賴溪松: 採購菜單質重於量

忙錄於成大校務及資安學會的賴溪松教授，為籌備年底的國際密碼學大會，頻頻與國外大師們聯繫，言談中透露出，他對這次資安學界年度盛會的期許與期待。賴溪松認為，資安有兩大面向，一為網路安全，一為系統安全。資安產品不能單獨存在，其價值著重在附加服務上，他預測未來市場會出現愈來愈多的整合性產品，單一功能的產品勢必要與其他不同功能產品結合，業者也會朝策略聯盟方式，進行產品整合。
賴溪松進一步指出，明星產品會從以往的防毒及防火牆，轉向入侵偵測、ＶＰＮ、異地備援等，恢復性與高附加價值的產品，高附加價值的產品也將是今年市場的主流。另外，網路犯罪防不勝防及網路應用安全的意識高張，未來「網路保全業」可能會應運而生。

資安觀念養成不是一蹴可幾，賴溪松強調，應由上而下推動資安防護，管理階層要先有資安的危機意識，戒除以往花錢了事的心態，定期接受風險評估結果及深入了解各種安全專案進行現況，提醒部屬多汲取資安新知，以防範突如其來的資安事件。

賴溪松以點套餐來比喻採購資安產品，他說，不是每家企業都要吃相同的套餐，可以按照企業不同需求來配菜單。況且，資安必須靠長期及持久的努力才能有成果。簡言之，資安菜單必須重質而不重量。
問:風險評估內容及重要性?企業如何做風險評估?
答:資安是一種防患未然的風險管理過程，風險評估就是風險管理分析，做好完善的風險評估與管理，才能將資安成本降至最低。風險評估內容包括有，找尋機關內部存在資產、決定資產存在的價值、決定資產本身所潛在不可變的弱點、判斷資產來自外部所可能受到之威脅、利用各種風險分析方式判定資產風險的嚴重程度，最後提出適當的風險改善建議。資訊資產指的是，資料庫、資料檔、使用手冊、操作手冊等；資料文件包括，合約文件、指導文件、公司資料文件等；軟體資產則有應用軟體、自行設計軟體、系統軟體等。 企業在擬訂資安政策前，必須先做風險評估，也可以說是建立資安防線的第一步；利用風險評估方式確定機關內的資產，評估這些資產的價值與可能潛在的弱點與威脅。

問:企業如何推動資安教育?
答:管理階層在教育訓練過程中，應適當了解各部門在資安中所扮演的角色，以便確切制定防範政策。因各部門的風險價值不同，而有不同的先後順序，因此公司內部可能會有許多資安政策的制定會同時進行。資安沒有員工的配合是做不到的，重要的機密資訊也無法獲得保障，所以員工要有資訊安全的意識和認知應列為首要。 其次，內部系統維護者，直接面對的就是資安防護系統與企業經營的重要伺服器，因此除了資安基本硬體維護技術外，更要對最新駭客技術、安全威脅、安全修補等資訊，加以定期教育訓練。 而企業內部對於系統開發的員工也應格外重視，包括程式撰寫，以避免非預期輸入的錯誤發生、以及程式開發的過程考慮各階層操作人員的權限分配等，在完成龐大的開發專題中，事先考量各種安全問題的發生，可減少事後系統修補的成本。

問:對資安標準訂定及資安檢核看法?
答:對於資訊安全標準的訂定建議應該以分級訂定方式進行，而非採用統一標準的方式。例如，根據行政院公佈之「資通安全外部稽核(自我評審)表」共分為十大項、233個要點，但是此「資安自評表」以政府行政機關為主，為維持政府單位行政機密與營運，其內容多且繁雜。對於TANet(學術網路)此類主要提供網路相關服務的學術單位，若直接套用此自評表勢必太過複雜而窒礙難行，無法達到預期目標，因此根據自評表可再刪除學術單位非必要之措施、人員考核相關部分、網路嚴格限制部分、一般電腦操作部分、永續經營相關部分等，更能適合學術界的運作。

問:國內資安防護面臨的挑戰?有何因應之道?
答:廠商心態要改變，安全觀念比較抽象，廠商推廣產品的同時，更要教育使用者資安的重要性。換言之，廠商常以產品導向而忽視安全導向，對資安防護及教育的內涵，缺乏整體觀念的傳遞，只偏重單一產品介紹，有誤導民眾資安觀念之虞。廠商可以參考國外大公司設置安全專責部門，從基礎安全教育做起，有系統的把資安資訊傳遞給員工，並且負責所有企業安全資源整合。有時改善資安不一定要買一堆產品和設備，也可能改一個制定或流程就解決了。 國內網路的興起太快，也發展太迅速，網路犯罪案例層出不窮。防範網路犯罪，未來可能會有很多產業應運而生，就像今天企業聘請保全人員維護公司安全一樣；網路保全業，將來可能就會出現。

問: 資訊安全學會(CCISA)在區域聯防中所扮演的角色及其功能?
答: 行政院資通安全會報下的技服中心，性質類似氣象局，發佈資安預警性訊息。資訊安全學會受其委託，成立了資通區域聯防中心，主要任務在協助政府建置相關資料庫，其中最主要的兩個資料庫分別是文件資料庫及技術資料庫。除了建置重要資料庫外，區域聯防中心也協助政府機關、學校處理資安問題，並協助技服中心對基層機關學校做定期資安健檢。 區域聯防中心今年再添生力軍，將增設中區聯防中心，由逢甲大學負責苗栗以南至台中的區域聯防，加上已設置的北區、南區、高屏區、花東區共有五處聯防中心。聯防中心將落實對政府基層機關的教育訓練，預定在北、中、南陸續舉辦三場大型教育訓練，教育政府基層機關人員資安新知，並將教導學員面對資安問題的因應措施。

賴溪松小檔案︰
現任︰
*國立成功大學計網中心主任
*中華民國資訊安全學會理事長
學歷︰
*成功大學電機學士(1984)、碩士(1986)、博士(1990)
著作︰
1. 賴溪松、韓亮、張真誠，近代密碼學及其應用，松崗出版社。本書現已由大陸西安電子科技大學張玉清博士及蕭關鎮教授轉成簡體字版，於2001年七月由北京國防工業出版社在大陸出版，為大學及研究所教科書。
2. 賴溪松、葉育斌，資訊安全入門，全華科技圖書股份有限公司。 3. 賴溪松、韓亮、武怡先“網路安全-PGP的原理、安裝與操作”，資訊與 電腦出版社。
4. 資通安全圖書系列共七本，行政院國家科學委員會科學技術資料中心 出版，賴溪松總編輯。
專長︰密碼學 Cryptology、資訊安全 Information security、改錯碼 Error control codes、通訊系統 Communication systems
殊榮︰
*國科會優等研究獎(83) Prize for Distinguished Research, NSC
*國科會傑出研究獎(85-86) Prize for Distinguished Research, NSC