NII產業發展協進會執行長吳國維 架構資安社會的另類思考

談到資訊安全的議題，現任於NII產業發展協進會的執行長~吳國維，開宗明義這麼說。學資訊科學出身的吳國維，在美國克雷超級電腦公司服務期間是負責軟體設計的，自1990年回國後於行政院國科會服務，籌畫與建設國家高速電腦中心，並負責策略規劃與網路實務運作約八九年。吳國維以過去涉足政府、民間與國外豐富的學經歷，來談國內的資訊安全結構，有其獨到看法，也從另一個面向提供安全產業再思考的聲音。
國土安全問題在哪裡
安全這個議題開始被關心，其實可以回溯到公元2000年甚至911之前，911只是個觸媒，讓安全被視為更嚴肅更重要的議題來對待。而國家的資訊安全建置過程中出了什麼問題？應如何改進？吳國維從三個部分提出來觀察和討論。

1.安全只能做不能說

「大部分的安全是只能做不能說的。」像美國國土安全的進行，無論是國防部、州政府或是民間的安全政策都是機密進行。但是如果為了政治因素或獲取民眾的支持等因素而忽略了安全的隱密性，這是違背安全要求的，也是安全進展的阻礙。

2.外包單位的安全性

政府有很多安全的運作是採外包方式，但在外包的過程中是否顧慮到哪些東西是需顧及安全性的？假如要將資通安全彙整到一個單位，必須要確認此單位本身是否安全。假使這個單位的人員本身對安全的認知不足，或是此機構的安全機制是沒有通過審查、沒有相關法規的規範，就將關乎隱私權及運作的安全機制都傳送到這單位，將會是一件很可怕的事。

3.安全認知的教育宣導

安全並不是完全不能說，是得去說「提倡和宣導」的部份；假設政府要對外公佈，並不是安全機制的部分，而是對民眾安全的觀念灌輸和安全資訊的教育，提昇民眾對安全認知了解的不足。

4.釐清問題

台灣政府現有的資訊科技部門應該從什麼角度切入？如何讓安全機制運作地更順利和完整？吳國維以多年在政府單位規劃安全建置的觀察，提出問題的思考方式。「談到資訊科技政策時，首先必須先釐清問題，勿將科技研發和科技政策混為一談。所謂研發是從無變成有，而政策牽涉的是對整體社會的影響程度。假使此科技政策是有機會深入社會，對社會各層面產生重大影響的；接下來要思考的問題是台灣在全球的定位在哪裡？我們必需衡量自己的能力才能決定自己在國際間的定位，以及所投資下去的人才和經費資源之經濟收益，可能對台灣社會的影響程度，並從影響的程度去驗證投資的正確性。」

沒有百分之百的安全
安全最可怕的是只有一個點在控制所有的事情。吳國維談到，約1998年到中國北京航空航天大學訪問一位教授，當時中國對網路安全相關的事項，就已找了學者專家、官方、軍方做過很多研究討論。他們的結論是，安全要做到百分之百是不可能的，衡量自己無法做到絕對的安全，因此就決定將風險分散，以防系統被遺失或侵害時造成全面性的損失。姑且不論整體的中國是進步或是落後，他在安全的觀念則是站在對的政策上的。

將所有資料彙整到一個系統中，這是最危險的，除非這個單位可保證百分之百的安全，否則洩漏的就是全國的資訊。正確的方法是，將資料分散管理，然後透過一個有效地共通標準介面，利用人的機制將各地資訊彙整。傳送的資料和data是脫勾的，較高層級的資料則有絕對的隱密性。安全可以是機制上的彙整而不是資訊上的彙整，這是需要再慎重考量的。

BS7799的迷思
假設社會的安全結構是一個金字塔，然而BS7799這個安全管理標準是否能以一概全，解決全部的資安問題？對於現今資安界熱烈推崇的BS7799，吳國維有其看法：BS7799是一個針對安全管理很好的方向和指導原則，但並不是所有安管的標準作業流程。在中小企業的組織結構中有更複雜的問題和需求，安全是要依不同的需求來建置的；而資訊安全的機制亦有很多做法，BS7799並不是唯一的標準。

建置BS7799在不含設備的狀況下，基本投資就超過200萬元，而台灣100人以下的中小企業占96.3%比例，假設要每個中小企業投資兩三百萬元來做安全管理機制，能做到的企業其實微乎其微，於是就會有安全漏洞產生，最上層3%的大企業做好了安全，但是往下的97%無法解決安全的問題，那麼整個安全的結構是非常危險的，這也是政府要思考的問題。

