立法院第9屆第1會期外交及國防委員會第19次全體委員會議紀錄
時 間 中華民國105年5月11日(星期三)9時1分至12時44分
地 點 本院紅樓301會議室
主 席 江委員啟臣
主席:出席委員9人,已足法定人數,現在開會。進行報告事項。
報 告 事 項
一、宣讀上次會議議事錄。
立法院第9屆第1會期外交及國防委員會第18次全體委員會議議事錄
時 間:中華民國105年5月9日(星期一)上午9時2分至13時1分
地 點:本院紅樓301會議室
出席委員:林昶佐 陳亭妃 蔡適應 羅致政 王定宇 江啟臣 徐志榮 劉世芳 呂玉玲 呂孫綾 馬文君 王金平
(出席委員12人)
列席委員:鄭天財 林德福 吳志揚 鄭運鵬 陳歐珀 張宏陸 徐永明 蕭美琴 王育敏 蔣乃辛 李彥秀 簡東明 孔文吉 羅明才 林俊憲 徐榛蔚 顏寬恒 邱志偉 蔡易餘 黃偉哲 周春米
(列席委員21人)
列席人員: |
外交部政務次長 |
侯清山及所屬人員(部長林永樂請假) |
|
國家安全局副局長 |
周美伍及所屬人員(局長楊國強請假) |
|
行政院大陸委員會副主任委員 |
施惠芬及所屬人員 |
|
國防部作戰及計畫參謀次長室次長 |
周皓瑜 |
|
法務部國際及兩岸法律司副司長 |
戴東麗 |
|
衛生福利部國際合作組技監 |
許明暉 |
|
行政院農業委員會漁業署副署長 |
黃鴻燕 |
|
內政部警政署刑事警察局副局長 |
呂春長 |
|
行政院海岸巡防署常務副署長 |
龔光宇及所屬人員 |
主 席:江召集委員啟臣
專門委員:紀綉珠
主任秘書:鄭世榮
紀 錄:簡任秘書 廖曼利
簡任編審 鄧 明
科 長 黃美菁
專 員 林淑梅
報 告 事 項
一、宣讀上次會議議事錄。
決定:確定。
二、邀請外交部部長、國家安全局局長、行政院大陸委員會副主任委員報告「近來中甘復交、我國漁船於沖之鳥礁海域遭日本強扣、肯亞及馬來西亞將我國籍詐騙犯遣送中國大陸、WHA邀請函遲未送達等重大外交事件對我國際關係可能造成之困境及因應作為」,併請國防部、法務部、衛生福利部、行政院農業委員會、內政部警政署、行政院海岸巡防署列席,並備質詢。
(外交部政務次長侯清山及行政院大陸委員會副主任委員施惠芬報告,委員林昶佐、陳亭妃、蔡適應、羅致政、王定宇、江啟臣、徐志榮、劉世芳、呂玉玲、馬文君、王育敏、呂孫綾、張宏陸、邱志偉及徐永明等15人質詢,均由外交部政務次長侯清山及所屬亞非司副司長鄭維、歐洲司副司長周慶龍、北美司副司長姚金祥、拉美司副參事林昭宏、國組司司長徐佩勇及行政院大陸委員會副主任委員施惠芬、國家安全局副局長周美伍、衛生福利部國際合作組技監許明暉、行政院農業委員會漁業署副署長黃鴻燕、行政院海岸巡防署常務副署長龔光宇等即席答復。)
決定:
(一)登記質詢在場委員均已發言完畢,報告及詢答結束。
(二)委員所提口頭及書面質詢未及答復或要求提供之資訊,請相關單位於2週內以書面答復本會各委員並副知本委員會,委員另指定期限者,從其所定。
(三)委員林為洲、吳志揚及林俊憲等3人所提書面質詢,列入紀錄刊登公報。
臨時提案3案
一、有關今年世界衛生組織致發我邀請函參加WHA,內容註明聯合國2758號決議文及一中原則問題,我們認為2009年以來,我方連續7年順利以觀察員身分參與WHA,是在國人努力及國際社會支持與兩岸在「九二共識、一中各表」互動基礎上,務實處理相關議題的結果。我方從未認同大陸所謂的「一中原則」,我方所主張的「一中」就只有中華民國,中國大陸方面應正視兩岸分治的事實。
國際參與是臺灣基本權利與義務,也是臺灣民眾長期的期待,中國大陸不應要求世界衛生組織對我參與設定條件,這是不智之舉,政府應對此表達嚴正立場,並呼籲兩岸應共同致力維繫和平穩定的良性互動關係。
醫療衛生是全球共同的責任,事關公平獲得基本保健和對跨國疾病威脅的集體防範,我國過去雖僅得以觀察員身分出席,但對全球醫療之貢獻,絕不亞於他國。爰此,政府不應恣意放棄參與WHA的機會,政府更應秉持確保國際參與及維護國家尊嚴的原則,持續擴大參與國際組織活動。
提案人:江啟臣 呂玉玲 徐志榮 馬文君
決議:照案通過。
二、注意到近日世界衛生組織幹事長所寄來邀請函,所涉及臺灣出席105年世界衛生大會的事宜,關切其中所提及聯合國大會2758號決議文及「一個中國原則」的說法,確認聯合國2758號決議文並無任何涉及臺灣政府及人民在聯合國及其專門機構的代表權事宜,反對任何國家以政治手段及理由干預及歧視臺灣在世界衛生大會的參與,重申世界衛生組織憲章所揭櫫的宗旨,在使全世界所有人民獲得儘可能高水平的健康,回顧過去幾年臺灣在世界衛生大會(WHA)與國際衛生條例(IHR)的參與,強調臺灣參與世界衛生組織有助提升臺灣2,300萬人及全人類共同的福祉與利益,更落實上述憲章的宗旨,表達對邦交國、友好國家及人民支持我國參與世界衛生組織的感謝,並重申參與世界衛生組織是臺灣人民的權利與義務,決議支持政府在主權、尊嚴與人民利益的基礎上,派代表出席本屆世界衛生大會,並呼籲國際社會歡迎臺灣在世界衛生組織的持續參與與貢獻。
提案人:羅致政 劉世芳 王定宇 陳亭妃 林昶佐 蔡適應 呂孫綾
決議:修正通過。
三、鑑於近日世界衛生組織(WHO)送達我國邀請參加世界衛生大會(WHA)邀請函,其內容納入聯合國2758號決議文等相關內容,顯有矮化之嫌,嚴重傷害我國國格;且因邀請人為現任衛生福利部部長蔣丙煌,時值新舊政府交接時期,且新政府已表態將由準衛生福利部部長林奏延與會,則相關邀請名單更正勢在必行。爰建請外交部與衛生福利部共同與新政府團隊磋商,研擬相關回函予世界衛生組織,明確表達拒絕原邀請函內有關聯合國2758號決議文等涉嫌矮化我國之論述,並重申中華民國為主權獨立國家之事實。
提案人:呂玉玲 徐志榮 馬文君
決議:修正通過。
散會
主席:請問各位,上次會議議事錄有無錯誤?(無)無錯誤,確定。
繼續報告。
二、邀請國防部部長、國家安全局局長、行政院資通安全辦公室主任、行政院大陸委員會、國家通訊傳播委員會報告「從國防部成立第四軍種之必要性探討網路駭客之侵擾對政府及民間資訊安全防護之挑戰」,併請法務部、經濟部、交通部、科技部、內政部警政署列席,並備質詢。
主席:請國防部鄭副部長報告。
鄭副部長德美:主席、各位委員。今天非常榮幸應邀到大院委員會就國軍因應資安威脅相關應處作為進行報告。
各國為因應日趨嚴峻之網路威脅,均將網路戰力籌建列為首要目標,依國家整體規劃,發展不同之網路戰略,本部極為重視,近年持續調整組織擴充資電作戰部隊人力及挹注國防資源,已逐步顯示成效。承蒙,諸位委員先進,長期對國軍資訊安全發展的支持與指導,使各項資安整備工作推展能不斷精進,再次特別表達誠摯的敬意與謝忱。
近年我國政府機關及民間企業屢遭駭客組織侵擾,國軍網路安全面臨巨大挑戰,考量網路防護是創新及不對稱戰力之重要憑藉,本部恪遵行政院政策指導,積極投入國防資源從事相關整備,以提升國軍網路安全防護能量,接著由通資次長胡中將就今天的議題向各位委員實施報告。
謝謝各位!
主席:請國防部通信電子資訊參謀次長室胡次長報告。
胡次長延年:主席、各位委員。非常感謝 大院安排「從國防部成立第四軍種之必要性探討網路駭客之侵擾對政府及民間資訊安全防範之挑戰」專報,本部就國軍因應資安威脅相關應處作為實施報告,希望藉此讓大院各位委員瞭解國軍資訊安全防護作為;承蒙各位委員的支持與指導,讓國軍資安整備工作得以順利推展,特藉此機會向各位委員表達誠摯的敬意與謝意。
壹、前言:
資電作戰已成為國軍作戰關鍵因素,本部極為重視,資電作戰指揮部隸屬參謀本部,由總長直接督導管制,均將網路戰力籌建列為首要目標,近年更調整組織擴充人力,挹注國防資源,已有顯著成效。
鑑於我國政府機關及民間企業屢遭駭客組織駭侵,國軍為政府整體資安防護之一環,本部依行政院指導,負責網際防護體系之國防體系分組,以國軍網路防護為核心,負責規劃、推動資安防護及應變等工作。
近年來在各位委員前瞻指導及支持下,國防資訊基礎建設依規劃逐年整建,除落實網路專網專用作業外,並已建置嚴密的防護機制,現謹就本部「資安威脅分析」及「整備精進作為」摘報如后。
貳、資安威脅分析與因應:
本部依行政院指導,逐步組建資電專業部隊,強化網安機制,以因應日益嚴峻之駭侵威脅,並支援政府機關資安健檢及復原任務,歷年發現之網安威脅態樣與因應作為,摘述如后:
一、社交工程防範不易:
近年駭客常以偽冒長官、同僚及部屬身分之電子郵件,運用社交工程手法,誘使受害人開啟惡意郵件,致使電腦遭植入病毒,並取得操控權限,以達到資料竊取或駭侵他人資訊系統之目的;鑑此,本部要求,未經核准不得於網際網路傳遞公務資料,以防杜電腦遭入侵情事發生。
二、駭侵樣態日新月異:
本部逐年精進資安防護系統與技術,以因應駭客不斷發掘資訊裝備軟硬體漏洞,並伺機攻擊之威脅;在運用有限之資安防護人力與資源下,已具備一定防護效能;依行政院指導,協助執行政府機關資安健檢作業,有效協助各單位提升資安防護能量。
三、行動裝置控管困難:
本部基於滿足官兵生活實需及兼顧國防資訊安全等因素考量,依單位任務特性與營區環境現況,開放官兵於營內使用智慧型手機,惟該類行動裝置,已成為有心人士竊取、傳載資料之重要媒介,本部已令頒「國軍營內智慧型手機管理試行要點」,明令營內禁止照相、定位打卡、藍牙傳輸及熱點分享等高風險功能,並發展智慧型手機管控機制,以有效防止非法存取,避免肇生資訊危安事件。
四、網路混接易生罅隙:
為有效阻絕各式威脅與網路惡意行為,本部除要求專網專用,嚴禁跨接,並配合複式之資安稽核作業,防範網路遭有心人士混接,防止駭客透過網際網路入侵國軍網路,確保國防資訊安全。
參、資安整備精進作為:
國軍面對駭客組織手法及惡意程式不斷翻新與精進之嚴峻挑戰,歷年來本部除建置嚴密的資安防護機制、加強全軍資安教育等作為外,亦將持續掌握網路威脅型態,周延各項資安管控機制,以提升國軍整體資安防護能量;現謹針對精進作法摘報如下:
一、提升資安素養:
資安防護是國軍每一分子應盡責任,本部為落實資安教育,在基礎教育階段,各軍事院校規劃專業系所,於分科、進修及深造等軍事教育階段,安排相關課程,俾使國軍各級幹部均具備基本資安素養;有關本部資安幹部在職訓練部分,每年辦理高階資安長、資安官講習,以強化其職能;另為加強專業部隊本職學能,年度編列相關預算並爭取行政院等單位訓練資源,輔導獲得專業證照,以滿足國軍網路防護實需。
二、貫徹風險評鑑:
本部恪遵行政院指導及CNS27001國家標準,輔導各單位建立資安風險評鑑能力,主動發覺資安威脅與弱點,妥擬風險對策及管控措施;另藉資安相關預算編列,挹注資源於高風險項目之整備,以降低相關資安風險肇生。
三、落實應變作業:
依行政院國家資通安全會報指導,建立國軍資通安全通報應變機制,並策頒相關行政規則,以有效掌握國軍資通安全事件通報及應處,釐清資安事件責任歸屬;另配合行政院資通安全辦公室,執行資通安全事件應變、處置及相關演練作業,俾適時調整回報、處置與復原等機制。
四、強化資安防護:
本部為避免駭客侵擾,落實軍民網路實體隔離,各網系間依機敏程度採「專網專用」措施;另建置各類資安防護系統,持續提升網路安全強度,並運用複式備援、網路偵測、端點防護及資安稽核等嚴密資安管控作為,以防止資安事件肇生。
五、加強網安合作:
為掌握國內資安事件及國際網路威脅趨勢,早期完善各項防護與應變機制,本部積極與政府、國際及民間網安體系加強合作,且研擬課目納入演習實施演練,並爭取相關預算,專注網安技術發展,汲取資安防護經驗與技術;另參與國家資安查處機制,共同協處我國重大資安事件,以強化國家整體資訊安全。
六、完備部隊編組:
因應作戰型態改變,網路作戰已成為「創新/不對稱」戰力之主要憑藉,亦為國軍作戰關鍵因素,國軍屬國家整體資電防護之一環,除擔負國軍資通安全防護任務外,並依政策指導,執行資訊安全聯防工作,續依最新科技發展,調整組織,擴充人力,精進整體戰力,完備資電作戰部隊編組。
肆、結語:
本部持續強化國軍網路防護能量,並於後續組織調整落實執行;另配合行政院指導,賡續派員執行政府機關資安健檢及各項網路演練等任務,以提升國家整體網路防禦強度,期盼各位委員在相關國防資訊議題上,給予支持,使本部能與時俱進完備各項網路安全機制,俾確保國軍資訊安全。
以上報告,敬請各位委員指導,謝謝!
主席:請行政院資安辦公室蕭主任報告。
蕭主任秀琴:主席、各位委員。今天應邀列席貴委員會,就「從國防部成立第四軍種之必要性探討網路駭客之侵擾對政府及民間資訊安全防範之挑戰」進行報告,以下謹就「我國資通安全防護機制與分工」及「政府強化資通安全防護策略與作為」部分提出說明,敬請指教。
壹、我國資通安全防護機制與分工
為統籌並加速我國資通訊安全基礎建設,行政院於90年1月成立「國家資通安全會報」(以下簡稱資安會報),並陸續推動二期「建立我國通資訊基礎設施安全機制計畫」及二期「國家資通訊安全發展方案」,在政府與民間共同合作之下,已逐步建立國家資通安全(以下簡稱資安)防護機制。
目前資安會報下設「網際防護」及「網際犯罪偵防」2體系,其任務包括整合資安防護資源、推動資安相關政策、防範網路犯罪、維護民眾隱私及建立資通訊基礎建設安全等,其下共分7組運作。
鑒於整體資安情勢日趨嚴峻,行政院於100年3月設置「資通安全辦公室」,統籌規劃國家資安政策、通報應變、重大計畫推動與管考及資安會報相關幕僚作業,並配合第四期(102年至105年)「國家資通訊安全發展方案」,循序推動資安會報技術服務中心行政法人化,期漸進調整資安推動組織,以符應國際趨勢及業務實需。
貳、政府強化資通安全防護策略與作為
我國政經情勢特殊,近年屢遭駭客以進階持續威脅(Advanced Persistent Threat, APT)攻擊,企圖竊取公務、國防及商業機密。面對全球複雜多變的資通訊環境,以及日益嚴重的資安威脅,持續強化資安推動組織,並落實及精進各項資安防護工作,實屬必要。
政府除落實執行第四期(102年至105年)「國家資通訊安全發展方案」,透過20個執行策略、52個行動方案、144個執行要點之推動執行及各項績效指標之追蹤管考,逐步落實「建構安全資安環境,邁向優質網路社會」之願景外,亦從深度、廣度及速度三個維度強化資安整體防護,主要策略與作為包括:
一、強化資安防禦縱深
鑒於各類資安設備與防毒軟體均僅為單點防禦工具,整體之資訊網路、主機安全須仰賴更具全貌且即時性之資安監控中心(Security Operation Center, SOC)。資安會報除依資安防禦型態演進,推動A、B級機關(構)建立SOC整體防護網絡外,並將國家資通安全科技中心(以下簡稱資安科技中心)負責之政府資安監控中心(Government-Security Operation Center, G-SOC)資安防護管理改以「二線監控」為主,俾將能量運用於協調處理跨部會之重大資安事件,並彙整分析政府機關資安防護資訊,以掌握對岸對我網路攻擊之全貌。
二、擴大公私協同合作
政府透過「政府資安資訊分享與分析平臺(Government Information Sharing and Analysis Center, G-ISAC)」,結合產官學研資源及專業技術,共同防範駭客攻擊外,另藉由資安科技中心轉型政府機關資安服務專案辦公室(Security Project Management Office, SPMO)角色,積極簡化資安服務採購程序,及建立資安廠商能力評鑑機制等,協助各機關導入優質民間資安服務,強化政府整體資安防護能量。
三、提升機關應變速度
資安科技中心已依「行政院及所屬各機關資安事件通報應變作業規範」建置通報應變網站,與3,000多個政府機關(構),近7,000個資安聯絡人建立通報管道,供警訊發布及事件通報之用。另「國家資通安全通報應變作業綱要」規定,每年各機關應辦理1次資通安全通報演練,A、B級機關(構)應至少辦理2次防範惡意電子郵件社交工程演練。此外,為培養政府機關面對網路攻擊時之應處能力,資安會報自102年起逐年規劃辦理大規模網路攻防演練,除促使各機關更熟悉處理資安事件之標準作業程序外,亦協助發現及改善多項網站系統弱點。
參、結語
資安是國家的根本,尤其網路戰爭一觸即發,為維護虛擬世界的數位國土安全,有必要持續強化政府資安防護體系、公私協同合作機制等,並積極建置網路作戰能量。以上報告,敬請各位委員惠予指教,最後並藉此機會,感謝各位委員對於行政院各項資安政策及業務的全力支持。謝謝!
