跳到主要內容
進階搜尋
關閉搜尋
:::

通傳事業資安防護

  • 一、明訂資安法規規範,俾利業者遵循
    • (一)為提高電信事業之資安防護能量,前監理機關國家通訊傳播委員會(下稱通傳會)分別於103年8月22日、104年11月13日及106年5月22日修正第二類電信事業管理規則、固定通信業務管理規則、行動寬頻業務管理規則及第三代行動通信業務管理規則,增訂資通安全管理專章,強化電信事業之資通安全、電信設備機房及網路資料中心機房安全管理,並配合國家安全機關對使用電信設備安全考量等管理需要,針對委外進行資通系統軟體設計及系統維運暨測試作業,限制不得委託有國安疑慮人員辦理,並明確規定電信設備機房應以原則禁止例外許可方式管制人員進出,以全面提升電信事業重要通訊網路設施資通安全。
    • (二)為強化行動寬頻系統資通安全,通傳會復於108年9月起陸續完備「行動寬頻業務管理規則」及「行動寬頻系統審驗技術規範」,明定行動寬頻業者應擬定及落實資安維護計畫的資安防護義務,藉由法遵確保其在規劃、建設、開臺、營運等階段均納入資安防護,為我國實踐數位國家、促進產業轉型與升級,及邁向智慧社會等奠下基礎。
    • (三)同時為引導業者擬妥前述資安維護計畫,以因應5G網路面臨之資安威脅,通傳會並參考國際標準,研提資通安全參考框架以供業者參用。
    • (四)電信管理法頒布施行後,通傳會亦於109年7月9日公布「電信事業資通安全管理辦法」,明確規範電信事業之資通安全管理相關要求,同時規定通傳會督導業者計畫實施情形之稽核程序,以精進電信事業之資安防護作為。
  • 二、辦理查核及演練,強化業者防護能量
    • (一)辦理電信機房安全行政查核
      為督導電信事業落實機房安全管理,降低業者資安事件發生可能性,以保障消費者通訊權益,通傳會自於104年度起,每年針對不同網路類型之電信事業,辦理電信機房行政檢查。
      104年針對用戶數大於10萬戶且具電信機房之網際網路接取業者實施機房安全進行行政檢查;105年度查核對象為對經營第二類電信事業網際網路接取服務,且用戶數為1萬戶至10萬戶之業者;106年度查核對象為105年度列為一、二級共52座關鍵基礎設施及105年度盤點之網路資料中心機房;107年查核對象為行動寬頻通信業務經營者;108年度查核對象為固定通信事業。上述查核結果皆符合機房安全管理相關規定。
      109年度選定行動寬頻業務經營者,抽查機房計20座,結果亦全數合格。110年度回歸第二類電信事業,辦理機房行政檢查,並因應COVID-19疫情防疫措施,改採書審及輔以視訊方式,持續督導業者落實機房安全管理相關規定。
    • (二)辦理電信事業資安防護演練
      為驗證電信事業網路域名伺服器(Domain Name Server,DNS)之安全防護機制及應變處置程序,發掘風險管理潛在問題,並藉由演練精進應變指揮協調要領,提升電信事業DNS設施安全防護能量,確保服務提供及持續營運,通傳會於106年度辦理1場次電信事業DNS防護情境演練及實兵演練,演練對象為針對設置DNS伺服器及暫存伺服器(Cache DNS)合計5部以上共10家之較大型域名服務業者,以提升業者重視並透過演練督促業者審視現有防禦機制。107年持續辦理電信事業DNS演練,再針對建置5部以上DNS伺服器之8家域名服務業者,辦理DNS防護之情境及實兵演練,俾持續督促業者重視網路資安攻擊防護,熟稔緊急應處及相關通報程序。108年則選定設置DNS主機伺服器及DNS Cache伺服器合計3部以上且未曾參與DNS防護演練之業者合計7家辦理演練,驗證業者網路DNS之安全防護機制及應變處置程序,發掘風險管理潛在問題;同時,藉由演練精進應變指揮協調要領,提升電信事業DNS設施安全防護能量,確保服務提供及持續營運。
      鑑於BGP Hijacking日趨嚴重,為提升網際網路接取服務業者BGP Router安全防護機制,發掘潛在安全問題,及檢視網際網路接取服務業者基礎網路的可靠性,通傳會於109年擇定5家電信關鍵基礎設施提供者辦理BGP協定惡意攻擊防護演練,驗證業者是否具備攻擊偵測及應處作業之成熟度。

    【自數位發展部成立後,本項業務移由本部主政。】

    108年度電信事業DNS防護演練綜合檢討會議
    108年度電信事業DNS防護演練綜合檢討會議
    109年度BGP路由器防護演練實兵攻擊演練
    109年度BGP路由器防護演練實兵攻擊演練
返回頁面頂端