期交所雙月刊66期

20 規劃與建置 資料避風港初探 文 ／ 譚德明（期交所資訊作業部經理）、吳子照（期交所資訊作業部專員） 全球風險評估 2021 年 世 界 經 濟 論 壇（ World Economic Forum ，簡稱 WEF ）全球風險報告顯示，「 IT 基 礎設施損壞」（ IT infrastructure breakdown ）已 經進入全球風險影響排行第 10 名；「數位權力集 中」（ Digital Power Concentration ）、「數位不 平等」（ Digital Inequality ）、「網路安全失效」 （ Cybersecurity Failure ）則分居風險加劇的第 6 、 7 、 9 名，但當受訪者評估短期（ 2 年內）何者將 對世界造成明顯而立即的危機（ Clear and present dangers ），「網路安全失效」就躍居第 4 名 （圖 1 ） 。 新的威脅型態 金管會就曾分析國內外大型機構遭駭客攻擊事 件，事後鑑識均發現，駭客會針對受駭機構資通訊 環境特製惡意程式及攻擊手法，且會避開受駭機構 之防毒軟體等資安防護設備之偵測，入侵後長期潛 伏等待最佳時機發動最後攻擊，這類型攻擊除了難 全球趨勢 Global outlook 近年全球資安意識抬頭，在 2021 年臺灣資安大會上，蔡總統首度揭櫫「資安即國安 2.0 」戰略目標，當中即提到將成立專責的資通安全署，提升對關鍵基礎設施及核心資料庫 的防護能量，本文即探討面對資安風險的手段，除了事先規避及減損外，是否還有其他災 後重建選項，本文從新興網路威脅所帶來系統還原思維討論起，進而介紹避風港計畫內容， 以及未來國內法規展望，最後進行結論。 以偵防，更嚴重後果是一旦駭客發動攻擊，往往是 全面性的，包括主系統與備援系統可能同時都是被 攻擊的目標。 面對風險的對策 鑑於風險日益升高的網路威脅，各國紛紛制訂 對應策略，臺灣自 2019 年實施資通安全管理辦法， 內容規定資通安全須做到：「防止資通系統或資訊 遭受未經授權之存取、使用、控制、洩漏、破壞、 竄改、銷毀或其他侵害，以確保其機密性、完整性 及可用性」，但是嚴密防護難保不會遭惡意程式破 壞系統，惡意軟體中尤以勒索軟體為害最大。 根據趨勢科技分析，全臺機構受勒索軟體攻 擊比例年增率 74% ，平均每週遭 2,548 次攻擊， 針對勒索軟體攻擊，美國聯邦調查局 FBI 建議： 1. 隨時保持更新作業系統與應用程式 2. 安裝防毒軟體及反惡意軟體（ Anti-malware ） 圖 1 ：明顯而立即的危機（ 2 年內） 傳染病風險 58.0 民生危機 55.1 極端天氣事件 52.7 網路安全失效 39.0 數位不平等 38.3 經濟長期停滯 38.3 恐怖攻擊 37.8 青年幻滅 36.4 社會凝聚力削弱 35.6 人為環境破壞 35.6 經濟 環境 地緣政治 社會 科技 %