Skip to content

警政資訊系統與資安概念

資安治理地圖

這是將實習中學到的通用(教科書級)資安與網路架構觀念,整理而成的一份通用技術主題筆記。授課提及的內部實際配置屬敏感資料,本筆記一律實施去識別化,不記錄任何特定機關的實際 IP、設備型號、線路數、VPN 節點、實際防火牆規則或異地備援地點,僅保留可公開的原則與防護架構。


一、 資通安全的防護核心:CIA 三要素與 STRIDE 威脅模型

佐證:政府機關資安治理可對照 《資通安全管理法》第 3 條 對資通系統、資通服務與資安事件的定義。

資訊安全的基本目標是維護資訊系統與資料的機密性、完整性與可用性。為了系統性防禦,實務上常結合 STRIDE 威脅模型 進行架構檢視。

(一) 三要素與威脅對照表

佐證:個資機密性與最小必要可對照 《個人資料保護法》第 5 條;資安事件處理可對照 《資通安全管理法》第 16 條

CIA 三要素STRIDE 威脅項目威脅定義警政/公務機關實務防護手段
機密性(Confidentiality)資訊洩漏(Information Disclosure)未授權者取得機密個資或刑案紀錄。角色存取控制(RBAC)、多因子驗證(MFA)、資料行加密(AES-256)、日誌審計。
完整性(Integrity)竄改(Tampering)
否認(Repudiation)
惡意修改筆錄數據、竄改系統Log,或事後否認登入查詢行為。數位簽章、SHA-256 雜湊值校驗、不可抹除之集中式日誌儲存(WORM 介質)。
可用性(Availability)拒絕服務(Denial of Service)110報案系統或派遣系統因 DDoS 攻擊或斷電癱瘓。負載平衡、抗 DDoS 流量清洗服務、雙機備援(HA)、異地機房。
身分與權限(Auth)身分冒用(Spoofing)
權限提升(Elevation of Privilege)
冒用同仁帳密登入,或一般帳號提升至系統管理員權限。零信任身分鑑別(FIDO2)、設備合規性核驗、定期特權帳號盤點。

二、 我國資通安全法規體系與國家資安治理

佐證:法制主軸可對照 《資通安全管理法》全條文

我國已建立完整的《資通安全管理法》法規體系,以規範政府機關與特定非公務機關之資安作為。

(一) 國家級組織權責分工

佐證:主管機關可對照 《資通安全管理法》第 2 條;技術支援與官方資源可對照 國家資通安全研究院

  • 主管機關:**數位發展部(數發部)**負責國家級資通安全政策之制定與整體規劃。
  • 執行機關:**數位發展部資通安全署(資安署)**負責政府機關資安稽核、防護監督、事件通報與應變演練之落實執行。
  • 技術支援機構:**國家資通安全研究院(資安院)**提供國家資安威脅情資分析、新型防護技術研究及資安事件技術調查支援。

(二) 資通安全責任等級(A~E 級)之判定基準

佐證:責任等級屬資安法與相關子法體系,主法可先對照 《資通安全管理法》第 7 條。 政府機關依據業務屬性、個資保有量、跨機關資訊系統之多寡等客觀指標,核定為不同的資安責任等級:

  • A 級:涉及國家安全、外交、國防,或維護關鍵基礎設施(CI)核心系統,或提供全國性跨機關共用系統、全國性個人資料庫(如戶役政、警政核心庫)。
  • B 級:保有大規模個人資料(如數十萬筆以上),或提供區域性跨機關共用系統者。
  • C、D、E 級:依業務範圍侷限於機關內部、保有小規模個資或不具備核心資通系統等指標,依序由高至低核定。
  • 實務注意:較高責任等級機關(A、B 級)必須建立內部專責資安單位,定期實施紅隊演練、資安弱點掃描、導入 ISMS(ISO/IEC 27001)驗證,並全面導入零信任架構(ZTA)。

