跳到主要內容區塊

電子治理研究中心Logo(回到首頁)

小字級 中字級 大字級
網站導覽 英文網頁icon English Facebook圖示
::: 首頁 / 最新消息
2021-01-22

【TEG活動】109年新進公職資訊類科集中訓練_12/10課程實錄

研習主題:資訊實務與資訊政策

時間:2020/12/10

地點:中華電信學院板橋院本部-板橋會館CB101教室

講座:王高級分析師誠明/國家發展委員會

楊高級分析師蘭堯/國家發展委員會

江副組長衍勳/行政院國家資通安全會報技術服務中心

109年公務人員高等考試三級考試暨普通考試資訊處理類科集中實務訓練課程的第三天課程內容涵括資訊實務和資訊政策,包含:資料管理及利用新思維、數位基礎建設,以及政府機關資安治理機制。

第一位講師為國家發展委員會資訊管理處的王誠明高級分析師,講題為「資料管理及利用新思維(MyData及OpenData)」。王高分首先介紹資料生命週期,從資料蒐集、資料儲存與清洗、資料流通利用、提供加值應用服務資料予公私部門(整合式服務/主動式服務/新科技服務)。目前技術已能做到主動式服務,在民眾發現需求前就先提供服務資訊,如:低收入戶補助、求職資訊等,然而必須兼顧到民眾的隱私權。接續介紹資料利用模式以及資料利用分類,其中,「開放資料」(Open Data)是以政府資訊公開法為基礎而極大化資料開放,在各機關的職權範圍內,採無償的非商業使用目的,不限制使用目的、同意後不能撤回,透過公私協力共同創造資料經濟,如:天氣、實價登錄、交通、環境輻射、空氣品質、公司登記等。

另一方面,「個人資料自主運用」(My Data)已蔚然成為世界各國風潮,在美國、芬蘭、新加坡和歐盟,民眾可以自主決定個人資料的使用方式。我國數位服務個人化平臺(簡稱MyData平臺)已於109年7月29日試營運,提供45項個人資料集、88項臨櫃核驗以及線上服務。王高分簡要介紹MyData平臺的三種服務模式和實務案例,並說明個資保護、資料加密及資安驗證等防護機制;目前顧慮到部分使用者尚未習慣採用線上數位服務,故仍保留紙本作業。MyData平臺第一階段開放給銀行,依循金管會管理規範而確保個資取得同意,未來會逐漸開放給私部門,惟須先導入自律規範才能介接到平臺。MyData平臺未來期能加以結合AI技術,取得民眾授權同意並分析個人資料,提供民眾專屬且精準對應的服務。如此一來,民眾不需全盤瞭解所有政府服務項目,只要提出問題或需求,系統就自動提供最適化的解決方案,讓政府數位服務從服務導向轉為問題解決導向。

第二位講師為國家發展委員會資訊管理處的楊蘭堯高級分析師,講題為「數位基礎建設」,課程內容包含:政府數位環境架構、政府網際服務網(GSN)、政府機關公開金鑰基礎建設(GPKI)、HTTPS安全連線導入、電子化政府服務平臺(GSP)和T-Road轉型,以及政府雲端服務發展(G-Cloud)等。楊高分表示,好的服務必定有好的基礎建設,基礎建設是持續精進的投資;在課程一開始即介紹政府數位環境架構以及數位基礎4G內涵,包括:GSN、GPKI、GSP(T-Road)、G-Cloud。楊高分的授課內容分述如下:

首先,政府網際服務網(Government Service Network, GSN)是政府機關專屬獨立的網路,加強政府機關的網路資源交換與流通,形成政府機關整體性網路(Internet、VPN),提供各級政府機關建置為民服務、行政作業及專業應用等資訊系統之共同基磐。此外,為提升服務品質及滿足民眾外出活動/洽公等候的連網需求,100年起開始提供免費無線上網服務(iTaiwan愛臺灣),目前全臺免費無線上網服務的熱點已逾1萬個,使用人數逾4.35億人。

其次,政府公開金鑰基礎建設(Government Public Key Infrastructure, GPKI)是以憑證作為網路安全認證的基礎建設,包含安全的設備、設施、服務、人員、法律、政策、規範等。政府憑證總管理中心於91年成立,下轄各個提供簽發、撤銷、管理憑證的服務單位,所屬憑證機構包括:政府憑證管理中心(GCA)、組織及團體憑證管理中心(XCA)、自然人憑證管理中心(MOICA)、工商憑證管理中心(MOEACA)以及醫事憑證管理中心(HCA)等。

第三,政府機關網站導入HTTPS安全連線,透過可靠的憑證中心取得SSL憑證,安裝於網站即可有效識別政府網站,SSL加密通道亦可防止資料傳輸時被釣魚網站竊取個資。近年來,配合國際間對於瀏覽器安全與隱私權規範、憑證發展趨勢,我國建置政府伺服器應用軟體憑證管理中心(GTLSCA)專職簽發SSL憑證,確認網站主機作業系統版本、網站有無內嵌網頁,並不定期針對SSL相關弱點進行修補。

