{"error":false,"id":["156875"],"data":{"IVOD_ID":156875,"IVOD_URL":"https://ivod.ly.gov.tw/Play/Clip/1M/156875","日期":"2024-11-14","會議資料":{"會議代碼":"委員會-11-2-35-13","會議代碼:str":"第11屆第2會期外交及國防委員會第13次全體委員會議","屆":11,"會期":2,"會次":13,"臨時會會次":null,"種類":"委員會","委員會代碼":[35],"委員會代碼:str":["外交及國防委員會"],"標題":"第11屆第2會期外交及國防委員會第13次全體委員會議"},"影片種類":"Clip","開始時間":"2024-11-14T09:54:31+08:00","結束時間":"2024-11-14T10:03:29+08:00","影片長度":"00:08:58","支援功能":["ai-transcript","gazette"],"video_url":"https://ivod-lyvod.cdn.hinet.net/vod_1/_definst_/mp4:1MClips/978646e8c8251f3b369f0a1cd9bb126fa754e2511c44c3ef5ae72a34e051796e50fc6cff46c367e65ea18f28b6918d91.mp4/playlist.m3u8","委員名稱":"沈伯洋","委員發言時間":"09:54:31 - 10:03:29","會議時間":"2024-11-14T09:00:00+08:00","會議名稱":"立法院第11屆第2會期外交及國防委員會第13次全體委員會議【含秘密會議】（事由：審查114年度中央政府總預算案關於國家安全局收支公開及機密部分。（僅詢答））","transcript":{"pyannote":[{"speaker":"SPEAKER_00","start":0.03096875,"end":2.0559687500000003},{"speaker":"SPEAKER_01","start":4.1822187500000005,"end":4.40159375},{"speaker":"SPEAKER_00","start":9.31221875,"end":55.853468750000005},{"speaker":"SPEAKER_01","start":56.29221875,"end":119.32034375},{"speaker":"SPEAKER_00","start":79.71471875,"end":79.79909375000001},{"speaker":"SPEAKER_00","start":111.99659375,"end":112.58721875},{"speaker":"SPEAKER_00","start":119.42159375000001,"end":223.65846875000003},{"speaker":"SPEAKER_01","start":167.81909375,"end":168.20721875},{"speaker":"SPEAKER_01","start":187.20846875,"end":187.59659375},{"speaker":"SPEAKER_01","start":221.75159375,"end":221.93721875000003},{"speaker":"SPEAKER_01","start":223.65846875000003,"end":223.70909375000002},{"speaker":"SPEAKER_00","start":223.70909375000002,"end":223.79346875000002},{"speaker":"SPEAKER_01","start":223.79346875000002,"end":266.58846875},{"speaker":"SPEAKER_00","start":229.12596875000003,"end":229.27784375000002},{"speaker":"SPEAKER_00","start":232.24784375000002,"end":232.29846875},{"speaker":"SPEAKER_00","start":237.59721875000002,"end":237.66471875000002},{"speaker":"SPEAKER_00","start":243