主席:請通傳會基礎設施事務處羅處長報告。
羅處長金賢:主席、各位委員。
壹、前言
隨著資通訊科技日益蓬勃發展,如何提供安全、安心、可靠的網際網路使用環境,創新資安服務價值,掌握雲端運算優勢,朝向虛擬整合化資安服務,已成為邁向優質網路社會的關鍵議題。但網際網路為國人帶來便利與快捷,其伴隨網路普及化與消費者行為改變,引發的網路犯罪及個資保護等議題,逐漸成為國家安全及社會安全的隱憂,亦促使政府隨時檢討國家資安政策與策略發展措施。
本會依據行政 院國家資通訊安全發展方案(102年至105年),參與網際犯罪偵防體系之資通訊環境安全組,負責促進網路內容安全,防制網路犯罪,強化關鍵工業控制系統安全,建立資通訊基礎設施安全信賴機制。另參與網際防護體系之標準規範組,協助經濟部共同發展資通安全產品與管理系統之認驗證標準及體系,推動資通安全技術規範及管制;同時亦參與該體系下之政府資通安全組,積極推動通訊傳播事業資通安全管理機制。
以下本會謹就建置電信資安事件通報平臺機制、推動電信事業資安防護,以及配合檢警調機關協助防制網路犯罪提出報告。
貳、建置電信資安事件通報平臺
本會擔任行政院國家資通安全會報下設網際防護體系之政府資通安全組通訊傳播分組之主責機關,負責縱向(與電信業者)及橫向(與其他分組)情資分享工作,並協調電信事業建立資安通報聯防機制,於第一時間傳遞資安預警、攻擊情資,俾有效降低網路資安事件傷害程度。
為執行上述資安情資分享及通報應變作為,本會於99年建置「網際網路反駭客偵測與資安通報系統」,並於101年升級完成「電信領域CIIP資安應變自動化通報系統」,包含電信資安事件通報平臺及IASP(網際網路接取服務)業者佈點主機,並與國家資通安全科技中心(即前行政院資通安全會報技術服務中心)之偵測分析平臺,構成一完整之資安通報應變系統。
其中電信資安事件通報平臺係一個橫向與政府資安資訊分享與分析中心(G─ISAC)各機關(構)會員聯繫、縱向與本會所轄電信事業分享資安情資之有效平臺;104年通報資安事件數約7萬2千餘件,高等級資安事件為3件。
參、推動電信事業資安防護
本會亦積極研訂管理法規,有效推動電信事業導入資安防護。首先為強化第二類電信事業資安防護機制,本會於103年6月10日公告「第二類電信事業管理規則」部分條文修正草案,增訂「資通安全管理」專章,要求被指定之業者建立電信機房門禁及安全管理作業規定,定期進行滲透測試及弱點掃瞄,限制有國安、資安疑慮人士不得進入機房及設計、維運資通系統,及於規定期限內通過ISO/IEC 27001國際標準及主管機關公告之電信事業資通安全管理手冊ISO/IEC 27011增項稽核表之資通安全管理驗證,並可依風險程度訂定第二類電信事業不同等級防範要求;另於104年11月13日亦比照於「固定通信業務管理規則」公告增訂「資通安全管理」專章;行動通信相關業務亦已研議修訂中,將可全面建立電信事業資安管理法規,據以有效規範電信事業資安防護。
肆、協助檢警調防制網路犯罪
許多網路駭客入侵目的是為了竊取他人隱私資料,或建立殭屍網路以利遂行網路攻擊,從而衍生各種網路犯罪行為。為加強防範歹徒利用電信服務進行詐騙或其他不法行為,本會已會同內政部警政署刑事警察局於95年成立「防制電信詐欺技術諮詢小組」,共同研商電信詐欺防制作為,嗣於97年成立「防制網路犯罪技術工作平臺」,定期邀集電信事業及國家資通安全科技中心、台灣網路資訊中心等技術相關單位共同與刑事警察局、法務部調查局研商防制策略,迄今會議次數已分別達50次及19次。
另外,在技術面防制電話詐騙方面,本會積極研議可行之防制技術,100年完成修訂9種電信業務系統或網路審驗技術規範,並於103年完成訂定行動寬頻系統審驗技術規範,明訂國際、行動、市話/ E.164 網路交換機防制電話詐騙之特定功能,並完成業者系統審驗,有效協助警調機關阻斷詐騙集團境外電話,103年共攔阻2,603,250通,104年共攔阻9,596,246通。
伍、結語
為防阻駭客入侵及網路攻擊,雖然政府機關已建立機制致力於資安防護以及事件情資分享,以降低網路資安事件造成之傷害程度,惟駭客入侵手法推陳出新,無論政府機關、民間機構甚至是民眾個人,皆應保持高度資安意識,全民自身應培養良好的網路使用習慣,始可防範網路資安威脅,降低隱私及資安風險。如涉及重要事務或是與民眾切身相關之網站服務、資訊系統,更應積極建立資安防護能量,阻絕駭客入侵、網路攻擊,以保護自身及民眾權益。
今天應邀列席貴委員會報告,將在大院之監督下,虛心接受各位委員之意見及批評指教。謝謝!
主席:請陸委會文教處華處長報告。
華處長士傑:主席、各位委員。今天承邀列席大院第9屆第1會期外交及國防委員會第19次全體委員會議,報告「從國防部成立第四軍種之必要性探討網路駭客之侵擾對政府及民間資訊安全防範之挑戰」,本會謹提出報告說明如次:
壹、強化資通安全環境,穩健兩岸資訊流通
隨著資訊科技的快速發展,兩岸交流的領域已從傳統的人流、物流、金流,擴及至透過網路、社群網站等進行的資訊流通。由於科技的發展與資訊化的普及,不斷提高個人與社會對於資訊環境的依賴,使得資通安全成為影響國家及政治、經濟安全的重大議題。
國際上資安威脅已從個別的攻擊,演變成有組織、以經濟或政治等特定利益為目的的入侵行為。在兩岸頻密的資訊往來互動中,我方應強化安全及可信賴的優質資通環境,以保護個人、企業及政府各部門的資通安全,維護國家關鍵基礎設施,俾確保我經濟、社會及國家安全。
貳、大陸網路力量崛起影響兩岸資通安全
根據大陸「中國互聯網絡信息中心」統計,截至去(104)年底,大陸網民人數有6.88億人,網路普及率50.3%,使用手機上網者也達6.2億人,這些統計數字代表著中國大陸有一半的人口都能使用網路,網民人口超過美國網民人數的1倍,晉升為全球網民最多的國家。
隨著中國大陸網路力量的崛起,大陸對內透過「網絡安全法(草案)」嚴格管控網路安全,對外則在去年12月於浙江烏鎮舉辦「第二屆世界互聯網大會」提出「烏鎮倡議」,試圖爭取全球網路秩序主導權。兩者已對兩岸資訊安全形成嚴重挑戰。
大陸當局依據「網絡安全法(草案)」第23條規定,為國家安全和偵查犯罪需要,可要求網路業者提供必要支持和協助;同時該草案第24條亦規定,國家支持網路業者間開展網路安全信息收集、分析、通報等作為。換言之,在國家安全的前提下,大陸官方不僅可要求網路業者提供用戶資訊,並鼓勵業者蒐集相關網安情資。
根據去年12月美國彭博社(Bloomberg)報導,中國大陸駭客組織「APT16」(Advanced Persistent Threat,APT,指進階持續威脅)加強對臺灣發動攻擊。我行政院資安辦公室也曾表示,中國大陸網軍侵擾我方愈來愈嚴重,頻率也愈來愈高。
參、本會依據「國家資通訊安全發展方案」落實網路資安防護
本會為兩岸政策研擬規劃機關,業務多具機敏性,因此,對於網路資通安全工作之落實尤為重視。本會網路資安防護,係依循行政院國家資通安全會報制定之政策、作業規範,如「政府機關(構)資通安全責任等級分級作業規定」、「國家資通安全通報應變作業綱要」,進行資安制度建立、防護設施建構、通報應變等措施。
本會具體作為包括:實施內外網路隔離、導入資訊安全管理系統,並取得國際標準組織ISO 27001資安證書;透過防火牆、入侵防禦、社交工程電子郵件防禦、防毒等系統,及配合相關單位之資安監控及演練,本會於104年經行政院核定為網路攻防演練績優機關。
肆、政府積極建構整體國家資通安全環境,落實兩岸資訊安全
政府高度重視兩岸網路資訊自由與安全議題,過去針對我方網站疑遭大陸網軍攻擊情形,本會曾透過兩岸事務首長會議、陸委會與大陸國臺辦建立的溝通聯繫機制,向陸方表達我方之關切與重視,希望陸方正視相關問題並調整相關作為。未來,如再發生大陸網路駭客或網軍對我攻擊事件,本會亦將視情透過以上管道向大陸抗議。
由於我政府已積極推動國家資訊通信安全政策,行政院設有「國家資通安全會報」,及訂定「國家資通訊安全發展方案」,以加強建構國家資通安全環境,落實優質網路社會為發展目標。透過宏觀的資安科技發展,進行整體性規劃,推動資安基礎環境安全設定,提升政府機關及民間整體資安防護能量,並積極掌握資安威脅狀態,分享多元資安情報,強化應變及處理能力等,以維護國家資通安全。有關中國大陸網軍對我發動針對性網路攻擊之情形,政府相關單位及本會將持續關注及因應。
伍、結語
21世紀資訊科技發展迅速,已為兩岸人民帶來更便捷的溝通與互動途徑。但伴隨而來的網路資安風險也成為國家安全必須面對的重大課題。我們期待政府積極建構國家整體資安環境,有效杜絕資安危害,以維護兩岸優質資訊交流。本會將持續配合行政院國家資通安全會報,落實國家資通訊安全發展方案,並加強與陸方溝通,期讓兩岸資訊流通有序發展,成為兩岸關係良性發展的橋樑。
主席:請問其他單位有無補充報告?(無)無補充報告。現在開始進行詢答,援例本會委員詢答時間為10分鐘,得延長2分鐘;非本會委員詢答時間為8分鐘,得延長2分鐘;10時30分截止登記。
首先請林委員昶佐質詢。
林委員昶佐:主席、各位列席官員、各位同仁。今天討論的主題是國防部成立第四軍種之必要性,雖然資安有許多層面,但是今天主要層次應該在討論國防部面對外界可能的攻擊而成立第四軍種的必要性這個部分。本席就不使用「通資電戰」這麼繞口的說法,直接使用比較簡稱的「資訊戰」這個說法。
首先,請教副部長,一般人民可能非常難以想像「通資電戰」或「資訊戰」這種虛擬世界的攻擊,所以副部長可不可以具體舉例說明這或許會有如何的攻擊?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。特別藉此機會和委員報告,網路攻擊的確是國家安全的最重大問題,無論平時或戰時,而網路攻擊牽涉的範圍非常廣泛。首先,談到施以網路攻擊的人,這是沒有國界的,且包含私人、個人的個人駭客行為,也有組織的行為;其次,網路攻擊的範圍牽扯到國家安全,還有像剛剛講的交通,且涉及到所有部會的安全……
林委員昶佐:本席可不可以這樣具體舉例,例如假設他們要癱瘓我們的高鐵,在以前傳統的實體戰爭,他們可能採用的方法是空襲,或用飛彈攻擊;但是如今增加新的可能性,他們可以選擇使用資訊戰的方式癱瘓我們的高鐵系統,讓我們的運輸軍需或逃難等相關交通設施無法正常運作。
鄭副部長德美:委員說得非常深入,正如您所說,不但交通、金融、醫療,乃至各個系統,都可以被透過網路攻擊造成癱瘓,而且世界上的確已有這種案例。
林委員昶佐:對,為何本席要在一開始請國防部稍微具體說明?因為網路上有滿多人不太認同國防部成立第四軍種,他們不知道這個的可怕和重要性,以為只是有人會來蓋台,或有詐騙電話等等,他們不知道這個的可怕,不曉得這會像剛剛副部長說的那麼可怕。過去使用飛彈、使用空襲攻擊,現今或許使用駭客、使用資訊戰攻擊,如此一來,港口、交通、股市等等系統都可能被攻擊。
去年媒體曾揭露一項訊息,國安局網站一年遭中國網軍攻擊侵擾高達722萬次,惡意攻擊更計有20萬餘次;最重要是中國網軍不只要攻擊台灣,他們是將攻擊台灣視為攻擊歐美國家,還有日本的練兵場。各位應該都知道這個訊息,有幾位都在點頭,你們應該都知道。不過,本席有點驚訝!今日除交通部以外,國防部、資安辦公室、法務部、國安局等單位的報告竟然都沒特別提到中國對我們的威脅。現今全世界會對我們發動資訊戰者最主要就是中國,可是本席沒有要再追究這件事情,因為目前的政府和中國的關係一向和人民的感受不太一樣,我們認為這個威脅很大,相關部會的報告卻都沒有清楚提到這個。
那麼我們來說說自己可以處理的事情好了。行政院資安會報曾規劃在2014年應該完成資安警示等級及燈號規範,請問這個進度如何?
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。關於這個部分,我們已經完成研究工作,現正蒐集相關資料,等資料完備後,我們會進行試編,之後再視這個警示燈號的有效性、實用性,逐步完備這方面的工作。
林委員昶佐:照你們的進度,這本來在2014年要完成,現在看來,這大概在今年可以完成。請問過去兩年,你們有沒有測試我們遭到紅燈級的狀況(以美國的分級,這是情況最嚴重者)大概有多少次?
蕭主任秀琴:目前我們是將資安事件分級以視其重要性,分別為四、三、二、一級,最嚴重者是四級,而台灣至今尚未發生四級的資安事件。
林委員昶佐:請教副部長,以前陣子的「漢光演習」而言,第一階段的資訊戰是在哪一個等級?
鄭副部長德美:在國軍的資訊戰,它沒有分任何等級,它是最高等級的危害,無論平時或戰時都是一樣的道理,它沒有特別等級,只要有人對我們發動資訊攻擊都是有危害的。
林委員昶佐:就剛剛幾位的分享和報告來看,不但是國人,連政府機關都不太清楚我們一直遭受何種等級的攻擊,雖然可能已遭受七百多萬次的攻擊,甚至有二十餘萬次較有惡意,可是現在我們卻都不知道哪一次攻擊有多嚴重。
進一步請教,照我們剛才講的,他們的攻擊可能造成許多可怕的事情。如果他們攻擊我們的高鐵系統,請問由哪一個單位反應?
蕭主任秀琴:如果他們先發動資訊方面的攻擊,現在的資安推動組織─行政院、科技部及資安科技中心會先來因應,但是一旦發生實體災變,依國土安全的應變計畫,其他部門會立即會同應變。
林委員昶佐:如果我們的學校被攻擊呢?
蕭主任秀琴:如果委員的假設都是攻擊從網路進來,我們會會同教育體系或當地地方政府共同處理,因為這已有事前的應變計畫,所以相關機關會共同作業。
林委員昶佐:本席大致知道你們目前可以回答的方式,我本來還想再問股票市場和物流網被攻擊時,由哪一個單位反應。但是你們應該都是如下回答,只要是相關機關,我們都會會同他們一起因應。
另外,我突然想到一個可能性,請問我們反擊敵人的能力何在?例如他們癱瘓我們的高鐵系統的話,我們有辦法癱瘓他們的機場嗎?或由誰發動癱瘓他們的機場?
鄭副部長德美:請通資次長向委員報告。
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。據現行國安法,國防部在平時只執行各項網路防護的工作,比照美國,對於網路攻擊方面,美軍也無法進行主動攻擊或相關防護作為。相信委員也清楚,美國的Cyber Command在這個月特別提出,他們的部隊已將IS當成網路作業的目標。
向委員強調,現階段國防部在平時能進行的是防護作為,可是我們也要處理相關網路資源攻擊的準備工作。
林委員昶佐:目前你們尚未有這個能力或還沒有這個準備?抑或這是機密,不能講?
胡次長延年:當我們進行防護時,必須先進行威脅分析,所以我們在這方面都有進行許多相關的研析報告。
林委員昶佐:你們目前就是無法說出很清楚的情況。接下來,查看現今「行政院國家資通安全會報組織架構圖」,大家應該已看過這張圖滿多次。因為我們要設立第四軍種,所以請問國防部知道你們現在在哪個位置嗎?這個組織架構大概有四層。
胡次長延年:我們是國防分組。
林委員昶佐:請問這是在第幾層?
胡次長延年:第三層。
林委員昶佐:不對喔!要再往下,連你都看不懂這個圖,你們在第四層。
胡次長延年:對不起,國防部是執行單位,我們屬於政府資通安全組下面的任務編組。
林委員昶佐:本席原先想像你們會馬上知道自己在哪一層。其實很多專家批評這個組織架構圖非常疊床架屋,這也是剛才蕭主任對於每項提問都只能回答「會會同相關單位」的原因,因為你們要會同的單位非常多、非常複雜。
誠如國防部所說,美軍有網路司令部。南韓也有網路司令部,但是我們的國防部卻是在亂七八糟架構下的最底層,和他們同樣位階的其他部門之重要性又未必像國防部建立第四軍這麼重要,所以……
胡次長延年:對不起,我作補充說明。第一個,我剛剛會說國防部在第三層是因為行政院的規定是三級制,而我們是在這個架構圖的第三層;第二個,國防部的報告有特別強調我們稱為「資電作戰指揮部」,這是將通資電當成一個指揮部層級在負責處理相關任務。
林委員昶佐:本席要強調我們期待建立的第四軍應該全面檢視資安,類似美國的網路司令部,或南韓的網路司令部;而不是頭痛醫頭,腳痛醫腳,當我們詢問事情發生要由哪一個專責單位處理時,他們只能說,他們會會同相關單位。這也是我們主張應該廢除資安中心的原因,這應該全盤處理,整併疊床架屋的組織,在此脈絡下建立第四軍。本席支持國防部應該建立第四軍,也認為這個預算應該有所保障,他們才能真正捍衛我們,尤其是資訊網路上的國土安全,期待未來我們能建立一個真正有清楚專責分工,且能因應資安問題的政府組織,謝謝。
鄭副部長德美:謝謝委員。
主席:請羅委員致政質詢。
羅委員致政:主席、各位列席官員、各位同仁。本席今天和昨天看到許多關於國防部的新聞,內心感到滿沉痛,副部長知道其中原因吧?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。知道。
羅委員致政:你看看這些電視報導「壓力攏係假?!軍官裝病領退伍金」、「裝病3個月就退,退伍領進百萬」、「國軍英雄淪詐騙」、「不能說的秘密?」,不知副部長看了有何感想?
鄭副部長德美:第一點,國軍編組有21萬人,絕大部分的官兵都戮力在戰訓本務,不畏苦、不畏難地捍衛國家的安全,這部分是值得肯定的。
羅委員致政:我相信絕大多數的官士兵都是英勇的在捍衛國家的安全。
鄭副部長德美:第二點,少部分人因病住院,我們國防部會盡最大的照顧讓其恢復健康,同時重返職務。
羅委員致政:這也是應該的。
鄭副部長德美:對於報載的那些單獨個案,我們非常的重視,目前已組成專案小組進行深入的了解當中,我們一定按照規定處理。留優汰劣、去蕪存菁,確保國軍的壯大,這是我們要做的工作。
羅委員致政:根據陸海空軍軍官士官服役條例,符合哪幾個條件就可以停役、退役或是除役?我們先談停役的部分好了,這有8款規定,包括失蹤、被俘、撤職等,還有一個是因其他事故,必須予以停役者。
主席:請國防部人事參謀次長室徐次長答復。
徐次長衍璞:主席、各位委員。本人請資規司陳司長代為答復。
主席:請國防部資源規劃司陳司長答復。
陳司長正棋:主席、各位委員。是。
羅委員致政:這是規定在第十四條?
陳司長正棋:沒錯。
羅委員致政:退役的部分有幾個條件呢?
