日前,我國第一個專責資安的行政法人,國家資通安全研究院(資安院)正式成立,為數位部增添了堅韌的生力軍。無獨有偶,內政部也修正了《各機關申請提供戶籍資料及親等關聯資料辦法》。

這兩件事看似沒有關連,實則為「資安即國安」展開新頁。

有鑒於光碟、隨身碟等資料交換方式,易遭不法複製、遺失遭竊、無法追蹤,因此從去年年底起,內政部不再透過這些方式,提供戶籍資料給申請單位。也就是說,任何機關申請調閱戶籍資料,都只能透過政府網際服務網(GSN)進行。

參考內政部的經驗,所有涉及全國個資的公務機關,都會在今明兩年導入「跨機關資料傳輸專屬通道(T-Road)」。T-Road 傳輸全程以機關憑證加密,不與外部服務網段連通,為資安提供更嚴密的保障。

在此基礎上,我們接下來的重點政策,就是將「零信任」制度,結合 T-Road 網路傳輸管理體系,全面導入到資通安全最高等級的公務機關。

傳統資安架構的基礎,是區分內外網權限,用防火牆保護內網。最常見的作法,是管理者必須進入內網、輸入帳號密碼,才能登入後臺。

不過,將防護只寄託在防火牆和帳密,就像是整棟大樓只仰賴一扇防盜門和密碼鎖。無論戒備多森嚴,有心人只要盜用密碼、通過門禁,便能進入各個樓層,在每個房間任意移動,造成嚴重後果。

「零信任」的核心概念,是「永不信任,持續驗證」:任何人無論何時何地,進入任何房間,都必須對身分、設備、行為模式進行三重驗證,即使機關首長也不例外。如此一來,即使攻擊方僥倖闖進大廳,也無法獲取其他資料,因為每道門的三重驗證都不盡相同。

從這些特點可以看出:對於需要大量傳輸、和其他單位往來頻繁的資訊系統,零信任可以防止有心人在收發兩端竊取資料。完整的身分驗證軌跡、不可否認的傳輸紀錄,更能有效偵測出監守自盜的異常行為。

T-Road 提供了滴水不漏的安全通道,「零信任」則補足了嚴密的守門機制。因此,從數位部的 MyData 平臺開始,今年底前,T-Road 管理體系將全面導入三重驗證的零信任制度。而廣納資安專業人才、有效整合產學研資源的資安院,就是協助各機關導入零信任的制度工程夥伴。

除了協助各機關強化資安措施,資安院也會運用公共程式(Public Code),開發共通系統、協助各部會針對重大資安事件進行聯防,從「永不信任,持續驗證」的零信任架構開始,打造「永不停止,持續精進」的全民數位韌性。