.95909375000002,"end":245.22471875000002},{"speaker":"SPEAKER_00","start":247.31721875000002,"end":247.70534375000003},{"speaker":"SPEAKER_00","start":251.06346875000003,"end":251.09721875000002},{"speaker":"SPEAKER_00","start":251.13096875000002,"end":251.23221875000002},{"speaker":"SPEAKER_00","start":262.01534375,"end":262.40346875},{"speaker":"SPEAKER_00","start":266.68971875,"end":274.30034375},{"speaker":"SPEAKER_00","start":274.62096875000003,"end":285.25221875},{"speaker":"SPEAKER_01","start":275.27909375,"end":275.71784375000004},{"speaker":"SPEAKER_01","start":278.51909375,"end":278.82284375},{"speaker":"SPEAKER_01","start":284.25659375000004,"end":329.85284375000003},{"speaker":"SPEAKER_00","start":298.43159375000005,"end":298.88721875000005},{"speaker":"SPEAKER_00","start":311.88096875,"end":312.23534375},{"speaker":"SPEAKER_00","start":313.97346875,"end":314.31096875000003},{"speaker":"SPEAKER_01","start":330.10596875000005,"end":333.22784375000003},{"speaker":"SPEAKER_00","start":332.78909375,"end":333.17721875},{"speaker":"SPEAKER_00","start":333.22784375000003,"end":364.34534375000004},{"speaker":"SPEAKER_01","start":362.30346875000004,"end":362.57346875},{"speaker":"SPEAKER_01","start":363.63659375000003,"end":364.32846875},{"speaker":"SPEAKER_01","start":364.34534375000004,"end":365.00346875},{"speaker":"SPEAKER_00","start":365.00346875,"end":488.14034375000006},{"speaker":"SPEAKER_01","start":414.75096875,"end":415.12221875},{"speaker":"SPEAKER_01","start":443.74221875,"end":444.07971875000004},{"speaker":"SPEAKER_01","start":453.27659375,"end":453.85034375000004},{"speaker":"SPEAKER_01","start":488.14034375000006,"end":532.4878437500001},{"speaker":"SPEAKER_00","start":490.51971875000004,"end":490.73909375000005},{"speaker":"SPEAKER_00","start":498.28221875,"end":498.56909375000004},{"speaker":"SPEAKER_00","start":504.03659375,"end":505.25159375000004},{"speaker":"SPEAKER_00","start":505.62284375,"end":505.75784375},{"speaker":"SPEAKER_00","start":515