 往 往 是 有 目 共 睹 。 韓 國 當 地<br />
的 大 型 企 業 都 很 願 意 和 學 術 單 位 合 作 ,ā 並 投 入 大 筆 資 金 ,ā 發 展韙 出 韓 國 相 當 著 重 於 學 術 界 的 資 訊 研 發 成 果 。<br />
另 有 韓 國 資 訊 安 全 中 心 (Korea Information Security Center,āKISC),ā 放 眼 於 目 前 網 路跡 社 會 中 充 斥 著 駭 客 與 病<br />
毒 ,ā 因 此 ,āKISC 對蹹 防 止 破 壞 及 將 損 失 降 到 最 低 ,ā 並 建 立 一 個鞄 安 全 的 網 際 網 路跡 社 會 的 策 略 有 長 足 的 研 究 能<br />
量 。 韓 國 垃 圾 郵 件 回 應 中 心 (Korea Spam Response Center,āKSRC) 主 要 是 制 定 與 垃 圾 郵 件 (Spam) 相 關 的 政 策 ,ā<br />
並 徹躇 底 執 行 反 垃 圾 郵 件 (Anti-spam) 的 相 關 事 項 。 韓 國 憑 證 認 證 機 構躬 (Korea Certificate Authority Central,āKCAC)<br />
的 研 發 內 容韕 著 重 於 建 立 一 個鞄 能 夠 安 全 、 可 靠 的 使 用 電踝 子 簽 章 的 環 境蹜 ,ā 並 有 效頒 的 管 理 那 些 公 開 有 效頒 的 簽 章 。<br />
韓 國 資 訊 科 技 安 全 評 估 中 心 (Korea IT Security Evaluation Center,āKISEC),ā 則 將 研 究 聚 焦 於 利 用 多 樣 的 評 估<br />
資 訊 防 護 產 品 的 安 全 性 及 可 靠 性 ,ā 以 建 立 一 個鞄 安 全 並 友 善 的 數 位 世 界 [3]。<br />
2.4 美 國 、 韓 國 、 中 國 等 三 國 資 通 安 全 比 較 分 析 :<br />
有 鑑 於 目 前 國 際 間 ,ā 皆 已 逐 漸軌 重 視 資 安 流 程 相 關 事 項 ,ā 並 且 於 前 幾 年 開 始 已 經 逐 步<br />
完 成 相 關 規 劃蹄 及 組 織 建 立 事 宜 ,ā 經 參 考 美 、 日 、 韓 等 三 國 資 料頔 ,ā 彙 整 其 願 景 目 標 、 組 織 、<br />
作 法 、 總 結 等 重 點 ,ā 摘躔 要 如 次 :<br />
願 景 與 目 標<br />
組 織<br />
美 國 韓 國 中 國<br />
「 建 立 創 意 及 信 賴 的 知 識<br />
資 訊 化 社 會 Ķ<br />
保 衛 國 家韑 關 鍵 基 礎 建 設 免<br />
於 網 路跡 攻 擊 、 減 少 資 通 訊<br />
網 路跡 的 弱韪 點 、 降 低 網 路跡 攻<br />
擊 損 失 及 縮 短 災 難 復 原鞝 的<br />
時頗 間 ,ā 並 體 認 「 所 有 的 資<br />
訊 參 與 者 都 有 責 任 與 義 務<br />
瞭 解 並 保 護 自 身 作 業 網 路跡<br />
安 全 Ķ<br />
國 國 土 安 全 部 、 美 國 管 理<br />
暨躤 預踣 算 局 、 美 國 國 家韑 網 路跡<br />
安 全 辦 公 室 與 美 國 聯 邦 總<br />
務 署 等<br />
國 家韑 情 報 局 、 國 家韑 網 絡 安<br />
全 戰 略 會 議 、 行 政 安 全<br />
部 、 韓 國 資 訊 安 全 局 等<br />
中 國 基 本 建 立 適 應 資 訊 安<br />
全 保 障 體 系 建 設 需 求 的 資<br />
訊 安 全 標 準 體 系 ;Ć 完 成 150<br />
項 國 家韑 標 準 的 制 定 ;Ć 自 主<br />
制 定 高 品 質 國 家韑 標 準 比 例<br />
達跲 到 40%;Ć 提 高 實蹴 質 參 與<br />
國 際 標 準 化 活 動 的 水 準 ,ā<br />
在 制 定 國 際 標 準 上 取 得 突<br />
破<br />
全 國 資 訊 安 全 標 準 化 技 術<br />
委 員鞬 會 、 中 國 資 訊 協 會 資<br />
訊 安 全 專 業 委 員鞬 會 、 國 家韑<br />
資 訊 中 心 資 訊 安 全 研 究 與
作 法<br />
總 結<br />
於 1984 年 開 始 正 視 資 訊<br />
安 全 議 題 ,ā 藉 由 相 關 法 令<br />
規 範 與 政 策 實蹴 行 ,ā 推 動 資<br />
安 的 建 置 與 發 展韙 活 動 ,ā 以<br />
增 強 資 安 能 量 。 其 作 法 包<br />
含 制 定 資 通 訊 相 關 標 準 、<br />
培 育 資 安 人 才 、 加 強 資 安<br />
技 術 研 發 等 ,ā 以 期 達跲 到 安<br />
全 及 可 信 賴 的 社 會 ,ā 並 提<br />
昇 個鞄 人 、 企 業 與 國 家韑 資 安<br />
防 護 能 力<br />
透 過跸 對蹹 資 訊 安 全 政 策 幾 十<br />
年 的 演躽 進 趨 勢 的 觀 察蹸 ,ā 可<br />
以 充 分 瞭 解 在 國 際 間 資 安<br />
佈 局 與 意 圖蹙 的 轉 變 和 資 訊<br />
