護財稅資安！ 財政部規劃每兩年一次紅隊演練

資安愈來愈受重視，財政部今（2）日表示，今年9月首次辦理稅務系統紅隊演練，模擬駭客攻擊方法尋找稅務系統弱點，檢測資通安全防護措施，相關弱點規劃今年12月完成修補，並於明年1月複測確認，後續規劃每兩年進行一次紅隊演練。

財政部長莊翠雲周一（4日）將赴立法院財政委員會針對「資安疑慮頻傳，如何強化財稅機關及公股行庫資安防護與區域聯防」提出專題報告，書面報告今日出爐。

財政部指出，財稅資料具機敏性且高度集中管理，建構完善資安防護是重要關鍵。財政部資安長由次長擔任，各財稅機關除嚴格遵守資通安全管理法辦理各項資安防護機制外，財政部也對所屬機關構訂有完整資安管理規範，要求落實。

在財稅系統方面，財政部共有八大措施。首先，建置整合性資安監控中心，24小時即時監控及資安預警；第二，多層次縱深防禦，依行政院政策，2021年完成建置資安弱點通報(VANS)及端點防護(EDR)機制。

第三，存取安控機制，針對不同業務屬性人員建立分權機制，以最小授權為原則；第四，財政部2016年成立資安健檢及數位鑑識團隊，每年定期辦理財稅系統弱點掃描、滲透測試及資安健診。今年截至11月底前已完成51個對外網站滲透測試及三機關資安健診。

第五，依行政院秘書長2020年函，不購買、不使用大陸廠牌資通訊設備，並要求委外廠商確保專案團隊人員不得有陸籍人士，避免公務資料外洩；第六，每年定期進行DDoS攻防演練。

第七，今年9月首次辦理財政部稅務相關系統紅隊演練，模擬駭客攻擊方法尋找稅務系統弱點，檢測資通安全防護措施，相關弱點規劃今年12月完成修補，並於明年1月複測。後續規劃每兩年進行一次紅隊演練。

第八，政府領域聯防監控情資回傳作業。將資安監控及關聯分析資料即時回傳至國家資通安全研究院聯防監控管理平台；接收國家資通安全研究院提供情資，與財政部暨所屬公務機關及所管特定非公務機關分享情資。

另外針對公股行庫，則在事前聯防演練、事中通報應變、事後資訊共享。