税务系统防骇 每2年1次红队演练

财政部包含所属的单位每3年会排定资安健诊作业，以及每2年模拟骇客入侵的「红队演练」，提升资安防护措施。图为资讯月各参展摊位涌入不少民众吸收最新的资安与国安资讯。（本报资料照片）

民众报税资料具机敏，建构完善的资讯安全环境相当重要。财政部4日将赴立法院财政委员会进行专案报告，推动8大措施，包含所属的单位每3年会排定资安健诊作业，以及每2年模拟骇客入侵的「红队演练」，提升资安防护措施。

根据财政部的8大资安措施，包含建置资安监控中心，纳管防火墙、入侵防御系统、防毒系统等资安设备；多层次纵深防御系统，单点遭骇时仍有其他设备持续安全防护，以及建置资安弱点通报及终点防护，确保多层次资安防护的有效性。

不同业务属性人员建置分权机制，落实存取安控机制；今年针对财政部所属的51个对外网站渗透测试，以及中区、南区国税局与关务署3大所属单位进行资安健诊作业，财政部所属机关包含国税局、部内单位如赋税署、国库署、甚至是所属事业机关如台酒等3年内必须轮一次资安健诊作业，若有健诊时发现资安事件，隔年还要再进行一次。

并明令禁止运用大陆厂牌资通系统，每年进行分散式阻断攻击（DDOS）攻防演练；此外今年税务系统进行「红队演练」，也就是模拟骇客攻击方式找出税务系统弱点，并且进行修补、明年1月进行复测，虽然每次红队演练时程长达近半年，但财政部仍规划，未来2年演练1次，以因应骇客日益变化、不断精进的手法。

最后参与政府领域联防作业情资回传机制，透过资安监控中心所得资安警讯判断为资安事件通报；透过平台所收情资包含恶意中继站清单、恶意程式、社交工程邮件等，分享财政部所属或所管单位与机关。