強化關鍵基礎設施防護 唐鳳：加速導入零信任機制

監察院長陳菊今天率監委巡察行政院，並強調台灣的關鍵基礎設施防護韌性仍不足。數位發展部長唐鳳回應，零信任機制的核心在於身分辨識，將持續藉由TW-FidO行動自然人憑證，加速導入機關推動零信任機制。

陳菊上午率監委赴行政院進行民國112年巡察，行政院長陳建仁及各部會首長出席，由陳建仁簡報政府針對教育、國防、文化、經濟等各種面向施政成效；監察院也在傍晚舉行巡察行政院後記者會。

監委賴鼎銘代表監察院交通及採購委員會，就「公私部門資通安全問題之探討」為題發言，分別從「組織人力面」、「設備供應面」、「關鍵基礎設施安全面」及「資安聯防面」等四大面向，探討國內資安防護面臨的問題，並請行政院督促所屬，不能輕忽台灣所受的資安威脅。

在設備供應面向，賴鼎銘提到，監察院調查發現，截至111年底止，各機關盤點清查並列管的危害國家資通安全產品，尚有約2000件仍未完成汰換。

在關鍵處設施安全面向，賴鼎銘指出，監察院調查發現，國內關鍵基礎設施資安防護韌性仍不足。例如，台電公司大潭電廠大修期間，發生人員代刷卡、委託協力廠商持前協力廠商工作證多次出入電廠情事，輕忽廠區安全；前美國眾議院議長裴洛西（Nancy Pelosi）訪台期間，國內公私部門屢受分散式阻斷服務攻擊及電子看板內容竄改等資安威脅，均顯示關鍵基礎設施資安防護的重要性。

數位發展部長唐鳳在會中回應，在設備供應面向，將持續透過盤點，督導各機關完成危害國家資通安全產品的汰換，並與行政院公共工程委員會共同研訂及公告「政府資訊服務採購作業指引」及「各類資訊（服務）採購的共通性資通安全基本要求參考一覽表」，納入資訊服務採購契約範本。

在關鍵基礎設施安全面向，唐鳳指出，將持續偕同關鍵基礎設施主管機關整合相關資安防護資源，精進關鍵基礎設施資安防護韌性，落實資安風險識別及管理。

唐鳳強調，零信任機制的核心在於身分辨識，將持續藉由TW-FidO行動自然人憑證，加速導入機關推動零信任機制；並透過「AI產品與系統評測中心」，積極評估納入資安偵測及防禦機制，持續精進主動式防禦技術、惡意攻擊溯源追蹤及弱點挖掘自動化等技術，以因應新興科技對資安的挑戰。

另外，今年國軍漢光39號兵棋推演、實兵演習中，除既有傳統科目外，對於共軍以實際兵力犯台時的關鍵基礎設施防護韌性更是演練重點，包括防護敵軍以實體兵力攻占發電廠、機場等設施，以及透過資通電軍模擬防範駭客網攻各大設施。

根據Google官方網站解釋，零信任是一種雲端安全性模型，藉由移除隱含的信任，並強制實行嚴格身分驗證和授權機制，來保護現代機構。在零信任機制下，不論使用者是屬於機構網路內部或外部，一律將所有使用者、裝置和元件視為不受信任。