陳司長正棋:有8個要件。
羅委員致政:其中第三款的規定是什麼?
陳司長正棋:因病、傷或體質衰弱,經檢定不適服現役者。
羅委員致政:第十六條除役的部分有幾個條件呢?第二款的規定是什麼?
陳司長正棋:因病、傷、殘廢,經檢定不堪服役者。
羅委員致政:我昨天有要了一份資料,你們應該已經準備好了。
陳司長正棋:是。
羅委員致政:光是軍官的部分,過去5年有多少人是因病辦了退役、除役?
徐次長衍璞:今早同仁有提供,然每年人數都不一樣,像101年是187位軍官、102年是206位軍官、103年是184位軍官、104年是187位軍官……
羅委員致政:今年至4月底為止已經有65位,對不對?
徐次長衍璞:對。
羅委員致政:過去4年半以來國軍有829個軍官因病辦理停役、退(除)役,其中有661人是心理疾病,占8成,這個比例不小吧?
徐次長衍璞:因病停役當中因精神疾病辦理退(除)役的人數的確是偏高。詳細的部分本人請軍醫局陳副局長代為答復。
羅委員致政:我們只看軍官的部分,當然裡面有很多都是尉級的軍官,這個具體數字你們還沒有查到對不對?
徐次長衍璞:關於分階的部分,我們查完之後會向委員報告。
羅委員致政:因病辦理停役、退(除)役,有8成是因為心理因素,這個比例是否偏高?還是事實的確是如此,沒有辦法?
主席:請國防部軍醫局陳副局長答復。
陳副局長建同:主席、各位委員。因病停役中有很多的疾病……
羅委員致政:有661人是心理疾病,占829人的8成,這個比例高不高?這已高於一般病患的比例了。
陳副局長建同:一般而言,志願役軍人因心理疾病退役,大概占整個志願役中的5%。
羅委員致政:另外,101年到105年4月,有1萬1,776位官士兵因病辦理停、退(除)役,其中義務役官士兵有9,950人因病辦理停、退(除)役,有4,166人是心理疾病,占42%;志願役官士兵有1,826因病辦理停、退(除)役,有1,440人是心理疾病,占79%,看起來志願役部分心理因素占的比例更大,即總平均不過48%,但士官兵在志願役這一塊就占了8成,已經超過所有志願役、義務役士官兵的總平均值,可見他們的壓力很大,對不對?
徐次長衍璞:從整個數字來看,現在義務役軍官的人數本來就很少。
羅委員致政:我們現在談比例,不談人數。
徐次長衍璞:因為沒有義務役的軍官,還有很多義務役人員在新兵期間就驗退了,所以這部分的比例並沒有……
羅委員致政:我們現在談的是在營,並不是驗退的部分。
徐次長衍璞:因為在新兵時期就已經有了驗退的動作……
羅委員致政:在軍校時有做心理、生理的檢查嗎?
徐次長衍璞:都有做。
羅委員致政:因為心、生理因素就直接辦理退(除)役的?
徐次長衍璞:這個比例應該是很低的?
羅委員致政:所以是進了部隊後才出問題?
徐次長衍璞:關於委員所提因精神疾病相關分階的部分,我們還要再做進一步的分析。
羅委員致政:相關資料之後再補送給本席。
其實我們不是質疑這些人在裝病、假病,我並沒有這樣說,而是希望能夠注意並解決這個問題,畢竟現在很多名詞都已經出來了,包括動搖軍本、動搖國本,據了解,目前基層軍官嚴重不足,請問現在的編現比是如何呢?
徐次長衍璞:本人請全參謀長代為答復。不過,目前就整體來看,尉級軍官的比例是百分之八十。
羅委員致政:所以編現比差了百分之二十?
徐次長衍璞:現在是年初,之後還有軍官要補足。
羅委員致政:請教全參謀長,基層尉官的部分還差多少人?
主席:請國防部陸軍司令部全參謀長答復。
全參謀長子瑞:主席、各位委員。現在尉官的比例是百分之七十六。
羅委員致政:所以還差兩成四。
全參謀長子瑞:可是7月份會有一些人自軍官學校畢業,這部分是大宗,另外,我們每年有兩梯次的專業軍官班,在這一、兩個月……
羅委員致政:所以可以補到什麼樣的程度?
全參謀長子瑞:年底會到達85%。
羅委員致政:還是差15%,所以這部分人數有多少?
全參謀長子瑞:約1,000多人,這個數據是浮動的。
羅委員致政:我知道,這主要是尉級的?
全參謀長子瑞:是的。
徐次長衍璞:不是,人數的部分……
羅委員致政:我們談比例就好,所以到年底陸軍的部分差了15%?
徐次長衍璞:因為我們不可能把所有職缺補到滿。
羅委員致政:基層連隊軍官人數是否嚴重不足?
全參謀長子瑞:就常數來說也不會嚴重不足。
羅委員致政:以士代官、以兵代官的情況嚴不嚴重?
全參謀長子瑞:有少部分。
羅委員致政:有沒有無官可派?之前自殺的那位是連長兼副連長,是不是?
全參謀長子瑞:那是陸戰隊的。
羅委員致政:坦白說,基層的軍官是非常辛苦的,因為人少又不足,然後又事多、事雜,壓力可說是很大,所以國防部要正視這個問題,我並不是說那些人在裝病、假病,這對他們並不公平,但重點是基層士官兵面臨這麼大的壓力,尤其是軍官,則我們要如何解決這個問題呢?換言之,人力不足的問題我們希望國防部重視,並用各種方式儘可能來補足,不要讓軍官一人就兼好幾份工作,這幾個自裁的案例都顯示他們的壓力真的很大。
另外,這兩位連長、副連長有因為精神狀況問題想要請退嗎?兩位目前的狀況如何?
主席:國防部海軍司令部胡副參謀長答復。
胡副參謀長展豪:主席、各位委員。他們兩位正在住院治療中。
羅委員致政:停役了嗎?
胡副參謀長展豪:還沒有,他們在住院治療。
羅委員致政:他們是什麼原因住院?
胡副參謀長展豪:心理因素。
羅委員致政:如何造成的?壓力還是最近部隊有發生一些狀況?
胡副參謀長展豪:個案都有個別的研究考量。
羅委員致政:這在軍隊當中普遍嗎?他們兩位可說是主官,所以這可不是小事。
胡副參謀長展豪:每位在部隊擔任主官、幹部的人都會承受一些壓力,但要想辦法去解決問題。
羅委員致政:所以你覺得他們個人抗壓性不夠?還是工作量超過他們可以承受的範圍?
胡副參謀長展豪:個案都有個別的研究考量,我們會繼續觀察。
羅委員致政:希望國防部持續關注這項數字,昨天調這些資料時本來以為你們都有,結果你們是臨時去做統計,趕了一個晚上,可說是很辛苦,但照理這樣的數字應該隨時都要掌握才對。
胡副參謀長展豪:是。
羅委員致政:要去了解軍事官兵中,到底有多少人因為心理壓力而停役、退(除)役,事實上,這幾年下來已有近1萬多人因為心理壓力而停役、退(除)役,雖然占總體人數的比例不高,可是這個數目聽起來也滿恐怖的,因為已經是上萬人了,所以請國防部正視這個問題,希望這只是個案,如果變成通案,則表示制度上一定有問題,比方說在人力分配、編現比上出了很大的問題,在此我並不是要批判國防部,而是希望可以一同解決問題,尤其是基層軍官這一塊,他們的確承受很大的壓力,最近發生的這些個案可能只是冰山之一角,所以請國防部好好正視這個問題。謝謝。
主席:請蔡委員適應質詢。
蔡委員適應:主席、各位列席官員、各位同仁。方才各軍種有提到他們的軍官缺額,請問國防部要如何補足這些缺額?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。國軍只要戰力達到百分之八十、人員達到百分之八十,就是一個可以作戰的部隊,若低於百分之七十,則對任務遂行會有影響,所以目前這樣的編組、人員額度是合乎上述的範圍。
蔡委員適應:目前編現比最低的是陸軍,約百分之七十幾,海空軍的部分是多少?
主席:請國防部人事參謀次長室徐次長答復。
徐次長衍璞:主席、各位委員。海軍87%、空軍83%。
蔡委員適應:所以現在問題出在陸軍?
徐次長衍璞:方才我有補充報告,今年7月軍官會有一個補充的人力進來,即將近有1,000人從軍官學校畢業……
蔡委員適應:7月份補足後,比例會變成多少?
徐次長衍璞:今年年底就可以到達85%以上。
蔡委員適應:可是年底又一批退伍的人,則比例又掉下來了?
徐次長衍璞:就是在退伍及補充的平衡之間,我們預估比例可以到達85%。
蔡委員適應:為何今年度會差這麼多?
徐次長衍璞:這樣算下來就是差個幾百個。
蔡委員適應:85%是最高,但有可能down下來,而且也可能有退伍潮。
徐次長衍璞:也有可能會留營、留下來,這些都是有可能的。
蔡委員適應:所以你說的85%是包含退伍的情況?
徐次長衍璞:是,85%沒有問題。
蔡委員適應:另外,的確有一些人因有相關疾病而辦理退伍,在目前的除役、停役規範中,對於上述的問題,你們有無更好的解決方案呢?如果那些人真的不願意留在部隊、覺得自己不適任,除了因病退伍之外,還有無其他管道可以離開部隊呢?屆時應該也不至於拖累部隊的戰力才是,換言之,在現行法令之外,你們有無其他更好的方法來解決這個問題呢?
徐次長衍璞:按照服役條例的規定,所有志願役軍官、士官在任官之後,除了考核淘汰以及病傷退伍之外,其他人員都必須按照招生簡章所訂定的規範來進行。
蔡委員適應:但有些人在服役、任官之後發現自己沒辦法習慣部隊的模式、壓力,變得沒有辦法繼續待下去,所以除了稱病退伍之外,目前還有沒有其他的選項?
徐次長衍璞:目前沒有。
蔡委員適應:則這個問題要不要解決呢?還是你們認為不需要解決,反正就逼到他們受不了,然後去申請有身心障礙的疾病或是自裁?換言之,依目前的現狀,你們還有其他的解決方案嗎?
主席:請國防部資源規劃司陳司長答復。
陳司長正棋:主席、各位委員。任一個團體、群體都會有一些抗壓力較為薄弱的人,就算如此,我們也不放棄任何一個機會,讓其回復到……
蔡委員適應:若他們也向部隊表達真的無法繼續做下去,則你們可能就是派人盯著他或是讓他們去看醫生,若再不行就去住醫院,住到時間到了就退伍?
陳司長正棋:若是因病,我們要表示同情……
蔡委員適應:若在因病之前就充分表達不適任,則你們有沒有想過要如何解決這些問題,還是即便他有此主張,也不要理他?
陳司長正棋:我們會當成是一個問題來加以研究。
蔡委員適應:所以有無提出什麼因應方案?
陳司長正棋:現行服役條例等相關規定,因病或是因傷……
蔡委員適應:我沒有說得這麼白是因為這涉及到整個國軍軍官的任用問題,一方面我們希望部隊的戰力能夠增強,但確實有少部分的軍官在服役之後發現自己無法配合部隊的整個任務演訓,然按照現行規定,除了因傷、因病可以離開之外,他們沒有其他的路可走,不然就是擺爛每天都在睡覺,讓你們給他記兩大過予以免職,除此之外別無他法,所以若想要維持一個戰力很強的部隊,對於不適任的軍官,我們就應該採取主動、積極的方法,而不是放在那裡不處理。據了解,那些去國軍軍醫院就診的軍官們,我們還要派人去陪伴,所以事實上這是會影響到我們的戰力,因此,希望近期內你們能夠提供本席一份相關報告,包括對此有無更好的解決方案等。
接下來,關於資安的問題,科技已經上太空,但規範還在殺豬公,副部長知道最近你們有推出一個營區的App?
鄭副部長德美:知道。
蔡委員適應:在座的軍官哪位裝有此一App?副部長有裝嗎?
鄭副部長德美:沒有。
蔡委員適應:你不需要裝就對了?胡次長有裝嗎?
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。關於這個智慧型手機App的部分,現在是試行階段。
蔡委員適應:我知道,而且試行當然就從長官開始做起。
胡次長延年:就國防部而言,現階段在部本部如果沒有經過核准,尚未同意開放智慧型手機,這是參考美國國防部的規定。
蔡委員適應:我瞭解,那麼你們有沒有試過這套App?
胡次長延年:試過,並展示過。
蔡委員適應:你有裝過嗎?
胡次長延年:有。
蔡委員適應:副部長沒裝過嘛!
鄭副部長德美:我沒有裝。
蔡委員適應:請問國防部在座的軍官有裝過這套App的請舉手,請問聞中將有裝過嗎?
聞局長振國:(在席位上)沒有。
蔡委員適應:請問戰略規劃司代司長有裝過嗎?也沒有。請問三軍的參謀長及副參謀長有裝嗎?也都沒裝過。請問中山科學研究院的副院長有裝過嗎?也沒有。所以目前你們還在推廣階段就對了。
胡次長延年:我們做完一個階段之後,會針對現在使用這套App所發生的窒礙……
蔡委員適應:根據流程,你們在104年就擴大推廣,還是流程已經做過修正?
胡次長延年:我們做完之後,會希望試用完後……
蔡委員適應:另外,這裡有三款手錶,依照你們的規範,智慧型手錶不能帶入,對不對?
胡次長延年:就是附屬的裝備。
蔡委員適應:請問副部長,你覺得這三款手錶哪一款屬於智慧型手錶?
鄭副部長德美:最右邊那款。
蔡委員適應:如果你們看到A、B、C三個阿兵哥,各戴了這三款手錶進去,C就會被攔下,因為手錶是被管制的物品,所以不能進去嗎?
胡次長延年:是,現階段大部分的智慧型裝置都要配合智慧型手機,當試行單位將智慧型手機的照相、定位等相關功能取消後,它也就沒有相關的功能了。
蔡委員適應:這是穿戴型手錶,所以他們可以帶進去嗎?
胡次長延年:沒有,以現階段的規定是不可以進入。
蔡委員適應:如同剛才副部長說的,最右邊那款手錶是智慧型手錶,所以不可以進入。但其實除了右邊那款是智慧型手錶之外,左邊這款手錶也是,而且更先進,是對岸的華為生產的,它還有內建核心處理系統等等,所以一般在營區管制識別時其實很難判定,我建議你們要將市場上所有的產品通知相關單位。
胡次長延年:是,謝謝委員。
蔡委員適應:例如這支手錶,我剛看到時也以為它只是一般的手錶,但如果真的是有心人士可能就帶著它在大直營區裡到處繞,而且它應該也有照相等先進的功能,可是看起來就和一般的手錶一樣,你們要查核其實不太容易,但是為了預防國軍的資安問題,我認為這是應該要做的事情。
另外,根據你們的規範,若是手機內存有不雅圖片應該要刪除,請問這部分你們會繼續執行嗎?
胡次長延年:對,如果是違反軍譽或是不正常的情況。
蔡委員適應:最後,其實很多試辦單位裡的阿兵哥向媒體及本席投訴,他們說這個App的狀況很差,剛才次長說,未來你們會繼續修正,請問你們什麼時候可以將最終定版的App修訂完成?
胡次長延年:第一,在測試的過程中,原本有一百二十多項使用疑義,我們不斷在進行修正;第二,這部分我們沒有確定日期的原因是因為智慧型手機的軟體不斷更新……
蔡委員適應:請問你們什麼時候要擴大到全軍使用?
胡次長延年:原則上5月底新版的軟體會出來,並交給現在的試用單位,讓他們再次確認,接著再由各軍種依據部隊的型態決定開放的範圍。
蔡委員適應:依照你們目前的規劃,請問什麼時候可以讓全軍開始使用這套軟體,年底前可以嗎?
胡次長延年:目前約有10,000人在使用這套軟體了。
蔡委員適應:但在座很多人都沒有用過。
胡次長延年:因為我們是以部隊……
蔡委員適應:你們可以訂出最晚年底時讓大家使用的預期目標嗎?
胡次長延年:原則上我們在年底前會把固定構型版做出來。
蔡委員適應:最後,我們今天討論的主題是第四網軍,請問資電作戰指揮部楊指揮官,你的屬下有多少位軍人?
主席:請國防部資電作戰指揮部楊指揮官答復。
楊指揮官登欽:主席、各位委員。二千三百餘人。
蔡委員適應:若是未來新政府提升你的位階,你的看法為何?
楊指揮官登欽:我們從95年成軍迄今,員額編制及組織一直在調整。
蔡委員適應:請你會後提供一份你們新調整的編裝表給我。
楊指揮官登欽:好的。
蔡委員適應:資電作戰不只是維護資安,還包含攻擊的部分,國防部所代表的應該就是攻擊的部分,但這事涉敏感機密的問題,所以請你會後再向我說明。
楊指揮官登欽:謝謝委員。
主席(羅委員致政代):請江委員啟臣質詢。
江委員啟臣:主席、各位列席官員、各位同仁。臺灣是駭客攻擊活動最頻繁的國家,請問國防部副部長、國安局副局長、資通安全辦公室主任及交通部4位長官都同意嗎?全部都同意嘛!這句話在國安局、國防部及資安辦公室的報告中都沒有提到,居然是在交通部的書面報告中提到。這句話很嚴重,交通部對立法院提出的報告指出「臺灣是駭客攻擊最頻繁的國家,甚至超越美、日及其他歐美國家」,報告裡面還提到「入侵規模及深度已構成『準戰爭程度』」,請問國防部及國安局,真的有到「準戰爭」的程度嗎?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。資安部分是不分平戰時都持續在做的事情,但我們對「準戰爭」的規範是敵人意圖明顯,具有犯臺企圖。所以國防部通常不使用這種用詞。
江委員啟臣:請問資安辦公室蕭主任,這是你們的專長,應該由你們判斷,請問是什麼狀態讓我們的網路戰陷入「準戰爭」程度?
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。其實我剛才沒有很快點頭的原因是由於答案是介於中間,臺灣的駭客攻擊活動確實頻繁,但應該是最頻繁的國家之一,而不是只有臺灣。造成這種情況的原因,一方面是趨勢,另一方面是臺灣網際網路的發達,及民眾使用電腦的普及性。
江委員啟臣:請問在什麼樣的情況下網路戰會視同戰爭狀態?
蕭主任秀琴:倘若它危及國家安全。
江委員啟臣:在過去這幾年中所發生的駭客攻擊事件,你能舉出幾次已達危及國家安全程度,然後你們有啟動相關應變措施的案例嗎?
蕭主任秀琴:我們的資安事件是分級的,4、3級屬於比較嚴重的事件,我們就會啟動較嚴謹的機制,目前為止我們沒有發生過4級的資安事件,只有發生過一些3級的事件。
江委員啟臣:4級就屬於準戰爭狀態了嗎?
蕭主任秀琴:是比較接近的。
江委員啟臣:過去以來都沒有發生4級的嗎?
蕭主任秀琴:到目前沒有,因為資安是以受攻擊之後所受危害程度來判定,所以不但要受到攻擊,還要攻擊是得逞的,臺灣之所以能維持這樣的狀況,就是張院長曾經說過的,雖然我們的資安很嚴重,但還在我們的控制範圍內。
江委員啟臣:我要更正一下,主任說我們的資安很嚴重,是指我們資安受攻擊的情況很嚴重,但是我們的防護能力也不弱,所以在過去幾年中,雖然遭受頻繁的攻擊,但是我們還守得住,是這樣嗎?
