資安演練找破口 財部總動員
首辦紅隊演練,弱點12月將完成修補,並祭出八大措施建構防護- 2023.12.03
- 03:00
- 工商時報 陳碧芬
財政部強調,模擬駭客攻擊方法,尋找稅務系統弱點,弱點規劃將於12月完成修補,並於明年1月進行複測確認。
已將目前網頁的網址複製到您的剪貼簿!
財稅機關資安防護與區域聯防八措施
資安維護受國人高度關注,財政部4日將赴立法院財委會進行專題報告,相關內容2日率先出爐。財政部強調,財稅資料具機敏、且高度集中管理,前後祭出八大措施建構防護,今年9月首次辦理稅務相關系統「紅隊演練」,模擬駭客攻擊方法,尋找稅務系統弱點,弱點規劃將於12月完成修補,並於明年1月進行複測確認。
後續規劃每兩年進行一次紅隊演練。
財政部長莊翠雲將就「資安疑慮頻傳,如何強化財稅機關及公股行庫資安防護與區域聯防」進行報告。財政部表示,公務機關應由副首長或適當人員擔任資通安全長,負責推動及監督機關內資通安全相關事務,財政部資安長由次長擔任。
至於所屬機關,包括賦稅署、財政資訊中心、各地區國稅局等單位資料均集中在財政部財稅系統之中。財政部表示,各機關需嚴格遵守資通安全管理法及子法,辦理各項資通安全防護機制,且訂有完整資通安全管理規範。
根據上述報告,財政部財稅系統網路環境採實體隔離分為內、外網,以有效降低資料外洩及資安攻擊風險,並有八大資安措施,包括:一、建置整合性資安監控中心,財政部110年建置整合性資安監控中心,納管所有資安設備。二、多層次縱深防禦,網路採多層次縱深防護架構,建置防火牆、入侵防禦系統、應用系統防火牆及防毒系統等設備,單點遭駭時仍有其他設備提供持續安全防護。
財政部指出,三是存取安控機制:針對不同業務屬性人員建立分權機制,以最小授權為原則,依職權分層授予不同權限,嚴格控管高權帳號及限定使用地點及網址。四、資安健檢及數位鑑識團隊105成立以來,每年定期辦理財稅系統弱點掃描、滲透測試及資安健診作業;五是清查大陸廠牌資通訊產品。六是分散式阻斷攻擊防護(DDoS):每年定期進行DDoS攻防演練。
第七項資安防護措施,是稅務相關系統紅隊演練,後續規劃每兩年進行一次。第八項則是政府領域聯防監控情資回傳作業。