.54534375,"end":515.79846875},{"speaker":"SPEAKER_00","start":520.42221875,"end":520.87784375},{"speaker":"SPEAKER_00","start":523.13909375,"end":523.9153437500001},{"speaker":"SPEAKER_00","start":528.62346875,"end":528.9272187500001},{"speaker":"SPEAKER_00","start":532.55534375,"end":537.71909375},{"speaker":"SPEAKER_00","start":537.9384687500001,"end":537.9722187500001}],"whisperx":[{"start":0.33,"end":1.013,"text":"謝謝主席 邀請局長"},{"start":9.669,"end":38.03,"text":"謝謝主席 沈委員早這個我就直接從預算開始因為今天最主要是預算的詢答時間應該沒那麼多啦那這個剛好是前幾天的這個新聞所以把它放在這一邊是這個第三季的數據它包含這些資安供給是全球的這個平均招供給的次數那裡面包含包含台灣那剛剛羅委員其實也有提到相關的這個預算所以這個部分我就不多說但目前的政府與軍事機構以台灣來講的話平均每週是五千多次"},{"start":39.011,"end":41.813,"text":"﹚立法院第11屆第12會期外交及國防委員會第13次全體委員會第13次全體委員會"},{"start":56.703,"end":78.853,"text":"事實上對於治安的委管是本局長期以來非常重視的一項工作的業務也感謝大院的支持我們大概在過去這幾年在治安投注上的經費是有逐漸的在增加主要的目的就是在提升我們治安防護的能力剛剛羅委員也注意到了本局在這方面的防護能力讓駭客的攻擊所達到的紀錄是零"},{"start":80.093,"end":102.406,"text":"主要原因是我們所架設的一個網路環境就駭客比較有專業背景的經驗來看的話他們會知道要攻擊本局的一個相關的網站網頁難度會比較高那就剛剛委員所呈現的數據來講大概在過去這陣子的過程當中很多駭客侵害的對象已經慢慢地從政府機關轉移到民間或研究機構"},{"start":103.166,"end":118.857,"text":"而且過程當中除了我們高度關注的apt的高階駭客攻擊以外的攻擊似乎變成是這一陣子主要的一個趨勢那也才會委員在數字呈現上發現那個次數似乎有不斷增加的趨勢大概背景是這樣子"},{"start":119.537,"end":141.207,"text":"對,然後因為我發現在預算書這一面,就是除了這一頁以外,就是這上面,就是維持資安人員專業的這個證照比率,那當然它是有這個有某種程度的達成,我覺得這沒有問題。但是我這邊要提醒一下就是說,我們傳統的資安在講這些紅隊的演練啊什麼等等之類的,它確實我覺得目前不管是國安局還是國防部在這一方面加強是很多。"},{"start":141.807,"end":163.704,"text":"但是從去年開始有一個數據我覺得是令人比較擔心這是全世界的數據就是目前來講在公司內部直接的竊取機密或者在公司內部他可能插一個USB然後直接讓他中毒或者他做了某些事情配合外部的攻擊他們說現在已經快超過50%了也就是說現在我們在做紅隊演練的時候必須要把這個加進去"},{"start":168.347,"end":183.701,"text":"在這一個相關的這個數據裡面就有看到目前以歐盟跟美國來講他們的平均值大概一年一家公司是花4000萬到5000萬只做內部就是只管內部控管這件事情就是內部的人譬如說他的背景的調查"},{"start":184.421,"end":212.579,"text":"還有現在很多根本就禁止你使用USB就是NIST就是之前在做那一個AI評比的那一個他們在去年的時候有公布了一個標準應該是2022就有了啦那去年有在把它最佳化它有一個標準就是說我們對內人員的一個管控那當然我覺得以國安局來講對內人員的管控本來就有在做但是它配合資安的對內人員的一個管控這是一個新東西所以呢我就想說這邊有講說資安人員的專業證照啦"},{"start":213.92,"end":231.819,"text":"因為這個專業證照還沒有包含到內部威脅那我在想說國安局搞不好可以先做做給其他部會看就是把這個東西也把它納入這部分有跟委員報告一下資安的部分一來是資安本身硬體的部分再來就是涉及到資安的人安的部分"},{"start":232.519,"end":