【2026臺灣資安年鑑｜國家安全會議諮詢委員李育杰】國家資通安全戰略2025的訂定，是臺灣資安體制的轉型

國家安全會議諮詢委員 李育杰<p>你知道臺灣每天遭受多少次網路侵擾嗎？國家安全會議諮詢委員李育杰說：「2025年，每日臺灣遭受到的網路侵擾大約263萬次。但民眾出門都覺得臺灣運作得好好的。」他提醒，「缺乏危機意識」就是臺灣最危險的地方。</p>

李育杰長期身處臺灣資安戰略的核心，他的職責，就是在地緣政治的驚濤駭浪中，替這個島嶼的數位命脈把關。然而在他看來，目前最大的威脅，不只是中共網軍的日夜叩關，更是臺灣社會對於「表面和平」的習以為常。

「外國人看臺灣，就像我們看臺灣治安一樣，有酒駕、有偷竊，但沒有大暴動，整體印象是正面的。我們的資安也是這樣——有資料外洩、有網路攻擊，可是基本運作看起來OK。」他的語氣沉了下來，「問題是，我在這個位置，我的擔心是：敵人可能已經布好局了，只是現在還不是他的關鍵時刻。」

境外勢力對臺灣的攻擊，轉為鎖定關鍵基礎設施

從國安局數據可見，境外勢力對臺灣的攻擊重心正從單純的資料竊取，轉向能源、醫療、通訊等關鍵基礎設施。李育杰將駭客區分為兩類：一是以勒索與竊密為目的的網路犯罪集團，另一則是國家級駭客，其目標在於關鍵時刻癱瘓防空雷達、電網與通訊系統。他直言：「所有的戰爭都從網路上先發生。」

從委內瑞拉、伊朗的案例可見，攻擊者可遠端癱瘓電網與防禦系統，且能同時對多個地點發動攻擊，「只要局已經事先布好了，就能做到。」更值得警惕的是，若臺灣遭攻擊，美國、日本等相關國家亦可能同步遭網攻，導致支援延遲，形成戰略空窗。

他並以2024年以色列引爆黎巴嫩呼叫器事件為例指出，小型裝置都能同時引爆數千個，「如果把每個呼叫器都想成一座發電廠、一個水廠」，關鍵設施的風險將難以控管。因此，主動發掘潛在後門成為當務之急，「這才是我們該做的。」

在此背景下，《國家資通安全戰略2025》應運而生。李育杰強調，該戰略以年份命名，象徵其動態調整與時效性，因為「漸進式改變已不足以應對當前威脅」。

全社會防衛韌性需要公私協力，提升資安意識有助全民防詐

在整體戰略中，「全社會防衛韌性」被列為首要支柱，象徵資安已從技術議題上升至國安與民生層次。李育杰將資安意識比擬為疫情期間的防疫習慣，指出只要養成驗證、查證等基本行為，「可以阻擋八到九成的一般性攻擊。」

他直言，臺灣個資外洩與詐騙猖獗密不可分，「這不只是技術問題，還有全民資安與防詐意識的問題在內。」駭客長期蒐集的個資，正是精準詐騙的基礎，使資安防護同時關乎國安與民眾日常安全。

因此，全社會韌性的關鍵在於公私協力。資安不再只是政府責任，而需結合企業與民間力量共同推動，讓防護能力向下扎根。李育杰提醒，科技便利往往伴隱私風險，例如高度便利的支付或AI工具，可能讓個人資料「門戶洞開」。他以「龍蝦」（OpenClaw）應用程式為例，指出其強大功能背後，可能意味著使用者將所有生活軌跡交付他人。

這種「功能強大卻缺乏隱私」的現象，凸顯數位轉型的隱形代價。最終，資安不只是制度或技術問題，而是全民共同承擔的責任。唯有讓每個人都具備基本警覺，才能真正建立起數位時代的國家防線，使每一位國民都成為守護數位國土的第一道防線。

---

<p><img alt=”” src=”/sites/default/files/images/0601-%E6%9D%8E%E8%82%B2%E6%9D%B0-600_(3).png”></p>

---

<p><span><span><strong>數位雙生有助提升CI安全性，主動防禦成新趨勢</strong></span></span></p>

在國土防衛與資安戰略中，關鍵基礎設施（CI）已成為維繫社會運作的核心。油、水、電、通訊與交通一旦遭攻擊，不僅影響服務，更可能引發社會失序。李育杰引用Netflex影集《零日風暴》（Zero Day）指出，過去被視為戲劇情節的場景，如今已成為可被具體推演的現實風險，顯示CI是國安體系中最脆弱也最關鍵的一環。

