https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

研考會資訊管理處處長何全德

2004 / 12 / 30
林青蓁
研考會資訊管理處處長何全德

培養資安人才迫不及待
政府部門普遍缺乏資安專業人員處理是不爭事實,加上各部門之間尚未建立橫向協調及支援機制,而且,執法機關偵防及打擊網路犯罪能量,受到組織編制、員額數目及專業能力的限制,使得政府資安人力也面臨各種挑戰。


對於這問題,何全德指出,目前我們正在準備成立專責資安技術服務和防護中心,或許短期內無法完全建置完成,但這是我們長期努力的方向,而且,安全最高原則就是不要讓它發生,因此,政府部門間橫向聯繫與協調機制的建立,可以讓安全資訊交流、通報和分享經驗,甚至可以和企業作交流,讓政府和企業能夠共同來防堵資安事件的發生。

建立產學部門合作及設立區域聯防機制。何全德表示,未來可能會在北、中、南部建置,事實上,區域聯防就像捉小偷,只要有人發現,大家吆喝一下,就可以集中力量來解決問題,這也同時可解決政府及企業資安人力不足的問題,另外,委由專業的資安專業機構提供顧問、管理安全等服務的網路保全產業已是個全球趨勢,由市場需求來看,IT產業所需的軟體、硬體設備等,網路保全業已是個不可避免的趨勢,即使像在美國這種產業尚未普及,也將成為未來不可避免的潮流。

再者,培養更多資安人才是最重要的,培養人才的推手也是相當重要,但人才培養和台灣軟體發展是有相當大的關聯,因此,和產學界合作培訓資安人才是迫不及待,此外,何全德指出,國際合作也是相當重要,每年研考會都會派同仁到國外去考察及進修,和國際接軌分享及吸取國際經驗,還得調整政府資安防衛策略及重點,像是網路架構重整就是格外要注意的地方。

缺乏信心及不安全感是最大問題
信心是個大問題,現在台灣民眾最缺乏的是信心,何全德說,根據統計顯示,目前網路推銷及詐騙情形是相當普及,曾有54.1%的民眾曾接到網路推銷或詐騙的郵件,另外,在英國TNS研究機構對全球27個國家進行電子化政府應用調查結果顯示,台灣民眾對於電子化政府之安全性的不信任比例是相當高,因此,建立安全及可信任的網路環境是政府必須要做的,且必須不斷去宣導安全的觀念。 另外,在九一一事件後,也改變大家對安全的思維模式,世界突然變得不可預測、毫無預警,並時有危險及威脅出現,因此,大家所面對的是個不確定、不安全的環境,所以,要有「現有的安全形式,將不足以應付突如其來之危機」的心理準備。

何全德並表示,我們還得要因應對岸隨時的攻擊,這是我們和其他國不同之處, 同時,面對不確定及隨時會發生的資安威脅,得發展早期預警系統,並學習更快速地改變與適應,及認清資訊資產的重要性及漏洞。

何全德進一步解釋,資料或資料庫不是最重要的資產,反而人才是最重要的,像九一一事件發生時,摩根史坦利公司也損失200多位人員,這其中不乏優秀的分析師或管理人才,而台灣也是到了去年發生SARS,才體認到這點,那時才有異地辦公室設立。

公共安全議題規範的建立
但在面對安全上的威脅,何全德說,在資源分配有限情形下,由通關、飛航管制、緊急通報制度等方向來思考,並儘量減少弱點,同時,如何在最快時間恢復中,讓傷害減少到最低程度,以最好的方式來因應可能的威脅,所以,建立國家緊急處理系統、強化網路安全認知及訓練、推動國際網路安全合作是政府目前優先重點工作及措施。

同時,在過度依賴網路或通訊科技情形下,攸關公共安全的議題也必須考量到規範,像我們對飛航安全相當重視,政府也強力介入民間產業,在飛安的規定上就規定相當嚴格及明確,但網路安全則無,現在政府也沒有強力介入民間業者,只有行政指導。

因此,何全德就指出,現行政府採行的資通安全策略,包括在安全與隱私間取得平衡、教育並告知民眾有關安全的注意事項,並提供關於風險和威脅的資訊來源中心及通報風險管道,如公益通報制度,隨時提醒民眾或企業,就像當初Y2K發生時,其宣導工作就作得相當徹底,也非常成功;同時,並鼓勵民眾、個人或組織建立自己的應變措施,不要任何事都要靠政府提供保護機制,並建置早期預警系統。

以全方位及永續經營態度推動資安
另外,在設備小型化和行動化之後,個人筆記型電腦帶來不少便利性,卻也帶來許多安全問題,何全德談及,現在所有人在家或辦公室都可以利用筆記型電腦,隨時隨地上網或辦公,隨著無線寬頻普及化,也衍生出公務機密洩漏及防護問題、個人資料保護不足隱私權洩漏、委外服務安全等問題。

