2025/04/29 21:09  
駭客攻擊示意圖。（路透資料照）
〔記者徐子苓／台北報導〕數位發展部資安署近日公布「國家資通安全情勢報告」，據統計，2024年公務機關通報資安事件共755件，數發部並示警供應鏈資安問題、誤載惡意程式致電腦遭駭、遭受阻斷服務（DDoS）攻擊等6大威脅。
政府機關通報的資安事件等級，依機密性、完整性、可用性衝擊的影響情形，由輕至重依序分為1級到4級。根據報告，去年政府機關的1級資安事件占83.97%最多，2級占13.91%居次，3級占2.12%，4級則沒有發生。
報告中並沒有如往年公布資安事件具體數字，經記者詢問，資安署表示，2024年公務機關通報資安事件（不含實兵演練）共755件，較2023年的697件微增。
報告指出，分析資安事件類型，排除「其他」類型後，以非法入侵事件居多、占62.52%，其次為設備問題占14.17%、阻斷服務占5.7%與網頁攻擊占4.9%。
分析駭客入侵常用手法，資安署報告提出6大資安威脅與防護建議。
第1，網站後台管理帳戶如果使用弱密碼，恐遭到駭客破解變更網站公告內容。資安署建議機關針對系統或平台，清查盤點並遵循帳密設定原則。管理者因具備較高權限，建議應採多因子驗證方式登入，以加強身分鑑別機制。
第2，誤載惡意程式與不慎點選惡意郵件導致公務電腦受駭。資安署指出，機關應指定專人負責蒐集威脅情資與社交工程等入侵手法，持續更新應變防處措施及提供相關教育訓練，減少入侵可能性。
第3，供應鏈因遭遇資安事件，導致公務系統服務中斷。資安署提醒，機關應清楚定義供應鏈的範圍和相關人員，將供應鏈的基本安全要求與服務水準協議納入契約文件規範。機關也應建置備援機制，確保資通系統可用，定期辦理業務持續運作演練並納入多元情境，讓人員熟悉回復系統的標準程序。
第4，資訊設備因疏於更新與維護，導致存在惡意程式。
第5，駭客在惡意郵件內嵌雲端硬碟下載連結，規避資安防護檢測。
第6，遭受DDoS攻擊導致服務受影響。資安署指出，去年多個政府機關對外網站遭到DDoS攻擊，導致網站服務中斷。這類攻擊雖非新式攻擊手法，但建議機關密切監控異常流量，才能在第一時間即時阻擋。
資安署建議，事前可設置入侵偵測與防護系統，監控異常或可疑流量，應定期演練DDoS攻擊的營運持續計畫；事中應即時通報攻擊事件，同步啟動流量清洗服務；事後需檢視是否確實阻擋攻擊，確認影響範圍，啟動復原計畫等。