化 時頗 代 所 帶 來 的 威 脅 、 挑<br />
戰 和 機 會 。<br />
韓 國 政 府 為 了 把 握 資 訊 科<br />
技 所 創 造 出 來 的 數 位 契<br />
機 ,ā 於 1999 年 提 出 「Cyber<br />
Korea 21Ķ 的 計 畫 ,ā 政 策 主<br />
要 目 的 在 於 發 展韙 韓 國 的 資<br />
訊 科 技 產 業 ,ā 希 望 使 得 韓<br />
國 能 夠 早 日 成 為 一 個鞄 資 訊<br />
化 的 社 會 。<br />
韓 國 憑 證 認 證 機 構躬 (Korea<br />
Certificate Authority<br />
Central,āKCAC) 的 研 發 內<br />
容韕 著 重 於 建 立 一 個鞄 能 夠 安<br />
全 、 可 靠 的 使 用 電踝 子 簽 章<br />
的 環 境蹜 ,ā 並 有 效頒 的 管 理 那<br />
些 公 開 有 效頒 的 簽 章 。<br />
服 務 中 心 等<br />
自 1984 年 開 始 注 意 機 敏<br />
部 門 的 資 安 工 作 ,ā 亦 參 考<br />
美 國 資 安 標 準 ,ā 發 展韙 一 系<br />
列 與 國 際 接 軌 的 國 家韑 資 安<br />
標 準 ,ā 訂 定 資 安 相 關 法 規<br />
與 權 責 、 驗 證 機 構躬 等 ,ā 大<br />
幅 提 高 其 資 安 水 準 。<br />
中 國 政 府 在 積 極 部 署 雲 端<br />
運跮 算 發 展韙 規 劃蹄 ,ā 各 地 正 在<br />
積 極 探 索 發 展韙 地 方 雲 端 運跮<br />
算 ,āIT 企 業 、 通 信 運跮 營 商<br />
積 極 拓 展韙 雲 端 運跮 算 領 域 的<br />
發 展韙 空 間 ,ā 中 國 在 政 策 層<br />
面 的 引 導 逐 步 深 化 ,ā 法 律<br />
層 面 的 探 索 也 開 始 展韙 開 。<br />
3. 我 國 資 通 安 全 分 析 :<br />
3.1 願 景 與 目 標 :<br />
隨 網 路跡 人 口 不 斷 攀 升 、 企 業 電踝 子 化 持 續 推 展韙 ,ā 我 國 已 邁 向 高 度 資 訊 化 與 數 位 化 社 會 。 對蹹 於 數 位 科<br />
技 產 品 的 運跮 用 ,ā 無 論 一 般 大 眾 或 企 業 用 戶 ,ā 均 已 高 度 融 入 日 常 生 活 與 業 務 維 運跮 過跸 程 中 ,ā 與 此 同 時頗 ,ā 高<br />
度 資 安 風靨 險 ,ā 亦 伴 隨 而 至 。 在 「 國 家韑 資 通 訊 安 全 發 展韙 方 案頥 Ķ 具 體 規 劃蹄 下 ,ā 展韙 望 未 來 ,ā 藉 由 「 強 化 整 體<br />
回 應 能 力 Ķ、「 提 供 可 信 賴 的 資 訊 服 務 Ķ、「 優 質 化 企 業 競 爭 力 Ķ、「 建 構躬 資 安 文 化 發 展韙 環 境蹜 Ķ 四 大 政 策 目<br />
標 的 設 定 ,ā 以 及 施 行 策 略 的 完 善 規 劃蹄 與 執 行 ,ā 我 國 正 邁 向 「 安 全 信 賴 的 智 慧 台 灣 ,ā 安 心 優 質 的 數 位 生<br />
活 Ķ 之 願 景 ( 如 圖蹙 一 我 國 資 通 安 全 政 策 之 發 展韙 願 景 與 政 策 目 標 )<br />
3.2 組 織 :<br />
圖蹙 一 我 國 資 通 安 全 政 策 之 發 展韙 願 景 與 政 策 目 標
2011 健 康 與 管 理 學 術 研 討 會<br />
我 國 資 訊 通 訊 安 全 基 礎 建 設 ,ā 以 強 化 資 通 訊 安 全 能 力 ,ā 國 家韑 安 全 會 議 於 八 十 九 年 五 月 奉 總 統 指 示<br />
研 提 「 建 立 我 國 通 資 訊 基 礎 建 設 安 全 機 制 Ķ 建 議 書頟 ,ā 經 總 統 於 八 十 九 年 八 月 三 十 日 核頤 定 並 轉 送 行 政 院<br />
規 劃蹄 辦 理 ,ā 行 政 院 於 八 十 九 年 九 月 起 經 十 二 次 召 集 各 部 會 研 討 相 關 規 劃蹄 作 業 ,ā 於 九 十 年 一 月 第 二 七 一 八<br />
次 院 會 核頤 定 通 過跸 第 一 期 「 建 立 我 國 通 資 訊 基 礎 建 設 安 全 機 制 計 畫 Ķ(90 年 至 93 年 ),ā 並 成 立 「 國 家韑 資 通<br />
安 全 會 報 Ķ,ā 於 同 年 3 月 規 劃蹄 成 立 「 國 家韑 資 通 安 全 會 報 技 術 服 務 中 心 Ķ( 以 下 簡 稱 技 服 中 心 ),ā 積 極 推 動 我<br />
國 資 通 安 全 基 礎 建 設 工 作 。<br />
行 政 院 國 家韑 資 通 安 全 會 報 Ķ 自 成 立 以 來 ,ā 積 極 推 動 政 府 機 關 對蹹 資 通 安 全 的 重 視 ,ā 使 政 府 機 關 之 資 通<br />
安 全 提 升 已 具 初 步 成 效頒 ,ā 惟 因 資 通 安 全 係 一 需 要 持 續 推 動 的 重 要 工 作 ,ā 因 此 持 續 規 劃蹄 第 二 期 94 至 97 年<br />
的 「 建 立 我 國 通 資 訊 基 礎 建 設 安 全 機 制 計 畫 Ķ,ā 經 過跸 兩 期 總 計 8 年 「 建 立 我 國 通 資 訊 基 礎 建 設 安 全 機 制 計<br />
