高雄市政府信息中心主任 刘俊杰　（摄影／洪政伟）

近年来发展快速的高雄市，因应愈来愈高的威胁，在中央的补助之下，高雄市增加对资安的投资，高雄市政府信息中心主任刘俊杰表示，目前高雄市政府在强化资安正推动3项做法，第一项做法是创建主动防御，过去的资安策略较为被动防御，例如采购防火墙、杀毒软件等，现在转向采用比较主动式的防御，例如搜集Log数据，包括端点数据，以主动分析发现异常事件。他以红军演练为例，传统委托业者扮演红队，利用黑客入侵找出哪里有弱点，但市府进一步希望掌握入侵可能留下哪些Log数据，通过工具设置视图规则，主动扫描新的Log，当发现可疑的异常情形，再由专业人员进一步分析。

创建主动侦测防御、强化资安管理制度、产官学合作培养稽核能力

去年信息中心开始导入这套做法，先用于侦测信息中心底下的系统，今年计划扩大到高雄市政府B级机关，明年再纳入C级机关，其他机关由于没有自己的信息系统，因此明年可望纳入整个市府的信息系统。不只是市府内的信息系统，甚至要将这套侦测机制在2026年扩大到OT系统，例如交通号志系统、水闸门控制系统等等。

除了导入主动侦测防御机制，刘俊杰指出，过去资安以技术为主，现在逐渐回归到资安风险管理，类似网络世界的风险管理，如同实体世界购买保险的风险分散、风险管理，市府规画先强化完备资安管理制度，根据这些管理制度需求，规画应该采购哪些资安设备。「软硬件技术面的解决方案应该辅助制度能够做得更快、更好，更省时省力，达到更好的效果」，刘俊杰说。

因此，第二个做法是推动项目强化市府的资安管理制度，包括国家资通安全管理法及子法，政府推动的资安治理成熟度，以及国际上的ISO 27001、ISO27701、ISO27008等等，以往这些管理制度、标准各自推动，可能导致重复运行，市府计划将这些制度及标准整并，以更有效率的方式推动落实管理制度，强化资安风险管理。高雄市政府也希望利用自动化工具，让推动管理制度更便利。

鉴于管理制度需要定期稽核，因此第三个做法是推动产官学合作，由于市府底下有200多个机关，以现有的人力难以逐一稽核各个机关，传统的稽核方式是高中低所有风险等级一次稽核，刘俊杰认为，这么做不符合风险管理的角度，因此调整做法，先稽核每个机关的高风险项目，再稽核较低的风险项目。另外，依照法规要求，不同资安责任等级机关需要的资安专责人员，这些人虽需具备相关证照，但缺乏稽核的经验，由于不能稽核自己所在的机关，市府鼓励专责人员稽核其他机关，并委托外部业者扮演教练的角度，针对稽核主题提供检核表，并且先教育训练市府的资安稽核人员，至于人力不足的问题，市府与学校合作，通过资安研究领域的老师寻找适合的学生，协助市府的资安稽核工作，由业者带领市府的资安专责人员、学生进行稽核，为了鼓励学生参加，市府联合产官学颁发奖状或证书予学生，对其未来就业加分。

运用AI改善城市治理

目前高雄市政府也积极运用AI改善市政、民众服务，主要分为两个方向，一个是通过智能城市项目，媒合各个局处面临问题，和外部民间企业的资源，来测试运用新科技解决问题，AI即是其中一例，例如运用AI协助轻轨侦测轨道上的异物、是否淹水，加强轨道运输的安全管理，或是在KTV等场所，利用附近监视器及麦克风，通过AI辨识影像、声音判断是否发生高风险的行为，联系快打部队前往处理。

另一方向是市府的聊天机器人，过去运用NLP技术的聊天机器人，但会有回答错误的情形，市府与信息服务业者合作，计划运用生成式AI技术，利用RAG技术克服公部门数据外泄的风险，并且降低生成式AI的幻觉问题。

刘俊杰表示，先搜集各机关网站QA数据，作为检索的数据，再运用生成式AI（微软Open AI企业版，具有专属数据库）以比较自然的方式回答民众的问题，将幻觉限制在可控的数据范围内，初步评估成效不错。另外，目前民众陈情拨打1999专线话务量庞大，并且民众经常会询问客服某个特定单位窗口的分机号码，他认为未来1999可运用生成式AI技术的聊天机器人，来降低真人客服的工作负担。

今年高雄市府也测试微软Copilot，目前先由信息中心测试产生会议纪录、摘要，未来如果效果不错再扩大至其他单位，然而，刘俊杰也表示，确实在某些方面能够节省时间，由于订阅的费用并不低，并非每位同仁都需要使用，并不会采购大量Copilot授权让每位同仁都能使用。

至于产生公文部分，因公文牵涉市府对外的公权力，政府机关在外界高度关切下，较不被允许出错，需要更慎重的评估考量是否用于产生公文。「先从基本公务上，让大家使用比较熟悉，且对用户规范有概念后，再一步步导入比较严谨的公文系统」，刘俊杰说。

尽管目前高雄市政府测试Copilot企业版服务，仍是云端部署的服务，但刘俊杰表示，今年Computex电脑展中，边缘端的AI运算成为趋势，全才型的生成式AI固然很好，但各局处仅需要专精特定业务领域数据的AI知识助理，随着小参数模型发展，未来几年他相信地端AI应用方案将会愈来愈成熟。

除了投资资安与AI，高雄市政府近几年也积极整并各局处的小机房，信息向上集中至信息中心管理，高度虚拟化的大机房，以私有云方式服务其他局处，利用信息向上集中，让IT预算高低不一的各局处可以统一作数据备分。

由于信息向上集中，也让IT的系统备援更为重要，因此高雄市政府也强化数位韧性，今年将过去位于凤山的县府机房改建为第一备援机房，用以备援市府大部分的VM。另外，市府也与AWS公有云合作，租用2台服务器，可使用80个VM虚拟机，定时将各局处单位共同且重要的VM备分到AWS，例如市府官网、公文系统、API平台等，让位于境外的公有云作为第二备援中心。经过测试，如果高雄市政府四维的数据中心系统出现异常，约5到10分钟内可以由AWS境外的VM支持。