立法院在這個預算會期正要審查2017年相關政府預算,根據科技會報的統計,今年度的資安預算編列高達25.7億元,比去年增加一倍之多;資安預算占國家整體預算比例,占比也從去年的千分之零點七一,提升到今年千分之一點三九的占比。
在今年資安預算編列項目中,行政院資安處處長簡宏偉表示,8大資安旗艦計畫將是年度資安計畫的基礎,透過強化關鍵基礎設施的資安防護措施,進一步達到提升整體國家資安防護能力。其中,與關鍵基礎設施相關的主管機關都必須在今年度,擇一完成包括ISAC(資安資訊分享與分析中心)、SOC(資安監控中心)或者是CERT(Computer emergency response teams,電腦緊急應變中心)重要的資安資料蒐集與分析平臺。
簡宏偉說:「強化8大關鍵基礎設施的ISAC等平臺的建置,將有助於提升國家整體資安防護能力,也可以讓國家的資安防護,從點進一步延伸到線和面的層次。」
2017年政府資安預算編列25億元,歷年最高
行政院在2016年8月1日正式成立資安專責機構資通安全處(簡稱資安處)後,並在同年8月,由國家安全會議以及行政院共同召開「資安及國安策略會議」,並於9月擬定要在2017年推動「資安旗艦計畫」,由各個部會針對資安議題提案,計畫審查後將編列相關預算去執行該計畫。
簡宏偉表示,目前8大資安旗艦計畫已經由科技部進行彙整,送交立法院在第二會期(俗稱預算會期)進行審查,目前初估8大資安旗艦計畫預算為8億元,其他資安預算則包括先前規畫的「106年加速政府資安防護計畫」編列2億元,技術服務中心預算編列4.26億元,以及其他散見各部會,由部會編列的資安相關預算約為9億元,目前政府在2017年所有編列與資安相關預算,大約為25.7億元。
根據資安處和科技會報的統計,以2016年為例,資安相關預算大約為12億元左右,2017年編列的資安相關預算則增加一倍以上,顯見政府願意在資安領域多投入更多預算。
至於整體資通訊相關經費,科技會報依照各部會提報計畫內容經費做統計,2017年資通訊相關經費為291.5億元,歷年來,資通訊相關經費也大約為300億元上下,資通訊編列經費雖然與過往差異不大,但是資安費用占整體資通訊比例,2017年足足增加一倍之多。
目前2017年政府總預算歲入大約編列1兆8,456億元,以資安預算占總預算比例來看,大約為千分之一點三九;而美國在歐巴馬政府時代,投入大約6,261億元臺幣加強政府資安,占美國一年預算中的千分之七。
從臺美資安預算占總預算的比例來看,凸顯兩國對於資安的重視程度以及願意投入的資源,中間的差異目前仍很難以道里計;但若是從臺灣過往資安預算編列的金額來看,今年是歷年來預算最高、預算增加幅度最大的一次。
關鍵基礎設施的主管機關都要建置ISAC
簡宏偉表示,這次8大資安旗艦計畫的內容,最主要目的是希望補足臺灣關鍵基礎設施中的資安作為,畢竟,關鍵基礎設施安全性足以影響多數臺灣民眾生活時,如何事先防範以避免遭到駭客入侵或其他資安威脅等,則是資安處聯合科技部一起評選各部會提出的資安旗艦計畫內容時,重點考量因素之一。
所以,目前所有資安旗艦計畫的基本就是,與關鍵基礎設施有關的主管機關,都必須自建產業相關的ISAC(資安資訊分享與分析中心)、SOC(資安監控中心)和CERT(Computer emergency response teams,電腦緊急應變中心)等三個資安關鍵基礎平臺。
要落實資安防護最重要的基本功夫,就是必須要能夠了解臺灣整體面臨的資安威脅現況,簡宏偉說:「沒有資料就無法分析,就不會知道臺灣面臨哪些資安威脅。」所以,重要的關鍵基礎設施的主管機關,都建立各自資安資訊蒐集分享與分析的平臺後,才真正有辦法做到掌握臺灣關鍵基礎設施面臨的資安動態。
許多人最有印象的就是,金管會將會在今年上半年成立一個由銀行成員組成的F-ISAC,資安處也提供5千萬的經費作為初期平臺建立和維運的費用,後續營運會由參加銀行成員提供相關經費。
簡宏偉表示,根據金管會資訊處的規畫,因應金融科技發展所打造的F-ISAC,其實是一個整合性資安資訊與分析平臺,還會整合資安監控中心(SOC)及電腦緊急應變中心(CERT)功能,打造出具備複合式功能,不只是單純的ISAC平臺而已。
