季刊

加速政府資料傳輸與安全應用－
T-Road 架構與安全機制
楊蘭堯 國家發展委員會資訊管理處高級分析師

壹、前言
隨著人工智慧（AI）、大數據分析、雲
端運算、物聯網（IoT）、5G 行動通訊等數
位科技的發展，全世界許多先進國家已經開
始透過各種新興科技，大力推動政府數位轉
型應用，期待能創造新服務模式，及更優質
的用戶體驗，並創造政府數位施政經濟效益
的最大價值；愛沙尼亞是全球政府運作數位
化程度最高的國家，該國已將大部分的政府
公共事務包含報稅、投票、就業所需的證明
文件、交通監理、教育登記與各項補助、查
詢個人醫療紀錄等重要政府業務轉移到網路
平臺，以政府資訊與線上服務作為整合入口
（www.eesti.ee），透過 X-Road 串連全國公
私部門資訊系統進行整合，根據統計，愛沙
尼亞超過 9 成以上政府服務可以從網路完成，
高度數位化作業不僅節省了民眾到現場排隊
的時間，更大幅提升跨機關資料傳輸的效率
及減少大量紙張資源。
我國自 1998 年開始推動電子化政府，完
成多項里程碑，包括網路報稅、電子發票、
電子公文、雲端病歷、開放資料等項目，在
這波數位轉型浪潮下亦掌握發展契機，2016
年 11 月 24 日 行 政 院 核 定「 數 位 國 家 • 創
新經濟推動方案」，方案推動主軸之一「數
位國家」目標設定為「民眾有感之開放政府
智慧治理」；2019 年 1 月 10 日核定「智慧
政府推動策略計畫」，期在 2020 年達到各項
核銷免檢據、民眾對政府各項申請 80% 線上
服務，依據智慧政府計畫之基礎架構「建立
具安全且可信賴的資料傳輸機制」，建置資
料傳輸骨幹網路（T-Road）資料傳輸平臺及
T-Road 安全服務等基礎建設，提供各機關一
個安全可靠的資料傳輸環境，透過跨機關資
料查驗與介接機制，提供民眾全程線上申辦
服務，落實智慧政府「便利、有效率、全年
無休」的願景。
貳、T-Road 規劃架構及功能
政府推動數位化作業服務時已要求將資
訊流通及跨機關電子查驗做為便民服務的重
點工作，然而早期資料傳輸機制並沒有統一
標準，在資安與民眾隱私資料的保護上也需
要更強化，檢視現行公務機關資料傳輸面臨
以下問題：
一、無共同資料傳輸格式
資料需求機關依資料提供機關之規格自
行開發系統進行傳輸，沒有一致性規格讓機
關間的介接難度提高，不但開發介接時間冗

86 第八卷 第四期 109 年 12 月

 政策新知

長，且資料流通性相對降低。 四、介接專線數量多

二、資訊安全標準不一 資料提供機關因為資訊安全以及個資法
的因素，要求需求機關採用 VPN 專線方式取
資料提供機關有不同的資安要求，當需 得資料，如機關與多個機關有資料傳輸需要，
求機關需要跟多個提供機關要求資料時，則 則需申請不同線路，造成數量繁多及管理困
需訂定多份資訊安全規範以滿足不同提供 難，亦增加機關租用線路成本。
機關。
為了解決前述資料傳輸問題，國發會資
三、API 服務清單未公開 管處參考愛沙尼亞 X-Road 經驗，在政府原
有的骨幹網路 GSN 中，建置一條資料傳輸通
各提供機關的 API 並未提供給其他機關
道，在這條通道中，規範了資料傳輸的格式
知悉，需求機關也沒有管道可以方便快速查
和規範，讓各機關的資料可以在安全而且可
到每個機關提供出來的 API 服務有哪些，資
控管的管道下傳輸，這個通道就是 T-Road；
訊不透明造成資訊傳輸的隔閡。

圖1 政府骨幹網路 T-Road 資料傳輸通道架構

資料來源：作者提供

第八卷 第四期 109 年 12 月 87

 季刊

此外國發會也著手改造政府入口網站（www. 戳證明，確保紀錄之完整性、不可否認性。
gov.tw），以貼近民眾生活之人生事件流程
（出生、求學、就業、就養、終老）為主軸， 六、紀錄查調服務
做為民眾取用政府線上服務的大門，提供民 （Query Platform Service）
眾申辦政府線上服務。T-Road 架構如圖 1。
提供機關查詢異動紀錄與傳輸紀錄。
T-Road 管理平臺包含下列各子系統之運作：
七、單一簽入服務（Single Sign On）
一、中 央 控 管 系 統（Central Server
提供單一登入認證方式以確定使用者之
System）
身分。
負責各安控伺服器的憑證管理、登錄註
冊、 各 機 關 提 供 的 資 料、 各 項 異 動 即 時 通 八、安控伺服器（Security Server）
知等。
主要作為各機關資料安全傳輸媒介，各
機關可透過安控伺服器達成 T-Road 點對點資
二、設定管理服務
訊傳輸之目的，各安控伺服器間具備安全之
（Con iguration Management）
傳輸層、訊息層及檔案傳送等功能。

