政府網站使用 https 比率僅 11.2%,恐危及整體國家資安環境

作者 | 發布日期 2017 年 10 月 05 日 18:45 | 分類 網路 , 資訊安全 follow us in feedly

資訊安全已被列為國安層級的議題之下,政府機關相關資安問題備受各界重視。5 日「立法院數位國家促進會」召開記者會表示,政府網站使用 https(超文本傳輸安全協議)的比例過低,恐對政府資訊安全問題造成嚴重漏洞。




「立法院數位國家促進會」會長余宛如表示,由於 https 能保護網頁在傳輸過程中不被變造,使政府資訊不容易在傳輸過程被竄改,但台灣 1,089 個政府網站,使用 https 的比率過低,僅有 11.2%,甚至總統府、國安局、外交部的網站皆未使用 https。在資訊世代,政府應致力於提升政府網站和資訊系統的安全性。

余宛如進一步表示,根據調查,政府使用 https 的比率不僅過低,僅有11.2%,且調查中的安全指標等級,由安全到不可信任分為 A 到 T 級,台灣雖有 67% 的機關在防護最高的 A 級,但身為國家安全掌門人的國防部,安全等級僅有 B 級,科技龍頭的科技部網站 10 月改版前,更是僅為防護最低的 T 級;至於總統府,除總統信箱外,皆未使用 https。

由於 http 為傳輸網頁的規格,https 則是在 http 架構上額外採用加密演算法,使網頁在傳輸過程受到保護,讓有心人無法在傳輸時擷取網頁並竄改。換言之,https 是在傳輸時為資訊加上一層信封;沒有使用 https ,就彷彿寄明信片,每個接觸到的人都有機會閱讀,甚至惡意竄改,https 可說是最基本的網站資安防護措施。

同樣主掌國家安全、國際事務的國安局、外交部相關網站均未使用 https。根據紀錄,2016 年國安局被駭客攻擊超過 63 萬次,比 2015 年大幅成長,國安局還未使用 https,這對將來面對駭客攻擊,恐怕造成更令人擔憂的後果。行政院雖有訂定計畫,要在 2018 年 12 月底將所有政府網站更新為 https,但在腳步快速的數位時代,實在應提早至 2017 年 12 月底完成。

國發會資訊管理理處處長潘國才、行政院資安處副處長徐嘉臨皆表示,目前行政院確實訂定相關規畫,盡可能將時程縮短。國發會更在 2018 年開始把 https 納入網站盤點檢核項目,也有提供諮詢專線供各單位詢問。科技部資訊處處長薛大勇則表示,科技部新版網站近期上線,已針對資安部分做多項改善,將來也會依照建議「立法院數位國家促進會」,再朝網站資訊設計、使用者體驗優化等方向強化。國防部通次室資安處代處長廖述煌則表示,國防部的資訊安全絕對會努力往 A 級前進。

余宛如表示,https 並非高深技術,卻足以造成政府資訊被竄改成假新聞等嚴重威脅公共安全的議題,但這方面並沒有專業單位協助所有部會,進行判斷與統合;且國防部本次還是第一次參加資訊安全相關記者會,更顯示出國家資訊立法、建立政府具整合性掌門人的重要性。

(首圖來源:pixabay)