资安演练找破口 财部总动员

财政部强调，模拟骇客攻击方法，寻找税务系统弱点，弱点规划将于12月完成修补，并于明年1月进行复测确认。

财税机关资安防护与区域联防八措施

资安维护受国人高度关注，财政部4日将赴立法院财委会进行专题报告，相关内容2日率先出炉。财政部强调，财税资料具机敏、且高度集中管理，前后祭出八大措施建构防护，今年9月首次办理税务相关系统「红队演练」，模拟骇客攻击方法，寻找税务系统弱点，弱点规划将于12月完成修补，并于明年1月进行复测确认。

后续规划每两年进行一次红队演练。

财政部长庄翠云将就「资安疑虑频传，如何强化财税机关及公股行库资安防护与区域联防」进行报告。财政部表示，公务机关应由副首长或适当人员担任资通安全长，负责推动及监督机关内资通安全相关事务，财政部资安长由次长担任。

至于所属机关，包括赋税署、财政资讯中心、各地区国税局等单位资料均集中在财政部财税系统之中。财政部表示，各机关需严格遵守资通安全管理法及子法，办理各项资通安全防护机制，且订有完整资通安全管理规范。

根据上述报告，财政部财税系统网路环境采实体隔离分为内、外网，以有效降低资料外泄及资安攻击风险，并有八大资安措施，包括：一、建置整合性资安监控中心，财政部110年建置整合性资安监控中心，纳管所有资安设备。二、多层次纵深防御，网路采多层次纵深防护架构，建置防火墙、入侵防御系统、应用系统防火墙及防毒系统等设备，单点遭骇时仍有其他设备提供持续安全防护。

财政部指出，三是存取安控机制：针对不同业务属性人员建立分权机制，以最小授权为原则，依职权分层授予不同权限，严格控管高权帐号及限定使用地点及网址。四、资安健检及数位鉴识团队105成立以来，每年定期办理财税系统弱点扫描、渗透测试及资安健诊作业；五是清查大陆厂牌资通讯产品。六是分散式阻断攻击防护（DDoS）：每年定期进行DDoS攻防演练。

第七项资安防护措施，是税务相关系统红队演练，后续规划每两年进行一次。第八项则是政府领域联防监控情资回传作业。