黄忄志的个人空间

台“国防部”一直将资通安全工作列为台军重大施政方针。近年来尤其是2007年以来，台军积极推动部队的资讯通信安全防护工作（简称“资安防护”），将资安防护视为部队达成作战任务、遂行资讯作战的重要作为，通过颁布资安管控法规，健全资安防护组织，普及资安认知教育，落实资安防护训练等途径，力图多层次、全方位地强化各级部队的资安应变机制。

一、背景

台军在建立资讯战专业部队的基础上，近期大力强化资安防护作为，积极构建严密的资安防护机制与能量，主要是为迎合政府强化资安防护要求、提升部队资讯战力和防堵官兵网络泄密。

1、迎合行政部门强化资安防护能力的需要。陈水扁上台后不久，就授权台“行政院”于2001年1月17日核定通过第一期资通安全机制计划（01-04年），并成立由“行政院长”兼任召集人的“国家资通安全会报”，负责协调推动台湾资通安全基础建设工作，涵盖3713个重要政府机关、机构，建立完整的资安整体防护体系，同时针对20个影响“国家安全”、社会安定的重要基础建设资讯系统实施严格管制。第一期资通安全机制计划在2004年实施完成并获得预期效果，但明显偏重于组织建立、器材购置等“硬件”建设，如何提升和发挥资安系统的防护能力成了“软肋”，政府机关的资安案件通报由2001年的40件，猛增到2007年的1188件，凸显出资安防护工作的重要性和急迫性。因此从2005年开始，台“行政院”规划实施第二期资通安全机制计划，规定到2008年底，强化各项资安防护能力。台“国防部”作为“行政院”的下属部门，为迎合行政部门的倡议，积极推进台军部队的资安防护建设。

2、持续保持对解放军资讯优势的需要。台“国防部”评估认为，中共近年来为追求“打赢信息条件下局部战争”，除提升武器系统的信息化功能外，“资讯战”一直是其对敌作战的主要手段，解放军发展不对称作战，运用网军收集台军机密资料，是台军所面临的重大威胁；解放军从2002-2007年陆续建成电子战分队、网络战分队、黑客分队、信息救援分队以及在各产业内设立国防讯息组织分队，2006年更在二炮成立电子战蓝军部队实施攻防演习，这些资讯部队对台威胁主要是军事机密资料的窃取、关键基础设施资讯入侵与破坏、军事行动前的辅助攻击行动；大陆网军2003年开始具备网攻能力，攻击模式已由初期的网页变换进步至入侵性攻击，甚至运用电子邮件实施社交性攻击和零时差攻击，可精准打击台方某一部电脑。台军宣称，面对解放军日益提升的资讯战力，各级部队必须大力强化资安防护工作，才能持续保持对解放军资讯优势。

3、防堵官兵层出不穷的网络泄密案件的需要。台军已经进入资讯化、自动化时代，各种指管通情监侦即C⁴ISR等重要资讯，都透过电脑作业及网络传输。目前台军使用的网络系统分为军网和民网，军网包括战情、情报、专属和行政等内部网络，民网则以联外、政府服务、学术等外部网络为主，两种网络交叉使用极易滋生资讯安全隐患。事实上，台军近年来频频爆发网络泄密案件，仅去年一年就发生“搏胜训练资料遭窃案”、“政战学院资料外泄案”、“汉光23号”和“玉山兵推”演习资料外泄案、台军导弹部署图和兵力部署现况表外泄等诸多网络泄密事件，而案件调查结果大多都指向“违规公务家办”、“公务电脑感染恶意程序”等原因。基于此，台“国防部”积极推动资安防护工作，希望借此促使官兵养成“资讯安全，人人有责”的资讯观念，从根源上防堵屡禁不绝的网络泄密案件。

二、作法

台军为筹建“早期预警、应变制变”的资安防护能力，采取“主动监侦、积极防护”手段，构建资安防护机制，颁布多项资安管控措施，研拟资安奖惩规范，推动资安认证机制，贯彻网络实体隔离，普及资安认知教育，规定专人专责管理，加强资安管控稽核，建立多层防护、及时管控的资安防护体系，以达到“进不来、出不去、看不懂、带不走”的资安目标。

