觀點

驅動數位聯防十大建言

2003 / 10 / 13
驅動數位聯防十大建言

文/謝誼萱


政府機關所積極佈建的資通安全基本防護能力,帶動市場數十億商機,也燃起公部門重視資安風氣,第二階段整體防護體系,內容以建立資安防護體系、檢驗資安應變能力及健全資安發展環境為三大主軸,是否能有效防止重要政府機關、機構及民生重要之資安體系遭受有心人之滲透及破壞,目前正是關鍵時刻。本刊從抽樣訪查中央到地方政府機關資訊中心,就目前所推行的分級計畫,及長遠的資訊安全政策進行深入了解;並與國內資安專家、學者、產業人士交換心得,將觀察後之現象綜合整理,期待彙集產、官、學、研多方力量,為問題提供十大建言,盼為政府建設健全資安體系挹注一份心力。
建言一:速設主管機關與資訊長
對於設立資訊與資安主管機關國內專家學者建議頗多,政府正認真思考如何因應?「三、四個部會分別兼管不同的資訊業務,例如技術研發在經濟部科技專案中執行、內容又歸新聞局管理、通訊歸電信總局管理、跨部會資通會報僅是臨時任務編組,93年後是否會持續運作仍狀況不明…,看不到那個部會是資訊與資安的主管機關,韓國設置資訊通訊部把資訊資安業務整併,可供參考。」賴溪松教授清楚地指出資安沒有主管機關的現象。


資安管理層級也是另項爭論的話題,是維持目前跨部會編組?或是另設更高層級獨立機關?或在現有常設部會中找到適合機關做主?立委、政府官員、學者看法不一,從資通安全會報、國家資訊通信發展推動小組(簡稱NICI)、研考會、經濟部商業司,到未來將設國家通信委員會(簡稱NCC),都有人點名,可以預見將來還要大費唇舌才能產生真正的資安主管機關。專家認為,資安可分為國家級、社會級、企業級,如果是屬於國家級的工作不該以臨時編組,臨時預算來做,應該採特別體系持續建設,也就是說確立主管機關,統一資源分配。


國外大企業安全處的設置,就是從基礎安全教育著手,有系統的把資訊給員工,並且負責所有相關資安工作,整合企業資源。在資安控管嚴密的電信、金融、高科技產業中,可以看到資訊長(CIO)與安全官(CSO)編制,他們以豐富專業能力,掌控企業資訊政策與全方位資安對策,政府單位目前已有初步資安分級,但是未見可長可久的資安政策與全方位資安對策,如果把政府視為一個企業體來看,目前最亟需延攬的人,恐怕就是資訊長與安全官了!專家認為,安全官的角色不該在資訊長之下,而且建制設備的人與負責稽核的人應該不同。

建言二:專款專用解決沒人沒錢
「沒經費還沒動,上層告訴他計畫寫得再多再好都沒錢啦!上級機關認為時機不對,只能從內部挪錢,但內部預算也很緊,沒有挪用的空間;同事認為資安是資訊部門的事,與他們無關,所以要推動很費力。」這是某A系統單位承辦人發出的心聲。通資訊基礎建設安全機制計畫通過前各單位未編列資安專門預算,待計畫公佈後,只能挪動其他預算因應,目前仍有許多A、B級機關心存觀望。「美國政府資安預算是追加上去,一直至做到好,台灣則採固定預算制,只能做到某種程度不見得可以做到好。」一位熟悉美國資安策略的顧問,認為政府編列資安預算略嫌保守。


預算吃緊、沒有人力,沒人沒錢成了政府機關做資安普遍存在的現象。據資策會統計,兼職資安人力佔全部資安人力的六成,也就是一半以上的資安人才都不是將資安工作列為優先工作,因此往往無法徹底落實資安全工作。「當年我極力反對資訊業務完全委外服務,現在慢慢調整過來,卻又碰上預算緊縮,沒有財力聘用、培養更多資訊核心幹部。」主計處電子中心主任萬鎮歐,談到資訊業務委外服務時語重心長。資安專家包化富認為,政府資訊業務委外,可分系統委外、服務委外、硬體委外等幾個面向,例如大力推廣ISMS,是否可開發相關工具給各單位用,同時可外銷。建設資安初期應採專款專用的方式,讓政府機關有資源去運作,才不致落入空有計畫而無財源的窘境。