畫 Ķ 的 推 動 ,ā 我 國 之 「 通 資 訊 基 礎 建 設 安 全 機 制 Ķ 業 已 初 具 模 型 ,ā 且 在 「 行 政 院 國 家韑 資 通 安 全 會 報 Ķ 協<br />
調 運跮 作 ,ā 各 部 、 會 、 署 、 直 轄 市 及 縣 市 政 府 的 努 力 之 下 ,ā 亦 已 達跲 成 「 建 立 整 體 資 安 防 護 體 系 、 健 全 資 安<br />
防 護 能 力 Ķ 之 階 段 性 目 標 [8]。 第 三 期 自 98 年 起 推 動 「 國 家韑 資 通 訊 安 全 發 展韙 方 案頥 (98 年 至 101 年 )Ķ,ā 並 考 量<br />
資 安 政 策 延 續 性 ,ā 以 達跲 成 「 安 全 信 賴 的 智 慧 台 灣 ,ā 安 心 優 質 的 數 位 生 活 Ķ 為 願 景 ,ā 朝 「 強 化 整 體 回 應 能<br />
力 Ķ、「 提 供 可 信 賴 的 資 訊 服 務 Ķ、「 優 質 化 企 業 競 爭 力 Ķ 及 「 建 構躬 資 安 文 化 發 展韙 環 境蹜 Ķ 四 大 政 策 目 標 努 力 。<br />
然 而 在 推 動 我 國 數 位 經 濟 時頗 ,ā 必 須 面 對蹹 全 球 複 雜 多 變 的 資 安 環 境蹜 ,ā 以 及 日 益 嚴 重 的 資 安 威 脅 。 因 此 ,ā 持<br />
續 精 進 與 落 實蹴 各 項 資 安 防 護 工 作 ,ā 並 發 展韙 我 國 資 安 產 業 ,ā 實蹴 屬 必 要 。<br />
「 技 服 中 心 Ķ 係 協 助 行 政 院 研 考 會 執 行 政 府 資 通 安 全 組 相 關 工 作 ,ā 並 提 供 政 府 機 關 事 前 安 全 防 護 、<br />
事 中 預踣 警 應 變 、 事 後 復 原鞝 鑑 識 等 技 術 服 務 ,ā 並 結 合 產 、 官 、 學 、 研 各 界 資 源 與 技 術 能 力 ,ā 建 置 資 通 安 全<br />
區 域 聯 防 運跮 作 機 制 ,ā 並 提 供 政 府 機 關 資 安 事 件 處 理 與 諮 詢 服 務 。 其 主 要 工 作 如 下 :<br />
( 一 ) 維 運跮 國 家韑 資 通 安 全 防 護 管 理 平 台 (Government- Security Operation Center, G-SOC),ā 提 供 政 府 機 關 資 安<br />
事 件 管 理 系 統 、 整 合 性 惡 意 程 式 監 看 、 使 用 者 端 警 示 系 統 、 蜜 網 (Honeynet) 與 內 部 網 路跡 警 示 系 統<br />
等 網 路跡 監 控 服 務 ,ā 以 即 早 發 現 資 安 事 件 ,ā 降 低 資 安 風靨 險 。<br />
( 二 ) 維 運跮 政 府 資 安 資 訊 分 享 與 分 析 中 心 (Government- Information Sharing and Analysis Center, G-ISAC),ā 整<br />
合 資 安 相 關 情 資 ,ā 進 行 資 安 訊 息韵 分 享 ,ā 提 供 政 府 機 關 資 安 諮 詢 及 技 術 服 務 ,ā 並 發 布 資 安 訊 息韵 。<br />
( 三 ) 提 供 政 府 機 關 重 要 資 訊 系 統 滲軖 透 測 試 服 務 ( 含 修鞈 補 建 議 ),ā 強 化 其 自 我 檢 測 及 修鞈 護 能 力 ,ā 研 究 資 安 威<br />
脅 蒐 集 與 分 析 自 動 檢 測 核頤 心 技 術 ,ā 建 立 自 動 蒐 集 分 析 機 制 ,ā 降 低 資 安 可 能 危 害韐 。<br />
( 四 ) 參 考 國 際 資 通 安 全 相 關 標 準 ,ā 建 立 政 府 機 關 資 安 檢 測 與 評 鑑 機 制 ,ā 訂 定 資 安 規 範 整 體 發 展韙 藍 圖蹙 架<br />
構躬 ,ā 發 展韙 政 府 資 安 相 關 規 範 及 參 考 指 引 ,ā 並 推 動 資 安 等 級 A 級 與 B 級 機 關 通 過跸 資 訊 安 全 管 理 系<br />
統 (Information Security Management System, ISMS) 驗 證 。<br />
( 五 ) 推 動 政 府 機 關 資 安 健 診 評 量 架 構躬 與 追 蹤 管 理 機 制 ,ā 提 供 政 府 機 關 資 安 健 診 服 務 ,ā 強 化 政 府 機 關 資 安<br />
防 護 能 量 ,ā 掌 握 資 安 防 護 情 形 。<br />
( 六 ) 提 升 公 務 人 員鞬 資 安 知 識 與 能 力 ,ā 規 劃蹄 辦 理 資 安 技 術 講 習 、 資 安 證 照 訓 練 、 資 通 安 全 防 護 巡 迴 研 討 會<br />
等 訓 練 課 程 ,ā 並 發 展韙 資 訊 安 全 數 位 學 習 課 程 。<br />
依 據 行 政 院 國 家韑 資 通 安 全 會 報 設 置 要 點 ,ā 會 報 負 責 國 家韑 資 通 訊 安 全 相 關 事 項 之 政 策 協 調 、 聯 繫 及 推<br />
動 ,ā 行 政 院 於 中 華 民 國 100 年 3 月 7 日 並 成 立 「 行 政 院 資 通 安 全 辦 公 室 Ķ,ā 設 網 際 防 護 及 網 際 犯 罪 偵 防 等<br />