管理各安控伺服器組態之下載及更新。
三、運作監控服務
（Operational Monitoring）
紀錄、蒐集、彙整各安控伺服器及管理
平臺的操作紀錄，並保存相關查調紀錄。
四、環境監控服務
（Environmental Monitoring）
T-Road 是一個分散式、程式開源、資料
存取授權由資料提供機關自己設定的架構，
需要傳輸的機關須向 T-Road 管理平臺註冊，
實際資料傳輸由機關和機關之間透過授權直
接完成，傳輸的紀錄則會在三方留存（資料
提供端、資料需求端及 T-Road 管理平臺）。
程式開源也能讓機關在此架構下無移轉的後
顧之憂，讓各使用機關檢視原始碼的安全性
以降低使用上的安全疑慮。

紀錄、蒐集各安控伺服器及管理平臺的 參、T-Road 資料傳輸風險評估

環境使用及運作狀態，並依狀況啟動相關備
國發會為建構具安全且可信賴的資料
援機制。
傳 輸 骨 幹 網 路 基 礎 架 構， 率 先 導 入 資 料

五、時戳服務（Time Stamp Service） 保 護 影 響 評 估 （Data Protection Impact

Assessments，DPIA），風險評估面向包含
提供 T-Road 資料傳輸服務任何紀錄之時 「法規調適」、「隱私保護」與「資安防護」
等三大配套措施，並於資料傳輸骨幹網路設

88 第八卷 第四期 109 年 12 月

 政策新知

計階段即納入資訊安全、隱私資料保護，以 七、是否具適當措施，充分尊重當事人個資
及預設隱私設定，並參採 NIST SP 800-122、 權利，使民眾利益獲得保障。
ISO 29134、APEC 隱 私 權 保 護 九 大 原 則、
ISO 27001 以及 ISO 27701 國際標準相關要 T-Road 資料安全風險評估範圍，包含國

求，針對資料傳輸骨幹網路面臨之議題進行 發會主責 T-Road 管理平臺之系統開發、維運

分析，確認資料蒐集、傳輸、處理與利用之 等各階段，亦包含介接機關上線前及取得資

適法性、安全性；透過早期施行 DPIA，可在 料後安全評估項目，對於 T-Road 整體安全風

事前就評估資料處理可能面臨的風險，並非 險評估包含：

在取得資料後才規劃各項安全控管，提高資
一、 實 體 安 全 防 護 作 業 之 安 全， 評 估 是 否
料應用的合規，透過事前充分的安全評估，
將 重 要 伺 服 器 以 安 全 周 界 保 護， 並 給
強化政府信用、透明度、可靠性、穩定性及
予 適 當 之 人 員、 設 備 進 出 管 理 措 施，
民眾對個人資料的掌控，每個介接 T-Road 進
放置重要設備之區域應有防備意外災
行資料傳輸之政府機關，均應遵循資通安全
害之措施，並管制人員在內工作時之工
管理法、個人資料保護法等相關法令要求，
作守則。
藉由早期鑑別需要遵守的法令及防護措施，
各機關可預為規劃各項安全控管作為，整體 二、資訊設備管理之安全，評估是否提供足
執行概念如下： 夠的安全保護，降低來自環境之威脅及
危害造成的風險，以及未經授權存取之
一、應於資料蒐集前事前進行資料侵害可能
機會。
性評估，並優先規劃安全控管措施。
三、基礎建設服務安全，評估電源、水、空
二、應確認資料利用合於法規要求，當事人
調等公用服務持續性是否足夠。
不必額外採取其他保護資料的作為。
四、介接服務之安全，介接機關是否依照正
三、應確認資料處理是否具足夠強度的安全
確方法開發 API。
控管措施，且盡可能提高控管規格。
五、訊息傳輸之安全，評估資料傳送是否可
四、確認系統規劃與實作各階段，均考慮到
能遭竊取或正確性受影響。
隱私應用風險。
六、人員管理之安全，評估介接機關承辦人
五、 確 認 安 全 控 管 措 施 是 否 涵 蓋 資 料 生 命
員存取權限管理等。
週期。
七、 介 接 機 關 資 料 處 理 方 式 之 法 律 適 切 性
六、是否提前強化政府政策溝通與民眾意見
評估。
回饋，使資料處理透明化，且確保當事
人知的權利。 八、資料儲存之安全性評估。

