林盈達／交通大學資工系特聘教授

李忠憲／成功大學電機系教授

林宗男／台灣大學電機系教授

看守內閣近日計畫在四月一日愚人節反看守，將原本隸屬資策會、負責政府部門資安防護管理的資通安全技術服務中心（技服中心），改為掛牌在科技部下的行政法人，並在母法「資安管理法」還沒通過前，就先依據通過的子法「資通安全科技中心設置條例」，讓現行疊床架屋、有權無責、資源錯置的架構就地法制化。

我們覺得在新政府整體資安管理架構尚未完備之前，應先暫緩此幕僚單位成立；同時並就政府資安部門依政策規範、營運管理、技術與產業發展三方面規劃，建議即將上任的小英團隊，一次弄對政府部門的資安，甚至是資通訊架構。

請繼續往下閱讀...

完整一次規劃資安、資通訊架構

資安愈來愈重要，它是資訊國力的防護罩，保護現代化資訊社會、虛擬世界實體化、電子化政府、關鍵基礎設施、物聯網和工業4.0等國家命脈。

從二○一四年我輩反對服貿對中國開放二類電信開始，資通訊系統和資料庫、社群網站，遭受中國巨量阻斷服務攻擊的事件頻傳，關鍵時刻媒體網站突然失聯，各種網路的駭客入侵、攻擊、詐騙和勒索，中國射頻生物晶片的卡式台胞證爭議，華為網路設備與基地台的採用與否，內含木馬的小米手機與App，樂視網、支付寶和百度的竊取資料和控制手機等，還有，許多高科技公司及重要公務員，都遭遇過釣魚聯結與郵件，在潛藏數月以後門程式發動客製化攻擊。凡此種種，顯示台灣的資安情況十分嚴峻，每隔一陣子都會有重大資安事件與爭議，但是我們卻一直找不到一個可以負責的主管機關。

資安牽涉三個面向：政策規範、營運管理，以及技術與產業發展。政府現行資安架構卻是：一，政策規範能力薄弱，以只開會指導的行政院資通安全會報，以及只委外訂規範的ＮＣＣ負責。二，營運管理混亂，只負責政府部門資安防護的三層架構，是以行政院資通安全會報為指導，交由行政院資通安全辦公室規劃督導，再將大部分工作委辦給有工程技術能量（約一百人）的資策會技服中心；但同時，內政部警政署刑事警察局、法務部調查局、國防部軍事情報局與電訊發展室、國家安全局等，都配備有規模大小不一（各約數百人）的工程技術能量，分別對網路犯罪、政治偵防、中國網軍等國內外對象進行偵查、監聽與防範。三，技術與產業發展單位錯置，分成只管大學、科學園區及國家實驗室研發的科技部、但不管產業發展，以及管產業發展、但不懂資安的經濟部技術處與工業局。

如此雜亂架構造就了失能的現狀，非正式組織有權無責，不用定期面對民意去立法院報告，各項國家級資安管理、產業政策、技術規範不完整或無法落實，資安事件與爭議層出不窮，但無統籌決策窗口，財團法人進行防護偵防，但因無公權力不能辦案。工程技術能量分散各單位不具規模效益、也無法交流成長，政治偵防不透明，非法與法律邊緣監聽數量驚人，國防網軍對外偵查變成轉向對內，對外防護能量反而不足。資安空有高能量的研究而無法引導形成新興產業與聚落，政府與企業採購的資安產品，九十％以上仍仰賴美國及以色列等國產品，形成幫助美國產業發展的論文式研究。

一○三年三月三日新成立的科技部組織職掌沒有資安業務，如果重視資安，這麼重要的業務，竟然臨時調整到一個原本只是負責學術的國科會身上，這麼的唐突、這麼的不周延，可以大聲說重視資安嗎？科技部根本沒有主管資安業務的法源依據，所以才會通過一個以「規劃支援協助」為主要任務的資通安全科技中心。現在要將技服中心移至科技部下的行政法人，這樣的思維再次犯了三個決策錯誤：錯將管理營運當作技術研發；錯要無公權力的法人，去執行需公權力的犯罪偵防；錯散資安技術能量。

我們認為資安政策規範應回歸常設正式單位，方能有權有責隨時面對民意，不應有長期疊床架屋的會報與辦公室。資安管理營運不是技術研究導向，而是日常的營運管理，應具備公權力而非法人而已，在防護偵查的同時進行法律行動，制裁違規或違法的事情，且工程技術團隊，除國防機敏性質外應全部集中，讓較大規模的團隊互相學習精進，達到經濟規模與營運管理技術成長，即使是國防機敏單位的網軍，也應集中管理，並讓其管理透明化可供稽核，也才能評估其效益與是否有將偵防對外轉對內的濫權情事。資安技術研發與產業發展應結合，讓管研發的單位同時管產業發展才是正道。

因此，我們對新政府提出以下具體建議：

一、資安政策規範單純化：由ＮＣＣ負責，直接面對民意與立法院，但應改造ＮＣＣ，由傳播與政治掛帥，轉變為通訊為主、傳播為次的技術本位，並擴充其下財團法人電信技術中心的能量，使其具備技術規範能量，也就是仿效美國聯邦通訊委員會（ＦＣＣ） 與國家標準與技術研究所（ＮＩＳＴ）搭配的精神，才足以承擔此任。

二、資安管理營運公權力化、集中化與透明化：在內政部下成立資訊安全局，整併技服中心及刑事警察局、法務部調查局等非國防機敏的資安工程技術團隊，使管理技術能量集中並具備公權力，面對政府部門與民間用戶的資安事件偵防。在國防部下成立第四軍網軍，整併軍事情報局、電訊發展室、國家安全局的技術團隊，不論是資訊安全局或網軍都應透明化，以茲評估效益與稽核。

三、資安技術研發與產業發展統整化：將技術處與工業局由經濟部移出，整併至科技部，將科學園區由科技部移出，整併至經濟部，使科技部真正同時負責技術研發與高科技產業發展的各種獎勵補助，也促成更多產學合作。

這樣的調整方向也符合先進國家的配置，美國是ＦＣＣ負責政策規範，搭配ＮＩＳＴ負責落實技術標準，國土安全部負責資安營運管理，國防部、國家科學基金會及各州政府負責資安技術研發補助，產業則自主發展。德國一九九一年就已經成立聯邦資訊科技安全局，隸屬於內政部，負責關鍵基礎設施、企業資訊科技安全、公民的網路安全、資訊科技能力和刑事網路犯罪的調查權力。最後，寄望新政府能完整思考規劃，將我國資安，甚至整體資通訊架構妥適調整、一步到位。

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法