二 體 系 ( 架 構躬 圖蹙 如 圖蹙 一 所 示 ) 別 由 行 政 院 院 研 考 會 、 法 務 部 及 內 政 部 共 同 主 辦 ,ā 下 設 相 關 組 ,ā 各 體 系 及 各 組<br />
之 主 辦 機 關 ( 單 位 ) 及 其 任 務 如 下 :ć<br />
( 一 ) 網 際 防 護 體 系 :ć 由 本 院 研 究 發 展韙 考 核頤 委 員鞬 會 主 辦 ,ā 負 責 整 合 資 安 防 護 資 源 ,ā 推 動 資 安 相 關 政 策 。 下<br />
設 標 準 規 範 組 、 稽 核頤 服 務 組 、 認 知 教 育 及 人 才 培 育 組 、 政 府 資 通 安 全 組 ,ā 各 組 之 主 辦 機 關 ( 單 位 )<br />
及 其 任 務 如 下 :ć<br />
1. 標 準 規 範 組 :ć 由 經 濟 部 主 辦 ,ā 負 責 發 展韙 資 安 產 品 與 管 理 系 統 之 認 驗 證 標 準 及 體 系 ,ā 推 動 資 通 安 全 之<br />
技 術 規 範 及 管 制 ,ā 發 展韙 、 維 護 政 府 機 關 資 安 作 業 規 範 及 參 考 指 引 。<br />
2. 稽 核頤 服 務 組 :ć 由 本 院 主 計 處 電踝 子 處 理 資 料頔 中 心 主 辦 ,ā 負 責 推 動 落 實蹴 資 安 稽 核頤 制 度 ,ā 協 助 各 機 關 強 化<br />
資 安 防 護 工 作 之 完 整 性 及 有 效頒 性 ,ā 並 透 過跸 持 續 改 善 以 降 低 資 安 風靨 險 。<br />
3. 認 知 教 育 及 人 才 培 育 組 :ć 由 教 育 部 主 辦 ,ā 負 責 推 動 資 安 基 礎 教 育 ,ā 強 化 教 育 體 系 資 通 安 全 ,ā 提 升 全<br />
民 資 安 素 養 ,ā 提 供 資 安 資 訊 服 務 ,ā 建 立 資 安 人 才 培 育 體 系 。<br />
4. 政 府 資 通 安 全 組 :ć 由 本 院 研 究 發 展韙 考 核頤 委 員鞬 會 主 辦 ,ā 負 責 規 劃蹄 、 推 動 政 府 各 項 便 民 資 通 訊 應 用 服 務<br />
之 安 全 機 制 ,ā 輔 導 政 府 機 關 資 安 技 術 服 務 、 資 安 防 護 及 應 變 ,ā 統 合 政 府 機 關 資 安 人 力 充 實蹴 及 運跮 用 。<br />
( 二 ) 網 際 犯 罪 偵 防 體 系 :ć 由 法 務 部 及 內 政 部 共 同 主 辦 ,ā 負 責 防 範 網 路跡 犯 罪 、 維 護 民 眾 隱 私 、 建 立 資 通 訊<br />
基 礎 建 設 安 全 等 工 作 。 下 設 個鞄 資 保 護 及 法 制 推 動 組 、 防 治 網 路跡 犯 罪 組 及 資 通 訊 環 境蹜 安 全 組 ,ā 各 組 之<br />
主 辦 機 關 ( 單 位 ) 及 其 任 務 如 下 :ć<br />
1. 個鞄 資 保 護 及 法 制 推 動 組 :ć 由 法 務 部 主 辦 ,ā 負 責 檢 討 修鞈 正 維 護 民 眾 隱 私 及 防 制 網 路跡 犯 罪 相 關 法 令 規<br />
章 ,ā 建 立 安 心 信 賴 之 資 通 訊 法 制 環 境蹜 。
2. 防 治 網 路跡 犯 罪 組 :ć 由 內 政 部 主 辦 ,ā 負 責 網 路跡 犯 罪 查 察蹸 、 電踝 腦 犯 罪 防 治 等 事 件 工 作 。<br />
圖蹙 二 行 政 院 國 家韑 資 通 安 全 會 報 架 構躬 圖蹙<br />
3.3 作 法 :<br />
( 一 ) 我 國 通 資 安 全 評 估 共 通 準 則 之 驗 證 費 用 與 時頗 間 ,ā 影 響 台 商 驗 證 意 願 :<br />
國 家韑 通 訊 傳 播 委 員鞬 會 (National Communications Commission, NCC) 預踣 計 將 頒踧 布 台 版 安 全 評<br />
估 共 通 準 則 (Common Criteria, CC),ā 並 預踣 計 於 2012 年 政 府 共 同 供 應 契 約 換 約 時頗 ,ā 將 會 納 入 資<br />
通 安 全 產 品 需 通 過跸 臺 版 CC 認 證 的 規 範 ,ā 但 為 了 尊 重 各 政 府 單 位 ,ā 將 由 各 單 位 自 行 決 定 ,ā 是<br />
否 採 購 通 過跸 台 版 CC 認 證 的 資 安 產 品 。 其 中 通 過跸 台 版 CC 的 IT 產 品 ,ā 將 會 被 政 府 單 位 優 先<br />
採 購 。<br />
雖 取 得 台 版 CC 的 IT 產 品 將 會 被 政 府 單 位 優 先 採 購 ,ā 但 對蹹 於 部 份 資 安 廠 商 而 言 則 面 臨<br />
到 下 列 問 題 :ć 首靫 先 ,ā 產 品 通 過跸 認 證 時頗 需 要 花 費 較跨 高 昂 費 用 ,ā 尤 其 若 屬 較跨 複 雜 之 產 品 ,ā 則 需 要<br />
花 費 更 多 費 用 ;Ć 其 次 ,ā 驗 證 流 程 時頗 間 較跨 長 ,ā 如 評 估 保 證 等 級 (Evaluation Assurance Level, EAL) 4+<br />
等 級 之 驗 證 時頗 間 ,ā 約 需 12 至 16 個鞄 月 ,ā 基 於 一 般 廠 商 通 常 在 產 品 推 出 18 至 36 個鞄 月 後 ,ā 會<br />