蕭主任秀琴:是,就是這個意思。
江委員啟臣:我們絕對可以假設這些攻擊大部分來自於對岸,而這些攻擊不只針對政府部門,也有針對民間部門,他們甚至有專門的部隊在打擊我們。不論如何,我希望政府部門對這部分能有一致的定義,不要一個部會說這是準戰爭的狀態,而另一個部會卻說還沒有,我們還可以控制,還可以防護。
我相信國防部資電作戰指揮部一直以來也扮演很重要的角色,雖然第四軍種尚未成立,但是這個指揮部在我們目前的資安防護網中已悄悄扮演很多角色。根據目前政府制度化的防護機制,上位組織是行政院國家資通安全會報,負責政策指導,下面有行政院資通安全辦公室,並配合國家資通安全科技中心,雖然這部分目前有點狀況,但是以這種三角概念處理資訊安全防護的部分,其中我們沒有看到國防部的角色,請問國防部,不只是針對國防部內部,還包括其他單位,你們有沒有在做?國防部的報告提到,國防部持續強化國軍的網路防護能量,而且配合行政院的指導,賡續派員執行政府機關資安健檢及各項網路演練等任務。所以其實國防部平時就已經進入各部會中,請問是如此嗎?
鄭副部長德美:我們有這樣的機制,詳細情形請次長做較深入的報告。
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。資通安全會報的第三層就是國防分組,而國防分組是整個國家資安體系中的一環,我們所負責的是針對國軍資安防護的任務,但是同步也接受行政院的指導。
江委員啟臣:這給我的感覺是國防部的能力好像比較強。
胡次長延年:我們有支援相關的人力執行相關的作業。
江委員啟臣:因為你們有二千三百多人,人力比較多嗎?
胡次長延年:二千三百多人是通資電,他們負責國軍的……
江委員啟臣:真正負責網路戰的部分有多少人?
胡次長延年:關於我們整個作業的部分,等我下去再向委員報告。
江委員啟臣:是機密嗎?
胡次長延年:是。我們現在有在做相關的工作,所以我們也屬於整個國家資通安全的一環,並完全配合行政院的指導做相關的防護。相對的,國家資通安全科技中心每一年、每一季、每個月也會提供國防部相關的資安通報做資安防護的部分。
江委員啟臣:以國防部的角度而言,這樣的三角關係足不足以作為我們的資安防護?
胡次長延年:資通安全會報原則上負責整個大架構的部分,資安辦是負責行政業務督導,而國家資通科技中心則是相關技術的部分。
江委員啟臣:新政府在國防政策藍皮書中明確提到未來要成立資通電軍,作為陸海空軍以外的第四軍,最快於2019年成立,520新政府上任之後,我們國家的資安防護是不是就由這個三角關係搭配國防部的第四軍負責?
胡次長延年:我們也是從藍皮書及媒體上的資訊得到新政府的政策,我相信我們現階段的政策與未來的政策是一致的,同樣認為現在資安的威脅相當高,所以要朝向這個方向努力。然而,這段時間不管我們的資源、人力如何,我們都配合政府的指導一直朝這個方向努力。
江委員啟臣:美國在09年成立的網軍司令部約有6,200人,南韓相關的部門則約有1,000人,現在資電作戰指揮部有2,400人,當然裡面包含很多資通電的人,如果將他們整合成為第四軍,新政府藍皮書規劃的規模要有6,000人,下禮拜就是520了,你們應該要有所準備,請問你們有沒有想過這些人要從哪裡來?
胡次長延年:以我個人而言,質與量必須並重。
江委員啟臣:你認為量多少是其次,質比較重要嗎?
胡次長延年:就通資電而言,人愈多當然愈好,但事實上質是最重要的。
江委員啟臣:當然資安的防護工作絕對是未來的趨勢,對於是否要成立第四軍一事,請你們詳細評估,我們的目標就是要保護國家的資訊安全。然而,除了質與量的問題以外,還有一個很重要的問題,就是未來這些人忠誠考核的問題,也包含現在這二千多人的忠誠考核,請問現在資電作戰指揮部裡的人員退伍之後有沒有列管?在我看來,這是一支網路特種部隊,我們的特種部隊退伍之後要列管三年,甚至更長,針對這些熟悉網路作戰的人員,他們可能會被對岸或被其他國家吸收,甚至被商業間諜吸收,這是網路虛擬作戰中非常可怕的狀況,請問他們退伍之後,你們有沒有列管?沒有。對於未來成立的第四軍,這6,000人絕對要列管,據我所知,現在這二千多人有的是硬體工程師,有的是軟體工程師,有的則是專門從事網路作戰的人才,這些是國家最重要的人才沒有錯,可是你們有沒有落實忠誠考核,他們退伍之後有沒有被列管?目前都沒有,這是一大漏洞。這沒有政權移交的問題,而是國家安全的問題,但國安局也沒有檢討這部分,請問這些人中有多少人已經退伍或離職?這些人其實非常熟悉臺灣網路作戰的狀態。楊指揮官有何看法?
主席:請國防部資電作戰指揮部楊指揮官答復。
楊指揮官登欽:主席、各位委員。關於委員剛剛提到的網路特種部隊,在網路特殊專長的人員方面,他們退職後,我們都有特殊的要求與保密的規定。
江委員啟臣:你們怎麼要求?他們退伍後須負擔什麼保密任務?
楊指揮官登欽:我們會依國防部保密等級的相關規範加以限制與列管,包括後備動員的部分,我們會再動員他們實施相關的……
江委員啟臣:對方如果要出境,你們有沒有列管?到大陸有沒有列管?
楊指揮官登欽:沒有。
江委員啟臣:我從新聞局局長離職後到大陸要列管3年,但你們還會派國防部裡的這些資通電專家到各單位協助資安,這些人退了之後難道不用列管嗎?雖然列管不是限制他們的行動自由,但也要找出方法避免他們把國家的機密給洩露出去,或外移他們所熟悉的技術,對國家的資安造成重大的威脅。副部長,這是在政策上應該要做的。
主席:請王委員定宇質詢。
王委員定宇:主席、各位列席官員、各位同仁。今天討論這個議題很具體,雖然看起來只存在網路上,但卻會實質地影響每個人的生活,同時也很新、很迫切,而且還時時刻刻都在發生,所以對於今天討論第四軍種的成立與否,我要就教長官們一些問題。
首先,根據國安局及交通部的報告,如果我有引述錯誤的話,請隨時更正,目前網路攻擊的狀況已經從政府機關到了下一個階段,看起是要移動到民生設施,國安局在報告中還特別舉出南韓、愛沙尼亞等國;而交通部的報告則特別指出去年12月底烏克蘭的某個州停電,後來發現是遭駭客攻擊。請問國安局副局長,我這樣引述你們報告的結論,對不對?
主席(江委員啟臣):請國安局郭副局長答復。
郭副局長崇信:主席、各位委員。對
王委員定宇:你們的這個判斷是怎麼來的?是怎麼判斷這是駭客攻擊還是網路攻擊?或如何預判下個階段會進入民生設施?畢竟民生設施實在是太廣了,從紅綠燈、高鐵、核電、油電水的配送,這些都是大事情,請問你們的判斷是來自哪裡?
郭副局長崇信:目前駭客最主要是以竊密為主,我們對於重要敏感的部會都會有所防範,……
王委員定宇:這些你都有寫。最傳統的駭客攻擊就是進去拿你的東西,或是進去癱瘓你的網路嘛!但是如果他可以癱瘓你的網路,就可以阻止你透過網路進行指揮,所以國防部才會採用封閉式的系統,就是怕人家會打進來嘛!
郭副局長崇信:對。
王委員定宇:你們在報告書的結語指出,世界各國都在準備這件事,在民生關鍵設施的部分,你舉出南韓、拉脫維亞、愛沙尼亞以及美國。因為你們是情報單位,所以我想請教,你們判斷台灣民生設施可能面對駭客攻擊是有所本,還是猜的?
郭副局長崇信:其實這是我們整體上比較弱,目前也較無注意的地方,敵人……
王委員定宇:那是我們的弱點,對不對?
郭副局長崇信:對。
王委員定宇:這次比利時恐怖攻擊的目標可能就是核電廠,美國交通部的交通設施號誌也曾遭到控制,所以這些國家有發生的,我國也可能發生,這就是你們的立論。
接下來我要請教交通部施主任,你們所寫的報告比較像是國防部的報告,包括攻擊的量很多、準戰爭行為、準戰爭程度等,我覺得料敵從嚴是對的,但是我要請教你的是,你們的第一階段從攻擊政府機關駐外館處,轉向民間智庫電信業者委外廠商,再到第三階段改變思維,攻擊我們疏於保護的網路節點、交通號誌、移控設備及路由器等,最後判斷會進入我們的基礎設施。所以我的問題還是一樣,這些判斷是你們猜的?還是有所本的?
主席:請交通部管理資訊中心施主任答復。
施主任仁忠:主席、各位委員。從國際案例來看,這些判斷的內容已在國際間陸陸續續發生過了,這是第一點。第二點,因為現在各種設施都走向智慧化,任何一個智慧化的設備,其實都有被攻擊的可能性……
王委員定宇:所以這部分除了有可能性外,在國外也已經發生過了,對不對?
施主任仁忠:是的。
王委員定宇:接下來,我要請教資安辦公室的蕭主任,你們這個辦公室要統合7個大組,進行支援的工作。目前對於國安局和交通部來說,在網路攻擊方面,傳統認為是攻擊政府機關或軍事設備,現在認為是往民生設備設施的方向攻擊,對此你們有掌握到嗎?
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。這些我們都掌握到了,所以現在……
王委員定宇:有沒有發生過?
蕭主任秀琴:目前還沒有,但是現在要加強關鍵資訊基礎設施的防護,這是我們的重點工作之一。
王委員定宇:有的是只攻擊網頁而已,有的則是進入指揮其硬體。難道連攻擊網路都沒發生過嗎?
蕭主任秀琴:這跟委員剛剛講的基礎設施是不一樣的。
王委員定宇:基礎設施有點是要控制硬體的狀態嘛!
蕭主任秀琴:通常這會與民生社會國家的運作有關。
王委員定宇:所以我是不是可以說,民生設施的網頁有遭到攻擊,但是硬體的部分至今卻還沒有?
蕭主任秀琴:民生重要設施的部分,就是我們所謂的關鍵基礎設施,其後面運作的系統則稱之為關鍵資訊基礎設施,現在我們把對它的防護當成重點工作之一,主要是觀察到前面幾位談到的趨勢。
王委員定宇:防護已建構完成了嗎?
蕭主任秀琴:這個工作必須逐步加強,已有基本的,但是……
王委員定宇:現在已經開始做,但卻尚未完整,而且也永遠無法完整,畢竟對手也是會成長,對不對?
蕭主任秀琴:沒錯,資安是無止境的。
王委員定宇:也就是永遠要一直做下去,我引述主任剛剛講的,我們台灣大概是全世界遭網路攻擊密度相當高的國家之一,根據交通部與國安局的情報,現在攻擊民間設施的狀況,在美國、烏克蘭及其他國家都有發生,所以我們在機率上也有發生的可能,面對這個問題我們雖已有準備,但仍在準備中,也仍未完整地建置完成,對不對?
蕭主任秀琴:大致是這樣的。
王委員定宇:請問你們在防護能力上有沒有分級?我們現在大概可以抵抗到什麼樣的攻擊程度?畢竟這樣想像起來還滿恐怖的,我們這些委員和部長等等都常搭高鐵,如果高鐵遭駭客控制,像如果江啟臣委員搭的那班被駭客控制的話,事情可就嚴重了。
主席:你遇到會比較嚴重啦!
王委員定宇:如果這會影響民生的話,民眾會想問的問題是,你們對於基礎的防護能力已做到了什麼程度?擋不擋得住解放軍他們網軍的攻擊?
蕭主任秀琴:關鍵基礎設施可以分為八大部門,各有其特色,所以我們只能傳授機關一些基本的防護,必須從實務上再加強,所以我們現在是督導機關……
王委員定宇:主任,現在的問題是,你們分了7個組,對於關鍵設施又分成8組,所以大概就是……
蕭主任秀琴:業務面和防護上的分工是兩回事。
王委員定宇:請問你們辦公室的角色是什麼?是整合資源、橫向聯繫嗎?
蕭主任秀琴:整合資源、督導各機關落實應辦事項,另外像剛剛委員提到的這些關鍵基礎設施,由於包羅萬象,所以在處理的時候會將它們分門別類,根據國土辦分成八大類……
王委員定宇:你們會有分類的方法,我們腦袋想得到的,諸如交通、鐵公路、機場、港口、號誌……
蕭主任秀琴:比如像醫療等……
王委員定宇:還有電信,當通訊斷掉的時候,就像地震一樣。另外像金融、金流……
蕭主任秀琴:這也是其中一個部門。
王委員定宇:交易、股匯市、期貨、核電及配電都會受到影響。事實上,烏克蘭不是電廠,而是配電設施被攻擊,所以整個停電。其次,敵方也可能讓油庫外洩或水庫洩洪。就你的瞭解,目前為止,我國的基礎防護有沒有破洞?如果有破洞需要補強,將來編列預算的時候,我們才會支持。這個洞補起來了沒有?
蕭主任秀琴:過去很多關鍵的基礎設施是比較封閉式的,但是如同您剛剛講的,駭客的手法日新月異,他們現在也開始尋找漏洞作為竄入的點。我們目前掌握這些資訊……
王委員定宇:根據歐洲反恐中心的說法,只要恐怖分子想攻擊,恐攻早晚一定會發生,這是基本概念。我們已經看到比利時的狀況,恐怖份子對核電廠有興趣。核電廠有關網路的維安工作是你們下面的哪個單位負責?是事業單位的台電自己負責?還是國安局負責?
蕭主任秀琴:主要是經濟部的國營會,另外在資安的技術方面,我們都有提供協助,也曾經去核電廠辦過資安演練,跟他們一起討論等。
王委員定宇:目前臺灣的核電廠有沒有能力面對類似比利時的狀況?他們現在在研究一些東西,我也有看到他們的報告。如果我國沒有能力的話,要趕快提升。台電放在國營會之下,再加上你們的輔導,這樣有沒有能力應對?
蕭主任秀琴:他們有基本的能力,但是資安一定需要加強。
王委員定宇:基本的能力是應付一般的網軍,假如是國家級跟恐怖份子的攻擊,我國有沒有能力因應?
蕭主任秀琴:目前一般的攻擊可以應付,如果後面是一個國家在進行精密的攻擊,就要看他們是用什麼手法,有些防禦是必須傾全國之力的。
王委員定宇:我大概理解了,就是目前有基本的防護能力,可以應付一般駭客的攻擊,但是面對刻意、國家級或恐怖份子型的攻擊,我國還要更努力補強一些東西。這是客觀的嘛。
蕭主任秀琴:一定要持續加強資安。
王委員定宇:這個聽起來讓我們擔心。鄭副部長,今天的主題是討論第四軍種,美國叫網路司令部,日本的自衛隊也成立了網路防衛隊,中國也有,臺灣不管是將其稱為第四軍種、網路司令部或資通電軍司令部,我國有沒有必要整合這個東西?還是你覺得目前轄下的資電作戰指揮部就有能力應付?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。目前為止的資電戰,國防部不管是在人力、設施、設備及狀況的設計上,都能夠確保國軍……
王委員定宇:你是說夠了嗎?我很難得聽到單位主管說夠了,不要錢,也不要人。
鄭副部長德美:不是說夠了,而是表示可以應付目前設計的狀況在安全上……
王委員定宇:我再將問題重新講一次。現在將軍跟資安辦公室分開來看,因為你們是封閉的網絡,在行政院這邊,我們看到他們希望整合及提升技術能力層次,並加強防護。軍也是一樣,因為被攻擊的話,國防部常常會面臨第一波;再者,你們又跟民有關係,因為敵方把電切斷的話,你們都沒有電,我看你們怎麼打;你們當然有自己備用發電的電能,但是總是會被攻擊。我現在問你的問題,就是美國有這麼大國防勢力的國家都成立了網路司令部,臺灣有沒有必要提升能量、裝備及員額?至於來源是另外一個問題。還是目前的編制是夠用的?
鄭副部長德美:這樣的組織變革事涉非常廣泛,牽扯到國軍對網路攻擊……
王委員定宇:你沒有研究清楚?還是沒有辦法告訴我夠不夠?
鄭副部長德美:到目前為止,這都在我們的規範跟思維的範圍內,大家都……
王委員定宇:就是沒有答案。
國安局在李翔宙前局長任內曾招考網軍,我也看了招考條件。請問郭副局長,進行網路防護及對抗網軍,能夠跑1,200公尺是不是必備的條件?很能跑就可以抵抗網路攻擊嗎?
郭副局長崇信:如果就技術來講,當然這不是必備的,但是……
王委員定宇:網路作戰是純技術層次,還是女孩子要跑6分20秒以內,男生要5分50秒?
郭副局長崇信:身體健康的人才能夠執行艱難的工作,因為網路工作是要……
王委員定宇:可是這樣會變成必要條件,而且因為這個條件使得有些具備網路能力的人進不來。請問身高153公分的男生,是不是就失去網路對抗作戰的資訊能力?
郭副局長崇信:應該不會。
王委員定宇:可是你們要155公分才錄用,153公分的男生就不要了,這合不合理?國安局招募這一批二十幾個人,是為了網路作戰對抗用的,我一直搞不懂為什麼跑1,200公尺就是很健康。身高是否達155公分,是電腦太高或太矮的問題嗎?沒有這問題吧!其次,你們要求視力0.2或0.1,聽力90分貝,要分辨紅、黃、綠色,沒有色盲。客觀上來講,這些跟網軍或網路防護作戰能力有沒有關係?蕭主任也可以指正他們到底有沒有關係。資安辦公室的人都是155公分以上嗎?
蕭主任秀琴:我們招考專業人員比較著重資安的專業,當然也希望他們身心健康,這樣才能夠執行勤務。
王委員定宇:跟身心健康無關啦!
蕭主任秀琴:但是我們沒有像國安局這樣要求。
王委員定宇:這樣會讓一些對網路有能力的人根本沒有辦法報考。國安局當時招考的時候有多少人報名?
