國軍資訊違規相關法規

我國「國家機密保護法」於2003 年 2 月 6 日公佈實施，該法中第 4 條將國家機密 區分為「絕對機密」、「極機密」、「機密」三個等級，並在第2 章中明確規範國家 機密核定之權責、保密與解密之條件等。國防部為了配合國家機密保護法的制定與陸 海空軍刑法第78 條之規定，於同年 4 月 25 日修訂「軍事機密與國防秘密種類範圍等 級劃分準則」，以處理軍事及國防機密。「通訊科技」與「網際網路」的精進與普及

，除衝擊原有的國家限界外，也危及國家的整體安全。於此同時，國軍經歷多年的努 力，已使軍隊邁入「資訊化」與「電子化」，有效提昇指揮管理與用兵作戰之效率；

然而，資訊作業的便捷性，就像劍之雙刃，稍有不慎即可能為自己帶來莫大的傷害，

而這也就是國防軍機維護，所必須面對的嚴峻挑戰。如何制止犯罪的發生，從人類有 社會行為以來，一直都是值得討論議題。

另外，為解決國軍資訊保密安全之困境，國軍相關機構不斷地研謀精進措施，使 國軍網路一旦遭受外來因素破壞或不當使用等緊急事故發生時，能迅速作必要之通報 及緊急應變處置，並在最短時間回復正常運作，以降低該事故可能帶來之損害，促使 國軍能真正成為「數位化」之國軍。本研究將參考國軍相關資訊安全管理標準，以作 為問卷內容，國軍資訊安全相關管制規定與精進作法摘錄如下：

1.「個人電腦資訊安全防護作業規定」

為促使本軍人員瞭解資訊安全的重要性，以防止個人電腦遭入侵、竊取或破壞，

有效維護個人資料及系統安全，以建立資訊安全一級防護概念，其內容包括：實體隔 離政策、資料分級處理、個人電腦安全設定檢查等要項。

2.「國軍通資安全常見違規事件暨應行注意事項」

其內容包括：通信安全違規事件應注意事項如：密碼（語）本表暨通信密件管理

、行動電話管制規定等計 14 要項；資訊安全違規事件應注意事項如：密級（含以上）

資料儲存管制、資訊媒體稽核檢查、資訊系統與通資網路之設備存取管理、刑法修正 條文等計 51 要項。

3.「電腦緊急應變處理實施計畫」

針對空軍資通系統、網路所發生之安全事件，提供早期預警、狀況處置程序，有 效減低災損、快速復原，俾支援作戰。依「有效嚇阻、防衛固守」之作戰指導，及就 各單位資訊系統、網路現況及可能之威脅與突發狀況，結合政策計畫、指揮管制、通 報處理、研發諮詢及各單位CERT 等分組，建立國軍電腦緊急應變處理機制，掌握遭 受資訊攻擊或突發事件影響期間全般狀況及協調處理，以確保國軍通資安全，國軍電 腦緊急應變（CERT）通報流程如圖 2.5 及國軍資通安全事件等級區分如表 2.7。

圖2.5 國軍電腦緊急應變（CERT）通報及處理流程 資料來源：國防部通資次室，2007，“空軍資管作業執行現況”，

空軍總部 96 年度通資安全巡迴講習，頁 45。

表2.7 國軍資通安全事件等級

等級 狀況

A 級 影響國軍(公共) 安全、軍中(社會)秩序、國 軍人員(人民)財產安全。

B 級 系統停頓，業務無法運作(影響情傳遞者) 。 C 級 業務中斷，影響系統效率。

D 級 業務短暫停頓，可立即修護。

資料來源：國防部通資次室，2007，“空軍資管作業執行現況”，

空軍總部 96 年度通資安全巡迴講習，頁 46。

4.「資訊網路安全監測作業實施規定」

有效落實「資安監控機制要求事項」為當前國軍重要政策，其置重點於陸軍連接 國軍資訊主幹網路單位，實施系統偵測體檢、安全漏洞掃瞄及記錄分析檢討，採固定 監測為主、機動監測為輔，不定期對連接國軍資訊網路單位，執行資訊安全「弱點掃 瞄」作業，俾先期發掘問題及改進缺失，以杜絕資訊危安事件。其稽核項目包括：個 人電腦權限管理、機密資料管理、防毐及漏洞修補、個人電腦保密設定、違反實體隔 離、影響國軍安全、軍紀、軍譽等資訊作業行為。國軍資訊安全管控機制，示意如圖 2.6。

