資安院外部曝險分析　籲關鍵基礎設施強化管理機制

（中央社記者趙敏雅台北9日電）資安院先前公布外部曝險檢測結果，114年7月至115年1月間，關鍵基礎設施平均風險項目數量約為公部門的5倍。資安院指出，關鍵基礎設施因系統架構規模較大、對外服務範圍較廣，外部攻擊面也相對更複雜，應建立規模化管理機制，強化風險管控。

資安院說明，經由外部曝險檢測分析公部門與關鍵基礎設施業者現況，可及早發現曝露於外部的風險，提出改善與防護方向。

資安院先前公布，114年7月至115年1月外部曝險檢測結果，共涵蓋公部門43單位及關鍵基礎設施46單位，其中關鍵基礎設施平均風險項目數為2042項，最高單期曾達3283項，公部門平均風險項目數為405項；整體來說，兩者均呈現總量下降，但量級差距仍大。

資安院指出，公部門與關鍵基礎設施常見風險類型相似，包括過時或弱加密協定、TLS憑證不受信任、內容安全性政策（CSP）設定不當、元件高風險漏洞等，建議從加密協定設定、憑證管理、網站基礎防護及漏洞修補等4大面向改善。

透過 Google News追蹤中央社

資安院表示，公部門與關鍵基礎設施在曝險量級上存在明顯差距，反映關鍵基礎設施因系統架構規模較大、對外服務範圍較廣，外部攻擊面相對更複雜，應建立規模化管理機制，並依標準作業流程推動風險管控與改善措施。

資安院建議，機關或關鍵基礎設施須定期盤點並更換外洩帳號憑證，搭配多因素驗證（MFA）以強化存取安全，同時建立弱點修補與驗證流程，並關閉不必要的對外服務，將管理服務改採加密通道。此外，應強化資安教育與演練，提升人員對憑證、加密與服務設定的安全意識。（編輯：楊凱翔）1150409