(三) 資安事件分級定義與法定通報時限

佐證:資安事件通報與應變可對照 《資通安全管理法》第 16 條

國家資通安全事件分級簡表

事件級別影響範疇定義核心判定標準
一級事件輕微影響非核心業務系統受損,且未涉及個資或機密外洩。
二級事件中度影響非核心系統癱瘓,或外洩一般性個人資料(非機密個資)。
三級事件嚴重影響核心資通系統停擺、關鍵基礎設施局部受損,或外洩大規模個資/機密資料。
四級事件極嚴重影響涉及國家安全、國防外交機密外洩,或關鍵基礎設施全面停擺。
  • 法定通報應變時限
    知悉資安事件 ──> [1 小時內] 網路平台完成資安通報
                 ──> [依事件等級,如 36 小時內] 實施復原與損害控制
                 ──> [1 個月內] 提報正式調查、處理及改善報告 (結案)

三、 政府資安防護框架與四大防護策略

佐證:GCB 對照 國家資通安全研究院 GCB 專區;VANS 對照 資安署 FAQ;ZTA 對照 資安院 ZTA 專區

結合防禦縱深,公務機關建置之資安防護框架可整理為「進不來、出不去、打不開、查得到」四大面向:

防護策略核心目標警政/公務機關通用技術工具與運作原理
進不來阻絕威脅於邊界外1. 防火牆(Firewall)/ WAF:過濾未授權之網路與 Web 攻擊封包。
2. GCB(政府組態基準):強制終端實施最低安全設定(如限制密碼強度、停用不安全服務)。
3. VANS(弱點通報系統):將機關資訊資產與 CVE 漏洞資料庫自動對照,掌握漏洞修補進度。
出不去防止內部洩密與惡意橫向移動1. Proxy(代理伺服器):管控內部上網流量,阻斷惡意中繼站(C2)連線。
2. NAC(網路存取控制):自動比對設備特徵,未經准入核可之設備無法接入內網。
3. 即時入侵偵測(IPS/IDS):偵測惡意掃描與橫向移動流量。
打不開確保資料縱使外洩也無法解讀1. 傳輸加密:全網實施 HTTPS,採用 TLS 1.2/1.3 加密傳輸通道。
2. 儲存加密:資料庫實施資料行加密(Column-level Encryption)與文件加密。
查得到留存軌跡以供稽核與案情還原1. SIEM(安全資訊和事件管理):集中收集防火牆、伺服器、AD 日誌進行關聯分析。
2. SOC(資安監控中心):委託專業團隊進行 24 小時監控與異常告警。整個 SOC 生命週期包含:日誌採集 ─> 正規化解析 ─> 關聯規則比對 ─> 告警產生 ─> 分析師研判 ─> 事件應變
3. 封包側錄(如 Arkime):在網路核心點側錄完整封包流量,防止駭客擦除系統 Log。

零信任架構(Zero Trust Architecture, ZTA) 依據 NIST SP 800-207 標準,零信任架構強調「永不信任,持續驗證」。防護分為三大階段/支柱:

  1. 身分鑑別(Identity):採用多重因素驗證(MFA)與 FIDO 免密碼認證,確保使用者身分。
  2. 設備鑑別(Device):核驗登入設備之組態合規性(如是否安裝防毒、是否修補弱點)。
  3. 信任推斷(Trust/Policy):每次存取皆依動態原則(Policy Decision Point, PDP)進行存取授權,避免一次登入、終身通行的資安盲點。

四、 大型公務機關網路架構之通用設計原則

佐證:架構分區、准入與日誌控管可回到 《資通安全管理法》第 10 條 的資通安全維護計畫概念。

為兼顧資訊安全與業務維運,大型機關的網路必須實施嚴格的分區、分層防禦。

(一) 實體與邏輯隔離

佐證:隔離與權限控管屬資安維護計畫的一部分,可對照 《資通安全管理法》第 10 條

  • 網段隔離:內網(辦公網)與外網(網際網路)原則上實施邏輯隔離。在實務上,常透過虛擬區域網路(VLAN)進行邏輯劃分,並利用虛擬路由轉發(VRF)技術,在同一台核心交換器上實現路由表的完全獨立與隔離。
  • 正面表列(White-list):內外網之間的任何資料交換,嚴禁全面互通,必須經由特定防火牆並實施正面表列(限制特定來源 IP、目的 IP 與特定的通訊協定埠 Port)。