郭副局長崇信:每年都不一樣,必須要統計才能……
王委員定宇:那一次報考的是零人。
郭副局長崇信:那是因為特種的資格限制……
王委員定宇:我們要提案,以便幫你們解套。你們要招募網路作戰的人,結果定出的標準好像是找拿著槍去打野戰的人,你們招募的人根本不對。有的人也許坐輪椅,但是有網路能力,他們也可以幫你們工作。那個能力跟你們列出的條件無關;再者,連五官有嚴重損傷,經化妝仍無法修飾都不能夠考,請問你們在招考哪一國的網路工作者?國安局的招考條件好奇怪,有鼻子跟沒有鼻子跟網路工作有什麼關係?我還不講你們歧視。你們可以主動修改,我們也會要求修改。就如資安辦公室講過的話,這跟資安能力根本無關,國安局根本招考不到你們要的人。我們一起改掉招考條件。
郭副局長崇信:謝謝委員。
主席:請呂委員孫綾質詢。
呂委員孫綾:主席、各位列席官員、各位同仁。今天討論的題目是「從國防部成立第四軍種之必要性探討網路駭客之侵擾對政府及民間資訊安全防範之挑戰」,請教鄭副部長,您對於網路這一塊有什麼樣的想法或認知?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。謝謝您這樣的重視。網路攻擊事涉整體國家安全。事實上,網路攻擊的對象不單單是針對經濟設施、設備或是軍事通信,也包含國家的民生設施,交通等全部都涵蓋在內,當然這些都影響到整體國境的安全,因此是非常重要的議題。
呂委員孫綾:好,所以副部長也覺得網路對我們非常重要,因為它會影響國家的安全,甚至會癱瘓基礎設施及攻擊能力。所以很多國家其實都把網路這一塊視為國家安全重要事務,有些國家甚至成立專責單位來負責。副部長,美國將在2018年建置Cyber Mission Force,會在四個軍種中建置133個團隊,6,200個網路作戰人員,五個會計年度總共編列18億7,800萬美元的預算,這個作戰部隊的任務有三,第一,確保國防部的網路安全維護。第二,維護美國免於網路攻擊。第三,支援作戰時的網路運作。副部長,您能不能相對說明,國軍資電作戰指揮部所負責的任務有哪些?有沒有包括維護臺灣重要網路免於被攻擊?資電作戰指揮部有沒有攻擊能力?
鄭副部長德美:我先做初步說明。網路編組要視各個國家的國情不同,中華民國是在行政院編組下統籌各單位,因為所屬的業管不同,目前的運作還屬正常,這是第一點。
第二,有關網路攻擊,是「能而示之不能、用而示之不用」,很難能夠判定他的能力在哪裡,因為很多人在找到資訊漏洞時不會用,要等到關鍵時刻才會用。其次,網路攻擊很難,因為不是有確定的目標,可以做代理者,也有駭客個人的行為,或是各種不同犯罪組織的行為,如果專屬由國防部來做這件事情是會有困難的。行政院的編組到目前來看,組織運作,但是網路攻擊始終在人力上、技術上、設備上要不斷提升來應付網路攻擊,這部分先向委員報告,至於其他部分則由次長與指揮官向您報告。
呂委員孫綾:關於剛剛我問的題目,副部長好像也沒有回答到我的提問,就請相關單位來答復本席所提出的問題。
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。委員今天提出的問題非常深入,關於剛才委員提到美國Cyber Mission Force要做的部分,我們大概也從相關資料瞭解到,他們是要在美國陸海空三軍及陸戰隊Cyber Command下設133個Cyber Protection Team,也就是網路保護組織分隊,至於6,200人就是一個報告,它的任務有三項,第一是要確保國防的網路安全……
呂委員孫綾:次長,去年底BBC曾遭受到網路攻擊,導致BBC的網路癱瘓了4小時,那是史上最大一次的網路攻擊,如果這樣的攻擊對象是我們的國防部,我們有能力承受嗎?
胡次長延年:今天我們的報告也特別強調,在整個資安防護部分,原則上,針對已知威脅必須要能做防護,針對未知威脅則要能做因應,所以委員剛才所提出的部分,我相信BBC或資安事件發生時,針對已知部分,我們能去做一些預警與防護,但是遇到非預期發生的駭侵行為時,必須要有快速的斷然處置,使其損害、傷害縮到最小,但是因為並沒有發生,我沒有辦法馬上告訴你yes或no,如果是針對已知部分,駭侵態樣我們已經知道了,那我們一定可以因應。
呂委員孫綾:2014年11月20日,前國安局長李翔宙在外交及國防委員會備詢時證實中國網軍多達18萬人,並表示該局網站在那一年遭受網路侵擾事件總計722萬次,其中惡意行為達23萬次。張善政院長在去年1月22日也曾強調,中國把臺灣當作網路資訊攻擊的試驗場,很多手法都是全球首見,請問次長,對於這樣的狀況,我們要如何來因應呢?
胡次長延年:張院長是資訊界的前輩,他對這方面非常清楚。誠如之前所說的,依照國安局的說法,所謂的網軍18萬人,我們非常瞭解中共最近這10年來在網路防護與攻擊上做了相當大的投資與支援,國防部在行政院指導之下,也有傳報與應處機制,如果發生狀況,我們完全是在聯防機制之下,今天任何單位發生問題,一點發生狀況要大家都能知道今天有狀況,來加強整個防護與預警作為。我們今天所要做的事情是,整個網路安全、資訊安全絕對不是單一部會或單一單位就足夠的,也因此才會由行政院資通安全辦公室及資通安全會報來做整體防護的架構與預警傳報機制。
呂委員孫綾:好,謝謝。
副部長,未來新政府的國防藍皮書第5號報告「2025年中國對台軍事威脅評估」提到,中國以網路戰對我數位國土的侵擾,將對臺灣社會活動與政府運作形成威脅,並可能破壞關鍵基礎建設,造成國人生命財產的損失,且因網路攻擊具有隱匿、偽冒、難以追查辨識與不易究辦之特性,發動攻擊者多能逃脫責任,更是中國對台進行非傳統武力軍事恫嚇的極佳選項。對於把網路提升到第四軍種的主張,你有什麼看法?
鄭副部長德美:的確,網路攻擊是花最少代價卻可以獲得最大的利益與最大的戰果,但是它缺乏明顯對象與明顯規範,卻可以跨國攻擊,這是非常嚴重的問題。有關於我們是否要成立第四軍種的部分,事涉範圍十分廣泛,是要把所有權責單位收攏成一個單位,還是在現在組織架構上再行強化,都還有深入討論的空間。因為還沒有正式看到政策,只是選前國防藍皮報告書裡所顯示的,到目前為止,我們每個組織的編組架構都以達成任務為規範會比較好,國防部並沒有任何立場,只要能夠確保國家安全與資安,國防部都持肯定的態度。
呂委員孫綾:所以副部長對於成立第四軍種的看法是沒有立場的?
鄭副部長德美:要視今後未來的整體需要及對資安的危害程度,任何議題都可以充分討論。
呂委員孫綾:對於這個部分,本席希望國防部可以去做個探討,因為其他強大的國家在網路部分也做了非常多的著墨,表示這是個國際趨勢,希望國防部未來能去做個檢討與評估。謝謝。
鄭副部長德美:謝謝委員指導。
主席:請劉委員世芳質詢。
劉委員世芳:主席、各位列席官員、各位同仁。本席想請李代司長定義一下,什麼叫做Cyber Strategy?什麼叫做Cyberspace?什麼叫做Cyber Command?這三個都與你的戰略有關係。另外再請胡次長也回答一下。
主席:請國防部戰略規劃司李代司長答復。
李代司長廷盛:主席、各位委員。Cyber Strategy是美國網路戰略的規劃,Cyber Command是網路戰略司令部,目前美國……
劉委員世芳:我不是叫你翻譯,而是請你告訴我它的定義是什麼。
李代司長廷盛:這是位階上的不同……
劉委員世芳:哪個位階在上面?
李代司長廷盛:一定是戰略規劃在最高層,在政府部門。
劉委員世芳:方才副部長回答,雖然新政府即將上任,但只看到國防藍皮書或是從報上得到消息要成立第四軍種,現在距離新政府上任只剩下不到10天的時間,請問國防部現在有針對未來的網域安全或網域戰略做出基本的規劃概念嗎?是不是由您這邊來主導的?
李代司長廷盛:是的。
劉委員世芳:您現在的想定是什麼?
李代司長廷盛:我們必須要依照敵情威脅,依照我們作戰打的需求來規劃整個……
劉委員世芳:所以我們是站在防衛的角度?
李代司長廷盛:是。
劉委員世芳:攻擊呢?我們都知道最好的防衛就是攻擊嘛,是吧?
李代司長廷盛:是的。
劉委員世芳:你們有沒有提出來?還是只是一般的想像而已?
李代司長廷盛:我們在研討會中,與通資次長室有非常嚴密的在討論這個問題。
劉委員世芳:我希望你們能好好準備一下,因為再過二個禮拜,國防部又要來進行施政報告了,有關第四軍中成立與否的問題,如果像你們現在這種回答方式,只會說好像這樣好像那樣的,國防部將會被電得很慘喔!
李代司長廷盛:是。
劉委員世芳:胡次長,有關網域安全,你們現在能cover的範圍包括哪些?是與國家安全有關、與行政院下所屬部會有關,還是連民間都包括在內?
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。現階段的任務是針對國防部。
劉委員世芳:只針對國防部分?
胡次長延年:是。
劉委員世芳:剛剛有人提到臺灣網軍有2,000多人,你認為有這麼多嗎?
胡次長延年:您誤會了,剛才資電作戰指揮部指揮官特別報告,整個資電作戰指揮部的官員額是2,000多人,但是就類似電信局一樣,他們要負責整個國家通信骨幹網路,大部分人力都是用於與通信……
劉委員世芳:所以與國防有關的並不多嘛!請問跟國防有關的有多少人?
胡次長延年:委員,這部分是不是後續私下向您報告?
劉委員世芳:您剛才說不到2,000人嘛,有沒有100人?
胡次長延年:有。
劉委員世芳:有沒有200人?
胡次長延年:委員,這個……
劉委員世芳:有沒有300人?有沒有十分之一?你不回答我沒有關係,你去看維基解密,上面很多數字都出來了!
胡次長延年:是,我相信,但是這個……
劉委員世芳:表示現在的人力、資源、整備都不夠,這是非常重要的部分!
另外,現在國防部及國安局為了第四軍種─網軍在招收大量人力,但事實上招收都不是很順利,剛才也有其他委員提及這個部分,蕭主任能不能給他們建議,要怎麼樣修改才能把專業人才招募進來?國軍人才招募中心希望能夠有CISCO網路管理證照班、RHCE系統工程師認證、ISO27001資安管理系統認證、MCSE系統專家認證、儀表電子乙級、數位電子乙級、網路安全封包分析認證、電腦網頁設計乙級及電腦軟體應用乙級。請問臺灣有多少人能擁有這些證照?蕭主任,我想你一定認得外面民間單位的一些優秀人才,剛才有人跟我說有位白帽駭客,請問蕭主任,有多少人符合那個資格?
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。資安技術用任何條件去篩選都可能不那麼周延,但是可能還是需要有一些基本門檻……
劉委員世芳:這是基本門檻嗎?
蕭主任秀琴:我想是可以從中找到一些專才,但是……
劉委員世芳:如果擁有這些基本門檻的認證或證照,在公務系統服務的薪水可能不多,如果是在外界,這樣的人才會有多少薪水?
蕭主任秀琴:老實說,我們的薪水與外界的落差是滿大的。
劉委員世芳:差多少,有沒有一倍?
蕭主任秀琴:這要看職位,以現在資安科技中心的同仁來說,他們轉任時常常可以拿到一倍半甚至更多的薪水。
劉委員世芳:如果要到國防部或更隱密的國安局服務,這樣的薪水是招不到人的,對不對?
蕭主任秀琴:恐怕薪資待遇要再做一些調整。
劉委員世芳:郭副局長,國安局網域安全處是去年5月1日正式掛牌運作的,到目前為止,你們透過考選部招考相關公務人員特種考試時,請問有多少人來報考?
主席:請國安局郭副局長答復。
郭副局長崇信:主席、各位委員。去年公職資訊技術的報考人數是零。
劉委員世芳:零?沒有人嘛!
郭副局長崇信:對。
劉委員世芳:是因為薪水不夠?還是你們要求的標準過高?還是像方才王定宇委員所說的,男生女生有身高限制、視力限制、聽力限制、血壓,五官嚴重損傷不可以、單手手指受傷不可以,手臂要能伸縮自如,不能有肺結核,任一手握力要達30公斤,海軍陸戰隊退伍的主席左手握力有沒有30公斤?主席的體力很好,因為出身於海軍陸戰隊,但是像這樣的資格,臺灣有多少人?我聽說全臺灣能達到這樣水準的只有25人。
郭副局長崇信:其實不能來報考的因素很多,我個人認為最主要的因素是,我們設定要技師考試及格而且要有二年工作經驗……
劉委員世芳:能不能放寬?
郭副局長崇信:我們正在研究中。
劉委員世芳:什麼叫做正在研究?你認不認得世界上非常有名、常常在國家地理頻道上發表言論的Stephen Hawking?他符不符合到國安局報考的資格?除了國籍不一樣……
郭副局長崇信:我們都歡迎……
劉委員世芳:如果他是中華民國國籍,可不可以去?
郭副局長崇信:都可以。
劉委員世芳:都可以?可是他坐輪椅耶,他甚至連講話大家都聽不清楚!
郭副局長崇信:這就是策略,像以色列每個人都要當兵,就算斷腿也要去。
劉委員世芳:斷腿也要去?
郭副局長崇信:對,以色列規定每個人都要當兵……
劉委員世芳:但臺灣不像以色列每個人都要當兵嘛!
郭副局長崇信:這就是策略嘛,所以上位策略訂定下來後,我們就能執行了。
劉委員世芳:你要請誰來訂定這個策略?這是你們國安局自己對外招募的耶!
郭副局長崇信:我們會依據需求來修正。
劉委員世芳:年齡要不要修正?
郭副局長崇信:有些是配合整個國家的考選制度,人事必須……
劉委員世芳:蕭主任,不管是在處理駭客或是防衛機制,與年齡有沒有關係?腦力、智力除了失智、退化等,跟年齡有沒有關係?
蕭主任秀琴:一般來講,從事這項工作是相對比較年輕的,倒不是因為年齡高就不適合做這項工作,而是E世代比較多這樣的人才。
劉委員世芳:國安局的招考有年齡限制,必須是35歲以下,主任應該超過35歲吧?
蕭主任秀琴:是的。
劉委員世芳:所以你是不能去報考的,怎麼會這樣呢?以你的聰明才智,你又能主導行政院的資安體系。我知道有一位參加國際駭客競賽非常有名的李倫銓領隊,他是白帽駭客組的,結果他也被剔除在外,因為他39歲了,這些駭客朋友不管是幾歲,甚至18歲,前一陣子高雄還出了一位15歲的CEO,如果他的電腦真的這麼強,為什麼不能把他招攬進來?郭副局長,我們有沒有什麼機制可以放寬人才篩選的標準?應該是唯專才適用,而不是唯體力適用或唯外貌適用。
郭副局長崇信:其實目前進用人力是有多元管道,我們有安幹班,雖然沒有辦法招到具備駭客技術者進來,但是他們在基本資訊能力都已經具備了,這是第一個管道……
劉委員世芳:我現在只是問你,你們現在人力到底夠不夠?你們都跟我講人力不夠啊!
郭副局長崇信:以目前我們……
劉委員世芳:你們已經有放寬,從民間去攬才,是不是這樣子?
郭副局長崇信:對,從民間攬才,第一就是我們的安幹,安幹班有資訊組,剛剛委員講的是技師組,技師組沒有招到人,但是資訊組有招到人,經過我們的訓練,可以達到我們的需求。
劉委員世芳:我希望你們還是正辦好嗎?第一,希望放寬在未來攬才上面,不要像我們剛剛提的變成是笑話,就是唯專才是用,男女應該兼收,如果他擁有這些高級技師證照,我們可以用其他方式延攬,譬如約聘僱的方式都可以。
郭副局長崇信:這個我們有,我們有試著約聘和獎酬……
劉委員世芳:另外一個重點是,我們現在有相當多行政院其他部會,在處理資安時幾乎都委外辦理,而且一委都不知道委到哪裡去了,會不會到後來委到中國下屬的一些小包商來幫我們辦理資安的軟體技術?有沒有可能?請問蕭主任。
蕭主任秀琴:確實現在資訊委外是常態,我們也一直在提醒機關這方面的資安風險。
劉委員世芳:請給我這樣的清單好嗎?因為資訊委外的狀況是這樣,第一,我們現在對於商業間諜,甚至對國家安全相關的技術指導是不夠的,因為現在有很多電腦程式與日漸進,不管是木馬程式或像這一次健保卡發生的狀況,我們都不曉得是不是因為委外的關係,還是政府內部具有公務員資格的人對於電腦技術或程式不夠,沒有辦法處理這個狀況。所以那個漏洞有可能就是因為委外,委外有分成大包、小包,一包出去可能是one man company在處理這些事情,或者它可能處理兩個完全不同的公司,用同一套系統軟體,都會出問題的。
蕭主任秀琴:委外應該有委外的控制程序,並不是委外就一定有風險,我們也在教育部會要遵循S/SDLC相關的作業機制。剛剛委員說的名冊,抱歉!其實機關自行開發是相對極少數,絕大部分是委外,所以提供名單恐怕會有點困難。
劉委員世芳:我還是希望你來幫我們整理一下,好嗎?或者提醒一下怎麼處理,我知道行政院資安的SOP還不錯,相對有弱點的是在國安局和國防部,我們會再加強這方面的質詢。也麻煩行政院可以把好的觀念或資訊告訴國防部,因為我很怕國防部有太多委外,包括處理很多民間的,這之間的界限不夠,會造成忠誠上面的問題,好嗎?
蕭主任秀琴:好。
劉委員世芳:好,謝謝!
主席:請陳委員亭妃質詢。
陳委員亭妃:主席、各位列席官員、各位同仁。本席要請教蕭主任,對於成立第四軍種掌管資訊安全的部分,你有何看法?
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。確實我們的資安威脅是愈來愈嚴峻,我們從90年行政院成立資安會報之後,主要是在防護的部分,包括基礎、機制建立等等,當然有朝一日要反守為攻,必須有網路作戰的部隊或能量,這部分在方向上……
陳委員亭妃:你支持嗎?
蕭主任秀琴:我們認為需要加強,但是怎麼做,這不是我的專業。
陳委員亭妃:要加強?
蕭主任秀琴:是。
陳委員亭妃:有誰可以針對這個專業來跟我們一起討論?
蕭主任秀琴:恐怕是國防部比較有這方面的專業。
陳委員亭妃:請問胡次長,你同意由第四軍種來處理我們的資訊安全?
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。其實在前面委員質詢的時候,我已經說過了,不管藍綠政黨,今天就我們通資電的立場,大家可以確定一件事情,都認為現在所謂的網安威脅是非常重要,而且需要在這方面做相關的充實和努力。就國防部的立場,我們的資電作戰部隊從以前的精粹案、精進案,歷經各個精簡案過程中,只有網路戰部隊的人員沒有精簡以外,還是持續增加相關的人力。
陳委員亭妃:這樣的人力就夠嗎?
胡次長延年:就我們現階段國防部的作業來講,我們也是在質和量上面做調整與提升。
陳委員亭妃:你沒有回答我的問題,其實你所說的,在你們今天的報告裡面也沒有針對今天的主題在回答,好像天馬行空一樣,就像你剛剛講的也是在天馬行空。我只有問你,為了資訊安全問題,我們怎麼建全更好的制度,你同不同意成立第四軍種?就這麼簡單的一句話。
胡次長延年:這是一個大哉問的問題,我舉個例子,在我個人來看……
陳委員亭妃:你同不同意這個方向?你對這部分應該比較瞭解的,是不是?
胡次長延年:委員剛剛講得非常好,我們就是要講專業的部分,就我個人的專業立場,我認為不管在人員編裝或組織上都需要再加強,這是歷年來我們不斷在做的。
陳委員亭妃:要加強、提升,是不是?