為應對這類威脅，建立整體風險視角成為首要任務。「國家資安風險地圖」的重點不在資產盤點，而在釐清系統間的相互依賴。例如通訊中斷將衝擊電力調度，交通停擺則影響救災效率。透過這類關聯分析，決策者得以辨識關鍵節點，從被動應變轉向前瞻預防。

然而，現實防禦仍受限於老舊工控系統（OT）與設備保固過期（EOS）等問題，「原廠設定不可調整」更讓風險難以排除。李育杰坦言，第一線人員常難以分辨「是故障還是被駭」，因此資安策略已從追求「全面無漏洞」，轉為掌握弱點並建立完整SOP，強化持續運作的韌性。

在此背景下，「數位雙生」（Digital Twin）成為關鍵解法。由於關鍵設施無法停機演練，數位雙生可在虛擬環境複製真實系統，進行高強度攻防模擬。他說，結合數位靶場（Cyber Range）與生成式AI攻擊腳本，不僅能測試系統極限，也能讓人員反覆訓練、提升判斷能力。

這種虛實整合，使防禦從紙上演練轉為可驗證的實戰經驗，李育杰認為，「在無法預知攻擊何時發生」的前提下，讓守護者先在虛擬世界歷經戰場，是維持系統穩定的關鍵。

隨著數位雙生的導入，資安思維也正從被動防禦轉向「主動防禦」。過去受限於法律與道德，多數國家以防守為主，但近年美國、日本與法國等國家，已開始討論其戰略與法律基礎，顯示全球正重新界定防禦邊界。

所謂主動防禦，並非無差別反擊，而是透過追蹤來源、揭露行為與適度反制，提高攻擊成本、形成嚇阻。例如針對跨境詐騙，若能溯源並瓦解其運作網絡，即可降低其持續作案能力。這種思維逐漸取代單純「守住邊界」的模式。

在此轉型下，資安已不只是防禦建設，而是一場結合技術、策略與國際合作的競爭。從風險地圖到數位雙生，再到主動防禦，李育杰指出，臺灣正建立涵蓋預警、演練與反制的整體體系。面對愈發複雜的威脅，唯有將防禦由靜態轉為動態，才能確保關鍵基礎設施持續運作，成為社會穩定的最後防線。

當「信任」成為關鍵資產，供應鏈極易成為風險破口

在整體資安戰略中，供應鏈安全已成為最具壓力的一環。李育杰指出，近年案例顯示，問題往往不在產品本身，而在供應商的可信度。例如，一旦承接政府專案的廠商出現疑慮，即使系統安全無虞，仍可能引發社會恐慌，動搖整體信任。他強調，供應鏈已成為最脆弱卻最容易被忽視的入口，相較技術漏洞，人為風險更難預測且擴散更快。

這樣的邏輯也反映在國際政策上。美國排除特定設備，並非單純技術判斷，而是基於不信任。「當國家安全被置於最高優先時，即使缺乏直接證據，也會選擇以最嚴格的標準來防範可能的威脅。」在此情境下，「信任」成為關鍵資產，而供應鏈正是最容易被侵蝕的環節。

對臺灣而言，作為全球半導體與資通訊產業核心，供應鏈風險更具外溢效應。李育杰以地方政府案例說明，即使機關本身防護完善，若委外廠商存在漏洞，仍可能被敵對勢力「繞過正面防線」。這使每一個供應鏈節點，都成為必須強化的防護重點。

因此，政府正推動供應鏈資安治理，導入如CMMC等國際規範，並建立一致標準。這不僅提升防禦能力，更將「資安標章」轉化為競爭優勢。當產品具備高標準認證，即是在全球市場傳遞「可信賴」訊號。李育杰坦言，零信任與安全設計雖增加成本，但「這是進入國際供應鏈的門檻」，也是產業升級契機。

同時，資安治理也需從技術導向轉為風險導向，釐清關鍵系統與高風險環節，避免資源分散。政策亦須在規範與創新間取得平衡，避免抑制企業研發動能。

另一方面，臺灣因長期處於攻擊前線，逐漸成為國際資安合作的重要節點。《國家資通安全戰略2025》獲國際關注，透過情資共享與技術協作，臺灣正將實戰經驗轉化為國際信任。

整體而言，供應鏈安全已是國安與競爭力的交會點。李育杰強調，在「資安等於信任」的時代，唯有打造安全且透明的供應鏈，才能在全球競爭中站穩腳步，確保數位國土的長期穩定。