(二) 縱深防禦與網路分區(Segmentation)

佐證:資安事件防護、通報與應變可對照 《資通安全管理法》第 16 條

  • DMZ(非軍事區):放置對網際網路提供服務之伺服器(如公開網站、郵件閘道器)。
  • 內部辦公區:放置內部人員之辦公終端(PC/行動載具)。
  • 資料庫核心區(DB Zone):放置核心資料庫伺服器,此區必須處於最內層,嚴禁與外部網路直接連線。

(三) 三層式實體/邏輯架構(3-Tier Architecture)

佐證:此為通用架構設計原則;若涉及政府機關維運,仍需納入 《資通安全管理法》第 10 條 維護計畫。

網際網路 / 使用端 ──> Web Server (展示層) ──> AP Server (應用程式層) ──> DB Server (資料庫層)
  • Web Server:僅負責接收使用者請求與靜態網頁呈現,不得存放任何業務資料。
  • AP Server:負責運算業務邏輯與權限核驗。展示層的請求必須交由 AP Server,由 AP Server 進行安全過濾(防範 SQL Injection, XSS 等攻擊)。
  • DB Server:僅接受來自 AP Server 授權 IP 之查詢請求。Web Server 與 DB Server 之間嚴格禁止任何直接連線,且 AP 與 DB 之間須再加設一道內部防火牆進行安全阻絕。

(四) 統一收口與准入管理

佐證:零信任與准入驗證可對照 國家資通安全研究院 ZTA 專區

  • 統一對外閘道:所有對外網路連線、郵件收發集中至特定對外收口區,便於進行 DPI(深層封包檢測)與防毒過濾。
  • 身分與設備控制:以活動目錄(AD)集中管理用戶帳號與群組原則;以網路存取控制(NAC)核驗存取設備之 MAC Address,不合規設備(如未裝防毒、外來筆電)自動導向隔離區(Quarantine Zone)。

五、 系統可用性與維運韌性設計

佐證:可用性與備援屬資安維護與營運持續的一部分,可對照 《資通安全管理法》第 10 條第 16 條

資安不只防駭,更要確保系統「在遭受打擊後能快速站起來」。

(一) 備份 vs. 備援 vs. 異地備援之層次定義

備 份 (Backup)       ──> 重點在於「資料保存」。(僅將資料拷貝備份,服務中斷時無法立即接手運作。)

備 援 (Redundancy)   ──> 重點在於「設備/服務接手」。(如防火牆 HA 雙機,當主設備損壞,備用設備自動 Failover。)

異地備援 (Disaster)  ──> 重點在於「區域容災」。(主機房因地震或火災停擺,位於異地的備用機房可接手服務。)

(二) 業務連續性指標與防禦評估

為了量化系統的維運韌性,必須定義兩個核心指標:

  • RPO(復原點目標,Recovery Point Objective):系統損毀時,允許流失的最長資料時間。例如 RPO 設定為 1 小時,代表資料備份頻率必須小於等於 1 小時,若系統損毀,最多僅流失過去 1 小時內產生的資料。
  • RTO(復原時間目標,Recovery Time Objective):系統中斷後,恢復服務所需的最長時間。

備援站台類型與指標對照表

站台類型架構描述與資料同步機制RTO (回復時間)RPO (允許流失資料)
熱備援 (Hot Site)異地站台與主站台完全同步運作,資料即時鏡像鏡像同步(Replication)。數秒至數分鐘 (自動切換)趨近於零
暖備援 (Warm Site)異地設備已建置但未啟用服務,資料採定時(如每小時)非同步備份傳輸。數小時視備份頻率而定 (例如1小時)
冷備援 (Cold Site)僅有異地實體空間與網路線路,無備用主機或僅有未安裝系統之空機,資料需由磁帶或離線雲端還原。數天視離線備份週期而定 (例如24小時)
  • 單點故障(Single Point of Failure, SPoF)分析:在架構設計中,必須對每一段連線(使用者 ─> 防火牆 ─> 交換器 ─> 伺服器 ─> 儲存設備)進行單點故障評估,導入高可用性(HA)架構,確保無任何單一硬體失效會導致整體系統停擺。
  • 定期演練:備份檔案若無回復演練即形同虛設;異地備援機房必須定期進行切換演練,確保資料庫同步時間(RPO)與系統回復時間(RTO)符合公務機關服務水準協定(SLA)要求。

