※ 引述《fur (英国研究真有趣)》之铭言：
: 出处：党中央自由时报
: 标题：唐凤提新招 破解中国网攻
: 记者：李欣芳、徐子苓
: 内文：
: 以Web3为主的分布式架构 排除阻断性攻击
: 记者李欣芳、徐子苓／专访
: 近来政府机关与关键基础设施网站再遭境外势力发动阻断式攻击，行政院数位政委唐凤接受
: 本报专访时祭出新招破解！唐凤透露，最新采用一个以Web3为主的分布式架构，透过数位发
: 展部试行上线的官网启用新架构，完全排除阻断性攻击，数位部网站“一秒钟都没卡住过！
: ”若这项新技术撑得住所有攻击，就可推广到各部会。
: 行政院二○一九年订定“各机关对危害国家资通安全产品限制使用原则”，要求公务机关不
: 要使用中国资通产品，因应这次网攻出现资安漏洞，即将转任数位部首届部长的唐凤说，现
: 在的攻击是之前制定这个规则时没想到的，我们就来改规则因应。
: 传统流量清洗 就像打消耗战
: 问：美国众议院议长裴洛西这次访台，我政府机关网站遭到资安攻击，外界忧虑政府是否有
: 足够的防护能量，或有新的因应作为？
: 答：这几天政府网站有点像电话占线，非常多人从国外跨境打电话到专线，就无法拨进去，
: 这技术上叫大量阻断服务攻击(DDoS)。电话线并没有坏掉，政府资料也没外泄。如果大家不
: 当一回事，就没达到扰乱民心作用，如果当成是一件很荒谬让大家睡不好的事，则攻击就会
: 产生心理战作用，大概就会常态化。
: 我们的因应措施，技术上叫流量清洗，就好像电话打不进去，多设专线就可拨通，这种流量
: 清洗的对应不断在做，当然也要投入相应资源。从某个角度来看这有点像消耗战，对抗境外
: 投入资源，我们投入相应资源去挡。
: 数位发展部网站 一秒都没卡过
: 在他们（共军）演习开始当天中午，数位发展部的网站（moda.gov.tw）上线，目前为止一
: 秒钟都没卡住过。这个新网站是Web3的架构，其后端采用星际档案系统，跟全球区块链社群
: 或者Web2全球骨干绑在一起，是个分布式网络、不对称防御的架构，例如打电话过去，不需
: 有接线生，接的都是机器人或是语音答录机，当他花了多少资源攻击时，你不太需要花资源
: 防御，这与传统的流量清洗，跟对方互相消耗不一样。
: 若都撑住攻击 就可推广部会
: 问：这个新的分布式网络架构，会鼓励政府机关加入吗？
: 答：现在让各部会了解有这一新架构存在，这也是俄罗斯侵略乌克兰之后，与很多国际朋友
: 讨论出来比较现代的架构，我们先鼓励大家“打打看”，看看这架构是否真的撑得住，如果
: 都没问题再来推广。
: 问：有资安专家认为政府预知会面临大规模资安攻击，为何还让中国网军达成目标？究竟要
: 如何避免阻断式攻击？
: 答：要彻底避免被阻断式攻击，就要切换到比较新的骨干，或者分布式架构，不然就是要砸
: 钱，投入相应资源。这个新的分布式架构骨干，不需额外花钱，其设计就是要避免遭阻断式
: 攻击。
: 很多资安漏洞 来自人为失误
: 问：蔡政府任内曾发生外交部领务电子信箱遭骇，导致国人出国的个资外泄、金融机构遭骇
: 被盗走钜款等严重资安事件，问题究竟出在哪里？
: 答：很多资安漏洞都来自人为操作失误，例如很多人会将公共场所使用的密码与公务密码设
: 定为相同，一旦前者密码被破解，就可破解公务电邮信箱。甚至有些密码的设定让人很好猜
: ，被破解也就不需花什么时间。
: 最主要还是要培养良好资安习惯，未来数位发展部签公文可能不会打入长串密码，例如用自
: 己的手机经指纹解锁，透过行动自然人凭证技术，完全不用输入密码就可完成公文签核，密
: 码就不会外泄，以后我们也会这样切换，来解决这方面的问题，而不是硬要设定很长的密码
: 。
: 看板遇骇事件 主要是心理战
