NO.69 | 2020.07.31
banner
title資訊百科 友善列印>>
數位政府雲端資安政策芻議

<研究企劃組/數位探索團>
  
  各國政府在科技演進與寬頻普及的基礎上,推動數位化政府政策,將政府及公共服務數位化及網路化。而隨著5G行動通訊的來臨、AI與大數據的導入,政府數位服務更進一步朝行動化與雲端化發展,也衍生新的資安需求。

一、數位政府雲端化發展及安全風險
  
  政府公共服務與資料儲存逐漸往雲端轉移,帶來了資源整合、效率提升、彈性便利的效益;然而,近年的國際政經環境變化,在雲端與資安政策也產生新的需求:

(一)疫情帶來數位政府行動公務需求
  COVID-19肺炎全球蔓延,迫使許多國家如香港、印度或土耳其,採用遠距辦公防疫機制;主要國家如美國,亦研議在兼顧資料安全下進行遠端辦公的措施;而歐盟資通網路安全局(European Union Agency for Cybersecurity(ENISA))也在2020年3月24日發布行動化辦公網路之安全問題分析及建議措施。顯見在疫情影響下,各國政府均注意到由外部環境連接政府服務的資安需求。

(二)數位政府雲端高度仰賴商業服務
  在主要國家數位政府政策發展上,完善的資安防護機制為重要基礎,一方面防止民眾身份被盜用與個人隱私外洩的隱憂,另一方面則須確保執行公務資料傳輸時,政府平臺及個人機敏資料不被攻擊或竊取。然而,各國雲端平臺大多以商業公有雲為其基礎設施即服務(Infrastructure as a Service , IaaS),故而,數位政府雲端環境的安全維護,更需思考如何與商業服務整合、妥善管理供應鏈並落實稽核機制。

(三)資料集中儲存提高了雲端安全風險
  提高服務效率和降低成本為政府採用雲端服務的兩大原因,透過雲端,可共享網路、儲存及運算資源,簡化行政管理工作。相對的,資源和資料的集中,也使雲端平臺容易成為攻擊目標。尤其歐盟ENISA的雲端運算風險評估(Cloud Computing Security Risk Assessment)便認為,當敏感資料同步移往雲端儲存時,風險更隨之大幅提高。McAfee 2019年《雲端的採用與風險》報告指出,21% 儲存於雲端的檔案包含敏感資料(於兩年內成長17%),透過雲端分享機敏資料年增53%;而特殊權限用戶威脅及帳戶遭駭等雲端威脅發生數,其年增亦達27.7%,80%組織每月經歷至少一起帳戶入侵事件。

二、數位政府雲端安全策略
  
  當政府服務朝雲端及多終端、遠端辦公的趨勢發展,雲端數量大幅增加,各國在政府網路安全防護政策上,也開始將防護的方式從核心網路、關鍵閘道、路由器等網路接取端點,延伸到雲端及使用者端的安全防護。

研究團隊因應政府服務雲端化發展趨勢,初步提出資通安全強化建議方向如下:
  
(一)發展智慧化、整合化主動防禦技術
  歸納近年全球主要國家政府資安政策及技術發展,為因應新型態攻擊模式之防護需求,多致力於發展前瞻資安防禦及分析技術,透過自動化及智慧化能力,大幅降低人為判斷與回應之介入,進而提高精準度與效率。

資安技術的重點也朝向:
  1. 保護面向整合化(含雲端、網路、終端之整合及IT與OT之整合)。
  2. 防禦功能精進化(自適應主動回應機制與持續偵測監控)。
  3. 威脅回應智慧化(可視性界面及以機器學習取代人工分析)等方向前進。
  主要國家如美國國土安全部已逐步將資通安全防護措施,從傳統資通訊及網路設備端,深入至雲端應用平臺,將雲端服務之紀錄資訊及防禦機制整合,以主動應對更加分散式的攻擊趨勢。在攻擊與防守不對等的態勢下,分散多點個別防禦對資源消耗過鉅,資安防護政策更需重視整合性與主動性。

(二)強化供應鏈管理
  各國政府雲端政策上,數位基礎設施、應用服務多仰賴委外服務,採購機制成為政府雲端安全的第一道關卡。在雲端服務的採購上,須充分了解合約條款、釐清供應商與客戶責任、確保符合法遵與稽核要求。雲端業者如Amazon AWS、Microsoft Azure、Google Cloud平臺或其他IaaS/平台即服務(Platform as a Service ,PaaS)業者,事前必須接受各項雲端安全標準審驗,事後也需定時稽核資安措施落實狀況,並向客戶提供更多證明。
 
(三)明確的資料安全管理政策
  雲端資源可依需求部署及快速擴充,但易於管理配置的特性,在安全性也更需講究及謹慎,不然機敏資料可能因管理者無心的疏失而洩漏。因此,機敏資料的儲存,與採用資料外洩防護(Data Loss Prevention, DLP)策略,對保障資料安全尤其重要。
 
(四)快速應變與及時更新
  雲端平臺技術演進快速,管理者需更加留意避免發生不及應變或出現資安問題卻無法處理的狀況。現成的遠端管理與監控工具,無論是由雲端業者提供或使用者自行開發,除需注意安全性設計原則,更須及時進行軟體漏洞修補與更新。

三、結語
  
  研究團隊從雲端化數位政府風險分析,研析各國數位政府政策下,雲端環境、應用之資安需求及對應機制。各國因國情不同,採行之資安措施與運作機制也有所不同,我國在政經局勢的影響下,受到的資安威脅與攻擊,較其他主要國家有過之而無不及,故在資安防禦政策應更加積極,針對政府服務雲端化趨勢,應朝更具整合性、更具智慧分析能力的主動防禦方向前進,以面對日新月異的資安威脅。