250.752,"text":"在經費的投注上我們當然花很多的經費來強化我們在硬體部分的一個建置那在人安的部分我們除了硬體上的實體隔離以外也都嚴格的禁絕我們的同仁攜帶個人的USB或相關連接電腦的設備進入營區所以我們在營區的門口是有相關的管制作為這大概是第一部分"},{"start":251.192,"end":252.313,"text":"尤其這種行為模式的分析現在反而變得很紅"},{"start":269.944,"end":284.255,"text":"所以就是說這幾年如果國安局在行為模式的分析有什麼經驗的話應該能夠給其他的國安的尤其因為現在情報部門多嘛對不對就是把這樣的機制給他們然後讓他們在編列預算的時候能夠把這一個相關的教育訓練也拿進去"},{"start":285.095,"end":300.489,"text":"這部分也跟委員說明報告一下因為就國安局來講我剛才跟羅美玲委員在做說明的是那我們除了去注意我們自己本身局內的治安以外我們對於除了國安局以外還有11個情報機關對於他們的資訊安全我們也非常重視"},{"start":301.069,"end":328.919,"text":"那這部分我們一方面是透過教育訓練或聯合工坊演練的方式來提升他們的能量我沒有記錯的話在未來這兩年三年應該培訓我們國安團隊的資安人員可以達到3000人次以上那另外一部分是在經費的補助我們也會去了解一下我們相關國安團隊的資安環境到底有沒有需要再測進的地方那有必要的話在硬體設備還有在相關的技術經驗的分享上經費的"},{"start":330.219,"end":335.543,"text":"國安局在這方面的預算有可能不一定夠,所以這個就是等到我們在講細部預算的時候,我們比如說先把這個專業證照這個部分先把新標準放進去,這是一定本來就要做,而且這跟本來局內在做的事情是一致的。"},{"start":355.84,"end":370.942,"text":"接下來就是我們可能可以去看一下國外花這個四五千萬到底他們是花在哪一些部分哪一些是局裡面還缺的我覺得可以在細項的時候我們來討論這件事情這個我就先要跳過這個就是我剛剛講的NIST的一些新標準這個我都先跳過一下"},{"start":371.863,"end":400.723,"text":"現在目前來說除了我剛剛講的就是不管是教育的訓練、內容等等之類現在目前美國是有這個NITTF英國是CPNI那歐盟是透過這個NIS2的這個指令所以他們都有一些特殊的一些資安治理架構那這個東西呢的確稍微還是比較新一點我在跟各個這個大公司尤其是美國的大公司的資安長在討論的時候他們說這不是只有在國安單位缺樓現在連有些企業做得到還不夠"},{"start":401.503,"end":429.669,"text":"所以這個是未來的大方向所以這一個部分我想會在下一個年度的時候我們可能會對不管是國安局國防部要求就它可能甚至需要有一些應變小組啊什麼等等之類的在內部做創設那接下來我還有另外一件事情我剛剛突然想到就是因為雖然今天我們沒有國土辦就是關鍵基礎設施但因為關鍵基礎設施跟國安局還是有非常強的關係但因為關鍵基礎設施我們現在人力是有不足的"},{"start":429.969,"end":453.362,"text":"他面臨的狀況跟國防部有點類似人力不足我覺得國安局還好但是那個關聯基礎設施會那他們人力不足的時候呢他們會更多時候去找廠商那他一旦找廠商之後呢廠商有沒有符合我們剛剛那些規範那完全是另外一件事了就像我們剛剛講我們教育訓練什麼對其他的情報機關會去協助這個都有但廠商未必有這個能力有些廠商他也不夠大他甚至有些他只是比如說保全公司"},{"start":453.902,"end":478.875,"text":"那他如果對因為他們畢竟譬如說他在巡邏關鍵基礎設施啊他一定會有一些機密啊他的那個他每天的班表啊什麼等等之類的這個有時候呢從與其從外部駭客攻擊我看直接找這個保全公司大概機密就可以洩露了所以這個有可能必須也要國安局要嘗試去協助就是說我們在契約訂定上面我們可能沒辦法直接做這個公司但是假設我們的關鍵基礎設施有外包的"},{"start":479.375,"end":504.233,"text":"他外包的那一個契約上面有一些標準的要求是不是可以一致的就是我們局裡面做到的要求我們在契約上要求其他廠商也做到這樣這部分我們可以來提供給其他部會來參考那我想委員很正確的提出來了就關鍵基礎設施的維護現在可能有很多單位都非常重視偽商那這偽商的部分假如說在資安管理的授權權限過高的話他很有可能會造成一些資安疑慮的問題"},{"start":505.714,"end":532.257,"text":"那另外怎麼樣透過契約的方式來讓廠商這個部分有更大的一個權責必須要負起相關治安外卸的責任這部分可能契約要來加強那再來就是相關的委外的廠商他有沒有涉入背景的查查那這在我們國安單位我們向來是列為最優先的工作但這部分在政府其他單位感覺上這方面的知覺還不太夠那這部分我們在提醒各單位應該要來注意這部分的重要性"},{"start":532.577,"end":535.906,"text":"好沒問題我們就希望不要再有案例的發生這個我們之後再來多討論因為時間關係"}]},"gazette":{"lineno":245,"blocks":[["沈委員伯洋：（9時54分）謝謝主席，有請局長。"],["蔡局長明彥：沈委員早。"],["沈委員伯洋：局長早。