建言三:各部會首長應重視資安
各部門主管對資安認知與重視度是資安成敗關鍵要素,尤其是各部會首長及縣市長應以身作則推動資安,不應把資安視為是資訊部門的工作,如何去加重資安防護在主管心中的比重,為推行資通安全的一大考驗。在我們走訪政府單位中,做得好又有成績的單位,幾乎都是因為主管重視資安,下屬也跟著重視,所以提高主管重視度可能最直接也最有效的良方。上下有共識,還要得到其他部門的共識,也就是橫向溝通,資安是跨部門的業務,如果只落得資訊部門獨撐大局,最後也不能有太好成果。

建言四:增補資訊人員提高位階
人力與能力不足是政府推動資安致命傷,人力不足無法付應日益複雜的資安問題?能力不夠則造成有錢也不知如何花?加上資訊人員長期處於低階職位,資安工作就難有效落實。隨著政府機關加速資訊化腳步,依賴資訊人員程度也相對提高,資訊人員的員額有必要增加,並培訓資安專責人員。


以目前政府缺乏系統管理、分析資訊人員,應適度提高資訊人員位階,讓更多資訊專才進入管理階層,提振資訊人員士氣。

建言五:擺脫考績掛帥公僕宿命
腳步慢又層層上簽,時間拉長執行力就變弱。大部份公務員都聽命行事,只要事涉考績執行度都不錯,但資安環境變化快,架構變化也快,如果不隨時調整應變,一段時日之後可能系統又不符實際需求了。以推動資安管理制度(ISMS)為例,明定20個A級系統和完成時程,對20個A級系統主事者就會有績效上壓力,為了在時效內通過,主管機關與承辦人員無不全力以赴。有學者預估台灣今明兩年,拿到BS7799-2認證數量將排世界第一,但是品質是不是能和數量相輔相成,就令質疑。主事者必須先有正確觀念,欲維持企業資訊安全的等級在可以接受的範圍內,企業必須不斷的配合需要調整其 ISMS 系統,而不是僅止於通過認證而已。

 
部份輔導政府機關導入ISMS系統的顧問,反映公務員交差了事的心態,對導入ISMS系統真正用意,與未來持續維運的計畫避重就輕,顧問們擔心即使拿到證照,對以考績為前提的公務機關人員在資安防護上能有多大效益。包化富認為,從一個小單位到政府組織都應該建立電腦稽核的功能

  
其他沒有將資安列入考核績效要件的單位,甚至沒有資安考績壓力的政府機關單位對資安的用心程度,我們也不能抱太高期待,「多一事不如少一事,那是資訊人員的事,與我何干?」某位曾在政府機關任職的學者,指出以往同事不願多花心思在不屬自己業務上的心態,再度凸顯公務機關不重視資安的現象。

建言六:教育訓練加強人員觀念
據資策會統計60.7%的政府單位強烈認為欠缺資安知識與訓練,尤其是網路安全知識課程,竟高達76.8%的單位希望獲得該類課程。資安工作不僅是資訊人員的工作,而是應由所有同仁的共同合作完成的任務,否則漏洞將層出不窮。「在捷運、公車上,經常可以聽到或看到公務員在談公事或看公文,有些機密就這樣外洩了。」這段描述與資安事件七成是人為疏失造成,似乎頗具關聯性。


「政府教育訓練一堂課1000元,僅行情十分之一價錢,如何找好講師?預算編列方式,重軟硬體輕顧問教育訓練,中央單位規劃撥款支援經費,但下級單位不清楚目的為何造成執行偏差,中央原意是做好管理,結果下級單位以產品採購為主…。」一位經驗豐富長期輔導政府部會的資安顧問,點出政府內部錢與人的問題,他指出,資安已由產品走向服務與管理面,政府部門若沒有落實管理和擬訂持續應變措施的能力,再多經費都不見得夠用,只是買了一批又一批無法有效管理的產品。


成大賴溪松博士對教育訓練提出三點看法,一、由上而下的推動資安防護,管理階層要先有資安意識,提醒所屬多汲取資安新知。二、資安沒有員工的配合,重要的機密資訊無法獲得保障,所以資訊安全的認知應列為首要,員工要有安全意識。三、內部系統維護者,除了硬體維護技術提升外,更要對最新駭客技術、安全威脅、安全修補等資訊加以教育訓練。警大林宜隆博士則認為,預防網站犯罪,應透過學校教育宣導,政府內部除加強觀念教育,還可以與民間合作定期辦講習。空大郭秋田博士建議將資安課程放入大學通識教育中,讓大學生都有資安觀念,進而帶到各行各業中去落實,並且可以透過終身學習的推廣教育去做扎根工作。

