政府網站使用https比率僅11.2%,恐危及整體國家資安環境
- 發布單位:TWCERT/CC
- 更新日期:2019-03-23
- 點閱次數:634
1.在資訊安全已經被列為國安層級的議題之下,政府機關相關的資安問題就備受各界重視。5日「立法院數位國家促進會」召開記者會表示,政府網站使用https(超文本傳輸安全協議)的比例過低,恐對政府資訊安全問題造成嚴重的漏洞。
「立法院數位國家促進會」會長余宛如表示,由於https能保護網頁在傳輸過程中不被變造,使得政府資訊不容易在傳輸過程中被竄改,但是,台灣的1,089個政府網站中,使用https的比率過低,僅有11.2%,其中更更包括總統府、國安局、外交部的網站皆未使用https。由於http為傳輸網頁的規格,而https則是在http架構上額外採用加密演算法,使網頁在傳輸過程中有受到保護,讓有心人無法在傳輸過程中擷取網頁並進行竄改。換言之,https是在傳輸過程中,為資訊加上一層信封;而沒有使用https,就彷彿寄發明信片般,每個接觸到的人都有機會閱讀,甚至進行惡意竄改,因此,https可以說是最基本的網站資安防護措施。
目前,同樣主掌國家安全、國際事務的國安局、外交部的相關網站均未使用https。而且,根據紀錄,2016年國安局被駭客攻擊超過63萬次,比2015年大幅成長的情況下,國安局還尚未使用https,這對於將來面對駭客的攻擊,恐怕造成更令人擔憂的後果。行政院雖然有訂定計畫,要在2018年的12月底將所有政府網站皆更新為https,但這樣的期限,在腳步快速的數位時代,實在應該提早至2017年12月底完成。
余宛如進一步表示,根據調查,政府使用 https 的比率不僅過低,僅有11.2%,而且調查中的安全指標等級,由安全到不可信任,分為A到T級的結果。其中,台灣雖然有67%的機關在防護最高的A級,但是做為國家安全掌門人的國防部,安全等級僅有B級,而科技龍頭的科技部網站在10月份改版前,更是僅達到防護最低的T級;至於總統府,則更是除了總統信箱外,皆未使用 https。國發會資訊管理理處處長潘國才、行政院資安處副處長徐嘉臨皆表示,目前行政院確實訂定相關的規畫,並將盡可能將時程縮短。國發會更將在2018年開始把https納入網站盤點的檢核項目中,也有提供諮詢專線供各單位詢問。科技部資訊處處長薛大勇則表示,科技部新版網站近期上線,已經針對資安部分做出多項改善,將來來也會依照建議「立法院數位國家促進會」,再朝網站資訊設計、使用者體驗優化等方向再強化。國防部通次室資安處代處長廖述煌則表示,國防部的資訊安全絕對會努力往A級前進。
https並非高深的技術,卻足以造成政府資訊被竄改成假新聞等嚴重威脅公共安全的議題,但這方面並沒有專業單位來協助所有部會,進行判斷與統合;而且,國防部本次還是第一次參加資訊安全相關的記者會,更顯示出國家資訊長立法,建立政府具備整合性的資訊掌門人的重要性。
參考連結:
http://technews.tw/2017/10/05/https-taiwan-government/