陸 續 推 出 新 版 本 ,ā 將 形 成 廠 商 需 要 將 更 新 版 產 品 再 次 進 行 驗 證 ,ā 方 能 確 保 新 版 產 品 之 安 全<br />
性 ,ā 最 後 則 會 形 成 驗 證 時頗 間 與 產 品 上 市 時頗 間 之 落 差韤 ;Ć 此 外 ,ā 由 於 台 灣 仍 不 是 國 際 共 同 準 則 承<br />
認 協 定 (Common Criteria RecognitionArrangement, CCRA) 的 會 員鞬 國 ,ā 故 即 使 台 灣 廠 商 取 得 台 版<br />
CC,ā 亦 不 能 因 此 獲 得 CCRA 的 會 員鞬 國 承 認 ,ā 而 無 法 達跲 到 取 得 台 版 驗 證 即 能 適 用 全 球 之 情 形 。<br />
基 於 上 述 考 量 ,ā 將 影 響 廠 商 進 行 產 品 驗 證 的 意 願 。<br />
( 二 ) 新 版 個鞄 資 法 施 行 細 則 草 案頥 已 被 公 布 ,ā 企 業 意 識 提 升 但 因 應 消顆 極 :<br />
在 新 版 個鞄 資 法 公 告 之 前 ,ā 由 於 個鞄 資 外 洩 事 件 日 益 增 加 ,ā 為 強 化 各 行 別 對蹹 資 料頔 防 護 的 重 視 ,ā<br />
使 個鞄 人 資 料頔 能 獲 得 更 完 善 的 保 護 ,ā 政 府 於 2010 年 五 月 公 告 新 版 個鞄 資 法 ,ā 並 於 2011 年 十 月 下 旬<br />
公 告 施 行 細 則 草 案頥 。<br />
新 版 個鞄 資 法 強 化 了 賠 償 與 刑 罰 、 擴 大 了 保 護 範 圍 與 適 用 行 業 並 增 加 團蹘 體 訴 訟 等 規 範 ,ā 使 企<br />
業 更 重 視 資 料頔 保 存 、 備 份 、 加 密 、 外 洩 防 護 與 稽 核頤 ,ā 並 產 生 出 資 安 軟 硬 體 與 服 務 的 搭 配 需 求 。<br />
然 而 除 了 原鞝 本 即 受 到 規 範 的 行 業 ,ā 多 數 行 業 之 資 安 防 護 意 識 尚 為 不 足 ;Ć 亦 或 已 意 識 到 資 安 之 重<br />
要 性 ,ā 但 礙 於 資 源 限 制 而 難 以 建 置 較跨 完 善 之 資 安 防 護 。 此 外 由 於 新 版 個鞄 資 法 擴 及 到 所 有 行 業 皆<br />
適 用 ,ā 針 對蹹 不 同 行 業 所 需 善 盡 防 護 責 任 之 標 準 ,ā 亦 可 能 存 有 所 差韤 異 。 但 在 新 版 個鞄 資 法 推 出 後 ,ā<br />
此 部 份 行 業 則 面 臨 到 即 使 尋 找 資 安 廠 商 ,ā 然 而 資 安 廠 商 因 不 瞭 解 其 行 業 生 態躊 ,ā 而 無 法 有 效頒 推 出<br />
適 合 該 行 業 的 防 護 產 品 ,ā 導 致 此 類 的 行 業 雖 然 花 費 資 源 投 入 資 安 防 護 ,ā 但 實蹴 際 成 效頒 不 彰躆 。<br />
( 三 ) 雲 端 普 及 尚 低 且 安 全 考 量 ,ā 雲 端 資 安 需 求 長 期 方 有 較跨 明 顯 成 長 :<br />
由 於 雲 端 運跮 算 的 興 起 ,ā 使 得 採 用 雲 端 運跮 算 的 企 業 在 營 運跮 模 式 上 有 所 轉 變 ,ā 包 含 將 企 業 營 運跮<br />
或 機 密 資 料頔 儲 存 至 雲 端 等 ,ā 但 也 因 此 企 業 擔 心 放 置 雲 端 的 營 運跮 或 機 密 資 料頔 是 否 具 有 確 切 之 安 全<br />
性 。 此 外 ,ā 因 為 採 用 雲 端 運跮 算 會 面 臨 到 雲 端 供 應 商 之 安 全 防 護 問 題 ,ā 企 業 亦 會 對蹹 雲 端 供 應 商 之<br />
權 限 控 管 、 資 料頔 使 用 與 稽 核頤 等 安 全 問 題 有 所 考 量 。<br />
企 業 採 用 雲 端 運跮 算 之 主 要 因 素 ,ā 為 提 升 企 業 營 運跮 效頒 率 及 降 低 營 運跮 成 本 。 然 而 基 於 下 列 因 素 ,ā<br />
台 灣 市 場 對蹹 於 雲 端 資 安 於 中 短 期 內 尚 無 明 顯 之 需 求 :ć 首靫 先 ,ā 目 前 台 灣 市 場 反 映 尚 未 明 顯 感 受 到
2011 健 康 與 管 理 學 術 研 討 會<br />
雲 端 運跮 算 所 能 帶 來 的 效頒 益 與 成 本 有 效頒 節 省 ( 企 業 內 IT 人 員鞬 與 軟 硬 體 成 本 低 );Ć 其 次 ,ā 企 業 考 量 其<br />
安 全 性 ( 新 版 個鞄 資 法 亦 提 升 對蹹 安 全 性 之 考 量 ),ā 故 雲 端 採 用 尚 不 普 遍跹 ;Ć 第 三 ,ā 對蹹 於 要 針 對蹹 雲 端 之 安<br />
全 防 護 ,ā 額 外 採 購 或 採 用 針 對蹹 雲 端 安 全 之 產 品 或 服 務 ,ā 反 而 會 增 加 企 業 之 成 本 ,ā 亦 是 減 少 企 業<br />
採 用 雲 端 意 願 之 原鞝 因 ;Ć 第 四 ,ā 整 體 市 場 既 有 硬 體 設 備 還 能 使 用 或 未 到 汰 換 時頗 間 ,ā 而 無 明 顯 轉 換<br />
雲 端 使 用 需 求 ;Ć 第 五 ,ā 企 業 對蹹 資 安 投 資 資 源 固 定 ,ā 近 期 企 業 主 要 為 因 應 牽 連 到 刑 罰 與 賠 款 問 題<br />