建言七:安檢稽核不能馬馬虎虎
採定期與不定期的資安評估方式,可促使主管重視和持續性執行資安工作,藉由外部的評估壓力,達成內部持續維護資通安全的執行。定期安檢與維護紀錄細節常被忽視,殊不知從例行檢查紀錄中,可以防範許多不當入侵行動與資產損失。以汽車定期保養為例,若能從定期維護紀錄中,及早更換不良零件與異常現象,不但確保行車安全還可防止意外事件發生。

 
有了制度,並不表事情就能做對、做好,還必須靠著稽核手法來確保制度之完整及成效。對於取得BS7799 認證之單位亦應該清楚,為了確保認證後,依然能持續落實品質制度的執行,需要每半年或一年由認證單位再次進行外部稽核,由此就不難看出『稽核』對認驗證的重要性了。

建言八:健全標案評選合格廠商
「國家應該可以為我們檢視一批夠標準的廠商,政府所屬機關只要從挑選廠商就沒有問題,如果廠商違法就撤銷營業執照。」某位資訊部門主管提出他的需求,他強調每件招標案承辦人壓力都很大,如果能有廠商的評選機制,那真是幫大家解決一個大麻煩!有人就建議,政府統一評定入圍廠商,使用單位可自行在該名單內直接選取配合廠商。


「美國政府就有一套評選廠商的機制,用來作為資安工作的後援體系,而不是只有預算支援而己。」部份資安顧問也建議由政府來選擇合適廠商。另外,國外在SOC設置及服務標準、保險承攬範圍及保費計價方式都有我們可以參酌之處。


政府資安服務標案漸轉採評選標,採購案評審通常由官、學、研的名單中挑選,但沒有公正第三者來評鑑這批評審委員;加上現有的規劃為了防弊造成採購流程長且費時,許多單位深受其苦,其中包括民代與利益團體介入困擾就更多。

建言九:廠商專業及服務待加強
建構安全機制時「夠用就好」及「再看看啦,等事情發生了再說。」的心態不足取,很有可能會因而招致毀滅性的破壞。長久以來,有意改善其資安環境的單位,都無可避免地要面對一個令人頭痛的問題,那就是得從許多家廠商中挑選採購各種安全軟硬體,而且還有後續的管理與維護,光是想到這些事情之複雜就夠讓人退避三舍了。萬一部門在 IT 方面的資源又不充足,那麼不僅無法管理這麼多軟硬體設施,整個安全架構的建置成本也將大幅攀升。因為這些原因,許多單位至多也不過買了防毒與防火牆設備。甚至有政府部門認為,買了防火牆就安心了,防火牆的功能與特性並未發揮在相關防護機制上,這中間多少有廠商在轉移技術上的「技術性」保留。「跟著操作手冊作就對了!」廠商不願意把know how全部轉移給使用者心態,若碰上技術專業能力不足的承辦人員,也只能讓廠商牽著鼻子走。


賴溪松強調,「廠商心態要改變,安全觀念較抽象,廠商推廣產品而忽略教育使用者的重要性,換言之,廠商以產品導向忽視安全導向,對資安服務及教育的內涵,缺乏整體觀念的傳遞,只重視單一產品介紹,誤導民眾資安觀念。」


資安國產品在不易取得國外實驗室認驗證,及國內認驗證機制尚未成熟之際,又有國外品牌代理商強勢競爭下,生存空間相對狹小,如果政府不能採取保護與獎助的配套措施,強化資安國產商體質,協助研發新技術與產品,那麼資安市場就得一直依賴外來廠商。

建言十:提升技術營造產業群聚
如何藉由技術提升與科技提升,營造產業群聚。包化富建議,從基礎的學校相關科系人才培育做起,國科會與工研院可扮演提升產業技術主導者角色,將資安技術轉移給國內廠商,而非介入民間專案。以TSMC、 UMC成功案子為例,工研院協助發展到一個階段,再與國外大廠成立合資公司。


產品評鑑標準,目前經濟部正著手推動,但尚未制定管理辦法,那些產品該送檢?已獲國外認驗證產品是否要送?都尚未有標準答案。業者認為,應速釐清疑慮定出管理辦法。

結語
鑒於政府機關單位對於資訊網路安全的日益重視,並有帶頭做好資安之示範作用,凸顯政府部門提高行政效率及服務的效能,更進一步有系統建設e 化社會與國家,打造一個具國際競爭優勢及能提昇全民的福祉的數位環境。然而,這些政策及計畫的推動不光只靠政府機關組織力量,應該還包含民間產業、專家學者、企業乃至於個人,大家共同協力合作才得以完成。