1、建立“一级辅导一级”的资安防护组织：台“国防部”从2006年起，就已设置资、通、电相关官科，目前已经建立资安管控中心，以资安指挥中枢与科技支援中心的角色统合所有资安讯息，透过各项整体、即时与自动的作为，达到“主动监侦、积极防护”的战略目标。各军种司令部成立资安管控中心，负责司令部及所属单位资安管控、稽核、系统更新、紧急事件处置及回报，并与台军资安管控中心整合。同时，台军方当局根据“台军资安管控稽核一级辅导一级具体作法”的规定，从“国防部”到基层部队，建立资安幕僚主管、资安长和资安官体系，各单位主官负责整体资安成败，单位副主官专责相关资安工作，逐级管控、逐级督导。此外，针对重大台军重大演训期间的资安防护，落实资安工作专人专责管理，台“国防部”还要求各联兵旅级单位，采取任务编组方式设置资安官，负责演习期间资安维护全盘事宜，海空军、联勤、后备、宪兵部队也照此设置。

2、出台众多资安防护法规：2007年10月，台“国防部”制订“台军资讯安全政策”，明定现阶段的资安政策重点为五大方面，分别是“网络安全管理”、“台军人员资安教育与督考评鉴”、“资安应变暨通报机制”、“资讯系统发展与管理安全”和“资讯资产管理”。在此前提下，台军现已完成资讯科技引进管理规定、资讯战整体发展规划指导、资安管控系统实施计划、软件发展管理作业规定等政策规范，并颁布多项资安管控措施。台“国防部通次室”近年来陆续颁布的法规计有：“台军资安管控机制精进作法”、“台军实体隔离管制要点”、“台军网络与网际网络资料交换管制要点”、“台军演训邮件作业规定”、“台军笔记本电脑管理作业要点”、“台军光碟机使用管制办法”、“台军电脑输出入装置及移动存储介质使用管制作法”、“国防部幕僚单位新进人员资安基本能力鉴测作业规定”、“民网单一闸口侧录管理作业规定”、“台军资讯作业安全管理奖励及惩处标准”、“台军CERT电脑紧急应变实施计划”、“台军演训资通安全维护整备要点”、“资讯设备整备有关标签分类及使用规定”、“台军资讯资产管控规定”等诸多法规，要求各单位网络作业要划分“军网使用区”、“民网使用区”和“资料交换检疫区”，严禁“便宜行事”、“公务家办”，力图做到法无盲点，确保官兵落实资安防护有法可依。

3、深入普及资安认知教育：为强化官兵“资安防护如同作战整备”观念，促使官兵深入了解网络泄密的严重性，台“国防部”将资安课程纳入基础、进修、深造教育课程施教，加强官兵的在职训练和资安宣导，同时强化资安保密和相关法律教育，要求“通次室”制作资安须知卡、资安管控光碟等宣导材料，举办“年度资安巡回讲习”、“资安长、资安官合格签证示范讲习”、“资安违规人员讲习”、“资安防护动员讲习”。在“07年度资安巡回讲习”方面，台军从07年8月6日—10月19日，由“国防部”纳编“行政院资通安全会报”、“资通安全处”和软件发展中心业管人员组成讲习小组，分高级军官团、资安业管和中高级军团、军士官兵和聘雇人员三个层次，前往北部、中部、南部、东部、金门、马祖和澎湖地区，共计实施538场次的巡回讲习课程，重点放在资安政策宣导和资安管控措施；在“资安长、资安官合格签证示范讲习”方面，今年以来，台军“国防部”及直属机关、“参谋本部”层次已经完成，目前正推进到师（旅）团级单位；“台军资安违规人员讲习”也已于今年3月6日举办。除上述常规教育内容外，台军还经常以任务编组形式开展专题教育，如3月28日办理的“汉光24号演习资安长会议暨示范讲习”，要求各参演单位资安长、资安官计170人出席参加。为配合部队资安教育深入开展，台军方《青年日报》从今年1月11日起，在其第4版特辟“资讯安全宣导”专栏，每周五刊载一次，对台军官兵持续进行资安相关技能宣导；并从07年开始，开放“论坛”、“来论”、“专论”、“社论”等栏目，为现役军人、资讯专家交流平台，深入探讨宣传资讯安全作业要点、防护关键及经验，向官兵全面灌输“资讯安全、人人有责”的资安观念。

