政府資安演練 江揆:仍須強化

賴義中 2014/01/02 18:37 點閱 2801 次
去年5月,台菲網戰喧騰一時,「匿名者」台灣分部曾癱瘓菲國政府網站。(photo by 截自網路)
去年5月,台菲網戰喧騰一時,「匿名者」台灣分部曾癱瘓菲國政府網站。(photo by 截自網路)

【台灣醒報記者賴義中台北報導】針對去年廣大興號事件引發台菲網民混戰,雙方甚至出動駭客大打網路戰爭,兩國政府網站曾短暫失能。行政院資通安全辦公室2日於行政院會中提報網路攻防演練辦理情形,行政院長江宜樺指示,要透過情境、實兵與社交工程郵件三項演練,強化政府資安防禦暨應變能力。

近年來國際間衝突逐漸自地面上升至雲端,資安攻擊事件層出不窮,各國紛紛加緊腳步,培養政府機關面對網路攻擊時的應變能力。我國於去年5月甫遭菲律賓駭客網路攻擊,自10日起,菲方針對我國政府部門及民間企業發動猛烈攻擊,至12日甚至有部分中央及地方政府遭置換網頁及DDoS攻擊(即常見的刷流量、占頻寬、塞爆信箱等),導致機能癱瘓。

有鑑於此,資安辦於去年11月4日至12月5日,以行政院所屬33個二級部會機關為對象,舉辦國內首次大規模網路攻防演練。演練項目分為三階段:情境演練將發布一特定情境,測試各機關能否以郵件回覆狀況處置,並決定是否通報。實兵演練為針對各機關進行系統探測、資訊蒐集及弱點掃描等作業,研究網站系統弱點。社交工程郵件演練將記錄公務人員開啟或點閱社交工程郵件之比率。

三項演練結果分別顯示,71%的機關可在一小時內決定掌握狀況、評估原因並決定如何處置。機關網站的三大弱點則為:網頁未作好權限控制、網站未能過濾特殊字元及登入密碼過於簡化。多數機關開啟社交工程郵件的比率為4.5%、點閱比率則為3.32%,都低於標準值,唯少數機關開啟率和點閱率均超過20%,有待檢討。

江宜樺點評,本次演練結果顯示,資安事件通報作業、對外網站與資訊系統維運及全體公務人員的資安意識,仍有持續強化的必要。他指出,現今民眾生活在一個高度資訊化的世界,如交通、衛福、戶政地政、金融等政府重要隱密資料庫,一旦遭攻破,將嚴重影響民眾日常生活,故各機關應完善健全資安工作,以收整體聯防效果。