國家資通安全發展方案(110年至113年)資訊公告

目  錄

壹、. 緣起... 1

貳、. 全球資安威脅與國際政策趨勢... 3

一、   全球資安威脅趨勢... 3

二、   國際資安政策發展趨勢... 8

參、. 我國資安推動現況... 20

一、   組織架構... 20

二、   推動進程... 23

(一)     第一期機制計畫(90-93年) 23

(二)     第二期機制計畫(94-97年) 24

(三)     第三期發展方案(98-101年) 25

(四)     第四期發展方案(102-105年) 26

(五)     第五期發展方案(106-109年) 28

三、   資安發展問題評析及應對策略... 33

肆、. 發展藍圖... 35

一、   願景... 35

二、   目標... 36

三、   推動策略... 37

(一)     吸納全球高階人才、培植自主創研能量... 38

(二)     推動公私協同治理、提升關鍵設施韌性... 40

(三)     善用智慧前瞻科技、主動抵禦潛在威脅... 43

(四)     建構安全智慧聯網、提升民間防護能量... 46

四、   機關(單位)分工... 48

五、   重要績效指標... 50

(一)     培育350名資安實戰人才... 50

(二)     推動政府機關資安治理成熟度(含客觀指標)達第3級     51

(三)     制定12項資安檢測技術指引或產業標準... 52

伍、. 預期效益... 54

陸、. 推動組織、資源需求及計畫管理... 55

柒、. 附件... 56

一、全球資安威脅趨勢

• 6大面向資安威脅趨勢，包含「個人資料與憑證外洩攻擊白熱化」、「勒索軟體攻擊風險激增」、「IoT與行動式設備資安弱點威脅升高」、「APT鎖定式攻擊竊取機敏資料」、「資安(訊)供應商持續遭駭破壞供應鏈安全」及「關鍵資訊基礎設施資安風險倍增」，茲說明如下。
• 個人資料與憑證外洩攻擊白熱化
  108年第4季國內某科技大廠發生員工竊取客服資料庫事件，足以顯見企業面臨更加險峻的內部威脅(Insider Threat)，該公司同年11月5日於官方部落格坦承，發現員工竊取客服資料庫內容，並販賣給不知名犯罪組織牟利，影響近12萬名用戶。因此個人資料與憑證外洩來源不僅可能來自於外部駭客惡意攻擊，更可能源自於內部意外或惡意洩露。
• 勒索軟體攻擊風險激增
  108年10月資安業者Emsisoft於官方部落格公布美國108年前3季勒索軟體調查結果，此一調查係針對遭到勒索軟體攻擊的美國政府機構、學校及醫療服務供應商進行相關統計，調查結果顯示9個月以來，至少有621個組織遭到勒索軟體攻擊。當美國各州、城市或郡遭到勒索軟體攻擊時，很容易就會躍上新聞版面，但在遭到攻擊的621個組織中，僅有68個為政府機關，代表有更多組織遭受勒索軟體攻擊，卻密而不宣。
• IoT與行動式設備資安弱點威脅升高
  前於105年間，駭客利用Mirai殭屍網路病毒挾持50萬台網路攝影機，發動DDoS攻陷代管業者。嗣後，Palo Alto Networks的研究單位Unit 42於108年初發現11隻新的Mirai變種病毒，與先前版本不同之處，這些變種病毒係針對企業級IoT設備，如無線投影系統、智慧電視等，顯示駭客似乎已將目標轉向企業網路，藉以取得更大頻寬建立殭屍網路，便於日後發動DDoS攻擊。
  行動式設備風險隨著運用範圍廣泛與擁有行動式設備普及而日益增加，108年11月在東京舉辦的全球知名白帽駭客大賽「PWN2OWN」，參賽的駭客便破解多項連網裝置並揭露其漏洞，例如手機、路由器及家用智慧裝置等產品，可見其嚴重性。
• APT鎖定式攻擊竊取機敏資料
  駭客採用APT攻擊手法通常鎖定具有機敏性資料或大量個人資料之目標對象，如金融業者、國防單位或社群媒體等，特別是現在政府機關或企業高度仰賴之雲端服務，皆是被鎖定之攻擊目標。駭客鎖定目標後，處心積慮蒐集各種可以使用的弱點與漏洞，包含社交工程手法、偵測所使用之資通系統漏洞及供應鏈等各種可能入侵手法，以達到成功入侵組織內部之目的。
  108年德國法蘭克福遭受Emotet惡意程式鎖定攻擊，致數個城巿與學術網路關閉。Emotet具備自我傳播的進階模組化木馬程式，最初被駭客運用於銀行木馬惡意程式，近來則被廣泛用於作為其他惡意軟體或惡意攻擊的傳播程式。Emotet使用多種方法與規避技術來維護其持續性，更透過夾帶惡意附件或連結的網路釣魚垃圾郵件進行傳播。在受到Emotet惡意程式感染後，法蘭克福於108年12月關閉網路，然於此之前，德國已有2家大學與另一個位於法蘭克福以北城市因遭受Emotet攻擊，同樣先行關閉網路，可見APT攻擊帶來之影響衝擊須審慎應對。
• 資安(訊)供應商持續遭駭破壞供應鏈安全
  資安業者Proofpoint於108年9月在官網發布訊息，某國家級駭客集團持續鎖定美國公用事業服務(Utilities Sector)供應商，展開魚叉式網路釣魚(Spear Phishing)攻擊，在受害者系統上植入LookBack惡意程式，經統計，至少已有17個供應商遭到攻擊。Proofpoint進一步指出，同一駭客集團於同年8月再度發動新一波攻勢，目標同樣是美國公用事業服務供應商，但這次在網路釣魚郵件中偽裝成全球能源認證機構(Global Energy Certification, GEC)，邀請受害者參加認證考試，同樣附上含有惡意巨集的Word檔案。Proofpoint表示，駭客集團未因之前攻擊曝光而銷聲匿跡，反而不斷地改善網路釣魚攻擊策略、技巧及程序，明確暴露該集團對美國公用事業服務供應商的惡意企圖。供應商可能因為資安防護機制缺陷或是專注於業務成長輕忽資安重要性，因此相對於駭客的真正目標較易入侵。爰此，駭客可利用資通訊設備供應商做為跳板，進一步針對真正目標進行攻擊。
• 關鍵資訊基礎設施資安風險倍增
  關鍵基礎設施(Critical Infrastructure, CI)範圍相當廣泛，且與民眾生活密不可分，包含能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區等領域，而支持CI所需之資通系統為關鍵資訊基礎設施(Critical Information Infrastructure, CII)，亦是重要防護範圍，一旦遭駭，將影響民眾生活，甚至社會秩序與國家安全。近年來，因CII資訊架構漸趨開放式與網路串連，相關資安風險也隨之而來。
  另一項讓各國政府及社會持續高度關注的議題為影響社會秩序及安全甚鉅的暗網(Darknet)，根據資安業者Digital Shadows Photon Research發現，在暗網上流傳的被盜用戶帳號與密碼數量是全世界人口數量的近2倍。在暗網賣家所販售與分享的憑證，總計有150億組的外洩憑證，其中三分之一為不重複的憑證。這些藉由資安事件外洩的帳戶資訊主要來自於線上服務，如網路銀行、社群網站及音樂串流服務等，而利用暗網的黑巿交易與分享，造成憑證外洩事件擴大，亦讓資安事件層出不窮。

•  
  1) 資通安全發展方案.pdf