第四,電子化政府服務平臺(Government Service Platform, GSP)及T-Road轉型。電子化政府服務平臺(GSP)並無統一規範定義介接格式,申請開發及測試時間冗長,無法取得各機關API服務清單,機關要求取得資料需另申請VPN,因此我國智慧政府推動計畫研擬建立T-Road,作為政府資料傳輸的專屬通道,讓資料提供機關可授權其他機關的使用權限,多重加密且驗證紀錄,整合Open API介面與OAS標準格式,統一資料傳輸標準及資料使用管理規範,另有公版安控伺服器模組可減少開發成本。

第五,政府雲端服務發展(Government Cloud, G-Cloud)自99年起歷經三個階段的雲端運算發展方案,期能透過政府雲促進國內產業發展、讓雲端應用均衡落實於城鄉,提供民眾更優質的服務。我國106年「前瞻基礎建設計畫」期能打造國家發展所需全面性基礎建設,數位建設推動資安基礎設施方面,擬規劃建構公教體系的綠能雲端資料中心;另,行政院鼓勵所屬各機關得設置資料中心,期能強化公部門網路服務與運算雲端基礎設施。

第三位講師為行政院國家資通安全會報技術服務中心江衍勳副組長,講題為「政府機關資安治理機制」。江副組長一開始先引用世界經濟論壇(WEF)2020年全球風險調查報告,在十大影響風險中,「資訊基礎設施破壞」排名第六、「網路攻擊」排名第八;而在十大可能風險中,「資料詐欺或竊盜」和「網路攻擊」分別排名第六和七。隨著物聯網時代來臨,國際資安威脅持續升溫,如:南非約翰尼斯堡電力公司2019年遭到勒索軟體感染而運作癱瘓、美國Capital One銀行2019年遭駭客存取逾1億名客戶資料、飛利浦的智慧燈泡2020年被證實透過控制器可駭入住家或辦公室網路、美國國土安全部與英國國家網路安全中心2020年發現有多個藥廠和醫學研究機構受駭欲竊取COVID-19研究相關機密資料。

江副組長表示,政府機關的資訊服務如無法完全自主管理,應強化防護機制,針對第三方服務廠商維護帳戶或應用服務進行監控,降低供應鏈遭攻陷的資安防護風險。近年來,國際間的工業控制系統威脅和供應鏈攻擊事件持續發生,如:美國國家弱點資料庫(NVD)的資料顯示,2020年ICS弱點數(可被遠端利用而潛藏資安隱憂)較2019年增加10.3%,其中超過70%的弱點被評為「高」或「嚴重」等級;美國FireEye網路安全公司2020年發現駭客組織針對供應鏈安全防護較弱的項目展開攻擊,尋找政府客戶的資訊,進行國家網路間諜活動。

全球忙著防疫工作,駭客也一刻不得閒,因此江副組長提醒學員「防疫也要做好資安」。駭客利用民眾對於疫情恐慌心理,發起社交工程攻擊,透過離地攻擊技術(Living off the Land, LotL),隱匿駭客攻擊行為,如:透過微軟內建工具而下載惡意程式到記憶體中(非硬碟)執行,可避免即時被偵測。同時,駭客相當關注我國的重大新聞事件,以進階持續性威脅(Advanced Persistent Threats, APT)攻擊手法來攻擊政府機關(構)的郵件。政府機關的資安事件通報中,主要類型為非法入侵(約五成六)和網頁攻擊(約一成九),另有設備問題、阻斷服務等。

我國「資通安全管理法」於2019年正式施行,為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全、維護社會公共利益。江副組長簡要介紹資通安全管理相關規定、資通安全管理法子法架構、資安管理事項、法遵事項、因應建議等,接續說明「資安治理」和「資安管理」兩者的差異所在。根據國家資通安全發展方案(106-109年)之「完備資安基礎環境」推動策略,我國將持續推動政府機關導入資安治理制度,落實政府資安治理流程構面和目標範圍,建立資安治理成熟度與防護能力指標相關機制。

活動照片集

新進公職D3
回頂
本中心由國家發展委員會委託國立政治大學公共行政學系營運 
研究中心地址:11605 臺北市文山區指南路二段64號 研究總中心3樓319室
電話:(02)2939-3091 # 63382  電子信箱:teg@nccu.edu.tw

本中心由國家發展委員會委託國立政治大學公共行政學系營運

研究中心地址:11605 臺北市文山區指南路二段64號
電話:(02)2939-3091 # 51141; 傳真: (02) 2939-1144; 電子信箱:tegrdec@gmail.com