我就直接從預算開始，因為今天最主要是預算的詢答，時間應該沒那麼多，這剛好是前幾天的新聞，所以把它放在這邊，是有關第三季的數據，這些是全球各組織每週平均遭資安攻擊的次數，那裡面當然包含臺灣。剛剛羅委員其實也有提到相關的預算，所以這個部分我就不多說，但目前的政府與軍事機構，以臺灣來講的話，平均每週是五千多次啦，所以數目當然是非常的高。我目前看到在我們預算書的第3頁，強化資安的維管工作，因為我自己跟資安是比較有關係，但我想先問一下，目前這個資安維管工作的進度為何？"],["蔡局長明彥：事實上，對於資安的維管是本局長期以來非常重視的一項工作業務啦，也感謝大院的支持，我們大概在過去這幾年，在資安投注上的經費有逐漸的在增加，主要的目的就是在提升我們資安防護的能力。剛剛羅委員也注意到了，本局在這方面的防護能力讓駭客攻擊的紀錄是零啦，主要原因是我們所架設的一個網路環境，就駭客比較有專業背景的經驗來看的話，他們會知道要攻擊本局相關的網站、網頁難度會比較高。就剛剛委員所呈現的數據來講，大概過去這陣子，很多駭客侵害的對象已經慢慢的從政府機關轉移到民間或研究機構，而且過程當中，除了我們高度關注的APT高階駭客攻擊以外，DDoS的攻擊似乎變成是這一陣子主要的一個趨勢，因此委員在數字呈現上才會發現次數似乎有不斷增加的趨勢，大概背景是這樣子。"],["沈委員伯洋：對，因為我發現在預算書這一面，除了這一頁以外，這上面它是維持資安人員專業的證照比率啦，當然它是有某種程度的達成，我覺得這沒有問題。我這邊要提醒一下，我們傳統的資安在講這些紅隊的演練等等之類的，我覺得確實目前不管是國安局還是國防部，在這一方面是加強很多。但是從去年開始，有一個數據我覺得是令人比較擔心，這是全世界的數據，就是目前來講，在公司內部直接的竊取機密或者在公司內部可能插一個USB直接讓它中毒，或者他做了某些事情配合外部的攻擊，他們說現在已經快超過百分之五十了。也就是說現在我們在做紅隊演練的時候，必須要把這個加進去……"],["蔡局長明彥：是。"],["沈委員伯洋：我在這一個相關的數據裡面就有看到，目前以歐盟跟美國來講，他們的平均值大概一年一家公司是花4,000萬到5,000萬只做內部，就是只管內部控管這件事情，就是內部的人，譬如說他背景的調查，還有現在很多根本禁止你使用USB。像NIST，就是之前在做AI評比的那一個，他們在去年的時候有公布了一個標準，應該是2022就有了啦，去年有再把它最佳化，它有一個標準就是對內人員的一個管控。當然，我覺得以國安局來講，對內人員的管控本來就有在做，但是它配合資安的對內人員的一個管控，這是一個新東西。","所以我就想，這邊有講資安人員的專業證照，因為這個專業證照還沒有包含到internal threats，就是內部威脅，我在想國安局搞不好可以先做，做給其他部會看，就是把這個東西也把它納入啦！"],["蔡局長明彥：有，這部分有，跟委員報告一下，資安的部分，一來是資安本身硬體的部分，再來就是涉及到資安的人安的部分，在經費的投注上，我們當然花很多的經費來強化我們在硬體部分的一個建置；在人安的部分，我們除了硬體上的實體隔離以外，也都嚴格的禁絕我們的同仁攜帶個人的USB或相關連接電腦的設備進入營區，所以我們在營區的門口是有相關的管制作為，這大概是第一部分。","第二部分，是因為本局有一個特殊的儀測機制，對於同仁假如有相關違規違紀部分，透過儀測的過程，也可以知道哪些同仁可能有這樣的一個行為。所以我們是透過多管齊下的方式，來確保我們資安跟人安的安全。"],["沈委員伯洋：對，尤其這種行為模式的分析現在反而變得很紅，所以這幾年，如果國安局在行為模式的分析有什麼經驗的話，應該能夠給其他國安單位，尤其現在情報部門多嘛，對不對？就是把這樣的機制給他們，然後讓他們在編列預算的時候，能夠把這一個相關的教育訓練也拿進去。"],["蔡局長明彥：有，這部分也跟委員說明報告一下，就國安局來講，我剛才也跟羅美玲委員做說明，我們除了注意自己本身局內的資安以外，除了國安局以外，還有11個情報機關，對於他們的資訊安全我們也非常重視。