資安演練找破口 財部總動員

財政部強調，模擬駭客攻擊方法，尋找稅務系統弱點，弱點規劃將於12月完成修補，並於明年1月進行復測確認。

財稅機關資安防護與區域聯防八措施

資安維護受國人高度關注，財政部4日將赴立法院財委會進行專題報告，相關內容2日率先出爐。財政部強調，財稅資料具機敏、且高度集中管理，前後祭出八大措施建構防護，今年9月首次辦理稅務相關係統「紅隊演練」，模擬駭客攻擊方法，尋找稅務系統弱點，弱點規劃將於12月完成修補，並於明年1月進行復測確認。

後續規劃每兩年進行一次紅隊演練。

財政部長莊翠雲將就「資安疑慮頻傳，如何強化財稅機關及公股行庫資安防護與區域聯防」進行報告。財政部表示，公務機關應由副首長或適當人員擔任資通安全長，負責推動及監督機關內資通安全相關事務，財政部資安長由次長擔任。

至於所屬機關，包括賦稅署、財政資訊中心、各地區國稅局等單位資料均集中在財政部財稅系統之中。財政部表示，各機關需嚴格遵守資通安全管理法及子法，辦理各項資通安全防護機制，且訂有完整資通安全管理規範。

根據上述報告，財政部財稅系統網路環境採實體隔離分爲內、外網，以有效降低資料外泄及資安攻擊風險，並有八大資安措施，包括：一、建置整合性資安監控中心，財政部110年建置整合性資安監控中心，納管所有資安設備。二、多層次縱深防禦，網路採多層次縱深防護架構，建置防火牆、入侵防禦系統、應用系統防火牆及防毒系統等設備，單點遭駭時仍有其他設備提供持續安全防護。

財政部指出，三是存取安控機制：針對不同業務屬性人員建立分權機制，以最小授權爲原則，依職權分層授予不同權限，嚴格控管高權帳號及限定使用地點及網址。四、資安健檢及數位鑑識團隊105成立以來，每年定期辦理財稅系統弱點掃描、滲透測試及資安健診作業；五是清查大陸廠牌資通訊產品。六是分散式阻斷攻擊防護（DDoS）：每年定期進行DDoS攻防演練。

第七項資安防護措施，是稅務相關係統紅隊演練，後續規劃每兩年進行一次。第八項則是政府領域聯防監控情資回傳作業。