第八卷 第四期 109 年 12 月 89

 季刊

安全性需求 弱點掃描、滲透測試
源碼檢測
功能性
需求 需求 / 風險 測試方法 需求追蹤 測試情境
安全操作
分析 判斷標準 版本 / 變更管理 測試計畫
隱私性
需求

PbD（Pre-PIA） PIA

需求分析階段 需求設計階段 測試設計階段 系統開發階段 系統測試階段 營運維護階段

存取控制 識別與鑑別 稽核與可歸責性 營運持續計畫

[ 帳號管理 [ 身份識別 [ 稽核事件類型 [ 資料備份

[ 最小權限 [ 使用裝置 [ 稽核紀錄內容與保存期限 [ 系統與服務備援
[ 遠端存取 [ 傳輸加密 [ 稽核處理失效之回應
[ 密碼加密 [ 稽核資訊之保護

圖2 系統開發生命週期與隱私衝擊評鑑關係圖
資料來源：作者提供

肆、T-Road 安全管理機制 （三）介 接 機 關 之 內 部 服 務 網 段， 如 需 與

T-Road 資料傳輸網段連線，採限制 IP
為了讓各介接機關有最基本的資安管理 及點對點之連線方式。
要求，國發會亦訂定 T-Road 管理規範，採取
下列措施進行 T-Road 資料傳輸保護： 二、身分驗證要求

一、網路環境設置 （一）各安控伺服器建立身分管理功能，並
對安控伺服器之操作者進行身分驗證
（一）介接機關應採專屬 GSN VPN 或經國 後方可使用。
發會核可之其他安全連線方式連接
T-Road，並由資料中心設置機關進行 （二）介接機關若使用其他資通系統與安控

申請。 伺服器介接，需設置身分驗證功能，
資料提供機關得針對資料需求機關之
（二）使用專屬之資料傳輸網段進行 T-Road 身分驗證紀錄進行查核。
資料傳輸作業，該資料傳輸網段不得
與外部服務網段進行連線。 三、資料傳輸服務（API）管理要求

90 第八卷 第四期 109 年 12 月

 政策新知

（一）資料提供機關應與資料需求機關共同 五、紀錄管理
確認資料傳輸之適法性後，才可提供
需求機關介接使用。 （一）由安控伺服器自動產生完整的簽章和
時間戳記的訊息紀錄於資料庫或檔
（二）服務（API）管理使用權限由資料提供 案中。
機關設定。
（二）系統自動儲存安控伺服器的用戶端操
（三）機關註冊至安控伺服器的服務（API） 作紀錄。
需符合國發會訂頒之「共通性應用程
式介面規範」。 （三）T-Road 資料傳輸之紀錄以區塊鏈方式
完整保存。
（四）資料提供機關得稽核資料需求機關資
料保管及服務使用紀錄。 伍、結語
四、資料傳輸作業管理 在智慧化時代，透過數位化工具強化治
理效能已成為必然趨勢，也是大多數國民的
（一）安控伺服器間所有連線須經機關授權， 期待，但資安與民眾隱私權永遠是我國政府
傳遞之訊息皆會以 T-Road 機關專屬憑 打 造 數 位 化 系 統 的 前 提， 這 也 是 國 發 會 將
證簽章。 DPIA 作 為 T-Road 資 料 評 估 機 制 的 原 因，
DPIA 要求讓政府機關使用 T-Road 時更嚴格
（二）如採用檔案傳輸方式，須以安全檔案
縝密，在 T-Road 平臺建置期間，即以安全系
傳輸方式（SFTP）進行。
統開發生命週期（SSDLC）方式規劃，考量
（三）訂定平臺安全傳輸協定及機制，確保 系統功能性的同時，導入安全性的思維進行
資料傳遞過程均全程加密及驗簽，防 各項必要的安全防護措施，後續國發會已規
止未經授權之機關或外界連接本平臺。 劃將 T-Road 導入資訊安全及個資保護第三方
驗 證， 取 得 ISO27001 及 ISO27701 認 證，
（四）資料需求機關取得檔案後須設定保存 期望在兼顧安全與效能下，讓數位治理的願
期限，並透過排程檢查於期限屆滿後 景可以落實。
自動刪除資料。

參考文獻

1. NIST Special Publication 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information （PII）.

2. ISO 29134：2017, Information technology – Security techniques – Guidelines for privacy impact assessment.

3. ISO 27001：2013 Information security management.

4. ISO 27701：2019 Privacy Information Management System.

5. 智慧政府推動策略計畫，行政院 2019 年 1 月 10 日核定本。

第八卷 第四期 109 年 12 月 91