胡次長延年:這是我們現在一直在做的。
陳委員亭妃:怎麼做才能達到我們的目標值?不是說我們今天一直在做、陸續在做、持續在做,重點是目標值要達到什麼狀況,你的人力夠不夠?專業性夠不夠?這些都要探討的。
胡次長延年:是,這也是為什麼我們在……
陳委員亭妃:整個網路戰是日新月異,你們的能力、專業度是不是能夠達到目標值?這才是我們今天要探討的。我們為什麼要把它提升為第四軍種?就是我們認為現階段是不夠的,以目前的人力而言,大家辛苦了,要面對這麼多駭客,真的辛苦了,可是如果我們有資源能夠做加強,我們何不……
胡次長延年:當然感謝委員的支持。
陳委員亭妃:所以我才會問你們到底同不同意,我們看到民進黨提出要成立第四軍種的時候,國防部發了新聞稿間接否定。我也同意今天為了資安不分藍綠,要怎麼把它提升?我也去調了資料,依照我們的統計,2013年到2015年,資安事件每年高達350件;光今年1到4月,資安事件已經高達150件。這樣的數字成長是非常可怕的,但是你們的人力增長有像這樣的倍數嗎?有嗎?
胡次長延年:我們真的有在做相關的計畫……
陳委員亭妃:我不是說你沒有,你不要這麼激動一直防衛說你們有在做,我今天不是跟你探討你們有沒有做,我知道大家都辛苦了。
胡次長延年:謝謝委員。
陳委員亭妃:你要以有限的人力去做這麼多的事情,辛苦了!可是我要說的,你們要加強它,不是坐以待斃。
胡次長延年:是,不會。
陳委員亭妃:我只要跟你探討,從2013年到2015年,兩年的資安事件數字是350件,光今年1到4月資安事件就高達150件,倍數增長,你們的人力有倍數增長嗎?並沒有啊!
胡次長延年:其實我們很希望跟委員再做很多深入的探討,我一直強調,怎麼能夠把人員的質提升,就像剛才前面兩位委員的指導一樣,我們如何去突破……
陳委員亭妃:請問人力要不要增加?
胡次長延年:要增加。
陳委員亭妃:他們的專業度要不要增加?
胡次長延年:當然要。
陳委員亭妃:那麼,你們跟我所講的有什麼不同?
胡次長延年:我從頭到尾都沒講委員跟我們所講的有什麼不同。
陳委員亭妃:那你為什麼一直要提出辯駁呢?
胡次長延年:我沒有跟委員辯駁。
陳委員亭妃:現在你們資電作戰部的指揮官是不是少將?
胡次長延年:是。
陳委員亭妃:未來若成立第四軍種,資電作戰部的位階必然要提升,到時候資電司令部的指揮官就是上將,其他人員是否也依其職等與官階作一提升,這樣他們就比較有辦法整合全軍的頻譜資料,並支援國軍的通資安全,果能如此,方能算是真正往上提升,同時,這也是我們成立第四軍種的重點工作。
胡次長延年:我們是依據政策去執行相關的作業,而這正是委員剛才要我們不必多做爭論的部分。
陳委員亭妃:我只是要提醒你:今天成立第四軍種,未來對國內的資安是有利而且是可以提升的,這是我辦公室希望要了解的部分,因為目前資電作戰部需要檢討的地方,在你們的報告中隻字未提,本席認為有三部分需要做檢討,包括組織架構、裝備的妥善率及指管系統戰場的存活度等,都是目前亟需加以改進的部分,對不對?
胡次長延年:我們一直都有在做。
陳委員亭妃:請問目前應該改進的是不是這三項?
胡次長延年:委員的問題真的是滿深入的,其實,任何一個部隊的主官,他所要了解的部分,第一就是如何讓自己部隊所使用裝備的妥善率能越來越好,第二、在準備作戰之前,如何讓自己的指揮與管制更為順暢與適當,事實上,今天不僅是資電作戰要做這樣的準備與裝備,任何作戰的情況都要……
陳委員亭妃:也就是說,這些都是持續要做的事,因此,你們在人力、專業能力及組織架構上都要持續加強,這也是我一再強調目前資電作戰要提升的重點所在。
胡次長延年:就我的立場來說,我非常感謝委員的指導,其次,針對委員剛才指導的各點,不論人力、裝備及組織等方面,我們都在積極努力與爭取當中,再次感謝委員的指導。
陳委員亭妃:你們努力有用嗎?如果今天我們把它提升為第四軍種是不是比較好?
胡次長延年:可是所謂第四軍種,我認為它所代表的只不過是部隊編裝的一個名詞而已,我今天所要強調的是……
陳委員亭妃:如果今天你們沒有把資電作戰部整個組織架構擴大或提升,而是在現有架構下做努力,恐怕還是不夠的,這是本席一再強調的地方,如果你們不能把資電作戰組織提升為第四軍種,進而帶動整個人力、專業及設備的提升,我覺得還是會有問題的。
胡次長延年:就我個人來說,我希望委員能給我們更多的指導與壓力,事實上,我們並不在乎到底要給我們組織冠上什麼樣的名稱,而是在乎我們能呈現什麼樣的戰力在國人的眼前。
陳委員亭妃:你的意思難道是我們只要給你們壓力,不用給你們人力或是任何資源嗎?
胡次長延年:我的意思是說,未來我們會在組織、人員及裝備等各方面一起努力。
陳委員亭妃:我們現在不只是要給你們壓力,還要給你們更多可以運用的資源。
胡次長延年:謝謝委員。
陳委員亭妃:我們主要是擴大你們可以運用的資源,然後再配合現有人力的調整、專業的提升,進而將整個資安工作做得更好,這才是你們未來要努力的重點。
胡次長延年:是。謝謝委員。
陳委員亭妃:未來不論你們組織要如何擴大、名稱要如何調整,包括是不是成立第四軍種,最重要的目的就是要把現有資電作戰組織的位階往上提升,我的問題就是這麼簡單,今天我們的立場從頭到尾並沒有什麼不同,就是希望提升人力、資源及專業度,像你們在報告所說,現有組織架構必須進行調整,所以,今天我們提出成立第四軍種的方向來推動這項工作,這樣不是更好嗎?
胡次長延年:是,今天我們不分藍綠,大家朝這個方向來共同努力。
陳委員亭妃:好。最後本席還要請教海軍司令部幾個問題,最近讓本席不明白的是,海軍到底發生什麼事了?竟然連續發生因為壓力過大而自殺、為尋找第二春裝病(精神疾病)而遭到停役等事件,請問海軍現在是否真的壓力過大?
主席:請國防部海軍司令部胡副參謀長答復。
胡副參謀長展豪:主席、各位委員。其實,我們海軍官兵弟兄們就像一家人,我們共同努力、同舟共濟、同甘共苦,現役的很多官兵弟兄與姊妹們都在自己的崗位上捍衛海疆,並認真執行戰備、訓練及救災等任務,當然,仍有少部分官兵生病……
陳委員亭妃:我們並沒有否定你們海軍官兵都很認真在執行各項任務,只不過最近看到發生這麼多事情,包括因為壓力過大而自殺、為尋找事業第二春裝病而遭到停役等,請問你們是如何處理這些問題?
胡副參謀長展豪:對發生問題的各個面向,我們都會做通盤檢討。
陳委員亭妃:你們一定要做檢討,殊不知因為這些問題的發生,已讓海軍蒙上陰影,所以,拜託你們一定要做檢討,這是很重要的事。
胡副參謀長展豪:我曉得,也謝謝委員對在營弟兄的鼓勵。
主席:請呂委員玉玲質詢。
呂委員玉玲:主席、各位列席官員、各位同仁。對今天的議題,我們已討論一個上午,大家所關心的都聚焦在網路上,畢竟網路目前已被國人普遍使用,不管是公務單位或是國軍也都在使用,不過,我們到底有沒有網路的實力,以國軍來說,在網路方面的實力能否做到有效防範與攻擊?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。有關網路安全方面,我們目前維護得還好。
呂委員玉玲:請問國軍有沒有這方面的專業能力?
鄭副部長德美:在網路攻擊方面,我們覺得比較困難的原因是它沒有一個確定的對象,因為它是屬於跨國性的行為,攻擊的動機也都不一樣,有些是屬於商業性,有些則是屬於駭客個人技能的展現;當我們跟某個國家譬如跟對岸之間確定有戰爭的行動時,我們才可以在網路上採取一些攻擊的方式。
呂委員玉玲:你們對國軍本身是否具有這樣專業的能力,有沒有做過測試?
鄭副部長德美:每一次陸海空的演訓,我們第一個要做的就是資電的安全與防護。
呂委員玉玲:不論進行測試或做模擬,每一次演訓是否都做過?
鄭副部長德美:我們都有在做。
呂委員玉玲:那我就來做個測試,立法院的旁邊是台大,請問你們在多少時間內可以攻擊台大整個系統?
鄭副部長德美:對這個問題,容我請通資室胡次長跟委員做專業報告。
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。我們不會做這部分的攻擊。
呂委員玉玲:但你們可以就這部分進行模擬。
胡次長延年:我們不會模擬這個部分。
呂委員玉玲:你們為什麼不做這部分的模擬?我們想了解這整個系統,才知道要如何防守,對不對?
胡次長延年:我們會針對國軍現有系統去執行相關的滲透與測試。
呂委員玉玲:如果照你所說,對美國網路開放民眾對五角大廈進行攻擊模擬,對攻陷的民眾甚至還發給獎金,你又作何解釋?
胡次長延年:這是美國國土安全部門在做國家整體規劃時所做的模擬。
呂委員玉玲:為什麼我們就不能做這方面的模擬與測試?難道你們不敢測試自己的能力與實力?
胡次長延年:我剛才有跟委員報告,我們有針對國防部做滲透測試。
呂委員玉玲:所以,你現在的意思是不能說嗎?還是沒做過?
胡次長延年:我只能針對國防部測試,不能針對其他單位。
呂委員玉玲:可是有很多系統隱藏了木馬程式,要是不加以測試,假設外界攻擊臺鐵、股市,那怎麼辦?你們連這些情況都沒有測試,怎麼防範、怎麼守衛?
胡次長延年:謝謝委員的指導,但我也一再強調,我們是國防部,是針對國軍體系做相關防護與滲透測試。
呂委員玉玲:既然我國要成立第四軍種,就是要將人力做普遍性的配置,不只是軍事上,包括民生範疇在內也都要關心,對不對?
胡次長延年:報告委員,我在今天的報告中也特別解釋,我們在整個作業過程中,都依據行政院的指導去支援各部會的相關運作。
呂委員玉玲:現在各部會的網路、資訊全都是外包,可是外包就容易遭到入侵,難道等到被入侵了,才來找第四軍種處理嗎?次長,國家安全不只限於國與國打仗而已,也涉及國家、社會的秩序,例如股市、台鐵、醫院,這些系統如果遭到入侵、遭到攻擊,我們又連測試、防範的能力都沒有,整個社會就會動盪不安,所以,國土也有安全的問題。你這樣搪塞我,代表你們沒有根本沒有做過這種測試!你們到底有沒有這種能力?根本沒有。我真的很擔心。你們現在說要成立第四軍種,卻什麼也沒做過,沒能力、沒實力、沒專業,能做嗎?沒有結果的。何況,你們現在要編列人員、預算、經費,這些都是民脂民膏,你們卻只是拿來塞人,把各部會的多餘人力塞到這裡而已啊!根本沒有實際演練過的事,你們卻在這裡講。
請問行政院資安辦公室蕭主任,針對這方面,你們有沒有做過測試?
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。謝謝委員關心資安防護,其實我們針對三千多個機關都按照它的業務重要性分級,如果歸類為A級,就會有A級的資安防護要求,B級單位也會有B級的資安防護要求。同時,我們也加以管考,如您剛才所言,做了之後有效性如何,這必須證實,所以我們也要求他們做資安健診、滲透測試、弱點掃描等,以上是他們要自己做的部分;此外,行政院資安會報在每個年度都會進行大型網路攻防演練,也包括實兵測試。
呂委員玉玲:演練對象是誰?
蕭主任秀琴:演練對象是輪辦的,譬如說一年是中央部會,另一年就是地方政府,透過輪流辦理,讓大家都有機會接受檢視,在執行時,也會如委員所提,用實兵、也就是實際方式測試。但是,關鍵資訊基礎設施一旦出差錯會影響民生社會,因此我們會採用情境演練,這些檢視,我們都有在做。
呂委員玉玲:既然是情境,那我就比喻一下,你們有沒有測試過台大醫院?
蕭主任秀琴:對於醫療系統,我們也會抽樣一定比例來參與演練。
呂委員玉玲:那你們有沒有預估過,駭客大概多久以後就會攻陷系統?
蕭主任秀琴:這要看每個機關的情況。
呂委員玉玲:連在多少時間內會被攻陷,你們都不知道,那你們如何防範?
蕭主任秀琴:委員說「攻陷」,但倒不是每個機關都會……
呂委員玉玲:那不要說「攻陷」,說「入侵」好了。
蕭主任秀琴:其實,這幾年來,我們不論是在攻防演練或資安稽核中,都發現部分機關已有資安意識,首長又願意支持預算,大家都做了相關的加強。
呂委員玉玲:所以,目前有沒有這樣的能力?
蕭主任秀琴:如同我剛才報告的,其實我們都在執行這些工作,只是委員問的是個別機關,我比較難回答。
呂委員玉玲:不是都有測試,或是情境演練過了嗎?
蕭主任秀琴:對,但是……
呂委員玉玲:例如台鐵這麼重要,關係到我們的道路安全,還有股市安全,都需要演練。
蕭主任秀琴:是,對於這些情況,我們都會納入情境演練,以充分了解有什麼風險。
呂委員玉玲:納入了沒有、做過了沒有?
蕭主任秀琴:台鐵做過了。
呂委員玉玲:那台鐵在多少時間內會被入侵?
蕭主任秀琴:我們是協助台鐵做好防護,而不是去看台鐵能夠抵擋入侵多久。
呂委員玉玲:還是需要防護,否則遭到攻擊時怎麼辦?你必須了解,一旦遭到攻擊,你們需要多少時間才能快速建立防護網。可是你們連對方攻擊要花多少時間都不知道,怎麼防護?你們要先知道敵人的能力,才知道自己的實力到哪裡啊!
蕭主任秀琴:我們用的手法就是國際上一般駭客,或是我們所知的駭客手法,而且確實按照這些方式測試。在104年度的攻防演練中,也有機關完全沒有弱點,也就是我剛才向委員報告的,在提升資安意識之後,有些機關進步很多。
呂委員玉玲:我就是要你們知道,必須進行實務上的模擬測試與演練,才能增強自己的實力,去應對突如其來的情況。
蕭主任秀琴:有,我們都有做。
呂委員玉玲:請問國防部胡參謀次長,你說你們沒有演練,但你看看蕭主任是怎麼回答的。
胡次長延年:我解釋一下,我剛才講了兩點……
呂委員玉玲:沒有做過就是我最擔心的。
胡次長延年:我們一直針對國防部的系統做相關演練。
呂委員玉玲:所以我才告訴你,國防部應該關心整個國家、社會、國土的安全。
胡次長延年:我了解。
呂委員玉玲:這些統統都要測試,才能增強自己的實力,應對所有狀況。連美國都在做這類測試,我們也要測試啊!
我再請教一下,以ISIS的情資實力與我國比較,我們贏得過他們嗎?我們的網軍會贏過他們嗎?不能回答?如果跟大陸相較呢?所以,我們完全沒有能力,沒有專業?
胡次長延年:委員是問國防部嗎?
呂委員玉玲:是啊!把你們請出來,不問你們,會是問誰?
胡次長延年:因為在場人員還有行政院與國安局。
呂委員玉玲:你們就一一回答。
胡次長延年:是,就國防部來講,我還是要特別強調一件事,就是我們在整個國家的聯防機制之下,針對已知威脅,都會傳報與應處。也就是說,我們一旦發現有狀況,對於所有案例,我們都會馬上應處、傳報,並做相關處置。
呂委員玉玲:民進黨新政府就要執政了,也已提出第四軍種問題,但有許多內容都與美國網軍司令部現在的做法有雷同之處,包括要成立6,000人的軍力,如果一連以150人到200人計算,大概需要3、40連,有這麼多人力耶!所以,本席認為,目前國安局、國防部、資安辦公室有這麼多做法,又編制這麼多人員進來,會不會只是塞人、甚至只是排擠預算?所以,我才強調,只要我們有能力去做,現在就要先這樣做。可是我問了那麼多之後,發現你們統統沒有做。副部長,您已經要卸任了,但是新政府什麼都還不清楚、不了解,就規劃讓第四軍種成軍,本席實在非常擔心,尤其現在有軍職和文職系統,第四軍種成立之後,要聽軍職指揮還是文職?人員是軍職多?還是文職多?美國是軍職比較多,文職比較少,那我們呢?各占一半嗎?這些問題都要好好整合、檢討,才能完整處理,否則,第四軍種只是徒然編制人員,工作就是面對網軍。我們現在說要打科技戰,但是科技部也可以因應這些工作啊!畢竟科技部有這麼多博士,也可以協助這些面對網軍的工作。我希望國防部、尤其是資安辦公室在這方面要好好地、審慎地考量,因為本席對這方面非常質疑。
主席:現在休息。
休息
繼續開會
主席:現在繼續開會。
處理臨時提案。進行第1案。
1、
本院委員劉世芳等,有鑑於網軍駭客入侵和網路犯罪案件與日俱增,且恐怖主義者(如ISIS)亦與時俱進,結合網路與多種社群媒體,進行恐怖主義活動,恐嚴重影響我國國家安全。我國雖於行政院設有資通安全會報,但執行亦多委託如資策會等法人,考量國防國安等事宜之機敏性、人才招募及運用之彈性、經費來源之多樣性,建請國防部與國安局,於一個月內邀集相關部會,評估設置國防國安之法人組織之可行性評估報告,協助執行我國資通網路之國防與國安業務。
提案人:劉世芳 林昶佐 王定宇 羅致政 蔡適應 呂孫綾 陳亭妃
主席:請問各位,對於本案有無異議?
請國安局郭副局長發言。
郭副局長崇信:主席、各位委員。本局建請修正如下,由於本局組織內不能設置法人,我們剛才也向劉委員報告過,所以建議修改為「建請國防部、國安局評估設置國防、國安之組織可行性評估報告」,後面相同,各位委員是否同意如此修改,讓我們提出報告?
主席:提案人同意,本案倒數第3行修正為「建請國防部、國安局」,中間那一句刪除,接上「評估設置國防、國安之組織之可行性評估報告,協助執行我國資通網路之國防與國安業務」,也就是改為「建請國防部、國安局評估設置國防、國安之組織之可行性評估報告……」,有點拗口,而且所謂的「國防、國安之組織」是什麼意思啊?其實原本的提案內容比較清楚,是「評估、設置國防國安之法人組織」,現在改為「國防、國安之組織」,那「國防、國安之組織」指的是什麼組織?是防範駭客入侵的組織嗎?還是資訊安全組織?這個部分必須釐清,不然你們來報告就沒有意義了。
郭副局長崇信:如同剛才講的,就是整個資安組織。
主席:就是資訊安全組織或單位,是不是?