圖2.6 國軍資訊安全管控機制

資料來源：許瑩琪，2004，“加強資訊安全之具體作為”，

陸軍總部93 年度通資安全巡迴講習，陸軍司令部，頁 10，3 月 15 日。

5.「資訊設備及資訊儲存媒體管制規定」

藉嚴格限制單位公務用電腦「輸出（入）裝備」，俾防制機敏資訊洩密管道，以 確保資料檔案管理安全。各類型公務用電腦（包括：桌上及筆記型）輸出（入）裝置 均納入管制。其管制項目有：「軟碟機」、「燒錄器」、「USB」、「RS232」及「印 表機」連接埠等電腦輸出（入）裝置，包括拆除「燒錄器」及「軟碟機」、移除「USB 連接線」、安裝偵測軟體、資料交換(輸出/輸入）等管制規定。

6.「個人電腦輸出（入）裝置使用管制規定」

本規定之目的為落實單位及個人「資訊設備」、「資訊儲存媒體」管制，以防止 設施器材遺損，內存公務資料、檔案、文件、圖像及機敏系統等洩（違）密，確保資 訊安全，其管制項目有：裝備採購、管制識別標籤、器材、無線設備管制、網路實體 隔離及相關違規懲處規定等要項。

7.「通資業務手冊密碼選取規則」

其目的為律定密碼選取規則要點，以強化電腦之保密機制，包括個人帳號及電腦 各式密碼（包含作業系統上之使用者及管理者、開機密碼、BIOS 密碼等）作業規定。

8.「漢光００號演習」通資安全監察維護實施規定

為確保演習機密維護及演訓任務之遂行，毎年定期修頒演習期間保密安全應行注 意事項，包括：落實個人保密、保密作業紀律、復原階段之裝備與資料保管等要項。

9.「網路實體隔離及資訊設備庫存管理觀摩實施計畫」

藉由觀摩示範，統一國軍「網路實體隔離」、「資訊設備」及「資訊設備媒體」

等管制作法，俾要求各相關單位落實辦理，以防杜肇生洩密事件。

茲將近年來國軍新頒資訊安全相關法規綜整如表2.8（以空軍為例）：

表2.8 空軍資訊安全相關法規綜整表 空軍資訊安全相關法規綜合整理一覽表

頒佈日期 法 規 名 稱

960117 Kerberos 版 USB 監控作業注意事項 960118 資通安全突擊檢查實施計畫

960306 軍民網網站管理作業規定 960504 CERT 作業規定

資料來源：本研究整理。

2.4當前資安事件問題探討

資訊科技發達，不但帶給人類急速而巨大的衝擊，也改變了人類生活模式，然而 隨著資訊科技所帶來的便利，也引發不少令人擔憂的資通安全問題。各類網路不安全 事件的困擾與威脅層出不窮，例如：病毒蠕蟲、阻斷服務式攻擊、駭客入侵、網路釣 魚、垃圾郵件及間諜軟體等各式各樣的威脅，如下圖2.7-2.8。

圖2.7 國軍資訊安全政策與事件宣導

960621 國防科技工業機構資通安全輔檢實施計畫 960803 電腦輸出入裝置暨移動式儲存媒體使用管制規定 961120 出國人員資訊安全訓練實施計畫

961127 資安監控系統架測暨監控作業實施計畫 961207 網站資安檢測實施計畫

970110 資訊安全責任等級分級作業實施計畫 970926 資安合格簽證實施計畫

971030 資安違規人員講習實施計畫 971224 網站資安檢測實施計畫

圖2.8 國軍資訊安全政策與事件宣導

資料來源：國防部通資次室，2007，通資安全巡迴講習“資安政策與宣導”。

依據空軍通信航管資訊聯隊統計，97-98年各航資中隊違規情況統計表。如表2.9。

表2.9 空軍航資中隊資安違規事件統計表 空軍航資中隊各單位 97-98 年度資安違規事件統計表

區 分

一中隊 二中隊 三中隊 四中隊 五中隊 六中隊 七中隊 八中隊 十中隊 十二中隊 台北大隊 合計

隨身碟造成

系 統 誤 判 3 1 1 2 0 2 1 4 0 0 1 15 誤 插 U S B

儲 存 媒 體 0 1 7 1 1 0 0 6 1 0 1 18 硬 碟 變 更 0 1 1 2 0 0 3 0 0 0 1 8 硬 體 誤 判 0 6 1 5 0 0 1 0 0 0 1 14 合 計 3 9 10 10 1 2 5 10 1 0 4 55 附 記 資料時間：統計自 97 年 1 月 1 日起至 98 年 2 月 30 日止。

資料來源：空軍通信航管資訊聯隊及本研究整理