六、 資料中心治理與智慧化維運

佐證:資料中心的營運持續、備援與稽核仍回到 《資通安全管理法》第 10 條 的資通安全維護計畫;管理制度面可對照 ISO/IEC 27001 資訊安全管理系統。

(一) 「機房」與「資料中心」的差別

一個容易被忽略、但很關鍵的觀念是:機房是放設備的房間,資料中心是一套治理制度。真正的資料中心不是「一間有很多伺服器的房間」,而是把重要資訊系統放在一個可管理、可監控、可稽核、可復原的環境裡,需要同時考量多個面向:

面向治理重點
實體環境建築空間、機櫃配置、冷熱通道分離
電力市電、UPS 不斷電系統、發電機
冷卻空調、水冷、散熱效率
消防火災偵測、滅火設備、消防紀錄
門禁管制區域、進出紀錄、權限控管
監控儀表板、資源監測、異常告警
備援備份、異地備援、災害復原演練
資安ISMS、稽核紀錄、存取控制

國際上有 TIA-942、Tier 分級等資料中心設計標準可作為參照;本筆記僅記錄通用治理觀念,不涉及任何特定機關的實際規模、設備型號或配置。

(二) 電力與冷卻的設計意義

  • UPS 與發電機的真正目的不是「永不停電」,而是在斷電時爭取時間:讓系統維持短時間運作、進行安全降載,必要時讓伺服器正常關機,避免硬斷電造成設備或資料損壞。一句話記:UPS 是緩衝,發電機是延長時間,目標是避免硬斷電。
  • 冷卻不是一次建好就永遠夠用。隨著伺服器運算密度與 AI 運算需求提高,發熱量增加,原本的冷卻設計可能需要調整。這也是資料中心邁向 AI 化時的重要課題——AI 伺服器通常更耗電、更高溫、更需要有效散熱。

(三) ISMS 是「制度」,不是一張證書

錄音課程中反覆強調的 ISMS(資訊安全管理系統,對應 ISO/IEC 27001),重點不是買設備、也不是拿一張證書,而是讓機關在日常維運中持續管理資安風險:系統有沒有盤點?帳號有沒有定期清查?權限是否符合最小權限原則?離職或調職人員帳號有沒有停用?是否有定期備份、弱點修補、事故應變流程與演練稽核紀錄?核心精神是——資安不是出事才處理,而是平常就要有制度、有紀錄、有檢查、有改善。

(四) 從標準化到智慧化維運:務實的導入順序

在人力有限、系統與資料量成長的現實下,維運自動化不只是「效率選項」,而是維持服務品質的必要手段。但導入有其務實順序,不能跳過中間直接談 AI

流程標準化 ──> 作業自動化 ──> AI 輔助化 ──> 智慧化維運
(先把流程、    (把固定重複、  (用 AI 協助    (智慧監控、
  權限、資料     可規則化的      產腳本、寫      自動告警分類、
  定義清楚)     事交給工具)    SOP、整理文件) 預測性維護、IaC)

關鍵心得:流程不清楚時導入 AI,只會把混亂放大;流程標準化後導入 AI,才有機會真正提升效率。

  • 帳號生命週期管理:帳號的建立、權限異動、定期清查、異常登入通報、離職停用與權限回收,是 ISMS 最重視的環節之一——帳號就像進入系統的鑰匙,鑰匙太多、沒回收、沒紀錄就是資安風險。
  • Infrastructure as Code(IaC):把環境設定寫成程式碼/設定檔,讓部署結果一致、可重複、可版本控管、容易稽核,減少人為錯誤。
  • 導入 AI 的資料敏感限制:由於警政資料高度敏感,不能把內部真實資料直接送到外部 AI 平台。較務實的做法是用 AI 協助產生程式邏輯或腳本,回到機關內部環境、以範例或去識別化資料測試,並由人員檢查後再執行。

