今天收到不少朋友對於昨晚發文的反饋和意見。謝謝大家，請繼續跟我們分享！
　
針對上一篇文中提出的結構性問題，我們在這裡補充一下：
　
政府資訊體系龐大，有太多的問題，也有很多的作業方式需要改善，體制內的相關公務員都清楚。這些的確需要面對，但從政策擬定的角度，我們看到幾個核心的制度問題，必須優先處理，專業人員才可能確實解決執行面與技術面的問題。
　
💾 缺乏專責單位
　
我們過去跟國外專家與官員交流、檢討政府資訊安全問題、討論解決方案的時候，碰到的第一個挑戰，就是回答「這是誰的工作」（Whose job is it? Who is the "mission owner" responsible for protecting your network and information?）。誰負責規劃系統、平時監控存取紀錄與異常行為、要求使用者遵守安全規定（並有權力懲處，如暫停個人的系統權限），甚至依照遭受攻擊的模式而調整系統架構？這個專責單位需要被授權，為機關的系統與資訊安全負責。
　
任何曾在具相當規模企業工作的人，對「安全官」（security officer） 的角色都不陌生。政府是我們國家最大、最重要的企業，但目前沒有人在第一線「主責」機關內的安全事務。
　
保護政府資訊所存在的問題，涉及太多單位──國發會主管 GSN（政府網際服務網）骨幹；行政院資安處負責資安的政策制定、工作執行與產業發展；國安局負責情報蒐集，掌握境外勢力對政府的攻擊（但不負責防護）；調查局最近成立資安工作站；然而實際上坐在政府機關內部的廉政署政風人員，名義上負責「機密維護」，實際上著重在肅貪──結果是權責不明。有專責，才有負責，也才可能究責。
　
💾 缺乏資源
　
政府有1,300多個中央行政機關與事業機構（不含學校）；所屬公務員近17萬人（若納入國軍，總人數就加倍）。若在每個單位設置資安人員，不但不切實際，也無法確實因應政府所承受的系統性攻擊；因為攻擊模式只會不斷調整，並且找最弱的一環來切入。
　
合理的政策方向，應該是由中央單位管理、以軟體設計取勝的資訊系統（centralized and software-based solutions）；少一點預算在硬體採購、多花一點心思在系統設計，這必然是雲端的架構。最核心的安全工作不能外包，需要培養體制內的專業人才（需要預算和員額），因為沒有委外廠商會比自己人還在乎內部安全。
　
💾 缺乏公務的認知
　
如果有專責單位負責機關的資訊安全、有更符合需求的資訊系統，我們接著必須要求公務只能透過公務裝置（無論電腦或手機）處理。如此，才可能監控任何系統上的異常，並保留紀錄。這表示使用習慣的改變：公務必須透過官方電郵、不可以用 Line 或個人電腦；機敏工作不能遠距處理；有些網站不能連公務系統。這些看似革命性的規範，其實在國際企業工作的台灣人都天天遵守，相信我們的政府也可以做到。
　
若要求官員更謹慎管理政府的機敏資料、用公務電腦與手機執行「公務」，那麼政府檔案的定義就必須擴大。目前，依照《檔案法》，有「依照管理程序，而歸檔管理」的資料（換句話說，有掛文號的公文）才屬於公務檔案。
　
關鍵是：政府資訊只會持續地數位化；既有的漏洞、特別是體制上的缺陷，若不改善，也會持續被利用。這一次，因為外洩的資料有其政治渲染力，社會大眾才看到問題。政府系統在平時頻繁地遭受入侵，早就在發生。
　
政府所面對的挑戰，許多國家與跨國企業都親身經歷，以此借鏡，能避免走冤枉路。我們平日與國內外產業界接觸交流，深知很多專業人才樂意分享經驗。政府資訊是全民資產。我們必須善用這次教訓，勇敢面對、檢討並改善政府的資安機制。
　
🍎🍎🍎
感謝蘋果新聞網《蘋果日報論壇》刊登以上評論（明早紙本見刊）：
https://tinyurl.com/ybvlz6ub

