【资安周报第66期】基层上万资安未爆弹终将大换新

如果说，中央政府各级机关分别代表人的头脑和躯干，那地方政府往往就代表人的四肢，只不过，如果人的循环代谢不好，末稍神经讯息传递不良，无法顺利把头脑和躯干的讯息顺利传送到四肢时，经常就会出现脚掌被脚踏车压到，但头脑无法接收到痛感的现象。

行政院资安处处长简宏伟表示，这其实就是目前台湾中央政府和地方政府在资安防护上遇到的真实现象，中央政府被视为骇客锁定攻击的标靶时，各种防护机制也随之强化，但是鞭长莫及的地方政府却成为整体政府资安防护上的“必然漏洞”，尤其当有许多第一线的基层机关，还在使用十年前采购的电脑和不安全的微软XP操作系统时，更侈言台湾政府的资安防护有多全面。

XP是明显资安漏洞，初估基层机关至少需汰换万台电脑

还记得去年8月，嘉义市政府建设处工商科就曾经发生一起高龄11年的笔记型电脑，锂电池爆炸自燃的意外事件，这起事件因为没有造成人员伤亡，爆炸的电脑也以报废作结。但从这个新闻事件可以发现，还是有很多地方政府第一线员工所使用的电脑，使用年限甚至已经超过十年，最主要的原因在于，有许多地方政府、机关和学校所采购的电脑，都是利用2008年推出的扩大内需发展方案时先后采购的，如果相关的电脑设备还持续使用迄今，也都大约十年左右。

但在过去十年间，除了微软操作系统XP已经在2014年完全终止所有的产品支援与软件更新外，整体的网络环境更形复杂，以及有更多不一样的网络攻击锁定台湾公务部门，例如针对式攻击的APT（进阶持续性威胁）攻击等，都已经是台湾政府无法忽视的资安风险。

中央机关与部会因为多属A级和B级单位，对于资安的要求有一定水准，如果有电脑设备汰换需求，也往往可以在使用年限内，顺利编列预算汰换；若是地方政府管辖的机关，有资源的地方政府可能会愿意编列电脑汰换的预算，更多则需要仰赖中央政府伸出援手，协助这些地方政府所管辖的机关部会，有机会编列汰换电脑设备的预算。

简宏伟表示，政府是一体的，中央政府资安环节已经逐步跟上的同时，有许多地方政府也需要跟上政府对资安要求的脚步，而最实际的作为就是协助这些地方政府的机关部会汰换老旧、高风险的电脑，“目前初估需要汰换的电脑就超过上万台，但详细的数字仍须由部会和地方政府回报。”他说。

打造六都资安区域联防，才是基层机关资安防护的真谛

政府组织往往范围太过庞大，除了中央政府之外，台湾总共22个直辖县市政府，都在“政府”的定义之下。在政府一体的前提下，不论是中央政府或是地方政府，即便中央政府和地方政府的任务和预算有所区别，现任执政者是需要全部概括承受所有的毁誉和责任。

因此，为了展望未来三十年的台湾经济发展需求，行政院国家发展委员会推出前瞻基础建设计划，希望可以由政府带头强化投资动能，也借此带动国家整体经济成长。行政院希望透过未来8年支出8,824.9亿元，可以吸引公民营企业投资超过兆元（1兆777,7.3亿元）。

其中，在关键基础建设计划中，编列数位建设特别预算有460.69亿元，外加其他预算272.11亿元，并针对网络安全、宽频建设、内容建设、服务建设和人才建设等五个项目规划内容和预算；其中，网络安全专案政府编列138.8亿元，而资安处主要是负责强化政府基层机关资安防护及区域联防专案，预算编列共35亿元，约占该专案的4分之1。

假设，共同供应契约一台台式电脑加上屏幕初估3万元，最少需要汰换1万台地方政府乡镇市公所超过10年以上的电脑，至少需要花费3亿元以上；若是需要汰换2万台电脑，需要花费6亿元左右。

但除去这些终端电脑的汰旧换新外，简宏伟认为，这种产品更新背后的目的就是要解决许多基础资料该如何落实的问题。他进一步解释，更换新的电脑可以做到强化基层机关资安防护，除了提升电脑使用效率外，也因为是使用比较安全的操作系统，也可以减少这些地方政府机关面临的资安风险。

未来所有资安相关的设备采购，工业局都会尽可能的放上共同供应契约，让各个机关可以自由选购，但是，简宏伟认为，这次针对基层机关的设备汰换，如果只是单纯的“更换电脑和屏幕”，可能又回归传统的设备削价竞争上，并不能真正达到资安处希望强化基层资安防护的想法。因此，他表示，这次的基层机关电脑设备的汰换，不会只是单纯的软硬件设备的更新，而是必须要搭配其他的资安服务，借此完善基层机关的资安防护机制。

简宏伟认为，行政院推出数位建设中的“强化政府基层机关资安防护级区域联防”，关键绝对不在于协助地方政府机关汰换电脑，而是透过这一波电脑的更新，让更多基层公务人员至少有安全的操作系统可以使用外，更重要的是，要打造以六都带头的区域资安联防计划，更可以进一步结合各县市政府想要发展的智慧城市，并带动区域治理，才是这个资安专案最重要的意义。

“更重要的关键是在区域联防，”简宏伟指出，透过六都或者是有意愿的县市政府打造六个区域治理平台，也可就近和各大区网中心合作，针对不同区域所需要打造的智慧城市样貌，以及提出所需要资安联防的服务。但是，这目前需要由地方政府主动提报相关的计划申请，透过一个资安联防的区域概念，让地方政府的资安可以因为区域联防的方式有所提升。

也因此，他表示，目前资安处也正在订定相关的原则，希望将资安与服务连结，同时设计一套机制可以结合中央与地方政府的需求，面对汰换下来的电脑设备，则必须落实相关的资料删除与清理等环节。

资安计划仅占前瞻基础建设的1％

从整个前瞻基础建设中的预算分配，数位建设编列特别预算460.69亿元，其他预算272.11亿元，只占整体预算分配的8.3％，比例并不高，而数位建设就是希望打造一个超宽频网络社会，可以做到城乡连网零落差、优质宽频随手得。

行政院科技会报引述世界银行2016年世界发展报告指出，“宽频普及率每提高10%，GDP（国民生产毛额）可增加约1.21％，” 因此，政府也希望借由推动Gb级的宽频网络建设，实现数位4.0的智慧生活，像是3D实境即时导航 、自驾车、无人机的智慧交通；或者是即时防救灾、环境品质智慧治理的智慧安全 、甚至是超高清3D影像协助远距或紧急事故医疗的智慧医疗都是数位4.0生活的印证。

数位建设包含范围很广，在网络安全的预算编列中，简宏伟表示，与资安处直接相关的资安预算其实只有2项，分别是强化政府基层机关资安防护及区域联防（预算编列35亿元），另外就是比较大范围的强化国家资安基础建设，总额60亿元的预算编列中，资本门6亿元是编列特别预算，另外经常门54亿元则是由其他预算支应。

以行政院规划的前瞻基础建设的分类，数位建设预算比例不超过1成；若把资安处直接负责的资安相关计划与预算来看，资安预算也只占数位建设的13％。毕竟，相对其他需要更庞大土方建设的预算编列来看，资安相关预算及计划占整体前瞻基础建设的1％。但直白而言，资安专案在未来国家重要的兆元投资的规划中，仍仅占沧海之一粟的比例。