資安院：透過弱點掃描與檢測 強化潛在弱點管理

記者吳典叡／臺北報導

114年度公務機關暨特定非公務機關資安事件原因統計近日公布，國家資通安全研究院指出，今年截至10月底止，兩類機關於資安事件型態呈現明顯差異，反映出防護需求不同，但在系統防護上均仍有改善空間，建議應透過弱點掃描強化管理。

最新一期資安週報－第18期（114/11/6 -13）中，資安院表示，隨著資通環境日益多元與複雜，威脅樣態不斷演變，外部入侵、惡意程式投放到內部操作失誤，都可能對系統運作與資料安全造成實質衝擊。其中，截至今年10月底資安事件通報統計，在可識別事件發生原因中，公務機關與特定非公務機關在資安事件型態上，呈現明顯差異，反映兩類機關在業務架構與防護重點面臨不同的挑戰。

在公務機關的資安事件肇因方面，資安院指出，常見風險主要聚焦於「系統弱點、人員行為、委外維運」等面向。其中，公務機關網站與應用系統多為對外服務入口，若開發流程未落實安全檢測或弱點修補，可能成為入侵跳板，建議推動安全開發流程制度化，並將弱點掃描、滲透測試與修補驗證納入常態作業，確保服務上線後，持續具有防護力。

資安院強調，人員行為是防護鏈中最不可忽視的一環，如社交工程、弱密碼及下載來源不明套件等行為，顯示安全意識仍有待提升。建議公務機關應透過教育訓練、權限管理與操作稽核等方式，降低人為誤用風險。此外，委外廠商的維運環境與管理流程也須納入防護範圍，契約中應明訂「資安責任、稽核及通報要求」，確保內外部作業符合防護標準。

此外，特定非公務機關部分，資安院表示，資安事件肇因多以設備異常及環境因素為主，屬直接影響系統可用性的事件。值得注意的是，網站設計不當、設定錯誤及應用程式漏洞，以網路攻防演練發現為主，顯示系統與應用層的防護仍不可忽視，需透過持續弱點掃描與檢測，強化潛在弱點管理並降低風險。

資安院指出，資安防護仍須強化，應透過弱點掃描強化管理。（取自資安院官網）

公務機關非法入侵事件中，以異常連線占多數。（取自資安院官網）