驅動數位聯防十大建言

文／謝誼萱


政府機關所積極佈建的資通安全基本防護能力，帶動市場數十億商機，也燃起公部門重視資安風氣，第二階段整體防護體系，內容以建立資安防護體系、檢驗資安應變能力及健全資安發展環境為三大主軸，是否能有效防止重要政府機關、機構及民生重要之資安體系遭受有心人之滲透及破壞，目前正是關鍵時刻。本刊從抽樣訪查中央到地方政府機關資訊中心，就目前所推行的分級計畫，及長遠的資訊安全政策進行深入了解；並與國內資安專家、學者、產業人士交換心得，將觀察後之現象綜合整理，期待彙集產、官、學、研多方力量，為問題提供十大建言，盼為政府建設健全資安體系挹注一份心力。
建言一：速設主管機關與資訊長
對於設立資訊與資安主管機關國內專家學者建議頗多，政府正認真思考如何因應？「三、四個部會分別兼管不同的資訊業務，例如技術研發在經濟部科技專案中執行、內容又歸新聞局管理、通訊歸電信總局管理、跨部會資通會報僅是臨時任務編組，93年後是否會持續運作仍狀況不明…，看不到那個部會是資訊與資安的主管機關，韓國設置資訊通訊部把資訊資安業務整併，可供參考。」賴溪松教授清楚地指出資安沒有主管機關的現象。


資安管理層級也是另項爭論的話題，是維持目前跨部會編組？或是另設更高層級獨立機關？或在現有常設部會中找到適合機關做主？立委、政府官員、學者看法不一，從資通安全會報、國家資訊通信發展推動小組（簡稱NICI)、研考會、經濟部商業司，到未來將設國家通信委員會（簡稱NCC），都有人點名，可以預見將來還要大費唇舌才能產生真正的資安主管機關。專家認為，資安可分為國家級、社會級、企業級，如果是屬於國家級的工作不該以臨時編組，臨時預算來做，應該採特別體系持續建設，也就是說確立主管機關，統一資源分配。


國外大企業安全處的設置，就是從基礎安全教育著手，有系統的把資訊給員工，並且負責所有相關資安工作，整合企業資源。在資安控管嚴密的電信、金融、高科技產業中，可以看到資訊長（CIO）與安全官（CSO）編制，他們以豐富專業能力，掌控企業資訊政策與全方位資安對策，政府單位目前已有初步資安分級，但是未見可長可久的資安政策與全方位資安對策，如果把政府視為一個企業體來看，目前最亟需延攬的人，恐怕就是資訊長與安全官了！專家認為，安全官的角色不該在資訊長之下，而且建制設備的人與負責稽核的人應該不同。

建言二：專款專用解決沒人沒錢
「沒經費還沒動，上層告訴他計畫寫得再多再好都沒錢啦！上級機關認為時機不對，只能從內部挪錢，但內部預算也很緊，沒有挪用的空間；同事認為資安是資訊部門的事，與他們無關，所以要推動很費力。」這是某Ａ系統單位承辦人發出的心聲。通資訊基礎建設安全機制計畫通過前各單位未編列資安專門預算，待計畫公佈後，只能挪動其他預算因應，目前仍有許多A、B級機關心存觀望。「美國政府資安預算是追加上去，一直至做到好，台灣則採固定預算制，只能做到某種程度不見得可以做到好。」一位熟悉美國資安策略的顧問，認為政府編列資安預算略嫌保守。


預算吃緊、沒有人力，沒人沒錢成了政府機關做資安普遍存在的現象。據資策會統計，兼職資安人力佔全部資安人力的六成，也就是一半以上的資安人才都不是將資安工作列為優先工作，因此往往無法徹底落實資安全工作。「當年我極力反對資訊業務完全委外服務，現在慢慢調整過來，卻又碰上預算緊縮，沒有財力聘用、培養更多資訊核心幹部。」主計處電子中心主任萬鎮歐，談到資訊業務委外服務時語重心長。資安專家包化富認為，政府資訊業務委外，可分系統委外、服務委外、硬體委外等幾個面向，例如大力推廣ISMS，是否可開發相關工具給各單位用，同時可外銷。建設資安初期應採專款專用的方式，讓政府機關有資源去運作，才不致落入空有計畫而無財源的窘境。