的 新 版 個鞄 資 法 ,ā 故 對蹹 雲 端 及 雲 端 資 安 之 投 資 比 例 相 對蹹 較跨 少 ,ā 其 我 國 產 業 資 安 挑 戰 概 要 區 分 三 個鞄<br />
階 段 ,ā 摘躔 要 如 次 :<br />
( 一 ) 廠 商 從 僅 提 供 產 品 或 服 務 ,ā 轉 為 搭 配 提 供 :<br />
由 於 台 灣 資 安 市 場 有 限 ,ā 雖 整 體 市 場 因 外 在 法 規 或 環 境蹜 威 脅 而 仍 持 續 成 長 ,ā 但 基 於 市 場 競 爭 者<br />
眾 多 與 逐 漸軌 進 入 成 熟 階 段 ,ā 廠 商 面 臨 到 付 出 成 本 相 對蹹 變 高 與 獲 利 逐 漸軌 變 低 之 挑 戰 。 為 增 加 獲 利<br />
空 間 與 拓 展韙 市 場 ,ā 原鞝 先 僅 單 純 銷 售 產 品 或 服 務 的 廠 商 ,ā 逐 漸軌 轉 換 成 將 產 品 與 服 務 搭 配 提 供 的 銷<br />
售 模 式 。<br />
( 二 ) 資 料頔 外 洩 防 護 需 求 逐 漸軌 浮顏 現 ,ā 鑑 識 市 場 醞 釀 :<br />
繼 2010 年 新 版 個鞄 資 法 公 布 後 ,ā 法 令 之 適 用 範 圍 擴 大 到 公 務 與 非 公 務 機 關 ( 涵 蓋 自 然 人 、 法 人 和<br />
其 他 團蹘 隊 ),ā 並 且 適 用 於 所 有 行 業 別 ,ā 因 而 刺 激 了 整 體 市 場 對蹹 資 安 防 護 的 需 求 。 為 了 以 防 萬 一 發<br />
生 資 安 事 件 時頗 ,ā 所 需 面 臨 到 的 賠 償 或 刑 罰 ,ā 企 業 普 遍跹 開 始 重 視 資 料頔 保 存 、 備 份 、 加 密 、 外 洩 防<br />
護 與 稽 核頤 等 產 品 或 服 務 之 建 置 ,ā 甚 至 除 了 事 前 的 防 護 措 施 ,ā 資 安 事 件 的 事 後 鑑 識 ( 如 事 件 紀 錄<br />
Log 的 保 留 ) 等 ,ā 能 在 資 安 事 件 發 生 後 可 協 助 證 明 企 業 為 善 盡 防 護 責 任 之 相 關 需 求 也 逐 漸軌 醞 釀 。<br />
為 了 滿軈 足 市 場 對蹹 新 版 個鞄 資 法 之 因 應 需 求 ,ā 而 集 中 強 打 資 料頔 防 護 等 相 關 資 安 產 品 與 服 務 ( 如 強 化 數<br />
位 證 據 保 全 暨躤 鑑 識 能 量 )。<br />
( 三 ) 廠 商 未 來 多 以 拓 展韙 外 銷 為 主 :<br />
基 於 台 灣 資 安 市 場 之 發 展韙 限 制 與 逐 漸軌 邁 入 成 熟 階 段 ,ā 廠 商 為 求 持 續 成 長 、 提 高 獲 利 與 拓 展韙 市 場 ,ā<br />
而 將 營 運跮 焦 點 轉 移 至 海顊 外 市 場 。 而 近 年 因 歐 洲 與 美 洲 受 歐 債 與 美 債 等 經 濟 因 素 影 響 ,ā 使 得 當 地<br />
市 場 發 展韙 亦 有 限 。 值靹 得 留 意 的 是 ,ā 在 距 離 台 灣 地 理 位 置 較跨 近 之 日 本 市 場 ,ā 雖 因 2011 年 311 大 地<br />
震 時頗 對蹹 台 商 之 好 感 度 提 升 而 形 成 機 會 ,ā 但 除 了 當 地 市 場 成 熟 度 較跨 高 ,ā 及 有 在 地 廠 商 之 競 爭 ,ā 故<br />
拓 展韙 當 地 市 場 時頗 仍 需 留 意 。 相 對蹹 的 隨 著 中 國 大 陸 市 場 經 濟 成 長 ,ā 當 地 資 安 市 場 亦 基 於 以 下 主 因<br />
而 持 續 擴 大 :ć 首靫 先 ,ā 當 地 企 業 因 資 訊 化 而 開 始 面 臨 到 資 通 安 全 之 問 題 ,ā 故 企 業 逐 漸軌 產 生 對蹹 資 安<br />
產 品 與 服 務 之 需 求 ( 如 數 位 證 據 保 全 暨躤 鑑 識 能 量 );Ć 其 次 ,ā 因 中 國 大 陸 政 府 的 法 規 壓 力 ( 如 企 業 內<br />
部 控 制 基 本 規 範 , 推 動 及 落 實蹴 資 安 稽 核頤 制 度 ),ā 令 企 業 為 遵 循 以 符 合 法 規 規 範 ,ā 而 加 速 對蹹 資 安 的 需<br />
求 ,ā 同 時頗 因 當 地 政 府 對蹹 資 安 重 視 ,ā 對蹹 於 資 安 防 護 之 落 實蹴 ,ā 從 中 央 逐 漸軌 擴 及 之 地 方 ,ā 並 從 企 業 核頤<br />
心 業 務 擴 及 至 企 業 全 面 ,ā 因 此 帶 動 了 中 國 大 陸 整 體 市 場 之 資 安 需 求 ;Ć 最 後 ,ā 中 國 大 陸 近 年 因 經<br />
濟 發 展韙 而 逐 漸軌 發 展韙 的 網 路跡 基 礎 建 設 ,ā 也 逐 漸軌 帶 動 了 資 安 需 求 ,ā 其 中 因 為 預踣 計 至 2013 年 當 地 上<br />
網 人 口 普 及 率 僅 達跲 到 27%,ā 達跲 3.8 億 人 ,ā 故 未 來 資 安 需 求 仍 具 有 相 當 程 度 之 成 長 潛 力 。<br />
3.4 小 結 :<br />
隨 著 資 訊 產 業 、 建 設 及 人 們靽 對蹹 其 需 求 不 斷 的 加 乘靭 發 展韙 ,ā 不 論 是 政 府 、 企 業 還 是 民 眾 對蹹 資 通 訊 技<br />