臺灣時報社論　國家資安不可輕忽

　幾十年來的演變，戰爭已由傳統戰術演化為科技戰，資安更居重要的地位，它牽動重大戰術的勝負。

　孫子兵法有云：「知己知彼，百戰不殆。」而「情報戰」則是知己知彼與戰爭勝負最重要的關鍵因素之一。過去的戰爭為了取得勝利，必須派出間諜前往敵國探查機密竊取情報，曠日持久且風險極高，成果也難以保證。現代隨著科技的進步與網際網路的廣泛使用，機密情報的取得不再侷限於諜報人員的派遣，藉由網路資訊的滲透，風險更低、速度更快且成效更大，也因此，網路資訊戰成為近年來各國關注的焦點，便不足為奇了。近日媒體披露，七月間國防大學政戰學院政治研究所，一位助理教授使用民網搜尋中共資料時，被植入後門程式致電腦遭駭客入侵，「中共解放軍研究碩士班」部分資料被竊取，經過國防部清查，相關內容屬學術研究一般性公開資料，均未涉及機密。日前才傳出國防部電展室女軍官駭進軍網，六小時未被發現，加上這則「解放軍研究班」被駭消息傳出後，引起各界重視與關切，紛紛要求國防部加強資安維護。

　國防大學政治學系所屬的「中共解放軍研究碩士班」堪稱對解放軍研究最透徹的學術單位，但囿於經費及人員編制，其研究面相及深度都還有加強的空間，在立委提案增設「中國軍事事務研究所」後，已獲教育部核准，即將成為獨立系所，可見其實質重要性。在當年兩岸關係陷入僵局，中共對台官方管道都已經關閉，卻又不能不了解台灣島內情勢之際，中共駭客侵入「中共解放軍研究碩士班」，其目的除了如其他媒體所言掌握台灣軍方對於解放軍的研究面向之外，同時也是蒐集研究者、研究單位組織、研究深度、資料引用正確度與精準度，同時可以檢視本身機密資料是否外洩、有無可疑管道等等，可謂一石多鳥。所以，雖然如國防部所言，被竊資料沒有涉及機密屬性，但在總體戰方面仍是不可輕忽的一環，國防部有必要再詳細檢視資訊安全相關環節，杜絕類似事件發生。

　若論對於資訊安全的重視，絕對不是如媒體、民代所說的「奇差無比」、「落伍」或「不重視」，打從電腦普遍引入軍中後，國防部就已經開始建置軍網，將所有重要資料與民網嚴密區隔，各級單位對於資訊安全的宣導、規定、檢查及相關懲處，應屬各部會中最嚴格的，除了少數涉及對外事務人員外，絕大多數國軍官兵在營區是沒有機會接觸到民網的，隨身碟也是被嚴格禁止的，國軍任何一部電腦只要插上隨身碟，立刻會被發現。但即使在如此嚴謹的規範下，仍會出現執行上的罅隙，國防部是應該更加用心檢討改進。

　對照孫子兵法所說的「明主賢將，所以動而勝人，成功出於眾者，先知也。先知者，不可取於鬼神，不可象於事，不可驗於度，必取於人知者。」全世界任何國家沒有不利用各種機會進行情報偵蒐的，尤其中國的網軍對台灣發動攻勢，早就不是新聞，政府必須將其提高到國安層級高度重視，並納入重要施政項目，儘速彌補立法院五月三日廢止「國家資通安全科技中心設置條例」，資安科技中心停擺後所造成的資安危機。

　國防部電腦被駭，有可能直接危及到國軍戰力及國家安全，我們固然責備求全要求其做到滴水不漏，但國家整體的資安問題，不是國防部單一部門所能完成，必須要由行政院甚至更高層級整合相關機關部門，從確立政策、完成立法、監督執行，確實有效地貫徹到底，才能保障國家資訊，確保國家安全。