---

<p><img alt=”” src=”/sites/default/files/images/0601-%E6%9D%8E%E8%82%B2%E6%9D%B0-600-2_(4).png”></p>

---

<p><span><span><strong>新興科技安全著重AI與量子時代的攻防重構</strong></span></span></p>

在資安戰略的第四支柱中，新興科技帶來的影響最為複雜，其中以AI最具代表性。李育杰形容，AI是「一把雙面利刃」，同時帶來機會與風險。去年11月，Anthropic揭露其AI工具遭駭客組織用於自動生成攻擊程式，攻擊者僅需撰寫約一至兩成程式碼，其餘即可由AI完成，顯示資安攻擊門檻正快速降低。

這種變化讓AI在資安領域呈現矛盾角色：一方面可用於威脅狩獵與自動化防禦，補足人力缺口；另一方面也讓攻擊更快速、規模更大且難以預測。李育杰以「龍蝦」比喻指出，當技術能力全面開放卻缺乏控管，「就如同將強大資源拱手讓出」，使機密暴露無遺。因此，「可信任性」成為AI發展的核心前提。

相較AI的即時威脅，量子科技則帶來長期挑戰。由於資料保密年限可能長達二十五年，而量子電腦成熟仍需時間，形成「先竊取、後破解」的風險窗口，使現有加密機制面臨失效壓力。

在此情境下，後量子密碼（PQC）轉型成為關鍵。李育杰表示，臺灣正從關鍵系統著手，逐步導入抗量子加密與簽章機制，但這是一項需長期推進的工程，必須兼顧現有系統穩定與未來威脅。

同時，零信任（Zero Trust）架構成為整體防禦基礎。透過持續驗證身分與行為，即使駭客滲透內部，也難以擴散攻擊，實現「永不預設信任」的動態防護。

李育杰指出，AI與量子科技正同時重塑攻防格局，一個帶來即時威脅，一個潛伏於未來。面對雙重挑戰，資安策略不僅需技術升級，更需思維轉變，將「安全」與「信任」納入設計核心，才能確保長期防禦優勢。

從制度困境到體系重建，關鍵在資安預算與協同機制

資安戰略落地的關鍵，不只在四大支柱，更在組織協同與預算制度兩項基礎工程。李育杰指出，「國家資安戰情協同應變中心」與「預算正規化」，正是解開公部門長期結構性問題的核心。

過去資安治理最大困境，在於資源分散與橫向連結不足，各部會各自為政，實體事件與網路攻擊缺乏整合判讀。然而威脅早已跨越虛實界線，一場機房事故或系統異常，都可能與網攻相關。因此，戰情協同中心透過整合國安、情報與執法資源的「六塊基」，從零散通報轉向即時共享，建立「全局視角」，讓決策建立在整合資訊之上，而非片段判斷。

相較之下，預算制度的問題更為根本。李育杰坦言，資安長期被納入「科技預算」，導致維運需求被迫包裝為創新計畫，甚至被要求說明「創新性」，形成「掛羊頭賣狗肉」的現象。這不僅降低效率，也讓資安資源難以穩定投入。

他強調，資安本質已是持續性服務，應如水電般「一開機就存在」，而非專案式支出；唯有將預算正規化，轉為常態性經費，政府才能建立長期防禦能力並留住人才。他更形容，資安署應如消防機關——「看不見但不可或缺」，一旦缺席，社會將無法承受。

然而，改革阻力不在法規，而在行政慣性。長期形成的作業模式，使制度轉型推進緩慢。這也反映在數位治理上，仍依賴「先盤點再回報」的流程，難以即時掌握狀況。若轉型成熟，應以即時儀表板掌握全局，而非仰賴層層公文。

整體而言，從協同機制到預算正規化，臺灣正重塑資安治理基礎，將資安由「專案」轉為「基礎設施」。李育杰強調，唯有制度與組織同步改革，資安戰略才能真正落地。面對數位國土保衛戰，他也提醒：「不要只求方便。」短期便利往往埋下長期風險，資安投入雖非立即獲利，卻是避免未來更大代價的必要選擇。文⊙黃彥棻、攝影⊙洪政偉

---

<p><a href=”https://www.tenlong.com.tw/products/9789860654356?list_name=srh” rel=”nofollow noopener”><span><span><strong>本文出自《CYBERSEC 2026 臺灣資安年鑑》</strong></span></span></a></p>

---