台北市政府強化資安治理 有效落實曝險最小化

台北市政府資訊局高級分析師楊世鈺。DIGITIMES攝

掌理首善之都的台北市政府，在資安治理方面的經驗，頗值得各界借鏡。

台北市政府資訊局高級分析師楊世鈺表示，2019年底柯文哲市長指示，未來資安需以整體架構來推動，不應只冀望各機關1~2位資安人員，於是大幅調整資安組織，設置府級資安長，由副市長出任，驅使各機關更重視資安。

爾後兩年多來，市府陸續面臨一些資安事件，但各機關資安人員習慣採取重灌電腦、拔網路線等處理方式，導致數位證據消失，徒增鑑識調查困難，促使市府決定設立集中化資安事件應變小組(IR Team)，爾後當資安事件發生，都依循SOP執行，第一時間由IR人員確認是否保全證據，再進行事件調查，釐清箇中缺失，最終輔導改正。

「資安要靠稽核，否則等於沒有資安。」楊世鈺說，以往市府的資安稽核層級不高，2020年設立全新機制，由資訊局、政風處、外部資安與技術(主機安全與系統安全)顧問、各機關稽核委員共同組成稽核小組，在人力加持下、浩浩盪盪到機關進行稽查，要求對方資安長主持起始與結束會議，嚴格確認此機關對資安的掌控力，在現場仔細核對各項缺失，讓府級、各機關明瞭亟需處理的議題。

藉由稽核過程，察覺到許多單位雖通過ISO 27001認證，但僅止於機房驗證，未涵蓋其他眾多伺服器。因此市府決定將非核心系統納入稽核，發現長期下來許多系統密碼設定從未變更，點出相關缺失後，促使各機關瞭解其資安落差，知道該針對原碼、主機或網站進行哪些補強。

關於市府的資安治理，還包括許多其他的強化措施。例如向上集中資安投資，不僅紓解許多小型單位的預算旱象，連帶提高整體資安可視性，裨益以一致標準集中進行弱點掃描，使各單位掌握資安修補重點，儘速完成修正。另外調整紅藍隊架構，將負責導入、驗證的承包商分開，以利各司其職、落實資安，避免出現球員兼裁判情形。

值得一提，市府與微軟合作打造三層式特權權限分層架構，將Domain Admin等高權限鎖定在Tier 0，不允許出現在Tier 1(偏向伺服器、應用程式)，Tier 2(偏向PC)，達到曝險最小化。此外還執行防火牆風險審查，杜絕重要系統開放任意連線(Internet Any)；為順利推動GCB，由資訊局機房每月推出符合最新資安要求與安裝最新版安控軟體的VM範本，確保各機關使用符合資安要求的VM，不再有相容性等方面的疑慮；另藉由SOAR的導入、合規檢核機制的自動化與持續化，乃至採用DevOps平台統一管理源碼與自動上版與審核、確保上版流程透明化，並研究以自動化做法落實高風險權限JIT(Just-In-Time)存取。

凡此種種，在資訊局攜手各機關持續學習、精進之下，台北市政府的資通訊安全已顯著獲得強化與改善。