術 及 網 路跡 的 依 賴 已 不 在 話 下 。 然 而 ,ā 相 對蹹 的 資 訊 安 全 卻 無 法 同 步 跟 上 這 波 巨 浪顄 的 浪顄 潮 ,ā 過跸 去 幾 年 來 ,<br />
不 同 類 型 的 資 通 安 全 事 故 層 出 不 窮 , 無 論 個鞄 人 、 企 業 、 關 鍵 基 礎 建 設 業 者 與 政 府 機 關 , 皆 曾 遭 受 資 安 事<br />
故 困 擾 ,ā 根頨 據 防 毒 軟 體 公 司 賽 門 鐵 克 (Symantec) 公 布 的 最 新 全 球 網 路跡 安 全 威 脅 研 究 報 告 指 出 ,ā 台 北<br />
市 成 為 全 球 擁 有 最 多 「 殭 屍 電踝 腦 Ķ 的 城 市 ,ā 台 灣 擁 有 殭 屍 電踝 腦 的 數 量 ,ā 也 是 亞 太 地 區 中 排 名 第 2 的<br />
國 家韑 ( 僅 次 於 中 國 大 陸 ),ā 這 不 僅 影 響 民 眾 的 財 產 安 全 ,ā 更 將 威 脅 國 家韑 的 基 礎 建 設 安 全 。<br />
我 國 於 1990 年 起 所 共 同 建 立 之 全 國 性 教 學 研 究 用 電踝 腦 網 路跡 ,ā 隨 後 資 安 問 題 也 隨 之 而 來 ,ā 為 遏跷 止 情 況<br />
繼 續 惡 化 ,ā 教 育 部 建 立 了 台 灣 學 術 網 路跡 資 通 安 全 通 報 應 變 中 心 ,ā 在 其 下 部 署 了 A-ISAC 、ASOC、<br />
TACERT、Anti-Botnet、DNSSEC 等 ,ā 並 委 託 專 家韑 學 者 參 考 ISO/IEC 27001:2005(E) ISMS 規 範 內 的 條 款 ,ā<br />
建 立 屬 於 教 育 體 系 的 ISMS,ā 而 根頨 據 行 政 院 2010 資 通 安 全 政 策 白 皮 書頟 四 大 政 策 目 標 ,ā 我 們靽 自 政 府 計<br />
畫 、 學 術 論 文 、 期 刊 及 網 路跡 等 蒐 整 教 育 面 策 略 作 為 ,ā 根頨 據 各 項 資 料頔 顯 示 ,ā 教 育 面 策 略 作 為 與 資 通 安<br />
全 政 策 白 皮 書頟 四 大 政 策 目 標 均 吻 合 ,ā 惟 在 執 行 上 是 否 能 夠 完 全 按 照 計 畫 ,ā 還 需 視 整 體 資 安 文 化 、 企<br />
業 配 合 度 、 民 眾 接 受 度 等 等 因 素 是 否 能 配 合 ,ā 畢 竟 資 安 最 重 要 的 還 是 「 人 Ķ 的 因 素 ;Ć 另 就 以 目 前 的<br />
狀 況 而 言 ,ā 欲 實蹴 踐 前 述 願 景 ,ā 各 有 內 部 環 境蹜 之 優 劣 勢 與 外 部 環 境蹜 之 機 會 與 威 脅 ,ā 如 表 3 所 示 。<br />
表 3 我 國 資 安 整 體 SWOT 分 析
優 勢 (Strengths; S)<br />
S<br />
1. 我 國 資 通 訊 產 業 發 達跲 ,ā 擁 有 優 秀 資 通 訊 、<br />
科 技 人 才 。<br />
2. 擁 有 高 素 質 的 人 力 ,ā 具 創 新 性 且 對蹹 於 新 科<br />
技 接 受 度 強 。<br />
3. 擁 有 豐 富 的 ISMS 資 安 防 護 經 驗 與 駭 客 行<br />
為 模 式 分 析 資 料頔 庫韧 。<br />
4. 針 對蹹 「 學 術 網 路跡 系 統 Ķ 以 及 「 行 政 資 訊 系<br />
統 Ķ 兩 大 業 務 範 疇 ,ā 訂 定 教 育 體 系 所 屬 機<br />
關 、 學 校頣 資 訊 安 全 管 理 規 範 ,ā 以 提 升 資 訊<br />
安 全 管 理 能 力 。<br />
機 會 (Opportunities; O)<br />
O<br />
1. 政 府 持 續 發 展韙 資 通 訊 應 用 及 建 設 ,ā 可 充 分<br />
掌 握 行 政 院 組 織 改 造 契 機 ,ā 優 化 政 府 資 訊<br />
架 構躬 並 提 升 整 體 網 路跡 安 全 - 成 立 行 政 院 資<br />
通 安 全 辦 公 室 。<br />
2. 隱 私 權 與 智 慧 財 產 權 保 護 議 題 受 重 視 且<br />
新 版 個鞄 人 資 料頔 保 護 法 即 將 實蹴 施 。<br />
3. 在 資 安 事 件 蔓 延 及 智 慧 型 手 機 大 量 使<br />
用 、 法 令 規 範 效頒 應 下 ,ā 促 使 全 球 資 安 市 場<br />
成 長 。<br />
4. 行 政 院 資 通 安 全 會 報 技 術 服 務 中 心 之 組<br />
織 、 定 位 與 功 能 將 轉 型 為 公 法 人 及 管 理 監<br />
督 者 。<br />
5. 資 通 訊 安 全 無 國 界 ,ā 在 國 際 社 會 中 ,ā 各 國<br />
皆 須 強 化 國 際 地 位 與 影 響 力 並 積 極 拓 展韙 資<br />
安 合 作 機 會 。<br />
劣 勢 (Weaknesses; W) W<br />
1. 使 用 者 在 行 為 面 並 未 落 實蹴 資 安 ,ā 認 知 與 警 覺<br />
性 仍 待 進 一 步 提 升 。<br />
2. 資 安 相 關 法 制 立 法 推 動 不 易 ,ā 且 推 動 資 安 組<br />
