※ 引述《fur (英國研究真有趣)》之銘言：
: 出處：黨中央自由時報
: 標題：唐鳳提新招 破解中國網攻
: 記者：李欣芳、徐子苓
: 內文：
: 以Web3為主的分散式架構 排除阻斷性攻擊
: 記者李欣芳、徐子苓／專訪
: 近來政府機關與關鍵基礎設施網站再遭境外勢力發動阻斷式攻擊，行政院數位政委唐鳳接受
: 本報專訪時祭出新招破解！唐鳳透露，最新採用一個以Web3為主的分散式架構，透過數位發
: 展部試行上線的官網啟用新架構，完全排除阻斷性攻擊，數位部網站「一秒鐘都沒卡住過！
: 」若這項新技術撐得住所有攻擊，就可推廣到各部會。
: 行政院二○一九年訂定「各機關對危害國家資通安全產品限制使用原則」，要求公務機關不
: 要使用中國資通產品，因應這次網攻出現資安漏洞，即將轉任數位部首屆部長的唐鳳說，現
: 在的攻擊是之前制定這個規則時沒想到的，我們就來改規則因應。
: 傳統流量清洗 就像打消耗戰
: 問：美國眾議院議長裴洛西這次訪台，我政府機關網站遭到資安攻擊，外界憂慮政府是否有
: 足夠的防護能量，或有新的因應作為？
: 答：這幾天政府網站有點像電話佔線，非常多人從國外跨境打電話到專線，就無法撥進去，
: 這技術上叫大量阻斷服務攻擊(DDoS)。電話線並沒有壞掉，政府資料也沒外洩。如果大家不
: 當一回事，就沒達到擾亂民心作用，如果當成是一件很荒謬讓大家睡不好的事，則攻擊就會
: 產生心理戰作用，大概就會常態化。
: 我們的因應措施，技術上叫流量清洗，就好像電話打不進去，多設專線就可撥通，這種流量
: 清洗的對應不斷在做，當然也要投入相應資源。從某個角度來看這有點像消耗戰，對抗境外
: 投入資源，我們投入相應資源去擋。
: 數位發展部網站 一秒都沒卡過
: 在他們（共軍）演習開始當天中午，數位發展部的網站（moda.gov.tw）上線，目前為止一
: 秒鐘都沒卡住過。這個新網站是Web3的架構，其後端採用星際檔案系統，跟全球區塊鏈社群
: 或者Web2全球骨幹綁在一起，是個分散式網絡、不對稱防禦的架構，例如打電話過去，不需
: 有接線生，接的都是機器人或是語音答錄機，當他花了多少資源攻擊時，你不太需要花資源
: 防禦，這與傳統的流量清洗，跟對方互相消耗不一樣。
: 若都撐住攻擊 就可推廣部會
: 問：這個新的分散式網絡架構，會鼓勵政府機關加入嗎？
: 答：現在讓各部會了解有這一新架構存在，這也是俄羅斯侵略烏克蘭之後，與很多國際朋友
: 討論出來比較現代的架構，我們先鼓勵大家「打打看」，看看這架構是否真的撐得住，如果
: 都沒問題再來推廣。
: 問：有資安專家認為政府預知會面臨大規模資安攻擊，為何還讓中國網軍達成目標？究竟要
: 如何避免阻斷式攻擊？
: 答：要徹底避免被阻斷式攻擊，就要切換到比較新的骨幹，或者分散式架構，不然就是要砸
: 錢，投入相應資源。這個新的分散式架構骨幹，不需額外花錢，其設計就是要避免遭阻斷式
: 攻擊。
: 很多資安漏洞 來自人為失誤
: 問：蔡政府任內曾發生外交部領務電子信箱遭駭，導致國人出國的個資外洩、金融機構遭駭
: 被盜走鉅款等嚴重資安事件，問題究竟出在哪裡？
: 答：很多資安漏洞都來自人為操作失誤，例如很多人會將公共場所使用的密碼與公務密碼設
: 定為相同，一旦前者密碼被破解，就可破解公務電郵信箱。甚至有些密碼的設定讓人很好猜
: ，被破解也就不需花什麼時間。
: 最主要還是要培養良好資安習慣，未來數位發展部簽公文可能不會打入長串密碼，例如用自
: 己的手機經指紋解鎖，透過行動自然人憑證技術，完全不用輸入密碼就可完成公文簽核，密
: 碼就不會外洩，以後我們也會這樣切換，來解決這方面的問題，而不是硬要設定很長的密碼
: 。
: 看板遇駭事件 主要是心理戰
