觀點

以有限資源與妥適的分配來應變資安威脅 (下集)

2017 / 06 / 03
編輯部
以有限資源與妥適的分配來應變資安威脅 (下集)
9成漏洞的弱點來自軟體開發
前面所提到這些連網裝置或應用系統之所以遭到攻擊,常常是因為軟體開發時未考量安全的需求所導致的設計疏漏。尤其像有些IoT設置為求迅速開發,甚至會直接使用社群的開放源碼修改而成,因而造成更多的資安風險。今年5月媒體報導,根據經濟部工業局訂定的「行動應用APP基本資安檢測基準」,將行政院及所屬部會、機關所開發的144個App,就敏感性資料處理、網路連線安全、憑證有效性等項目進行檢測,結果僅有20個通過所有檢測項目,有23個被檢測出具有4-6個弱點,其中行動水管家、台鐵e訂通這兩個與關鍵基礎設施有關的App甚至被檢測出6項漏洞缺失,另有98個App則有高風險的弱點。

劉建良指出,根據統計有92%的弱點是來自軟體開發。廠商為了加速軟體開發,節省預算,只好減少安全的考量而犧牲軟體品質來遷就商業利益,也突顯出SSDLC(Secure Software Development Life Cycle,安全系統發展生命週期)議題的重要。國家資通安全會報技術服務中心組長溫翔安也提醒,即便非開發人員,但機關組織如有委外開發需求的話,也需要對SSDLC有所認識,才能把安全開發的需求放入一開始的需求建議中,確保良好的委外開發品質。因為等到軟體完成上線後才發現漏洞的話,事後補救的成本往往比事前修改的成本高出許多。而為了方便機關委外開發時對系統安全需求能有所依據,技服中心也有「資訊系統委外開發RFP資安需求範本」,讓有需要的人可以參考下載。

政府整體資安策略規劃
有人會覺得無法做好資安工作是因為資源有限,但其實資安很多是管理議題,像上述的設備交接管理、預設帳密的設定等,如果能在先前就做好規劃,就能減少被攻擊的風險。如果是管理議題就最好能有具體的政府規範以供遵行。尤其政府在規劃資安發展策略時,不僅是要把資安做好,還需從國家整體發展,甚至是國家安全戰略的高度來審視這問題。

以目前正在規劃中的「第五期國家資通訊安全發展方案」(106至109年)來看,就是以提昇自我防護能量,完善國家資安機制,保衛數位國家安全為目標。為達成此目標,其下又有法規完備、資安聯防、提升產業與人才培育4大推動策略。法規部分,我國第一部資安管理專法「資訊安全管理法草案」已送立院審查,希望在本會期通過。一旦立法通過後半年首先適用公務機關,一年後適用關鍵基礎設施提供者。

建構國家資安聯防體系上,除了在不同產業領域建立ISAC與CERT外,還會將這些資訊往上匯集到國家級ISAC。另外還希望以六都為核心,連同週邊城市形成地區性的聯防體系。在產業發展上,行攻院資安處副處長徐嘉臨特別提到對岸中國的資通產業發展快速,而國內機敏機關又不適用中國的產品,如不儘快扶植國內相關產業,常此以往,將使我們在相關資安、網通產品上的選擇愈來愈少,甚至影響到國家安全。而產業的發展又與人才培育習習相關,政府一方面利用政策上的安全規範來增加企業機關對資安人才的需求,一方面也要透過大學、研究所或政府提供相關專業課程來培養資安專業人才,雙管齊下,由上到下建立良好的長期發展生態,才能逐步打造出我們資安自主防衛的能力。

(上集)以有限資源與妥適的分配來應變資安威脅