建言三：各部會首長應重視資安
各部門主管對資安認知與重視度是資安成敗關鍵要素，尤其是各部會首長及縣市長應以身作則推動資安，不應把資安視為是資訊部門的工作，如何去加重資安防護在主管心中的比重，為推行資通安全的一大考驗。在我們走訪政府單位中，做得好又有成績的單位，幾乎都是因為主管重視資安，下屬也跟著重視，所以提高主管重視度可能最直接也最有效的良方。上下有共識，還要得到其他部門的共識，也就是橫向溝通，資安是跨部門的業務，如果只落得資訊部門獨撐大局，最後也不能有太好成果。

建言四：增補資訊人員提高位階
人力與能力不足是政府推動資安致命傷，人力不足無法付應日益複雜的資安問題？能力不夠則造成有錢也不知如何花？加上資訊人員長期處於低階職位，資安工作就難有效落實。隨著政府機關加速資訊化腳步，依賴資訊人員程度也相對提高，資訊人員的員額有必要增加，並培訓資安專責人員。


以目前政府缺乏系統管理、分析資訊人員，應適度提高資訊人員位階，讓更多資訊專才進入管理階層，提振資訊人員士氣。

建言五：擺脫考績掛帥公僕宿命
腳步慢又層層上簽，時間拉長執行力就變弱。大部份公務員都聽命行事，只要事涉考績執行度都不錯，但資安環境變化快，架構變化也快，如果不隨時調整應變，一段時日之後可能系統又不符實際需求了。以推動資安管理制度(ISMS)為例，明定20個Ａ級系統和完成時程，對20個Ａ級系統主事者就會有績效上壓力，為了在時效內通過，主管機關與承辦人員無不全力以赴。有學者預估台灣今明兩年，拿到BS7799-2認證數量將排世界第一，但是品質是不是能和數量相輔相成，就令質疑。主事者必須先有正確觀念，欲維持企業資訊安全的等級在可以接受的範圍內，企業必須不斷的配合需要調整其 ISMS 系統，而不是僅止於通過認證而已。

　
部份輔導政府機關導入ISMS系統的顧問，反映公務員交差了事的心態，對導入ISMS系統真正用意，與未來持續維運的計畫避重就輕，顧問們擔心即使拿到證照，對以考績為前提的公務機關人員在資安防護上能有多大效益。包化富認為，從一個小單位到政府組織都應該建立電腦稽核的功能

　　
其他沒有將資安列入考核績效要件的單位，甚至沒有資安考績壓力的政府機關單位對資安的用心程度，我們也不能抱太高期待，「多一事不如少一事，那是資訊人員的事，與我何干？」某位曾在政府機關任職的學者，指出以往同事不願多花心思在不屬自己業務上的心態，再度凸顯公務機關不重視資安的現象。

建言六：教育訓練加強人員觀念
據資策會統計60.7%的政府單位強烈認為欠缺資安知識與訓練，尤其是網路安全知識課程，竟高達76.8%的單位希望獲得該類課程。資安工作不僅是資訊人員的工作，而是應由所有同仁的共同合作完成的任務，否則漏洞將層出不窮。「在捷運、公車上，經常可以聽到或看到公務員在談公事或看公文，有些機密就這樣外洩了。」這段描述與資安事件七成是人為疏失造成，似乎頗具關聯性。


「政府教育訓練一堂課1000元，僅行情十分之一價錢，如何找好講師？預算編列方式，重軟硬體輕顧問教育訓練，中央單位規劃撥款支援經費，但下級單位不清楚目的為何造成執行偏差，中央原意是做好管理，結果下級單位以產品採購為主…。」一位經驗豐富長期輔導政府部會的資安顧問，點出政府內部錢與人的問題，他指出，資安已由產品走向服務與管理面，政府部門若沒有落實管理和擬訂持續應變措施的能力，再多經費都不見得夠用，只是買了一批又一批無法有效管理的產品。


成大賴溪松博士對教育訓練提出三點看法，一、由上而下的推動資安防護，管理階層要先有資安意識，提醒所屬多汲取資安新知。二、資安沒有員工的配合，重要的機密資訊無法獲得保障，所以資訊安全的認知應列為首要，員工要有安全意識。三、內部系統維護者，除了硬體維護技術提升外，更要對最新駭客技術、安全威脅、安全修補等資訊加以教育訓練。警大林宜隆博士則認為，預防網站犯罪，應透過學校教育宣導，政府內部除加強觀念教育，還可以與民間合作定期辦講習。空大郭秋田博士建議將資安課程放入大學通識教育中，讓大學生都有資安觀念，進而帶到各行各業中去落實，並且可以透過終身學習的推廣教育去做扎根工作。