: 問：中國資安攻擊問題嚴重，如何看待網軍頻繁發動對政府機關與關鍵基礎設施的攻擊？
: 答：最近大家有看到看板（台鐵、統一超商廣告螢幕被駭）事件，這主要是心理戰。要讓大
: 家感覺恐慌，重點是我們有沒有自己嚇自己，若沒有，則攻擊造成的危害有限。
: 當時政府制定各機關對危害國家資通安全產品的限制使用原則，確實有些例外，沒有介接到
: 公務網路，又不是像無人機會移動而在固定場域的產品，當時認為對資安侵害有限，因此可
: 用到自然使用年限再淘汰。
: 修改使用原則 政府資安補漏
: 如今情況有所不同，雖然不是透過網路傳播電腦病毒，但卻要引起恐慌，傳播心靈病毒，在
: 這種情況下，我也同意應該修改限制使用原則，例如除了介接到公務網路的問題之外，會讓
: 很多不特定的人看到，也算是一種風險，這種情況下也不可使用這些危害資通的產品，現在
: 發現受到的攻擊是之前制定規則時沒有想到的，我們就來改規則，因應這個攻擊。
: 我們的關鍵基礎設施，本來就有充足防護能量，守得很好，「如果那麼容易被打下來，早就
: 打下來了」，但這次是新的狀態，是心理戰，包括對政府機關與關鍵基礎設施的攻擊，是要
: 讓大家陷入恐慌。只要對外講清楚，就不會恐慌。如果你很淡定，他們就失敗了！
: 網址：https://tinyurl.com/2p97aa32
: 備註：1. 早說，你怎麼不早說？
: 2. 只要你不淡定，淡定的就是別人。
來評論一下這件事情：
1. 基本上其他的提問跟回答我覺得都中規中矩，
除了看板那題的傷害有限，
我還是沒看到更具體的報告可以說明傷害有限。
2. ipfs 算是一種解法，但是只限於很少的使用場景，
理由是目前 ipfs 只支援純靜態的網站(有 js 效果但無外連也算靜態)。
所以拿 ipfs 說不卡，這個當玩笑可以，
但實際上來說，政府要應付的問題遠比這複雜多了 。
我看起來比較算是個開玩笑。
另外 ipfs 因為速度不夠快跟穩定，
所以 cdn 會提供快取伺服器來服務，
這裡應該也隱含了會使用 cdn 的服務來使用的基礎。
(cdn 也會提供流量清洗的服務)
這裡的問題是，多數平台還是以 https 為主，
要切換到 ipns 基本上需要很長的教育時間，
且是不是有足夠的量能可以支撐國民使用也是問題。
所以，用 ipfs 解題，
我個人認為起碼在兩年內都是幹話。XD
然後提到 web3 大家可能會想到的是區塊鏈，
但 ipfs 其實沒有 block 哦，
他技術上比較接近 bt 或驢子的協議，是 p2p 的檔案協議，
所以一樣要有人當種子，要等供檔。XDDD
3. 安全習慣的不良很多來至於莫名其妙的規定，
比方說逼公務員取他們記不起來的規則的密碼，
但是又不鼓勵或提供密碼管理器之類的服務。
然後莫名其妙三個月還要更換一次，
換到大家都不知道自己在記什麼了。
各種矯枉過正違反人性的資安策略，本身就是傷害資安的做法。
安全是相對的，不是絕對的。
另外很多公務機關的服務都是以機關為帳號權限管理，
而不是以人為目標的權限管理，
導致很多單位一個單位只有一個帳號，大家得分批共用。
一旦帳號共用就很難談資安跟管理了。
4. 政府的公務員權限管理我還是呼籲應該回到「我的 e 政府」，
推動國家級的公務員 sso ，做好該做的 sdk ，
讓所有公務機關的權限管理可以慢慢標準化一致化。
一方面降低廠商介接成本，
另一方面讓公務員使用的服務單純化一致化。
這樣不管未來政府想改用什麼認證方式，
我們不用所有系統都翻一次。
行動自然人憑證只是最末端的問題，
我們的核心問題在結構。
筆者有 15年軟體工程師經驗，
曾開發基於 evm dapp 跟合約的應用系統。
有興趣的可以推文繼續討論。
時代力量三重蘆洲區議員參選人
王景弘 TonyQ