資安院：資安防護仍須強化 應透過弱點掃描強化管理

（中央社記者趙敏雅台北17日電）114年度公務機關暨特定非公務機關資安事件原因統計近日公布，資安院指出，今年截至10月底，兩類機關於資安事件型態呈現明顯差異，反映防護需求不同，但在系統防護上均仍有改善空間，建議應透過弱點掃描強化管理。

最新一期資安週報中，資安院表示，隨著資通環境日益多元與複雜，威脅樣態不斷演變，外部入侵、惡意程式投放到內部操作失誤，皆可能對系統運作與資料安全造成實質衝擊。

資安院說明，截至今年10月底資安事件通報統計，在可識別事件發生原因中，公務機關與特定非公務機關在資安事件型態上呈現明顯差異，反映兩類機關在業務架構與防護重點面臨不同挑戰。

在公務機關的資安事件肇因方面，資安院指出，常見風險主要聚焦於系統弱點、人員行為與委外維運等3大面向。其中，公務機關網站與應用系統多為對外服務入口，若開發流程未落實安全檢測或弱點修補，可能成為入侵跳板，建議推動安全開發流程制度化，並將弱點掃描、滲透測試與修補驗證納入常態作業，確保服務上線後持續具有防護力。

資安院強調，人員行為是防護鏈中最不可忽視的一環，如社交工程、弱密碼及下載來源不明套件等行為，顯示安全意識仍有待提升。資安院建議，公務機關應透過教育訓練、權限管理與操作稽核來降低人為誤用風險。此外，委外廠商的維運環境與管理流程也須納入防護範圍，契約中應明訂資安責任、稽核及通報要求，確保內外部作業符合防護標準。

至於特定非公務機關部分，資安院表示，資安事件肇因多以設備異常及環境因素為主，屬直接影響系統可用性的事件。值得注意的是，網站設計不當、設定錯誤及應用程式漏洞，以網路攻防演練發現為主，顯示系統與應用層的防護仍不可忽視，需透過持續弱點掃描與檢測，強化潛在弱點管理並降低風險。（編輯：蘇志宗）1141117