資安演練找破口 財部總動員

財政部強調,模擬駭客攻擊方法,尋找稅務系統弱點,弱點規劃將於12月完成修補,並於明年1月進行復測確認。

財稅機關資安防護與區域聯防八措施

資安維護受國人高度關注,財政部4日將赴立法院財委會進行專題報告,相關內容2日率先出爐。財政部強調,財稅資料具機敏、且高度集中管理,前後祭出八大措施建構防護,今年9月首次辦理稅務相關係統「紅隊演練」,模擬駭客攻擊方法,尋找稅務系統弱點,弱點規劃將於12月完成修補,並於明年1月進行復測確認。

後續規劃每兩年進行一次紅隊演練。

財政部長莊翠雲將就「資安疑慮頻傳,如何強化財稅機關及公股行庫資安防護與區域聯防」進行報告。財政部表示,公務機關應由副首長或適當人員擔任資通安全長,負責推動及監督機關內資通安全相關事務,財政部資安長由次長擔任。

至於所屬機關,包括賦稅署、財政資訊中心、各地區國稅局等單位資料均集中在財政部財稅系統之中。財政部表示,各機關需嚴格遵守資通安全管理法及子法,辦理各項資通安全防護機制,且訂有完整資通安全管理規範。

根據上述報告,財政部財稅系統網路環境採實體隔離分爲內、外網,以有效降低資料外泄及資安攻擊風險,並有八大資安措施,包括:一、建置整合性資安監控中心,財政部110年建置整合性資安監控中心,納管所有資安設備。二、多層次縱深防禦,網路採多層次縱深防護架構,建置防火牆、入侵防禦系統、應用系統防火牆及防毒系統等設備,單點遭駭時仍有其他設備提供持續安全防護。

財政部指出,三是存取安控機制:針對不同業務屬性人員建立分權機制,以最小授權爲原則,依職權分層授予不同權限,嚴格控管高權帳號及限定使用地點及網址。四、資安健檢及數位鑑識團隊105成立以來,每年定期辦理財稅系統弱點掃描、滲透測試及資安健診作業;五是清查大陸廠牌資通訊產品。六是分散式阻斷攻擊防護(DDoS):每年定期進行DDoS攻防演練。

第七項資安防護措施,是稅務相關係統紅隊演練,後續規劃每兩年進行一次。第八項則是政府領域聯防監控情資回傳作業。