BS7799可分成技術面和行為管理面兩大塊；技術的部分是屬有限度的範圍，是可逐步解決處理的；但最難的是行為管理的部分。例如說，您如何保證您的員工不會將password借給朋友使用?或是要求每個員工一定得配帶著名牌(識別證)上班？行為管理是最複雜、最麻煩也是最花費成本的。假設您花了200萬來導入BS7799，其中將有大約八成是花在行為管理這一塊。

吳國維認為，假使以中科院的標準來說，對這一塊的標準當然必須很嚴謹，但對一個二三十人的中小企業而言，並不需要導入這麼複雜的管理；因此，如果省下了這部分的花費，這個企業的安全花費也許50萬就可完成建置。因為對企業來說，企業的需求是實質的安全更甚於一張牌照。

吳國維表示，「擔心的是好像談到安全，BS7799就成了唯一的解答，那是矯枉過正的。假如我們關心整個台灣的資訊安全產業能夠長治久安，這樣的觀點是不完整的，無論產官學界都應該認真思考這個問題。」

美國資安的經驗發展較久，因此對安全建置的意識和做法已很成熟，他舉了一個有趣的例子，1940年代二次世界大戰期間，美國在新墨西哥州發展原子彈，當時負責的單位招集上千個科學家到那邊作研究，當時所有的科學家隱姓埋名，只透過一個郵政信箱通訊。這是對國家機密相關的資訊作非常謹慎的控管。又說，水電行有分甲到丙級的執照，持甲級執照者是可標政府上億元工程的等級，但如果是家裡的保險絲跳掉，找丙級水電工就綽綽有餘了。這是同樣的道理。

因此，用同一個標準去規範全部的組織是很危險的，其結果不是太緊就是太鬆，必須定義出不同的安全等級，對不同的需求制定不同的標準。

中小企業的複雜性
2003年底，Gartner research已完成「如何為中小企業在預算內建構資訊安全」的研究報告，Gartner以美國人的標準來計算，中小企業的資訊安全機制約2,000至3,000元美金就可完成資安建置，這個機制包含了網路安全及教育訓練。Gartner將BS7799當中的實體安全部分放到教育訓練的範疇，因為行為的部分事實上跟「身體力行」的關係遠大過於「金錢花費」。

如果將這個研究的方式用在台灣的企業，吳國維認為國內的中小企業大約5萬元以內就有機會做到。例如，五年前到現在防火牆從上百萬的行情降至幾十萬的價格，甚至三四萬元的價格都有人在賣，可見科技產品價格掉的非常快，因此在預算內去建置安全是做得到的。

中小企業困難的地方牽涉到兩塊： 一是錢和人力。假設要組織突然間抽出幾個人幾天不在辦公室，去接受教育訓練，職務運作當然會有困難，因此必須定義出一塊，讓企業是可在有限的時間、空間和金錢去執行的。

另一個問題是認知的問題，企業主雖然關心資訊安全，但是對安全的認知深度卻有差距。例如垃圾郵件是否為資訊安全的一塊？垃圾郵件會影響資源運用，但對安全卻不見得造成傷害，垃圾郵件會佔掉頻寬但目前還沒造成重要資訊遺失的影響，因此若跟安全相提並論其實是有爭議性的。或是員工上班看色情網站亦或上網作私人用途，是否屬於資訊安全？亦或屬濫用公司資源？在安全的等級上是否屬最緊急、需馬上花錢去處理的？吳國維強調，在做安全規劃時需先將問題分割、定義、做好釐清，不要把不相關的東西混為一談，否則會沒有答案。

解決以上兩個問題的方法，吳國維提出，必須透過長期的教育推廣，灌輸中小企業正確的網路安全概念，也才能縮小彌補中小企業主和廠商之間的安全觀念落差所造成的糾紛。

NII的願景
吳國維表示，國內的企業一直都相當努力，只是少一個完善的機制將各種專業鏈結，讓安全工作更順利，這也是NII未來努力的方向。NII看好中小企業的市場規模和需求，將以提供資安金字塔下層(中小企業)的安全管理機制和憑證為重點工作，和上端(大型企業)那一塊整併在一起，讓整個台灣的資訊安全金字塔的機制趨於完整。 具體的說，NII要做的就是「中小企業版的BSi」，也就是以BSi的精神，讓安全的建置更普及。 NII目前正積極地與澳洲、日本、韓國、新加坡、泰國、香港、美國等國外的單位合作，推展國際性的安全管理標準。吳國維說「過去我們總是移植別人的東西，沒有屬於自己的東西，所以很難跟人齊頭並行，但是在國際的舞台上，如果你貢獻10分，即使是做的不好，別人還是會回饋給你50分，結合更多的資源來拿到100分；我們要做的就是透過國際的平台將標準完整地建立起來。」吳國維也預告，NII明年第一季將完成台灣版的機制，明年第四季完成國際版的具體成果，對國內安全產業來說是個大邁進。