资讯安全已被列为国安层级的议题之下,政府机关相关资安问题备受各界重视。5 日“立法院数位国家促进会”召开记者会表示,政府网站使用 https(超文本传输安全协议)的比例过低,恐对政府资讯安全问题造成严重漏洞。
“立法院数位国家促进会”会长余宛如表示,由于 https 能保护网页在传输过程中不被变造,使政府资讯不容易在传输过程被窜改,但台湾 1,089 个政府网站,使用 https 的比率过低,仅有 11.2%,甚至总统府、国安局、外交部的网站皆未使用 https。在资讯世代,政府应致力于提升政府网站和资讯系统的安全性。
余宛如进一步表示,根据调查,政府使用 https 的比率不仅过低,仅有11.2%,且调查中的安全指标等级,由安全到不可信任分为 A 到 T 级,台湾虽有 67% 的机关在防护最高的 A 级,但身为国家安全掌门人的国防部,安全等级仅有 B 级,科技龙头的科技部网站 10 月改版前,更是仅为防护最低的 T 级;至于总统府,除总统信箱外,皆未使用 https。
由于 http 为传输网页的规格,https 则是在 http 架构上额外采用加密算法,使网页在传输过程受到保护,让有心人无法在传输时撷取网页并窜改。换言之,https 是在传输时为资讯加上一层信封;没有使用 https ,就仿佛寄明信片,每个接触到的人都有机会阅读,甚至惡意窜改,https 可说是最基本的网站资安防护措施。
同样主掌国家安全、国际事务的国安局、外交部相关网站均未使用 https。根据纪录,2016 年国安局被骇客攻击超过 63 万次,比 2015 年大幅成长,国安局还未使用 https,这对将来面对骇客攻击,恐怕造成更令人担忧的后果。行政院虽有订定计划,要在 2018 年 12 月底将所有政府网站更新为 https,但在脚步快速的数位时代,实在应提早至 2017 年 12 月底完成。
国发会资讯管理理处处长潘国才、行政院资安处副处长徐嘉临皆表示,目前行政院确实订定相关规划,尽可能将时程缩短。国发会更在 2018 年开始把 https 纳入网站盘点检核项目,也有提供咨询专线供各单位询问。科技部资讯处处长薛大勇则表示,科技部新版网站近期上线,已针对资安部分做多项改善,将来也会依照建议“立法院数位国家促进会”,再朝网站资讯设计、使用者体验优化等方向强化。国防部通次室资安处代处长廖述煌则表示,国防部的资讯安全绝对会努力往 A 级前进。
余宛如表示,https 并非高深技术,却足以造成政府资讯被窜改成假新闻等严重威胁公共安全的议题,但这方面并没有专业单位协助所有部会,进行判断与统合;且国防部本次还是第一次參加资讯安全相关记者会,更显示出国家资讯立法、建立政府具整合性掌门人的重要性。
(首图来源:pixabay)