而且,資安事件一旦發生,是沒完沒了的,必須以全方位及永續經營態度來推動資安,何全德指出,事實上,有不少人認為只要在網路上不使用沒有用的資料,就不會有人去理會它,因此,就沒有對此資料作任何防護或防禦措施,而這就是認知的問題,所以要從技術工程、執行管理和教育宣導三方面來下手,即利用防火牆、電子簽章、生物科技、系統偵測等技術建立第一道防線,並建立資安方針及資安事件緊急處理機制及稽核制度,還有安全警覺訓練、宣傳及人才培訓等措施配合。

同時,網路安全的最大威脅是在不知道或未能正確評估威脅所在,何全德表示,最重要是要有完整的防衛保護系統,並建立威脅模型,掌握正確威脅所在,並進行風險因子評估及分析,現在各單位也被要求進行風險評估,之後才來訂立安全防衛策略,並選擇適用的安全科技。

另外,雖然目前已有217位資安專業人員獲得國際ISMS稽核證照,並有28個政府機關及企業通過BS7799認證(截至九月底為止),但何全德則認為,能取得認證或通過認證並非代表安全就無虞,資安必須永續經營,才能達到效果,擁有這些認證只是用來證明具有資訊安全的管理及執力能力,而且,安全也要以行銷方式來推動,甚至於讓企業加入,才能落實資安觀念及政策。

資通安全會報扮演國家資安重要推手
根據IDC統計,台灣的網路設備及建置為全球第二十名,網路相當普及,上網已成為許多人每天必做的事,資訊安全已就顯相當重要,這也攸關到國家的安全,早在90年1月17日行政院就通過國家資通安全會報,並進行國家資安執行計畫,第一階段先建立國家資通安全基本防禦能力,第二階段則是建立國家資通安全整體防護體系,並將資通安全危機分為A、B、C、D四個等級。

在國家資通安全基礎建設架構下,推動eTaiwan計畫,包括e化生活、e化商務、e化政府及數位落差等項目。同時,資通安全會報在明年進行調整,將由林逢慶政務委員擔任總召集人,執行長則由行政院科技顧問組執行秘書汪庭安擔任,並有標準規範組、稽核服務組、法規偵防組、資訊蒐集分析組、通報應變組和綜合規劃組,分別由經濟部、主計處、法務部、國科會、研考會和科顧組擔任。

政府資通安全三大主軸包括資安防護能力、落實資通安全管理制度和建構資安發展環境;其中人的管理、資料保護是相當重要的,而且攻禦演練也是重點所在,但這也是各機關最頭痛的地方。

至於在整個國家資通安全發展方向,可以分為建構危機應變及處理體系、維護網路安全體系、建構網路安全體系、建構資訊分享體系、建構安全認證體系及建構安全保證體系等。

其中在維護網路安全體系方面,包括無線網路安全規劃、強化執法機關偵防網路犯罪能力,促進國際合作偵防網路犯罪,建立數位鑑識實驗室,來保存網路犯罪證據;在建構資訊分享體系上,則建置資通安全分析資料庫,像是弱點分析、威脅分析等,何全德說,由於現在特別在面對對岸的攻擊上,並非是一般商業軟體或程式就可以解決,因此,更需要資訊分享體系建立。

至於在建構安全認證體系及建構安全保證體系方面,則是訂定資通安全技術標及作業規範,並規劃推動資通安全驗證方法及認證程序。同時,將律定政府資通安全責任歸屬,不要都只推給某個單位或是各資訊單位,因此,各單位自行建置防禦系統,並推動各單位內部稽核機制,以評定資安機制成效。

資訊長時代來臨
必須建立資通安全監控管理中心(N-SOC),何全德指出,這中心為一資安監控資料中心,將各地的SOC資安監控資料彙集後,再進行分析、研判及發佈警安資訊並分享給相關單位,且提供24小時的服務,同時,在建置過程中,為避免影響到國內產業發展的考量,該中心只會針對少數政府級的單位提供服務,並不會直接和相關業者競爭,預計在今年年底初步建置,在明年第一季後開始正式運作。

同時,也會設立資訊長(CIO)機制,這是管理國內整個資訊應用、資訊安全、人才培養等政策的最高首長,並有幕僚在旁協助制定,以整合國家整個資訊政策,避免現行「多頭馬車」的資訊政策決策現象,而且,資訊長並扮演著替行政院進行跨部會協調的角色,使整個國家的資訊政策能更一致性,預計在95年會正式成立,各個部會中也會各自設置資訊管理處,並有資訊長編制來執行各部會的資訊政策。

作好資安人人有責
長期對資訊安全領域相當有研究及心得的研考會資訊管理處處長何全德認為,提升各單位及民眾對資安的認知,並透過教育方式加以宣導,以期真正落實政府資安政策。