同樣的概念也推廣到其他關鍵基礎設施的主管機關,像是交通部就會建置T-ISAC;衛福部會建置H-ISAC;科技部是關鍵基礎設施中科技園區的主管機關,則會建置S-ISAC;通訊傳播的主管機關NCC(通傳會)原本就已經有建置與各大ISP串接的N-ISAC;政府機關因為有GSN網路,原先就有建置G-ISAC。
教育部是各級學校的主管機關,雖然不列在關鍵基礎設施的範圍中,但原先已經有建置A-ISAC,接下來也會強化學術網路(TANET)相關的資安建置。他指出,目前因為經濟部主管的能源與水資源的關鍵基礎設施,可能會因應未來組改的需求,變成經濟與能源部,因此,原本建置能源相關的M-ISAC,可能進一步拆成能源以及水資源等兩個ISAC。
政府率先制訂ISAC等平臺建置SOP
但是,各部會如果沒有相關平臺建置經驗,可能就會像以往的資訊建置案一樣,部會先寫完RFP(Request For Proposal,需求建議書)之後,再對外進行公開招標,可能又是採用價格標,仍由最低價廠商得標。這樣的問題可能會變成,某些主管機關所建置的平臺,因為採用不同於其他機關的規格和標準,到時候,如何做到不同平臺彼此之間的資料交換和資訊分享,得設法做各種介接,又是一種時間和金錢、心力的浪費。
由於政府對於包括ISAC、SOC或者是CERT的建置都很有經驗,所以,簡宏偉表示,資安處和TWCERT合作,正在著手進行把如何建置ISAC、SOC和CERT的規範、步驟,和所採用的訊息交換標準(像是採用以XML為基準的.stix作為ISAC平臺資料交換的標準)等,整理出相關的標準作業程序(SOP),作為未來各個部會建置相關平臺的共通參考。他認為,有了這樣的共通規範,不論是由哪個廠商得標,彼此的平臺都可以順利做到資料分享與分析。
簡宏偉指出,從研考會到國發會的工作經驗,讓他清楚知道什麼才是有效的管考指標,因此,資安處提供相關單位建置包括ISAC在內的各種資安平臺的SOP,也會和科技部取得共識,會制訂合適的KPI(關鍵績效指標)以避免重複管考。
他認為,資安處在整個資安旗艦計畫中,扮演的是專案經理(PM)的角色,可以實際去檢視每一項計畫的執行進度,且資安處同仁每個人也都要認養一個計畫並深入了解該計畫內容,「唯有真正了解計畫內容,才有辦法去審查和稽核該計畫。」他說。
此外,技服中心也會協調出一個技術團隊,協助資安處進行稽核管理,確認計畫有按照該有的進度進行;如果發現計畫執行有問題,就會發動實地查證作稽核,而這樣的稽核不像以往是定期稽核,而是全年度不管什麼時候都可以發動。
這8大資安旗艦計畫中,除了ISAC的建置外,也包含各部會在「資安即國安」政策方針下所提出來的計畫,例如,內政部警政署為了預防及打擊科技犯罪,並精進刑事科技能量,提出一個強化資安鑑識的計畫內容就是一例。行政院資安處在資安旗艦計畫中,主要負責國家資安防護前導計畫,簡宏偉表示,主要是協助其他部會導入資安處的新構想,包括網路架構調整、安全管理的領域。
2017年伊始,我們開始尋找臺灣資安新動能,從資安預算編列的大幅增加,看出政府願意在資安投注更多的資源和心力,並透過8大資安旗艦計畫的推動,為國家整體資安防護奠定基礎。這是尋找臺灣資安新動能系列一,接下來我們也將繼續將發現到臺灣的資安拼圖,持續呈現給大家。文⊙黃彥棻
2017年政府8大資安旗艦計畫 | ||
部會 | 計畫名 | 計畫重點 |
經濟部 | 國防資安產業推動暨關鍵設施(水資源、民營能源)資安強化旗艦計畫 |
|
科技部 | 資安前瞻創新研發計畫 |
|
衛福部 | 關鍵基礎設施資安資訊分享與分析中心建置計畫 | 建立衛生關鍵基礎設施領域ISAC。 |
內政部 | 預防暨打擊科技犯罪精進刑事科技能量計畫 | 針對科技犯罪提升資安鑑識能量。 |
教育部 | 臺灣學術網路資安磐石計畫 | 建立臺灣學術網路資安訊息分析系統及建置防火牆聯合防禦架構系統,提升網路資訊安全。 |
交通部 | 關鍵基礎設施資安資訊分享與分析中心建置計畫 | 建立交通關鍵基礎設施領域ISAC。 |
通傳會 | 數位匯流/IoT資安威脅防禦機制暨資安實驗室建置與服務 | 國家基礎通訊網路防禦與IoT之資訊安全整體研究。
|
院資安處 | 國家資安防護前導計畫 | 研訂數位時代資安政策、法規及標準、發展國家資安風險評估機制、開展多層次與多邊國際合作關係、推廣資安認知方面訂定工作計畫。 |