4、严格督导各单位的资安防护落实：台“国防部”要求所属单位专人专责资安防护，严格贯彻网络实体隔离，各军司令部对其所属营区内部完成民网电脑的集中管理，并明确制定奖惩标准。其中，陆军司令部在各单位设置“网际网络电脑”专用区，严格执行“专机专用”和“集中收容”；设置“公务用电脑”专用区，严格办公处所仅设置“台军资讯网络”公务电脑，并落实“台军资安监控机制”；设置资料交换“检疫电脑”，防止病毒侵入公务用电脑；设置“机敏作业区”，防止资料遭窃取或径用网络散播；严格“资讯设备”管理和存储介质管制。海军司令部要求官兵全面设置开机密码，确保电脑合法使用；贯彻档案加密处理，强化机密资讯防护；强化个人资安认知，落实基本资安检查；恪遵网络实体隔离，严密管控存取装置及限缩机密资讯传输，追踪管制资料流向，并制订资安检查表逐项检查落实。空军司令部已办理多次“资安管控实体隔离示范观摩”，要求各单位依照资安要求确实督导所属落实执行，应贯彻“实体隔离”规定、落实“移动式资讯设备管制”、严禁“公务家办”规定。为督导部队各项资安防护措施的具体落实，台“国防部”每年都会举办检查计划，如9-10月举行的“年度定期资通安全督检”和不定期的“资讯通信安全突检计划”，彻查各单位是否存在违反实体隔离规定、违规使用移动介质、违规“公务家办”和机敏资料未加密等漏洞，并于次年6月底完成公布“资安楷模”获选名单。

5、研发落实多项资安防护技术：台军分析指出，目前面临的主要资安威胁为“中高阶干部资安违规增加”、“恶意程序持续演变”、“目标锁定攻击日益严重”、“全岛无线网络环境日益稠密”、“移动存储媒体多样不易查察”、“学校学网、民网监控不易”。排除人为因素外，面对上述威胁中的技术漏洞，台“国防部”已经建立并不断完善全军集控式防毒及系统修补派送系统，及时更新病毒码和修补系统漏洞，并建立数码文件保护机制，预防资料遭窃或违规带出营区时，无法开启档案，更切实管制资料流向，建立档案安全管理机制，结合台军电子凭证及目录服务，规范各层级人员对电子档案存取阅读权限，机密资料分类分级，各级网络实体隔离。“通次室”制作完成“资安小帮手”软件，可以自动执行安全设定和检查，并灌制“资安五蔬果、黑客不找我”配套资料，分“电脑设定要安全”、“资安软件要安装”、“个人资料要保护”、“网络服务要慎用”、“软件使用要合法”五个专题，协助官兵进行资安普及防护。

三、趋势

台“国防部”基于当前的战略构想，将军队资讯战重点放在网络安全防护上，并全方位思考部队资安的优势与弱点，建立有效防护措施与及时监控系统，并在各项资安作为中采取多种手段，大幅提升资讯安全的防护能力。目前，台军在系统端和网络端的资安防护能力已有明显进步, 据台“国家资通安全会报”的“年度资安防护演练”统计数据，在资安攻防方面，2004年模拟攻入比率为1.2%，2005年降为0.84%，2006年降为0.56%，去年再降至0.3%。

台“行政院”07年提出“优质网络政府计划”，未来4年将投入100亿元经费，完成包括“国家资通安全技术服务与防护管理精进计划”等10项旗舰计划，以强化政府资通安全和电子化政府成效，台军部队的资安防护技能提升就是计划内容之一。可以预计，今后台军将朝构建自动化、系统化和资讯化的安全防护系统目标迈进，结合岛内产、官、学、研界资源，将资安作为由被动性防护转变为主动性监侦和反制，持续保持台海资讯战场的优势：一是持续强化人员训练，厚植资通专业人才，着力培养资讯观念，以发挥资电优势；二是各业管单位加速统合全军资源，完成资通人力转型，做好资源整合工作，以提升资电作战能力；三是持续透过产官学界相关资讯科技技术交流，以及收集整理各国资讯战具体作为，借此提升部队资通系统及防护作战技术；四是强化通资纪律，落实安全督检，建立完善保密的资通平台；五是精进资管工作，督促各单位严格执行各项资安规范，加强交叉稽核，杜绝违规泄密事件。防杜泄密事件。业管单位应加速统合全军资源，完成通资人力转型，做好资源整合工作。