粉絲團
為強化資安防護,財政部表示,已採取8大資安措施,包括「紅隊演練」。(記者鄭琪芳攝)
〔記者鄭琪芳/台北報導〕為強化財稅系統資安防護,財政部表示,已採取8大資安措施,包括今年9月首次辦理稅務相關系統「紅隊演練」,模擬駭客攻擊方法,尋找系統弱點、檢測資安防護措施,相關弱點規劃在今年12月完成修補、明年1月複測,並規劃每2年進行1次紅隊演練。
立法院財政委員會週一邀請財政部長莊翠雲就「資安疑慮頻傳,如何強化財稅機關及公股行庫資安防護與區域聯防」進行專題報告,財政部書面報告指出,各財稅機關除嚴格遵守資通安全管理法及子法辦理各項資通安全防護機制外,財政部對所屬機關訂有完整資通安全管理規範,如人員管理、環境、網站、設備、電子郵件及網路等安全規範,並要求落實執行相關資通安全防護措施。
另,財政部財稅系統網路環境採實體隔離分為內外網,以有效降低資料外洩及資安攻擊風險,同時採取8大資安措施如下:
一、建置整合性資安監控中心:2021年建置整合性資安監控中心,納管防火牆、入侵防禦系統、應用系統防火牆及防毒系統等資安設備日誌,透過人工智慧分析,提供24小時即時監控及資安預警,以掌握內、外部資安威脅,於第一時間進行緊急應變。
二、多層次縱深防禦:網路採多層次縱深防護架構,建置防火牆、入侵防禦系統、應用系統防火牆及防毒系統等設備,單點遭駭時仍有其他設備提供持續安全防護;另依行政院政策,於2021年完成建置資安弱點通報(VANS)及端點防護(EDR)機制,確保多層次資安防護有效性。
三、存取安控機制:針對不同業務屬性人員建立分權機制,以最小授權為原則,依職權分層授予不同權限,嚴格控管高權帳號及限定使用地點及網址,並依行政院政策套用政府組態基準(GCB),強化資料存取安全控制。
四、資安檢測:2016年成立資安健檢及數位鑑識團隊,每年定期辦理財稅系統弱點掃描、滲透測試及資安健診作業。2023年截至11月底前完成本部及所屬機關共51個對外網站之滲透測試作業及3個機關(中區國稅局、南區國稅局及關務署)之資安健診作業。
五、清查中國廠牌資通訊產品:依據行政院秘書長2020年12月18日號函,不購買、不使用中國廠牌的資通訊設備,並要求委外廠商確保專案團隊人員不得有中國籍人士,避免公務資料外洩。
六、分散式阻斷攻擊防護(DDoS):每年定期進行 DDoS 攻防演練,備妥流量清洗或內容傳遞網路(CDN)機制,監控網路流量進行異常流量導流,另備妥靜態網頁,因應網頁遭置換時切換為靜態網頁,避免顯示惡意網頁。
七、紅隊演練(Red Team Assessment):2023年9月首次辦理稅務相關系統紅隊演練,模擬駭客攻擊方法尋找稅務系統弱點,檢測資通安全防護措施,相關弱點規劃於12月完成修補,並於2024年1月進行複測確認。後續規劃每2年進行1次紅隊演練。
八、政府領域聯防監控情資回傳作業,建構資通安全威脅偵測管理機制,並透過資料交換協定自動化提供監控管理資料,建立聯防監控情資回傳與情資分享機制,與政府領域聯防監控中心形成資安聯防體系。
此外,針對公股行庫資安防護與區域聯防,財政部表示,公股銀行均設置副總經理以上或職責相當之人為資訊安全長,以整合銀行跨部門間資通安全事件應變及處理量能,提升對資安議題之執行能力,定期進行防駭演練並配合強化資通安全機制。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