: 问：中国资安攻击问题严重，如何看待网军频繁发动对政府机关与关键基础设施的攻击？
: 答：最近大家有看到看板（台铁、统一超商广告萤幕被骇）事件，这主要是心理战。要让大
: 家感觉恐慌，重点是我们有没有自己吓自己，若没有，则攻击造成的危害有限。
: 当时政府制定各机关对危害国家资通安全产品的限制使用原则，确实有些例外，没有介接到
: 公务网络，又不是像无人机会移动而在固定场域的产品，当时认为对资安侵害有限，因此可
: 用到自然使用年限再淘汰。
: 修改使用原则 政府资安补漏
: 如今情况有所不同，虽然不是透过网络传播电脑病毒，但却要引起恐慌，传播心灵病毒，在
: 这种情况下，我也同意应该修改限制使用原则，例如除了介接到公务网络的问题之外，会让
: 很多不特定的人看到，也算是一种风险，这种情况下也不可使用这些危害资通的产品，现在
: 发现受到的攻击是之前制定规则时没有想到的，我们就来改规则，因应这个攻击。
: 我们的关键基础设施，本来就有充足防护能量，守得很好，“如果那么容易被打下来，早就
: 打下来了”，但这次是新的状态，是心理战，包括对政府机关与关键基础设施的攻击，是要
: 让大家陷入恐慌。只要对外讲清楚，就不会恐慌。如果你很淡定，他们就失败了！
: 网址：https://tinyurl.com/2p97aa32
: 备注：1. 早说，你怎么不早说？
: 2. 只要你不淡定，淡定的就是别人。
来评论一下这件事情：
1. 基本上其他的提问跟回答我觉得都中规中矩，
除了看板那题的伤害有限，
我还是没看到更具体的报告可以说明伤害有限。
2. ipfs 算是一种解法，但是只限于很少的使用场景，
理由是目前 ipfs 只支援纯静态的网站(有 js 效果但无外连也算静态)。
所以拿 ipfs 说不卡，这个当玩笑可以，
但实际上来说，政府要应付的问题远比这复杂多了 。
我看起来比较算是个开玩笑。
另外 ipfs 因为速度不够快跟稳定，
所以 cdn 会提供快取服务器来服务，
这里应该也隐含了会使用 cdn 的服务来使用的基础。
(cdn 也会提供流量清洗的服务)
这里的问题是，多数平台还是以 https 为主，
要切换到 ipns 基本上需要很长的教育时间，
且是不是有足够的量能可以支撑国民使用也是问题。
所以，用 ipfs 解题，
我个人认为起码在两年内都是干话。XD
然后提到 web3 大家可能会想到的是区块链，
但 ipfs 其实没有 block 哦，
他技术上比较接近 bt 或驴子的协议，是 p2p 的档案协议，
所以一样要有人当种子，要等供档。XDDD
3. 安全习惯的不良很多来至于莫名其妙的规定，
比方说逼公务员取他们记不起来的规则的密码，
但是又不鼓励或提供密码管理器之类的服务。
然后莫名其妙三个月还要更换一次，
换到大家都不知道自己在记什么了。
各种矫枉过正违反人性的资安策略，本身就是伤害资安的做法。
安全是相对的，不是绝对的。
另外很多公务机关的服务都是以机关为帐号权限管理，
而不是以人为目标的权限管理，
导致很多单位一个单位只有一个帐号，大家得分批共用。
一旦帐号共用就很难谈资安跟管理了。
4. 政府的公务员权限管理我还是呼吁应该回到“我的 e 政府”，
推动国家级的公务员 sso ，做好该做的 sdk ，
让所有公务机关的权限管理可以慢慢标准化一致化。
一方面降低厂商介接成本，
另一方面让公务员使用的服务单纯化一致化。
这样不管未来政府想改用什么认证方式，
我们不用所有系统都翻一次。
行动自然人凭证只是最末端的问题，
我们的核心问题在结构。
笔者有 15年软件工程师经验，
曾开发基于 evm dapp 跟合约的应用系统。
有兴趣的可以推文继续讨论。
时代力量三重芦洲区议员参选人
王景弘 TonyQ