《2006國家安全報告》

http://www.ettoday.com/2006/05/20/301-1943990.htm

陳水扁總統20日正式核定我國第一份由政府提出的《2006國家安全報告》，全文共分前言、台灣的新安全環境、國家安全的內外在威脅、國家安全策略及結語共五章。以下為「國家安全策略」全文。

八、構築資訊時代的資訊安全體系

為因應資訊時代所面對的資訊安全威脅，政府應重新檢視當前資安政策，投注更多的資源和努力，以構築完備的資訊安全體系：

1. 以新思維強化資訊安全的三項策略

面對戰略資訊戰以及各種新型態的資訊攻擊，我們應避免墨守既有架構，唯有採取新思維才能真正的有效因應各種威脅。主要的做法應包括：

(1) 以彈性化人事任用制度，擴大引進民間資安人才

目前的人事任用制度較僵硬，若干民間的資安人才無法進入政府服務，因此應採取較為彈性的任用與薪給制度，吸引民間人才加入政府、貢獻專長。

(2) 增設專責單位，提升整體資安維護之能量

我國政府目前並無專責的資訊安全單位，多以任務編組或兼辦方式進行資安工作，因此維護資訊安全的實質功能也難以完全發揮。為求有效因應資通訊安全的新威脅，我國應考量增加政府組織之彈性，參考先進國家如美國在白宮設置「總統關鍵基礎設施保護辦公室」、「總統網路安全顧問」、「聯邦科技政策辦公室」等專門負責資通訊安全的專責單位，負責資通安全工作的政策指導及整合，以收事權統一之效。

(3) 訂定具體戰略及政策指導，強化資安因應措施

資訊安全是當今資訊時代新生的問題，如何因應資訊安全的新威脅，更是新的挑戰。目前我國在因應資通安全威脅之對策上，在戰略及政策面的指導尚未臻健全。先進國家於此莫不授權成立保護關鍵資訊基礎設施的專案，包括對通信設備與相關硬體設施進行保護。美國甚至在2003 年2 月頒佈《維護網路安全的國家戰略》，對資通安全之維護提出戰略性的指導方針，明白指出：「美國的政策是要防止資訊系統的運作遭到破壞，從而保護美國的人民、美國的經濟以及國家的安全。」為因應新的資通安全威脅，政府亦應儘速提出類似維護資訊安全的戰略性指導，及政策面的具提措施。

2. 強化資訊安全的具體措施

強化資料分級分類及電腦不同網段實體隔離，並應建立單一政府窗口與資料庫保護，俾利兼顧服務與保密。

資料分類分級，原為所有公務機關應有之要求，亦為文書作業應有之規範，然此項要求在文書作業資訊化後，卻為各級政府所忽視，導致普通件與機密件在處理上完全不分等級亦不分類，極易被有心人士獲取相關資料。

為彌補前述疏失，各級政府應將所屬之網路，嚴格區分內部網路及外部（國際）網路，並予以實體隔離，同時對內部網路除了應依工作屬性區隔不同網段外，應注重資料庫之保護，絕不可將機敏性資料庫直接連接於外部（國際）網路上。

(1) 建立資安預警暨分享機制

目前有關資安預警機制，除了政府已成立之「國家安全監控中心」（NSOC）外，尚有國防部之資電作戰部及民間之「台灣網路資訊中心」（TWNIC）。

基於資源共享，宜建立機制，將該三單位之預警情資相互通報並及時提供重要機敏單位，以為資安早期預警。

(2) 依法建立內部稽核

目前資安之稽核，除國防部由其資電部隊執行其內部稽核外，另外由行政院資通安全會報所屬技服中心執行外部稽核，然而，由於各機關任務屬性不同（如經濟、外交等部會亦有多個駐外單位），各部門也應自行建立內部稽核制度，俾利及時發現資安缺失，並適時採取必要之改正措施。

(3) 建立資安標準作業程序

各機關應就資訊的產生、分級、持有、傳遞、人員管理等程序，依照業務不同制訂標準作業程序，以維持最高安全係數。並且應強化資安事件之即時跨部會通報，權責單位須不定期對各政府機關之資安措施進行抽檢。

(4) 優化系統架構

對於硬體架構應著重複式備援架構，以減少復原時間，同時盡可能考慮採取「異地備援」之設置。軟體架構部分，則鼓勵公私部門採用「自由軟體」，減少對單一作業系統倚賴所產生之同質脆弱性。

(5) 增加資訊安全投資

可參照先進國家之規定，規劃未來公機關資訊設施投資應有一定比例經費用於資安維護，並鼓勵民間採取同樣措施。

(6) 加速完成《個人資料保護法》及《電子交易法》之立法

為運用台灣的資電優勢，加速台灣國際地位之提升，與世界各國的電子化交易勢在必行，而其中最關鍵的法令之一為《個人資料保護法》及《電子交易法》，應盡速完成立法。