這部分我們一方面是透過教育訓練或聯合攻防演練的方式來提升他們的能量，我沒有記錯的話，在未來這2年、3年，培訓我們國安團隊的資安人員應該可以達到3,000人次以上；另外一部分是在經費的補助，我們也會去瞭解一下相關國安團隊的資安環境到底有沒有需要再策進的地方，有必要的話，在硬體設備還有在相關技術經驗的分享上、經費的投注上，我們都有在協助我們其他的國安單位。"],["沈委員伯洋：這邊我們就不講預算的細項，但是就像我講的，現在各公司，尤其是大公司，大概平均一年花4,000萬到5,000萬只做這個internal threats，我相信國安局在這方面的預算有可能不一定夠，所以等到我們在講細部預算的時候，譬如說專業證照這個部分，先把新標準放進去，這是一定本來就要做，而且這跟本來局內在做的事情是一致的。"],["蔡局長明彥：是。"],["沈委員伯洋：接下來就是我們可能可以去看一下國外花4,000萬、5,000萬到底是花在哪些部分，哪些是局裡面還缺的，我覺得可以在細項的時候來討論這件事情。"],["蔡局長明彥：好，這我們再來注意。"],["沈委員伯洋：另外這個就是我剛剛講的NIST的一些新標準，我都先跳過一下。目前來說，除了我剛剛講的，不管是教育的訓練、內容等等之類，目前美國是有這個NITTF、英國是CPNI、歐盟是透過NIS 2的這個指令，所以他們都有一些特殊的資安治理架構，這個東西的確還是稍微比較新一點。我在跟各個大公司，尤其是美國大公司的資安長在討論的時候，他們說這不是只有在國安單位缺漏，現在連有些企業做的都還不夠，這個是未來的大方向。所以這一個部分我想會在下一個年度的時候，我們可能會對不管是國安局或國防部要求，就是它可能甚至需要有一些應變小組什麼等等之類的，在內部做創設。","接下來我還有另外一件事情，我剛剛突然想到，雖然今天我們沒有國土辦，因為關鍵基礎設施跟國安局還是有非常強的關係，但關鍵基礎設施我們現在人力是不足的，它面臨的狀況跟國防部有點類似，人力不足我覺得國安局還好，但是關鍵基礎設施會。當他們人力不足的時候，他們會更多時候去找廠商，一旦找廠商之後，廠商有沒有符合我們剛剛那些規範，那完全是另外一件事。"],["蔡局長明彥：是。"],["沈委員伯洋：就像我們剛剛講，我們教育訓練對其他的情報機關會去協助，這個都有，但廠商未必有這個能力，有些廠商它也不夠大，甚至譬如有些只是保全公司，他們畢竟……譬如說它在巡邏關鍵基礎設施，它一定會有些機密，例如每天的班表等等之類的，這個有時候與其從外部駭客攻擊，我看直接找這個保全公司大概機密就可以洩露了。所以這個有可能國安局也必須要嘗試去協助，就是我們在契約訂定上面，我們可能沒辦法直接做這個公司，但是假設我們的關鍵基礎設施是有外包的，它外包契約上面有一些標準的要求，是不是可以與我們局裡面做到的要求一致，我們在契約上要求其他廠商也做到這樣？"],["蔡局長明彥：這部分我們可以提供給其他部會來參考，我想委員很正確的提出來，就關鍵基礎設施的維護，現在可能有很多的單位都非常重視委商，假如在資安管理的授權權限過高的話，他很有可能會造成一些資安疑慮的問題。另外，怎麼樣透過契約的方式，讓廠商有更大的一個權責，必須要負起相關資安外洩的責任，這部分可能契約要來加強。","再來，相關委外的廠商有沒有涉入背景的查察，這在我們國安單位向來是列為最優先的工作，但這部分在政府其他單位，感覺上這方面的知覺還不太夠，我們再提醒各單位應該要來注意這部分的重要性。"],["沈委員伯洋：好，沒問題，我們就希望不要再有案例發生，這個我們之後再來多討論。"],["蔡局長明彥：好。"],["沈委員伯洋：因為時間關係，謝謝。"],["蔡局長明彥：好，謝謝沈委員。"],["沈委員伯洋：謝謝主席。"],["主席（洪委員申翰代）：謝謝，接下來下一位請王定宇委員。"]],"agenda":{"page_end":100,"meet_id":"委員會-11-2-35-13","speakers":["王定宇","羅美玲","黃仁","馬文君","沈伯洋","洪申翰","徐巧芯","陳冠廷","賴士葆","林憶君","陳永康","林楚茵"],"page_start":71,"meetingDate":["2024-11-14"],"gazette_id":"1139901","agenda_lcidc_ids":["1139901_00003"],"meet_name":"立法院第11屆第2會期外交及國防委員會第13次全體委員會議紀錄【含秘密會議】","content":"審查114年度中央政府總預算案關於國家安全局收支公開及機密部分（僅詢答）","agenda_id":"1139901_00002"}}},"supported_relations":[],"relations":[]}