七、 數位警政策略(S.M.A.R.T.)與科技計畫治理

佐證:本節屬公開之政府數位政策與計畫治理概念;資安相關要求仍回到 《資通安全管理法》

(一) 從「科技化」到「智慧化」

警政科技早期重點是讓警察工作科技化(行動載具、影像分析、勤務與查詢系統);近年則走向智慧警政,把 AI、資料中心、資安防護與異地備援整合起來。差別可以理解為:以前是「讓員警有工具可以用」,現在是「讓整個警政體系可以智慧化運作」。

(二) 數位警政策略:S.M.A.R.T. 五面向

公開的數位警政策略常以 S.M.A.R.T. 統整五個面向:

面向英文重點
SSecurity強化資訊安全管理,保護警政系統與資料
MMobility警政行動服務升級,讓勤務在現場也能處理
AAI情資再造、AI 輔助分析與辦案
RResilience擴增系統與科技偵查韌性,出事仍能運作
TTraining厚植數位警政訓練,讓人員會用科技工具

心得:S.M.A.R.T. 不是口號,而是提醒——警政科技若只重視設備,卻忽略資安、備援與人員訓練,就無法真正落地。

(三) 政府科技計畫的治理流程

科技建設不是「想做就能做」。實務上一項計畫要走完一整套治理流程,才可能落地:

先期作業(必要性、經費、效益、可行性審查)
   ──> 預算審查與編列
   ──> 系統建置(標案、開發、驗收)
   ──> 管考(進度填報、期中/期末績效、核銷)
  • 計畫有不同類型:同樣是警政科技建設,可能因經費來源與性質不同,分屬科技計畫、社會發展計畫或公共建設計畫,管考重點各異。
  • 「計畫通過」不是結束,而是開始:真正花時間的是後續執行、進度管考、預算核銷與績效呈現。作業計畫(年度工作進度表)可以超前,但不能落後,因此編寫時通常保守一點。

(四) AI 在警政的未來與限制

未來 AI、API、Agent 都可能導入警政,但核心不是炫技,而是 安全、準確、可控、可追溯:警政資料敏感、不宜隨意上雲、模型需要安全環境、權限控管要嚴格、回答不能幻覺且必須能追溯資料來源。實務上也發現,政府資訊化最大的難點往往不是「會不會寫系統」,而是能不能取得、整合、合法使用跨機關資料——涉及各機關是否願意提供、API 規格是否一致、格式是否可用,以及權限、資安與法規限制。


八、 公部門資料開放與 API 治理

佐證:政府資料開放原則可對照 政府資料開放平臺 與數位發展部相關作業原則;去識別化與個資邊界對照 《個人資料保護法》第 5、16 條

(一) API 是公部門資料的「自動化窗口」

把機關資料做成 API,等於開一個自動化資料窗口:過去要下載 Excel、查網站、寄公文或人工索取,導入 API 後外部系統可用固定網址、固定格式自動取得資料。因此 API 不只是程式技術,而是公部門資料治理、行政效率與跨機關協作的基礎。公部門資料 API 大致分兩類:

  • 公開資料 API:如統計、法規、交通、氣象等,重點是開放格式、機器可讀、可重複利用
  • 機關間介接 API:機關之間同步資料,重點是身分驗證與存取控管(如來源 IP、API Key、驗證機制)。

(二) 從資料到 API 的六層流程

資料來源
  ──> 資料整理與去識別化
  ──> 資料庫與資料品質管理
  ──> API 設計與介接
  ──> 資安與權限控管
  ──> 文件、維運與服務管理
  • 第一步不是寫程式,而是資料盤點與可否開放的判斷:公部門資料常涉及個資、偵查不公開、內部作業或資安敏感資訊,不能直接公開原始資料。例如「各單位案件統計」通常可開放,但含被害人姓名、電話、地址、案件細節的原始資料就不能——必須先判斷哪些可公開、哪些須去識別化、哪些只能機關內部使用。
  • API 的資料必須乾淨、固定、可讀,並提供清楚的 API 文件(等於使用說明書)。
  • 資安控管概念:API Key 像通行證,Rate Limit(流量限制)像排隊叫號,避免單一使用者把服務塞爆;並留存存取紀錄以供稽核。

