國內資安探討: 由全國結核病個人隱私等資料透過網路搜尋而外洩案，探討問題根源 - ★★ 李深耕虛擬世界的虛擬信賴 ★★

字體：小中大

國內資安探討: 由全國結核病個人隱私等資料透過網路搜尋而外洩案，探討問題根源

2007/11/18 11:26:51瀏覽1007｜回應0｜推薦3

國內資安探討: 由全國結核病個人隱私等資料透過網路搜尋而外洩案，探討問題根源

報載衛生署疾病管制局犯下國內史上最大宗資料庫外洩案，民眾在網站「Google」就可搜尋得到一二七九名被限制搭機的結核病患者個人資料。疾管局長郭旭崧口頭自請處分，並決定暫時關閉結核病患網路查詢服務。

報載衛生署疾病管制局發言人表示全案應屬「系統設計瑕疵」，外加「Google的搜尋引擎太厲害」所造成，疾管局官員說能夠看到這份完整名單的人只有第五組疾病監測小組的組長、承辦人及直屬主管，總計不超過三個人；「共享」此一資料的出入境管理局也只能由特定權限的人，利用機場第一線的電腦才能看得到整份名單，該做的「加密」動作都做了。(推卸責任，且不知問題根源!?)

報載有些資安專家認為有可能是駭客侵入疾管局網站拿到資料後，再公開在網路上，讓任何人都很容易搜尋到。(此專家可能用猜的!?)

以下本人對全國結核病資料外洩案的問題根源看法，目前在全台灣其他相關報導中應該還無法看到。

政府資安相關機構 背景資料:

行政院於九十年一月第二七一八次院會核定通過第一期資通安全機制計畫，並成立「國家資通安全會報」積極推動我國資通安全基礎建設工作。

負責下列事項之政策研究、協調、聯繫、策劃、整合及推動：

（一）提高資通安全決策層次，強化政府資通安全防護能量。

（二）積極防衛國家資通設施，確保電子化政府之服務效能。

（三）建立資通安全預警機制，主動偵防降低實質危害因素。

（四）研析資通安全相關資訊，加強資通安全專業人力培訓。

（五）推廣全民資通安全認知，提高資通安全全民防護能量。

（六）策訂相關資通安全規範，增修訂相關法令及技術標準。

（七）推動資通安全技術研發，促進資通安全相關產業發展。

（八）提升執法機關偵防能力，建立跨國及區域性合作機制。

「國家資通安全會報」報幕僚作業，由綜合規劃組負責。綜合規劃組由行政院科技顧問組主責、「國家資通安全會報」下各工作組配合協辦。

實際上「國家資通安全會報」綜合規劃組、國家資通安全會報技術服務中心等國家資安規劃等工作皆由資訊工業策進會所主導。

「國家資通安全會報」第一期資通安全機制計畫(九十年至九十三年），主要針對三七一三個重要政府機關機構建立一完整的資通安全整體防護體系，同時針對廿個影響國家安全、社會安定的國家重要基礎建設資訊系統實施嚴格管制。並於九十三年三月實施第二期資通安全機制計畫（九十四年至九十七年）。

問題根源探討:

試問資訊工業策進會所實際主導資安規劃的「國家資通安全會報」第一、二期資通安全機制計畫(九十年至九十七年），快八年的時間，成果如何? 為何政府機關還會發生這種事? 「國家資通安全會報」需要負些責任嗎?

台灣IT產業是，為何是「硬體巨人、軟體侏儒」? 此次政府資安問題該怪罪民間軟體公司軟體設計品質嗎? 政府近幾年針對軟體業者為了進軍國際，動用國家大量資源及大肆宣傳的CMMI（能力成熟度整合模型–Capability Maturity Model Integration）來增加軟體產業的軟體品質及國際競爭力，有人戲稱CMMI(Complicate、Man、Money、Inefficiency)代表，(複雜、費人力、費錢財、沒效率)，來表達對政府錯誤軟體產業發展策略的不滿!