觀點

國家資安的現在與未來

2008 / 05 / 19
吳依恂
國家資安的現在與未來
 研考會是行政院的幕僚單位,近幾年來積極推動中央政府組織改造、流程簡化及電子化政府業務,也督導國家資通安全會報技術服務中心進行政府資訊安全業務的推動。
行政院研考會副主委陳俊麟認為,資訊安全是國家安全重要的一環,國家資訊安全並無前線與後方之分,一旦資訊防禦有了漏洞,便可能危及國家安全及全民利益。他認為,要確實做好資安防禦,政府便要有新思維。
資安工作的體會
在研考會的諸多推動工作事項當中,陳俊麟推動資訊安全不遺餘力,不可諱言的,資安工作是一項吃力不討好的工作,更讓人好奇陳俊麟何以對資安推動工作這麼的有心?他表示,一方面是興趣,一方面也是因為對資安了解越深入,越了解,在政府部門即使是一個小小的安全漏洞都可能危及國家安全,而政府單位的重視,當然也可以促進產業界對資安的重視。
資訊化的國度,對資料的防護難度更高,只要一個不經意的資料外洩就成了「透明政府」。高度資訊化的國家安全議題,更難以傳統的『前線』與『後方』來做區隔,每台電腦都是後方也都是前線。台灣有著特殊的背景,政府部門往往面對的是來自對岸的、有組織性的攻擊,攻擊次數較其他國家頻繁,因此台灣的資安經驗相當豐富。同時,相較其他國家,台灣也具有良好的軟、硬體基礎,陳俊麟認為,台灣有潛力去建立自主技術,如資訊安全監控中心(SOC, Security Operation Center),並進一步發展出具有獨特性與競爭力的產業。
現行推動的資安相關規劃
台灣普遍具有一種先天性的觀念-家醜不可外揚,因此往往發生資安事件的時候,總是文過飾非,草草處理了事。但資安情報的分享是很重要的,若無即時處理,往往會導致更大的漏洞產生,正因如此,每個人都應該正視資安問題,了解到每個人都有可能會成為受害者。
在陳俊麟投入研考會資安推動工作的4年間,他推行了多項政策,並且與業界、媒體合作,在管理與技術面進行交流與互動,如資安論壇(http://forum.icst.org.tw/),其最主要的意義便是借助民間的力量,彼此進行資料與技術的交換;制訂資訊委外的標準程序,使業務單位有所依循;積極爭取國際合作;廣泛挖掘資安人才,舉辦大專資安金盾獎;同時開辦公務資安課程,強化公務人員的資安概念與能力,陳俊麟笑著說,這些相關課程都排名前5名,相當熱門哩!另外,研考會在政府資料通訊的基礎建設防護上著力甚深,也督導國家資通安全會報技術服務中心建立資安參考指引,提供政府行政資安法規上的依循,並開發台灣專屬的技術平台、軟體檢測工具等。
最重要卻未完成的遺憾 - 組織改造
目前各部會的資訊人員編制普遍不足,大多是3級、4級單位或是由任務導向組成,更遑論撥出人力來推動資訊安全,因為當前資安預算與組織位階上的不對稱,造成沒有預算也沒有人力,不僅資安防護業務難以推動,也會漏洞百出。因此,組織改造是政府體系中推動資安最重要的一環,冀望能夠透過組織改造來改善制度與人力資源的配置問題。
陳俊麟語重心長的說,所有的制度與標準要推動,都需要受到大家的重視,並仰賴充足的人力與預算來進行,在推動資安工作上,組織改造是最最重要的一環,也是到目前為止他最為遺憾的未完成事項。
機房共構 安全共享
儘管組織改造法案在立法院一躺就是數年,遲遲未有進展,但資訊安全的推動也不能因此停滯不前,而必須與組織改造同時並進,或可稱是前置作業的步驟,便是「機房共構」的實現,簡單來說就是將硬體設備整合到集中的機房,做一個有效的整合,來達到降低經費成本、集中備援以及加強資安的好處。在研考會的努力推動之下,目前大部分重要的幕僚部會、研究單位都已經完成機房共構。
資安長的經驗分享 後續推展工作的建議
身為行政院研考會的資安長,陳俊麟與我們分享了推動資安的經驗談。他認為無論是對上或對下溝通,都可以使用一些溝通技巧,對管理階層便要以管理層面的想法來講述,使其了解嚴重性,是否會牽涉到刑責或是金錢的懲罰,與個人權益的相關性等,另外,對下也要以身作則,一但在下位者發現主管的親力親為,自然也會重視這樣的議題。陳俊麟表示,推動一項任務,並非只要最高階層來負責就好,總不是什麼事情都要丟到部會首長一人身上,重要的是負責人必須要有強而有力的影響來進行推動。
提到推動經驗,他說,不教育就懲罰也是不合理的,但在經過教育之後,可以採取一些措施,他微笑著說,這可是跟業界取經得來的方法-資安連坐法。如果連續犯了2、3次嚴重程度的資安錯誤,便連坐到上級,一起上課、參與研討會,不僅給予再教育的機會,也賦予每個人責任與壓力,慢慢的去推導資安觀念。
委外潛藏的危機 資訊流的安全防禦
陳俊麟還注意到資訊流的安全防禦問題,由於各部會都有資訊委外或業務委外之需求,資訊流可以說是開放的,政府資訊、機敏資料可能外洩的風險一直存在著。
而政府案委外已經可以說是一種趨勢,雖然目前已在一些委外標準程序上有所規範,但陳俊麟建議,將來應該要在政策面、技術面上有所改進,例如說採取加密技術或是立法規範,並且加強資安觀念的擴展,才能嚴密的從內而外有效控制資料的流向。
可強化資通會報的功能
除了關注到委外事務的資安漏洞之外,他也認為,如行政院國家資通安全會報,沒有預算分配權,也沒有人事決定權,缺乏強制力。
結語
最後他提到,「連敵人都對你信任的時候,就是一個成功的人。」學社會學的陳俊麟,或許是對於人類文化模式有著更透徹的體悟,對於人際關係之間存在的信任更為看重,他認為信任更是不可動搖的根本,如推行電子化政府,成功的關鍵並不在於技術,而是信任,如果沒有人民的信任,就不會有民眾願意使用服務。而掌握了國家機密與人民身分資料的政府單位人員,當然更應該重視資安防護。
從不熟悉資訊業務到接手研考會的業務,並落實資安工作推動,陳俊麟參與了舉凡研討課程、為幕僚機構舉辦的震撼教育,大大小小的會議活動,其參與程度可以說是部會首長間的典範。而在他的深入了解下,他提醒,網路時代、大量電腦化的來臨,使得資訊流通迅速,但可能造成的損失也相當重大,資訊安全已經影響到國家機密與人民隱私的層面,資安觀念並不應該侷限在政府前線或是某個政府官員的責任,而已經是全民的責任。