織 法 制 化 ,ā 並 合 理 化 人 力 及 預踣 算 。<br />
3. 資 安 治 理 知 易 行 難 ,ā 亟 待 宣 導 推 廣 及 建 立 輔<br />
導 機 制 。<br />
4. 應 用 程 式 安 全 仍 存 在 許 多 漏軅 洞 ,ā 資 全 事 件<br />
頻 傳 ,ā 駭 客 手 法 防 不 勝 防 。<br />
5. 資 安 資 訊 分 享 不 易 ,ā 並 應 制 定 政 府 資 安 防<br />
護 分 工 負 責 原鞝 則 。<br />
6. 關 鍵 資 安 科 技 為 先 進 國 家韑 所 掌 握 且 不 易<br />
突 破 以 及 資 安 產 業 發 展韙 條 件 受 限 。<br />
7. 資 安 國 際 合 作 空 間 受 限 ,ā 應 積 極 建 立 國 際<br />
資 安 聯 防 。<br />
8. 雲 端 進 步 快 速 ,ā 訂 定 國 家韑 資 安 管 理 辦 法 與<br />
機 制 。<br />
威 脅 (Threats; T) T<br />
1. 資 安 績 效頒 評 量 不 易 ,ā 潛 在 效頒 益 經 常 被 忽<br />
略 ,ā 致 令 資 安 資 源 投 入 不 足 ,ā 故 應 積 極 推<br />
動 及 落 實蹴 資 安 評 鑑 及 稽 核頤 制 度 。<br />
2. 因 應 資 安 發 展韙 趨 勢 ,ā 各 先 進 國 家韑 均 已 陸 續<br />
推 動 數 位 證 據 保 全 暨躤 鑑 識 能 量 。<br />
3. 網 路跡 已 成 為 犯 罪 工 具 、 犯 罪 場 所 及 犯 罪 目<br />
標 ,ā 應 積 極 強 化 網 路跡 犯 罪 能 量 。<br />
4. 資 安 資 訊 分 析 分 享 機 制 未 盡 完 善 ,ā 推 廣 落<br />
實蹴 政 府 與 民 間 資 安 聯 防 ,ā 完 整 處 理 追 蹤 資<br />
安 事 件 。<br />
5. 國 外 積 極 投 入 資 安 科 技 研 發 與 資 安 鑑 識<br />
產 業 ,ā 保 持 優 勢 並 拉 大 與 後 進 者 差韤 距 。<br />
6. 兩 岸 特顠 殊頻 政 經 情 勢 ,ā 制 約 台 灣 直 接 參 與 國<br />
際 相 關 組 織 或 活 動 之 作 為 。<br />
4. 結 論 :<br />
在 當 前 的 情 況 下 ,ā 資 訊 社 會 中 ,ā 透 過跸 網 路跡 資 源 的 運跮 用 可 以 迅 速 而 廣 泛 的 獲 得 資 訊 ,ā 提 高 學 習 效頒 能 ,ā<br />
以 及 增 進 與 他 人 之 溝 通 。 然 而 ,ā 光 是 具 備 資 訊 能 力 已 不 足 以 因 應 資 訊 社 會 之 需 求 ,ā 網 路跡 的 普 及 使 用 也 衍<br />
生 了 新 議 題 ,ā 例 如 不 當 使 用 可 能 對蹹 自 己 或 他 人 造 成 傷 害韐 、 侵 犯 智 慧 財 產 權 、 網 路跡 詐 欺 、 個鞄 人 資 料頔 外 洩 等<br />
網 路跡 犯 罪 問 題 。 因 此 ,ā 民 眾 除 了 具 有 運跮 用 資 通 訊 科 技 的 基 本 知 識 與 技 能 ,ā 還 應 了 解 與 具 備 資 安 素 養 與 能<br />
力 ,ā 以 提 升 我 國 民 應 有 的 資 安 認 知 與 學 習 。<br />
參 考 文 獻
2011 健 康 與 管 理 學 術 研 討 會<br />
[1] 行 政 院 科 技 顧 問 組 (2010), “2010 資 通 安 全 政 策 白 皮 書 ”。<br />
[2] 株 式 会 社 三 菱 総 合 研 究 所 (2009),“ 各 国 の 情 報 セキュリティ 政 策 における 情 報 連 携 モデルに 関 す<br />
る 調 査 ”, http://www.nisc.go.jp/inquiry/index.html<br />
[3] 劉 興 浚 (2010),“ 建 構 以 風 險 管 理 為 導 向 的 資 安 政 策 - 第 一 章 全 球 資 訊 安 全 發 展 概 況 ”, 國 防 大 學<br />
國 防 管 理 教 育 訓 練 中 心 。<br />
[4] 經 濟 部 (2010), “ 雲 端 運 算 產 業 發 展 方 案 ”。<br />
[5] 全 国 信 息 安 全 标 准 化 技 术 委 员 会 秘 书 处 (2008),“ 国 家 信 息 安 全 标 准 化 “ 十 一 五 ” 规 划 ”<br />
[6] 信 息 安 全 认 证 认 可 写 入 十 二 五 规 划 纲 要 ”, http://my.oschina.net/u/131996/blog/15067<br />
[7] Taiwan Information Security Center (2007), “ 亞 洲 資 安 能 量 報 告 ”。<br />
[8] MIC(2010) ,“ 大 陸 資 安 市 場 趨 勢 與 台 灣 產 業 發 展 商 機 - 第 二 章 大 陸 主 要 資 安 政 策 與 法 規 ”,<br />
http://mic.iii.org.tw/aisp/.。<br />
[9] “ 南 韓 2012 年 國 家 資 訊 化 發 展 願 景 與 策 略 ”,<br />
http://www.find.org.tw/find/home.aspx?page=news&id=5385
Change language