郭副局長崇信:對。
主席:改成「建請國防部、國安局評估設置國防、國安資安組織之可行性評估報告」,這樣可以吧!也就是改為「資安組織」,再提出評估報告,照修正文字通過。
進行第2案。
2、
本院委員劉世芳等,有鑑於因應作戰型態改變,網路作戰已成為「創新/不對稱」戰力之主要憑藉,國防部屬國家網路整體防護之一環,負有執行國軍資訊安全維護、培養與健全我國官、士、兵資訊人才之責。因此,資訊人才之養成培育,以及現有志願役官、士、兵之資訊教育訓練,亦是國防部之重要施政工作。爰此,建請國防部於兩週內,綜整各軍事學校、國防部及所屬單位之官、士、兵、員、生之現行資訊教育課程概況,並提供如何強化上述人員資訊技能與資安教育之評估報告,以精進國防部資安防護之素質。
提案人:劉世芳 林昶佐 王定宇 羅致政 蔡適應 呂孫綾 陳亭妃
主席:請國防部通信電子資訊參謀次長室胡次長說明。
胡次長延年:主席、各位委員。有關彙整資料的部分,能不能改為「建請國防部於一個月內,綜整個軍事學校、國防部及所屬單位之現行教育課程概況」?因為前文已經提到志願役官、士、兵之資訊教育訓練,所以我們建議,後段直接針對單位,也就是軍事院校、國防部及所屬單位之現行資訊教育課程概況做要求,不知委員是否同意?
主席:請問各位,有無異議?本案將「兩週內」改為「一個月」,後面的「官、士、兵、員、生」刪掉,對不對?
胡次長延年:是。
主席:本案修正為「綜整各軍事院校、國防部及所屬單位之現行資訊教育課程概況」,以及「兩週內」改為「一個月」後,照修正文字通過。
進行第3案。
3、
本院委員劉世芳等,有鑑於近年網軍攻擊駭客入侵和網路犯罪案件與日俱增,世界各國早已正視此議題之嚴重性,除積極研擬因應對策外,更投入大量資源組建專責單位,藉以強化國家整體網域安全。查國防部與國家安全局,皆設有專責之資通網路之相關單位,為廣納民間年輕資通網路人才,並得折抵兵役役期,爰此,建請國防部與國家安全局邀集役政署等相關單位,於一個月內完成研議資通網路替代之可行性評估報告,並送至立法院外交及國防委員會,以利招募資通網路人才,提升我國網域安全。
提案人:劉世芳 林昶佐 王定宇 羅致政 蔡適應 呂孫綾 陳亭妃
主席:請國防部資源規劃司陳司長說明。
陳司長正棋:主席、各位委員。我想向提案委員報告,替代役的類別與分發是由役政署主政,我剛才也向有關機關查證之後,發現委員提案的立意非常好,但目前除了一般研發、產業替代役已經按類別、同時依據兵役可用餘額分派以外,在今年2月25日,國發會也建議行政院成立網路替代役,而且已經建議了,當初建議的需求數量是27個機關、90個員額,行政院在4月15日核定9個機關、20員,所以,委員的關切與需求已經在替代役人員可用餘額之內做了分配,那麼,這項提案是否仍有需要?
主席:我們看看提案委員有沒有意見,司長的意思就是已經有網路替代役人員了。
陳司長正棋:未來也許可以視兵額可用餘額狀況擴大分配。
主席:請劉委員世芳發言。
劉委員世芳:主席、各位列席官員、各位同仁。我所要求的是可行性評估。國安局剛才提到,在一般招募上遭遇困難,現在行政院給你們的名額又滿少的,所以,我認為要按照現況處理,尤其是下個月開始,兵役名額或替代役名額恐怕就不是像現在這樣。所以,如果我們側重在可行性評估,而不只是折抵兵役役期的替代役,可不可以?
主席:請國防部資源規劃司陳司長說明。
陳司長正棋:主席、各位委員。折不折抵兵役期根本不是重點,重點在於網路替代役已經有了,只是員額有問題,例如國防部沒有被分配到,網路替代役只分配給科技部或其他單位,我也不知道行政院資辦有沒有,總之已經有20人分配到相關單位。但未來我們可以依據需求,以及今天討論的主題,根據替代役餘額適度做大量運用,尤其是合格人員的運用。
劉委員世芳:提案中提到國防部與國安局,但行政院原本通過分配員額的是指行政院的其他機關,國防部與國安局不包括在內,所以,是不是應該繼續研議一下?
陳司長正棋:報告委員,可行性評估的目的是決定要不要做,但現在已經獲得同意了,只是員額多少的問題,國防部也有需求,尤其未來可能有大量需求,我們希望透過網路替代役蒐集或甄選我們所需的網路人才,所以只是員額增加的問題。但我們也知道,員額能不能增加,與兵役過程中的軍事訓練完畢之後所剩的可用餘額息息相關。
劉委員世芳:我知道,因為役政署有其業務上的考量,但我還是建議要提出報告,報告裡可以納入若干行政院通過的研發替代役相關內容。他們能不能到國防部或國安局服務又是另一回事,但我現在要求的是討論可行性。
陳司長正棋:國防部已經提出需求了,我們原本有27個機關缺人。
劉委員世芳:有分配過去嗎?
陳司長正棋:這就牽涉到可用餘額問題。
劉委員世芳:請問行政院資安辦公室蕭主任,你所了解的狀況為何?我原本的提案是否需要斟酌?
主席:請行政院資安辦公室蕭主任說明。
蕭主任秀琴:主席、各位委員。其實,各部會的需求會送到行政院來彙整,也包括國防部與國安局,但我們目前有的是資訊替代役,倘若委員關心的是資通安全,那我們也許可以研議,把資通安全的替代役納為替代役種類之一。
劉委員世芳:那我可不可以把本案中的國防部與國安局改為行政院,也就是請行政院資安辦公室邀集國防部與國安局、役政署研議一下?
蕭主任秀琴:如果是資通安全的替代役……
劉委員世芳:這只是針對替代役這件事,不涉及機關業務範圍,可以嗎?
主席:有沒有問題?
蕭主任秀琴:好,我們願意做這件事,但建議改為「資通安全替代役」。
主席:請你們把文字修正一下,我們稍後再宣讀一次,請你們根據剛才的討論,把文字修正完之後交給我們。
進行第4案。
4、
本院委員劉世芳等,有鑑於網軍駭客入侵和網路犯罪案件與日俱增,資通安全即是國家安全,政府除應積極研擬對策,更需廣納入才投入,以強化國家整體網域安全。查國家安全局之特考,除招募資訊組人員外,更於103年起,增列「公職資訊技師組」,然其體格檢查、體能考試要求,皆與其他組別相同,資訊技師屬專技人才,但此種報考資格設定,不利於招募有志之優秀專業人士。爰此,建請國安局於一個月內邀集考試院協商放寬三等、四等、五等資訊組人員與三等公職資訊技師組之報考體格檢查與體能測驗標準。
提案人:劉世芳 林昶佐 王定宇 羅致政 蔡適應 呂孫綾 陳亭妃
主席:請國安局資訊室張主任說明。
張主任晏碩:主席、各位委員。因為本局只有三等、五等特考,建議將倒數第二行中之「四等」刪除;另外,從今年開始,我們的一般公職技師組已併入資訊組,並增加名額來做培訓,建議將倒數第二行「與三等公職技師組」數字刪除。以上說明。
劉委員世芳:本席不反對,但是你的修正文字唸太快了……
主席:就是刪掉「四等」及「三等公職技師組」。
劉委員世芳:為何要如此?
張主任晏碩:因為我們從今年開始擴充人力,把公職技師組的名額併到資訊組,未來在資訊組的人員主要是著重於資通安全的培訓,建議將末句修正為「三等、五等資訊組人員之報考體格檢查與體能測驗標準。」
劉委員世芳:本席說的是通案,不是就103年的部分,剛剛也有委員提到體格檢查與體能測驗標準不適用於專技人才的招募。我們現在提到三等、五等,四等部分是不是都沒問題了?
張主任晏碩:我們只有三等、五等……
劉委員世芳:你們沒有四等?
張主任晏碩:對。
劉委員世芳:所以104年、105年的招考還是只有三等、五等兩種,我了解,也同意。
主席:本案末句修正為「建請國安局於一個月內邀集考試院協商放寬三等、五等資訊組人員之報考體格檢查與體能測驗標準。」第4案修正通過。
繼續進行第5案。
5、
本院委員江啟臣等,有鑑於國防部內資電作戰指揮部招募大量資安專業人才,執行國防部資安維護工作,遂行網路作戰任務,其專業能力與傳統特種部隊並無不同。然此些專業人才退伍後,政府未再追蹤列管,後備動員等相關規定付之闕如,形成國家資安漏洞。爰此,要求國防部三個月內會同相關單位研議人員忠誠考核及管理措施,並向立法院外交及國防委員會提出專案報告,以完備國家資安工作。
提案人:江啟臣 呂玉玲 馬文君 徐志榮
主席:請國防部政治作戰局聞局長說明。
聞局長振國:主席、各位委員。本案有關忠誠考核部分,基本上這些退伍人員已經是老百姓,我們沒辦法對他做任何的忠誠考核,這已經超越我們的職權,建議將「爰此……以完備國家資安工作。」修正為「爰此,要求國防部、國安局及警政署等相關單位三個月內研議人員相關管理措施,並向立法院外交及國防委員會提出書面報告,以完備國家資安工作。」因為該案後續的管理措施可能牽涉到國安局及警政相關部門,相關人員的管理可能也比較機敏,建議用書面報告,而非專案報告的方式。
主席:局長剛剛提到國防部、國安局及警政署,總是要有一個主責機關,基本上這個單位是隸屬國防部,建議修正為「爰此,要求國防部邀集國安局、警政署三個月內研議人員相關管理措施,並向立法院外交及國防委員會提出專案報告,以完備國家資安工作。」
聞局長振國:建議用「書面報告」,因為專案報告比較公開,而且相關管理措施可能會有機敏性的問題。
主席:改成「提出報告」,如果有召委願意排案,你們還是一樣要來。
聞局長振國:是。
主席:第5案修正通過。
回頭處理第3案,第3案倒數第三行「爰此,建請國防部……提升我國網域安全。」修正為「爰此,建請行政院資通安全辦公室邀集國防部、國家安全局、內政部役政署等相關單位研議資通安全替代役之可行性評估報告,並送至立法院外交及國防委員會,以利招募資通網路人才,提升我國網域安全。」請問各位,有無異議?(無)無異議,第3案修正通過。
臨時提案均已處理完畢,繼續進行詢答。請蔡委員易餘質詢。
蔡委員易餘:主席、各位列席官員、各位同仁。本席認為未來國防部建置的第四軍種屬於網軍的概念;基本上,在美國911事件發生後,世界上的戰爭形態已經跟著改變,中國亦不斷推所謂的超限戰,就是過去的不對等戰爭,在不受任何拘束之下以小搏大,作為他們的戰爭形態。這種戰爭形態已在國際間廣泛使用,美國在波斯灣戰爭中先用資訊去癱瘓對方的金融體系或是對方的國軍網路體系。在這樣的情況下,我們要成立第四軍種,也就是網軍的建軍,請問此處指的是人的建軍,還是設備的建軍?
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。誠如委員剛剛所說的,我們是依據整個作戰需求,所謂的作戰需求就是針對威脅的環境,這裡面包含著組織、裝備、編裝。在此情況下,首先要做的就是人員的培育,先提升人的「質」,其次是「量」的提升,第三是裝備獲得。同步都需要……
蔡委員易餘:本席先不跟你討論人的部分,我要跟你討論設備部分,過去國軍一直認為國軍的網路是不會被「駭」的……
胡次長延年:報告委員,我們絕對沒有這樣認為,因為……
蔡委員易餘:因為過去一直強調國軍是區域網路,是軍網的概念,它跟民間一般的網路是脫的,換言之,國軍還是有網路線。就像本席剛剛所說的超限戰,現在的戰爭不一定會打對方的國軍,他可能先攻擊對方的金融體系、醫療體系,甚至對對方的核電廠發動網路攻擊,在此情況下,我們國軍是否要進入所謂的「民網」防衛?未來所配置的這些網軍要怎麼去建立自身的資訊安全?又要如何去防衛到民網的部分?
胡次長延年:委員的問題非常的前瞻,其實我國的資通安全會報包含財經等各方面,國防只是其中一個分組,是整個資安體系中的一環。在整個作業過程中,我們的主要任務是防護國軍的資訊系統,也同步接受資通安全會報的指導。剛才蕭主任也特別強調,我們每一年在相關的資安防護部分,都會配合政府的政策指導,對政府的網路做資安健檢、資安的滲透測試及資安的相關防護作為。
蔡委員易餘:我們現在有沒有清楚的定義,哪些單位的網路是不能被「駭」的,也就是它不能受到網路攻擊,如核電廠、金融體系等等。
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。委員指的應該是關鍵基礎設施,我們國土安全辦公室有一個完整的分類,也有完整的名冊,目前正在推動一些防護計畫……
蔡委員易餘:你剛剛指的這些安全防衛是不容駭客輕易挑戰的?
蕭主任秀琴:是。
蔡委員易餘:駭客的本質就是硬要去挑戰,在硬要挑戰的過程中,我們只在刑法第三百六十二條規定侵入他人電腦設備罪,而且還是告訴乃論,如果沒有人提告的話,國內是不是對國際駭客就完全不採取任何司法措施,任憑駭客來駭?對此,我們可有什麼樣的防備?
蕭主任秀琴:報告委員,一般駭客會透過跳板,所以也不太容易追溯到真正的源頭;追溯到之後,如何透過司法合作處理,另有一些機制。現在的困難是很難追蹤到,我們若要自保的話,第一、要有縱深防禦的觀念,各機關要把自己的資安當作柴米油鹽一般,會同資安廠商把它做好。第二、我們有一個資安科技中心,可以提供技術管理、策略上的協助,在資安會報裡,也有不同等級的因應會議或機制,必要時會啟動……
蔡委員易餘:針對這些防衛所使用的設備,我們有沒有對它的來源做管控?例如由中國提供的設備,我們認為這個部分就有被放置木馬程式的風險,對於這樣的設備,就不予採購。我們有沒有做這樣的細部規定?
蕭主任秀琴:政府機關不採購中國大陸的資訊設備,請委員放心。
蔡委員易餘:所以確定都沒有?
蕭主任秀琴:是的,沒有。
蔡委員易餘:本席認為這個部分必須要確定……
蕭主任秀琴:是,這部分我們透過政府採購……
蔡委員易餘:因為之前曾採購華為的設備,我們認為在採購中國設備的部分,如果沒有界定清楚,當我們不斷強調要將資訊安全的部分外包出去的同時,就能確定這些外包廠商不會採購到有資訊安全之虞的設備嗎?
蕭主任秀琴:這就必須在採購合約裡面明確規範,除設備、不能轉包等等……
蔡委員易餘:可是外包是給民間單位,民間單位在自己資訊的保護上,確定可以嗎?所以我一直反對我們國家把資訊安全這一塊外包出去,站在國防部、國安局的立場,應該自己來做,甚至自己研究相關軟體的應用,何必要把它外包出去?
蕭主任秀琴:報告委員,外包大概是免不了的趨勢,但我們希望是國內的廠商。我們不買中國大陸的產品,也不去委託中國大陸的廠商,甚至是陸資來台投資的這些對象,我們重要的系統都會將它排除在外,我們已經儘量做。將來還要更進一步去扶植國內的資安廠商,讓它有能力,也有核心技術可以來協助我們自己的政府及業界。
蔡委員易餘:對於未來的第四軍種─網軍,國防部的網路要如何架構?以後所謂的網軍是否不受軍網的限制?還是在某個空間裡面,可以開放給他使用任何網路?
胡次長延年:在我來看,所謂的網軍只是一個形容詞、代名詞,到現在為止,也沒有哪個國家說他們有所謂的網軍。不論是民進黨或國民黨,我們都非常感謝委員的支持,大家對資安這一塊都非常的重視。就作業方式而言,第一、要了解我們的威脅;第二、知道威脅之後,我們就能確定要如何做防禦;第三、攻擊部分原則上按照全世界……
蔡委員易餘:未來第四軍種找到的專業人才要在哪裡工作?
胡次長延年:現階段談到的網安專業人員,就在資電作戰指揮部。
蔡委員易餘:他們在那裡可以接觸到的網路,不限於軍網?
胡次長延年:他們的主要目的是防護軍網,事實上我們還是運用網際網路,否則侷限在溫室環境裡面,會更可怕。
蔡委員易餘:本席就擔心這樣啊!軍網是封閉的,如果成立網軍的話,他們管的就要包山包海……
胡次長延年:是的,委員的問題非常專業。
蔡委員易餘:謝謝。
主席:請林委員俊憲質詢。
林委員俊憲:主席、各位列席官員、各位同仁。今天討論的資通安全及網路駭客問題都無時無刻在進行,那是一個沒有聲音的戰場,也是熱戰的區塊。國軍在進行兵棋推演的時候,有沒有進行所謂的通信資訊安全、網路作戰?
主席:請國防鄭副部長答復。
鄭副部長德美:主席、各位委員。謝謝委員的專業指導;的確如您所說,網路攻擊已經是一個攻擊的態樣,無論平時或戰時。所以我們在任何的兵棋推演演練中,都將防護作為第一個演練事項。
林委員俊憲:你們都有演練嘛!本席再請教你,在正式熱戰的時候,對中共的網路攻擊,也就是資訊通信安全方面,我們大概可以抵擋多久?擋得了嗎?
鄭副部長德美:跟委員報告,實施網路攻擊是有高度機密及技術性的。很多網路攻擊是把平時的……
林委員俊憲:我再問的簡單一點,中共若進行通信攻擊、網路駭客的攻擊,多久可以癱瘓中華電信?
鄭副部長德美:這個問題,我請通資次長來做專業報告。
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。委員的問題,我沒有辦法幫中華電信答復;可是就現階來說,國軍都是採複式備援的方式……
林委員俊憲:兵棋推演應該包括各種不同的攻擊樣態。
胡次長延年:在整個兵棋推演裡面,我們有這個狀況,可是我們現在都只是談如何應處、如何復原,而不是如何被癱瘓到。
林委員俊憲:過去在民進黨時代,曾做過玉山兵棋推演……
胡次長延年:現在也有。
林委員俊憲:當時估算,大概開戰3個小時,中共就可以癱瘓中華電信。不知道現在我們的網域作戰防禦能力如何,否則3個小時臺灣的中華電信可能就會被癱瘓,你們沒有相關數字嗎?網域能力有改善嗎?
行政院資訊安全會報顯示,各級部門遭受網路駭客攻擊跟不同事件的時間點有高度關連,譬如09年臺灣就ECFA引起重大爭議時、太陽花學運時、我們國慶時或總統就職時。最近政府即將交接,新總統即將上任,是不是就是你所謂網路駭客攻擊的高峰期?最近有特別明顯嗎?
主席:請行政院資安辦公室蕭主任答復。
蕭主任秀琴:主席、各位委員。這個時段也算是,所以我們已經啟動警戒專案。
林委員俊憲:有專家說,國慶或520總統就職時,中共網路駭客攻擊特別強烈,可能想要事先瞭解蔡英文總統就職演說或是國慶演說,是不是?
