114年度公務機關暨特定非公務機關資安事件原因統計近日公布,資安院指出,今年截至10月底,兩類機關於資安事件型態呈現明顯差異,反映防護需求不同,但在系統防護上均仍有改善空間,建議應透過弱點掃描強化管理。
最新一期資安週報中,資安院表示,隨著資通環境日益多元與複雜,威脅樣態不斷演變,外部入侵、惡意程式投放到內部操作失誤,皆可能對系統運作與資料安全造成實質衝擊。
資安院說明,截至今年10月底資安事件通報統計,在可識別事件發生原因中,公務機關與特定非公務機關在資安事件型態上呈現明顯差異,反映兩類機關在業務架構與防護重點面臨不同挑戰。
在公務機關的資安事件肇因方面,資安院指出,常見風險主要聚焦於系統弱點、人員行為與委外維運等3大面向。其中,公務機關網站與應用系統多為對外服務入口,若開發流程未落實安全檢測或弱點修補,可能成為入侵跳板,建議推動安全開發流程制度化,並將弱點掃描、滲透測試與修補驗證納入常態作業,確保服務上線後持續具有防護力。
資安院強調,人員行為是防護鏈中最不可忽視的一環,如社交工程、弱密碼及下載來源不明套件等行為,顯示安全意識仍有待提升。資安院建議,公務機關應透過教育訓練、權限管理與操作稽核來降低人為誤用風險。此外,委外廠商的維運環境與管理流程也須納入防護範圍,契約中應明訂資安責任、稽核及通報要求,確保內外部作業符合防護標準。
至於特定非公務機關部分,資安院表示,資安事件肇因多以設備異常及環境因素為主,屬直接影響系統可用性的事件。值得注意的是,網站設計不當、設定錯誤及應用程式漏洞,以網路攻防演練發現為主,顯示系統與應用層的防護仍不可忽視,需透過持續弱點掃描與檢測,強化潛在弱點管理並降低風險。
新聞