建言七：安檢稽核不能馬馬虎虎
採定期與不定期的資安評估方式，可促使主管重視和持續性執行資安工作，藉由外部的評估壓力，達成內部持續維護資通安全的執行。定期安檢與維護紀錄細節常被忽視，殊不知從例行檢查紀錄中，可以防範許多不當入侵行動與資產損失。以汽車定期保養為例，若能從定期維護紀錄中，及早更換不良零件與異常現象，不但確保行車安全還可防止意外事件發生。

　
有了制度，並不表事情就能做對、做好，還必須靠著稽核手法來確保制度之完整及成效。對於取得BS7799 認證之單位亦應該清楚，為了確保認證後，依然能持續落實品質制度的執行，需要每半年或一年由認證單位再次進行外部稽核，由此就不難看出『稽核』對認驗證的重要性了。

建言八：健全標案評選合格廠商
「國家應該可以為我們檢視一批夠標準的廠商，政府所屬機關只要從挑選廠商就沒有問題，如果廠商違法就撤銷營業執照。」某位資訊部門主管提出他的需求，他強調每件招標案承辦人壓力都很大，如果能有廠商的評選機制，那真是幫大家解決一個大麻煩！有人就建議，政府統一評定入圍廠商，使用單位可自行在該名單內直接選取配合廠商。


「美國政府就有一套評選廠商的機制，用來作為資安工作的後援體系，而不是只有預算支援而己。」部份資安顧問也建議由政府來選擇合適廠商。另外，國外在SOC設置及服務標準、保險承攬範圍及保費計價方式都有我們可以參酌之處。


政府資安服務標案漸轉採評選標，採購案評審通常由官、學、研的名單中挑選，但沒有公正第三者來評鑑這批評審委員；加上現有的規劃為了防弊造成採購流程長且費時，許多單位深受其苦，其中包括民代與利益團體介入困擾就更多。

建言九：廠商專業及服務待加強
建構安全機制時「夠用就好」及「再看看啦，等事情發生了再說。」的心態不足取，很有可能會因而招致毀滅性的破壞。長久以來，有意改善其資安環境的單位，都無可避免地要面對一個令人頭痛的問題，那就是得從許多家廠商中挑選採購各種安全軟硬體，而且還有後續的管理與維護，光是想到這些事情之複雜就夠讓人退避三舍了。萬一部門在 IT 方面的資源又不充足，那麼不僅無法管理這麼多軟硬體設施，整個安全架構的建置成本也將大幅攀升。因為這些原因，許多單位至多也不過買了防毒與防火牆設備。甚至有政府部門認為，買了防火牆就安心了，防火牆的功能與特性並未發揮在相關防護機制上，這中間多少有廠商在轉移技術上的「技術性」保留。「跟著操作手冊作就對了！」廠商不願意把know how全部轉移給使用者心態，若碰上技術專業能力不足的承辦人員，也只能讓廠商牽著鼻子走。


賴溪松強調，「廠商心態要改變，安全觀念較抽象，廠商推廣產品而忽略教育使用者的重要性，換言之，廠商以產品導向忽視安全導向，對資安服務及教育的內涵，缺乏整體觀念的傳遞，只重視單一產品介紹，誤導民眾資安觀念。」


資安國產品在不易取得國外實驗室認驗證，及國內認驗證機制尚未成熟之際，又有國外品牌代理商強勢競爭下，生存空間相對狹小，如果政府不能採取保護與獎助的配套措施，強化資安國產商體質，協助研發新技術與產品，那麼資安市場就得一直依賴外來廠商。

建言十：提升技術營造產業群聚
如何藉由技術提升與科技提升，營造產業群聚。包化富建議，從基礎的學校相關科系人才培育做起，國科會與工研院可扮演提升產業技術主導者角色，將資安技術轉移給國內廠商，而非介入民間專案。以TSMC、 UMC成功案子為例，工研院協助發展到一個階段，再與國外大廠成立合資公司。


產品評鑑標準，目前經濟部正著手推動，但尚未制定管理辦法，那些產品該送檢？已獲國外認驗證產品是否要送？都尚未有標準答案。業者認為，應速釐清疑慮定出管理辦法。

結語
鑒於政府機關單位對於資訊網路安全的日益重視，並有帶頭做好資安之示範作用，凸顯政府部門提高行政效率及服務的效能，更進一步有系統建設e 化社會與國家，打造一個具國際競爭優勢及能提昇全民的福祉的數位環境。然而，這些政策及計畫的推動不光只靠政府機關組織力量，應該還包含民間產業、專家學者、企業乃至於個人，大家共同協力合作才得以完成。