蕭主任秀琴:是的。
林委員俊憲:數據上也顯示,最近我們受到網路攻擊的次數確實是來到高峰期,對不對?
蕭主任秀琴:我們從過去的經驗及累積的資料來看,確實是如此。
林委員俊憲:也有專家說,針對我們相關的惡意攻擊,譬如中共可能比較想瞭解我們政治或科技的機敏;南韓可能比較想瞭解我們產業的機密,就是所謂商業間諜;因此就有一個警告:談政治不要用微信,談產業、商業機密不要用LINE。你同意嗎?微信就不用說了,LINE這個網路通信軟體安全嗎?
蕭主任秀琴:我們最近幾年也一直在宣導公務員不要用LINE處理公務或談論公務的相關內容。
林委員俊憲:非常好。LINE也不是一個安全的通信軟體,我們在進行公務上的交流時,要特別注意相關安全。
蕭主任秀琴:是。
林委員俊憲:請問中共現在有沒有能力竊聽臺灣包括手機在內的無線通信設備?
主席:請國安局郭副局長答復。
郭副局長崇信:主席、各位委員。如果屬於下載App,然後App裡面有病毒……
林委員俊憲:包括手機啦!
郭副局長崇信:對,當然包括手機,因為手機等於一部行動電腦……
林委員俊憲:我的時間有限,中共有沒有能力竊聽?
郭副局長崇信:有。
林委員俊憲:各位都是國防部的官員或公務人員,都是國家重要幹部,時時都要有相關保密的常識,包括國內的政治偵防,過去在9月政爭馬王互鬥時,我們就發現有違法的政治偵防竊聽;剛剛國安局代表也告訴我們,中共有能力竊聽全台包括手機在內的無線通信設備。我們今天一直在講防禦,請問臺灣有沒有相關單位有能力做網路攻擊?
鄭副部長德美:這部分我請通資室胡次長報告。
胡次長延年:我們現階段是以資安防護為主。
林委員俊憲:不是你們啦!軍方有一個資電作戰指揮部,負責人是哪位?
主席:請國防部資電作戰指揮部楊指揮官答復。
楊指揮官登欽:主席、各位委員。誠如剛才次長講的,我們以防護為主,目前沒有作攻擊相關的任務。
林委員俊憲:這是機密嗎?不要客氣嘛!陸海空三軍就是作為防禦與攻擊使用,必要的時候,攻擊是最好的防禦,哪有在網路方面一路挨打、一路防守,都沒有攻擊的?在我們接到的報告中,資電作戰指揮部應該是臺灣唯一在執行網路攻擊的單位,是不是?
楊指揮官登欽:沒有錯。
林委員俊憲:那你剛才還說沒有做攻擊。
楊指揮官登欽:我是說以防護為主,沒有攻擊的任務。
林委員俊憲:臺灣也確實是世界上被列為高危險網路攻擊的幾個國家,現在來看看我們在世界的排名:在全球最受網路攻擊國家中,我們排第23名,美國當然是第1名;面對資安威脅方面,我們的全球排名由第6名升至第5名;網路惡意軟體攻擊方面,排第26名;垃圾郵件方面,排第3名;殭屍電腦方面,也排第3名。大家都知道,針對台灣的網路惡意攻擊主要都是來自中國,因此除了要不斷提升我們的防禦能力外,也要培養網路攻擊的高手,這應該是在你們資電作戰處,是不是?
楊指揮官登欽:是資電作戰指揮部。
林委員俊憲:既然是作戰,就是有守有攻,你們單位除了執行防守外,也在進行攻擊事項,這沒有什麼好客氣的,你不敢講啊?養兵千日,難道我們養兵只能用來防禦嗎?必要時也應主動攻擊。這其中最重要的當然是人才,今天有很多委員不斷關心你們招考時竟然設下一些莫名其妙的條件,剛才你們也提到會就需求作相關修正,因為有些限制實在莫名其妙,包括身高、視力、年齡等,舉例來說,國安局招考網路安全人員,去年無人來考,今年則不招考,這是為什麼?既然去年招考,就表示有缺人,結果無人報名,而今年又不考。
郭副局長崇信:我們去年是技師組有執照的沒人報名,資訊組還是有人報名,我們錄取了6人。
林委員俊憲:有技師執照還不夠,還要在公民營單位服務滿2年以上才有資格來考,聽說全臺灣只有20幾人有資格來考,這樣要去哪裡找人?我們有一位專家曾去參觀過中國相關秘密基地,他形容說他看到中國培養的駭客,有些只有十多歲,流著鼻涕沒有擦,也有理光頭的、赤腳的、穿拖鞋的、講話還會抓頭髮的,什麼樣的怪傑都有,只有臺灣的限制這麼多,怎麼會找得到人呢?人才是最重要的,不是等到檢討才要修正,現在就要改。
主席:謝謝,不及答復部分請以書面答復。
請馬委員文君質詢。
馬委員文君:主席、各位列席官員、各位同仁。新政府在國防政策藍皮書特別提到,當選後要成立所謂第四軍種,就是網軍司令部。我們有很多作法其實都是向美國學的,包括此次提出的這個政策走向,大概也是以美國為主,不過我想就這部分深入探討一下。美軍對於成立聯合網路作戰司令部是採取非常高度且謹慎的態度,譬如美國眾議院軍事委員於兩個星期前在會中推出2017年度國防授權法案草案,包括設立聯合網路作戰司令部,目前它是隸屬於美國戰略司令部的網路司令部,然後升級為單獨的聯合作戰司令部。其實美軍目前下轄9個聯合作戰司令部,有非洲司令部、中央司令部、歐洲司令部、北方司令部、太平洋司令部、南方司令部、特種作戰司令部、戰略司令部、運輸司令部,剛才講到的網路司令部本來是隸屬於戰略司令部,但因他們察覺到這個的重要性,所以希望單獨成為一個網路作戰司令部。美國所謂作戰司令部並不是另外一個軍種的概念,而是任務的屬性,今天我們新政府如果想要成立所謂第四軍種,我想還有很多面向是國防部、國安單位及相關單位要深刻檢討究竟適不適合我們台灣目前的條件及需求。
美軍的網路司令部在2009年6月就已經成立,可是歷經7年才準備升格為聯合作戰司令部。連美國都要這麼長的時間在很多面向上審慎評估,包括制度面、法制面還有很多需要考量的條件,我們可以在這麼倉促的情況下成立這樣的軍種嗎?美軍之所以這麼謹慎,其實是有很多考量,譬如網路作戰的原則還沒有成形,網路聯合作戰的經驗也不夠,因為網路作戰對人類而言是全新的領域,全世界皆然,而美國在這方面已經算是有比較長足的進步,我相信他們比任何國家都要先進,現在他們跟中國一直在這方面作些突破。網路作戰除了是全新領域外,其實是屬於軍事領域的概念,基於安全與管理層面,卻是影響政府及民間的產業,而不像以前的軍種只是有一些軍人來面對很明顯的對象,它的管理與安全層面牽涉到政府及民間,所要考量的不像大家剛剛提出來的這麼簡單。另外,它的教戰準則也還沒有確立,這涉及很多政治、法律與軍事層面的問題。
有鑑於美國這麼謹慎的態度,我們成立第四軍種的網路作戰政策是否適合?從剛才到現在,我都沒有聽到國防部自己實際的看法與作法,但這都是未來你們要承擔的。過去有很多政策,包括募兵及很多制度,在修正或倉促制定出來後所造成的後續影響及傷害,遠遠大於制度面或政策面提出的影響。
現在我想就以下幾個面向跟國防部探討:以國軍目前的組織來看,資電作戰指揮部也許是民進黨智庫所要成立第四軍種的基礎,但目前資電作戰指揮部的指揮官是少將,如果成立第四軍種,司令是上將層級,整個指揮部要增加多少編缺?國軍能增加這麼多員額嗎?尤其是將軍的員額。這樣一個單位好像至少要數千人,剛才聽到是6,000人,不知道是不是正確的數字,你們覺得可能嗎?
主席:請國防部鄭副部長答復。
鄭副部長德美:主席、各位委員。資安是國安問題,事涉甚廣,現在提升到行政院這個部分。
馬委員文君:針對編缺問題,目前資電作戰指揮部的指揮官只是少將,未來的司令如果是上將,我們有這麼多將軍員額可以編出來嗎?可以增加這麼多國軍嗎?尤其未來國軍還要裁減45,000個員額,如何增加這些人力來執行所謂網路作戰,這也是必須思考的方向。我先提出問題,相信國防部可以做一個全面性的考量。再過一個月,大家就要因應這樣的政策轉向,我覺得國防部有必要就你們的專業及執行上的問題做全面性考量後提出確切的建議。
關於員額問題,最近很多新聞報導海軍及陸戰隊有很多基層軍官疑似工作壓力而不堪負荷,他們選擇的方式包括輕生以求解脫、做精神方面的治療、或是調離原來的戰鬥單位,顯示整個國防體制上有很多問題要深刻檢討。首先,到底是精簡人力導致工作倍增?還是制度面的改革造成不良影響?抑或是年金改革讓很多軍士官兵感到未來前途茫茫?在這幾個面向尚未討論之前,最近這些問題不斷發生,任務都沒有減少,可是人力一直精簡,現在有辦法以多餘人力來應付新的編組或新的軍種的成立嗎?
另外,資電作戰指揮部目前主要負責的任務為何?
鄭副部長德美:資電防護。
馬委員文君:目前大概是全台的通信維護、網路管理及頻譜的分配運用等,未來對於網路作戰此一全新方式,第四軍種如果成立,是不是有能力執行?因為這個基礎是以資電作戰指揮部來考量的。
此外,資電部早就存在網路部隊─Tiger Team,有沒有?
鄭副部長德美:有。
馬委員文君:執行成效如何?有沒有什麼問題?
主席:請國防部通信電子資訊參謀次長室胡次長答復。
胡次長延年:主席、各位委員。資電作戰指揮部及國防部是整個國家資安防護的一環,我們除了做自己的相關滲透測試與資安健診外,也依據行政院指導,包括行政院相關攻防演練及針對各部會滲透測試做資安健診等。
馬委員文君:因為今天沒有很多時間,我要特別提出的是,我們在Tiger Team的網路部隊裡面還是有一些問題存在,並不是成立一個部隊,招牌掛上去,人員就定位,就可以執行任何事情。
另外,網路作戰在國軍台澎防衛作戰裡應該扮演什麼樣的角色?如何搭配傳統的制空、制海及反登陸作戰?如何因應、結合相關的管制、指揮作為,都是我們要考量的面向。
另外,國防部這幾年建立的資訊安全防護,軍網和民網大都採取實體隔離,雖然剛剛說不要躲在溫室裡,可是我們目前的能量建置大都如此,除了智慧型手機以外,跟民網連結的部分幾乎沒有,但為了因應募兵制,我們擋不了智慧型手機的開放,既然允許他們帶智慧型手機進來,就必須耗費很多時間在驗證上,導致每個營區都設置很多養「機」場放手機,但是大家並不知道這樣能不能做好隔離和防護,在還沒有辦法因應網路作戰的情形下,成立第四軍種,真的可以解決、面對這些問題嗎?其實,未來甚至可能變成更大的危機,因為大家並不知道募兵進來者的背景如何,以前擔心的共諜、通敵,還需透過人送達實際資訊出去,但是今天很多訊息、資訊都可以透過網路直接輸送出去,我們有沒有辦法進行有效管制?也是大家要考量的問題。
再者,台灣現在面對的是網路戰的強國─中國,在虛擬世界裡面,他們早就處於戰鬥狀態,目前連美國都還沒有站上勝利的山頭,因為他們在很多領域都遭受重大的挫敗,更何況台灣!我們有沒有能力對抗,值得大家審慎斟酌。此外,未來第四軍種和國安局的業務要如何區隔?也是大家要考慮的。
今天本席先提出這六個方向,希望國防部審慎評估。不是民進黨智庫找幾個專家學者說要成立第四軍種,我們就可以這麼輕率,不考慮任何可能面臨的問題而成立,因為台灣不比美國,美國連氣象資料都是由軍方提供給媒體的,台灣的國情、面臨的威脅跟美國完全不一樣,美國都還沒有能力做到,台灣能嗎?希望國防部秉於專業、保護政策的立場,進行通盤考量,而且要給執政黨一個更好的政策取向,這樣對未來的國家安全才有比較大的意義。
主席:接下來登記發言的邱委員志偉、盧委員秀燕、徐委員榛蔚、李委員彥秀、徐委員永明、王委員惠美、陳委員明文、賴委員瑞隆、鍾委員佳濱、蔣委員乃辛、張委員麗善、黃委員偉哲、姚委員文智及賴委員士葆皆不在場。
登記質詢委員除不在場者外,均已發言完畢,報告及答詢結束,本日會議有委員徐志榮、黃昭順、姚文智提出書面質詢,列入紀錄,並刊登公報,請相關單位以書面於兩週內答復。本日委員口頭質詢未及答復部分或要求補充資料者,請相關單位於兩週內以書面答復委員。
徐委員志榮書面質詢:
案由:本院徐委員志榮,鑑於今年520即將政權交接,依以往經驗,對岸網軍會在特殊節日、慶典,增加對我政府單位網站進行攻擊,甚至是癱瘓整個網站。為加強我政府資訊安全,避免舉行國家慶典時,政府單位網站被駭客攻擊而無法運作的窘況發生,特提出書面質詢。
一、日前「國家資通安全科技中心設置條例」在立法院遭時代力量及民進黨廢止,行政院資安辦公室是否暸解已經有資安中心人員表示要離職?如果這些人員如果離職,會有多大影響?會不會因此產生資安漏洞?
二、另鑑於今年520即將政權交接,依以往經驗,對岸網軍會在特殊節日、慶典,增加對我政府單位網站進行攻擊,甚至是癱瘓整個網站,行政院資安辦公室是否有了解最近政府單位被攻擊的次數有因520政權交接而增加?
三、為加強我政府資訊安全,避免舉行國家慶典時政府單位網站被駭客攻擊而無法運作的窘況發生,請行政院資安辦公室備妥因應措施。
黃委員昭順書面質詢:
綜觀這些年來世界各國對網路戰的研究和實戰情況,網路戰的主要體現在四個方面:駭客攻擊、病毒傳播、通道干擾、節點破壞。最近一段時期,大陸軍方媒體對網路戰做了不少評論,認為網路戰分為「全球網路戰」和「戰場網路戰」兩種,「全球網路戰」就是國家或集團圍繞和運用電腦網路進行的政治、經濟、文化、科技、軍事等鬥爭;「戰場網路戰」是指戰爭中交戰雙方圍繞和運用戰場互聯網進行的對抗。
迄目前為止;全世界尚無獨立的網軍軍種,而且正確的專業名稱應該是資電作戰,網路不過是整體軟、硬體資電作戰的一環!再者,網路運用沒有產業限制,也沒有種類之別,只是因應不同產業別據其特性而發展,同樣的,三軍自然也有不同的需求,自然沒有必要單獨另成獨立軍種,反倒是應思考的是如何整合而有力三軍聯合作戰。目前國軍資電作戰指揮部負責所有資電的作戰任務,而國軍屬國家網路整體防護的一環,應強化「隱而不顯、軍民不分」的全民總體戰爭,及建構國軍核心能量、捍衛數位疆土為努力的目標。
本席請教國防部:
一、報載新政府的國防政策幕僚淡江教授陳文政訪美時表示,將籌備以資電為主的第四軍種,最快2019年成立、2024年全面運作,整個部隊人數約6千人,該軍種司令的位階比照三軍各軍種的上將司令。是否請說明相關?
二、國防部現況已有資電指揮部,若真要再成立第四軍種,請問戰略著眼為何?在國軍一再精簡編裝及人員的政策下,是否反易生疊床架屋的現象?
三、國防部現行所謂「網軍」部隊,是一正式的編制?還是任務編組的賦予?所執行的任務具體目標為何?
四、目前志願役的招募逐漸上軌道,但是專業性的軍士官還是不足,請問如果成立第四軍種,國防部在招募上覺得有信心能招募到需要的人才嗎?
五、大陸近年來熱衷於網路駭客的發展,甚至已經成為國際公敵,請問政府對於我方資訊保護做得如何?此外對於陸方的情資掌握度如何?
姚委員文智書面質詢:
1.2011年7月,美國國防部發表網路作戰戰略白皮書,明確定義「來自其他國家之網路駭客攻擊,視為國土入侵之行為。」除了將傳統的領海、領土、領空以及太空權列入外,更將網際網路空間定義為「國土防衛」的一部分。北約組織於2014年的聯合會議中,亦定義網路攻擊乃是針對現代化社會的攻擊行為。請問,目前我國對「國土防衛」的定義,是否將「網際空間」視為我國之「國土範圍」?
根據NORSE全球攻擊統計地圖,以及根據防毒軟體公司賽門鐵克的統計數據顯示,台灣為網路駭客攻擊之重災區;而絕多數攻擊來源正是中國。我國是否應將針對「網路攻擊」視為「國土安全威脅」的一部分?
2.根據全球網際安全專家聯盟(CLOUDSEC)的事件通報統計,從2013年至2015年7月共計進行376次事件處理專案,共計調查了1,997台受害主機,其中以政府機關佔47%最高,高科技製造業19%排名第二,另根據趨勢科技實際執行資安鑑識服務的統計,攻擊潛伏時間(由攻擊被發現時間到可追溯的最早駭客足跡發生點)平均為559天,政府機關平均為791天,明顯高於平均值,甚至最大入侵時間有高達2486天者。請問資安辦主任,根據國內政府機關委外資安健診的結果,是否有發現上述之情形,平均之攻擊潛伏時間多久,最長者又是多久呢?
3.以色列為因應現代化多變的恐怖攻擊行動,由MOSSAD情報局於2009年啟動跨部門協同防禦機制。根據數據統計,從1988年發生第一此自殺炸彈客攻擊事件後,至2008年間總計有804人因自殺炸彈攻擊事件而喪生。但在MOSSAD情報局啟動協同防禦機制後,2009年到2015年間,因自殺炸彈喪生人數為0。根據前情報局長的非公開場合發言得知,MOSSAD情報局透過網路協同情報蒐集系統,每年約成功阻擋200起攻擊事件。請教國防部、國安局、資安辦以及警政署,是否有上述的跨部會協同防禦能力?跨部門間如何整合、分享情報?
4.台灣現階段高度依賴外來勞工的勞力貢獻,根據內政部移民署統計資料顯示,截至今年3月底止,在台灣行蹤不明的外勞總人數為51,427人,其中印尼排名第二,總人數為22,836人。根據印尼官員表示,已經有遭到IS組織洗腦的外勞進入台灣。我國作為一個亞洲自由、民主國家之典範,是否會成為IS洗腦的外勞組織攻擊之對象?應由何單位來進行掌握?
5.防禦性反擊作為阻止相關外部駭客攻擊是重要手段,現階段依照各組織間的作業情形,我國遭受到短時間、無前兆性、針對廣泛目標的大規模網路攻擊行動時,由誰負責下令進行防禦性反擊?如何決定反擊程度?反擊手段由誰制定?
主席:今日會議到此結束,散會。
散會(12時44分)