台北市政府强化网安治理 有效落实曝险最小化

台北市政府信息局高级分析师杨世钰。DIGITIMES摄

掌理首善之都的台北市政府，在网安治理方面的经验，颇值得各界借镜。

台北市政府信息局高级分析师杨世钰表示，2019年底柯文哲市长指示，未来网安需以整体架构来推动，不应只冀望各机关1~2位网安人员，于是大幅调整网安组织，设置府级网安长，由副市长出任，驱使各机关更重视网安。

尔后两年多来，市府陆续面临一些网安事件，但各机关网安人员习惯采取重灌电脑、拔网络线等处理方式，导致数码证据消失，徒增监识调查困难，促使市府决定设立集中化网安事件应变小组(IR Team)，尔后当网安事件发生，都依循SOP执行，第一时间由IR人员确认是否保全证据，再进行事件调查，厘清个中缺失，最终辅导改正。

「网安要靠稽核，否则等于没有网安。」杨世钰说，以往市府的网安稽核层级不高，2020年设立全新机制，由信息局、政风处、外部网安与技术(主机安全与系统安全)顾问、各机关稽核委员共同组成稽核小组，在人力加持下、浩浩荡荡到机关进行稽查，要求对方网安长主持起始与结束会议，严格确认此机关对网安的掌控力，在现场仔细核对各项缺失，让府级、各机关明了亟需处理的议题。

藉由稽核过程，察觉到许多单位虽通过ISO 27001认证，但仅止于机房验证，未涵盖其他众多服务器。因此市府决定将非核心系统纳入稽核，发现长期下来许多系统口令设定从未变更，点出相关缺失后，促使各机关了解其网安落差，知道该针对原码、主机或网站进行哪些补强。

关于市府的网安治理，还包括许多其他的强化措施。例如向上集中网安投资，不仅纾解许多小型单位的预算旱象，连带提高整体网安可视性，裨益以一致标准集中进行弱点扫描，使各单位掌握网安修补重点，尽速完成修正。另外调整红蓝队架构，将负责导入、验证的承包商分开，以利各司其职、落实网安，避免出现球员兼裁判情形。

值得一提，市府与微软合作打造三层式特权权限分层架构，将Domain Admin等高权限锁定在Tier 0，不允许出现在Tier 1(偏向服务器、应用程序)，Tier 2(偏向PC)，达到曝险最小化。此外还执行防火墙风险审查，杜绝重要系统开放任意连线(Internet Any)；为顺利推动GCB，由信息局机房每月推出符合最新网安要求与安装最新版安控软件的VM范本，确保各机关使用符合网安要求的VM，不再有兼容性等方面的疑虑；另藉由SOAR的导入、合规检核机制的自动化与持续化，乃至采用DevOps平台统一管理源码与自动上版与审核、确保上版流程透明化，并研究以自动化做法落实高风险权限JIT(Just-In-Time)存取。

凡此种种，在信息局携手各机关持续学习、精进之下，台北市政府的资通讯安全已显着获得强化与改善。