心得:這個主題和整份筆記的核心一致——資料的價值在於「能被安全、標準化地使用」,而「去識別化」與「判斷什麼能開放」永遠是第一道關卡。


法源對照

筆記細節主要佐證來源使用方式
資通安全治理、主管機關與資安責任《資通安全管理法》全條文第 2 條主管機關第 3 條定義對照「國家資安治理」章節,避免只用口語印象描述法規架構。
維護計畫、通報應變、稽核《資通安全管理法》第 10 條第 16 條第 17 條佐證資安維運不是單次建置,而是計畫、通報、稽核與改善循環。
個資保護、最小必要與外洩通知《個人資料保護法》第 2 條第 5 條第 12 條第 15 條第 16 條對照 RBAC、稽核日誌、資料外洩通報與公務機關資料利用邊界。
政府組態基準 GCB國家資通安全研究院 GCB 專區數位發展部資安署 GCB FAQ佐證「一致性安全設定」與端點、伺服器、網通設備基準化設定。
資通安全弱點通報機制 VANS數位發展部資安署 VANS FAQ對照資訊資產盤點、弱點比對頻率、修補紀錄與後續追蹤。
零信任架構 ZTA國家資通安全研究院 ZTA 專區ZTA 相關資料佐證「永不信任、必須驗證」以及身分、設備、信任推斷的導入思路。

更多連結統一整理於 法規與官方來源索引

延伸閱讀

官方來源

  • 全國法規資料庫:資通安全管理法、資通安全管理法施行細則、公務人員保障法、個人資料保護法。
  • 國際資安標準:ISO/IEC 27001(資訊安全管理系統要求)、NIST SP 800-207(零信任架構規範);資料中心設計標準 TIA-942/Tier 分級(僅作觀念參照)。
  • 政府資料開放:政府資料開放平臺、數位發展部政府資料開放相關作業原則。
  • 相關對話原文(未公開,含敏感提醒):notes/raw_dialogues/070810;第六~八節之補充材料出自 2026-07-03 補充對話(行動化查詢、智慧化維運、科技計畫、開放資料 API),僅萃取可公開之通用概念,明細見 notes/raw_dialogues/index.md

補充筆記

本篇整理重點

  • 詳述 CIA 三要素在警政系統(如戶役政、防竄改筆錄系統、110受理)之實務應用場景,加強機密性、完整性與可用性之學理與實務結合。
  • 補充《資通安全管理法》組織權責(數發部、資安署、資安院)之分工細節與責任等級(A~E 級)判定之客觀基準。
  • 補齊資安事件分級(一~四級)定義,並以流程圖方式說明 1 小時內通報、復原及 1 個月內結案提交改善報告之時限。
  • 將政府資安防護框架(GCB、VANS、零信任 ZTA)及監控工具(SIEM、SOC、Arkime 封包側錄)之運作原理深入闡明,並補足 NIST SP 800-207 零信任三大支柱。
  • 詳述三層式架構(展示層 Web、應用層 AP、資料庫層 DB)之數據處理權限校驗與防火牆二次阻絕原理。
  • 釐清備份、備援、異地備援在系統連續性上的本質差異,並補充 SPoF(單點故障)分析與 SLA 復原指標(RTO、RPO)。

主要參考來源類型

  • 中華民國法規(資通安全管理法及其子法)。
  • 國際標準與指南(ISO/IEC 27001 資訊安全管理、NIST SP 800-207 零信任架構、ITIL 維運架構)。

後續需查證

  • 隨著政府各機關轉型雲端(如政府公有雲 G-Cloud 政策),特定核心系統之異地備援是否朝向雲端多區域(Multi-Region)備份或雲端備援演進,其實施細節屬各單位規劃,需個別查證各專案之招標規格。

知識結構圖

本篇重點的結構示意圖:

三層式網路安全隔離與防護圖

單純筆記站:內容已去識別化,法規以官方來源為準。