2009企盼資安曙光再現：翹首企盼 資安困境的曙光

審視過去的資安環境，目前行政院國家資通安全會報第三期機制計畫有哪些實際的規劃與作為？是否能夠確實對應到資安現況？資安人的呼籲與心聲，政府聽到了嗎？

在金融海嘯的影響之下，人們更是冀望政府能提振經濟帶我們走出不景氣的泥淖，透過本期的特別報導「資安市場調查」，更加明白資安產業界對政府可說是抱持著「所仰望而終身也」的心情，資安人特地專訪了行政院政務委員張進福，希望能藉此嗅出資安產業未來的前景。

制定資安法條 明定資料保護職責
張進福說，早期病毒是讓我們的電腦受感染，導致工作無法完成，現在則是要防範惡意程式的入侵，避免讓個資外洩，這些都是無所不在的威脅。他認為，由於資安所涉之層面廣泛，亟須透過政府與民間共同努力加以達成，而法律是經由一定的制定程序，以國家的權力強制人民必須遵守的規範，當然更是資安執行力的前哨站。目前，法務部正積極推動「個人資料保護法」完成立法，希望能夠藉由法令規範的效應，促使各行業加速落實資安的防護工作。
在第三期的機制計畫中，針對持有大量個資機關，除要求修定保護個人資料之管理規則、強化資訊委外管理、研擬技術方案外，亦將加強對主管目的事業之資安查核措施。未來個人資料保護法通過後，各主管機關將依修正法規授權指定保有大量且重要之個人資料檔案的非公務機關，訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

增強保護個資能力　
他也提到，目前個資法雖仍在協商中，未來推動個資保護工作，各事業主管機關持續增加保護能力外，行政院更是責無旁貸，因此有些新的計畫也開展中，如國家科學技術發展基金將於98年補助教育部執行「建置區網中心資安資訊分析分享中心計畫」、國家通訊傳播委員會推動「電信網路資訊安全通報處理平台建置計畫」等。企盼透過這些計畫，累積關鍵基礎建設相關領域資安預防與早期預警、偵測、反應及危機管理能力，俾轉化成為未來的資安能量。
此外，持續推動的有行政院研考會負責的國家資通安全會報通報應變組，依需求提供資安技術服務、協助主管機關強化人員資安素養與能力培訓。主計處稽核服務組則持續推動各主管機關落實資安內部稽核、選定機關實施資安外部稽核，評估檢討受稽核單位落實程度且進行持續改善。

提升高階主管資安意識
如今資安問題已延伸至影響社會安定與國家安全的層次，儘管最近與海峽對岸互動較頻繁，但中國大陸的目標是多重的、要做世界的強權，因此也培養了一群人有體制、有目的，千方百計要來竊取政府的機密資料。張進福表示，攻擊者不僅透過社交工程攻擊來蒐集資料，定期回報，有時候政府高層人員一更動，包括機要秘書的姓名、電子郵件、地址等馬上就被對岸知道，也因此行政院便透過如資通安全會報的平台來推動資安工作。然而資安工作千頭萬緒該從何做起？重視安全產業的張進福認為，推動資安是有優先順序的，對他而言，第一要務就是要讓大家對資安有所警覺，因此透過活動、宣導，包括了既有的副首長交流平台，讓不同層級的人都來感受資安的重要性，尤其是政府單位的資安意識更是與國家安全息息相關。
他說自己也主持並全程參與了國家資通安全會報舉辦的資訊安全長責任制度研討會。發現「網路上有許多提供服務的網站，網頁上卻存在很多漏洞，結果讓使用者暴露在不自覺的危險當中，當網站被掛馬後，有時候開了一個網頁，在另外一個網頁做的事情就被看到，個人機敏資料就都外洩了。」這可能是keylog或後門的攻擊，政務繁忙的機關首長們或許不需要知道這些複雜的技術背景，但聽到張進福侃侃而談，不難讓人感受到他認真想要了解資安問題的真誠態度。他認為政府部門應該要建立起資安體系，剛開始或許不是整個專職體系，但至少可以先在組織下設個資安組，有專人可以負責，正視資安問題。

歷經2期推動 已促使各政府機關重視資安
資源的投入程度同時也反應了資安受重視與否，為了強化各首長對資安的認知而定期召開的資訊安全長(CISO, Chief Information Security Officer)研討會，是提供各機關資安長之交流場合，讓CISO了解現階段的資安威脅，並分享各機關推動資安經驗與成果。張進福也親自參與了資訊安全長的研討會，實體模擬的入侵演練設計主要在讓各首長現場體驗，如果資安不小心防護的話將會產生什麼後果，他認為，提供服務的網站應該要讓使用者有免於恐懼的安全感。他也表示，在歷經2期的機制計畫推動後，確已有效的促使政府機關重視資安，根據行政院主計處96年電腦應用概況報告，政府行政機關資安支出占資訊經費比例為7.56％，高於平均，為各機構類別之冠。由於政府機關執行公務之責而保有大量的民眾個人資料，因此亦負有安全維護之責，而各部會首長的支持，則是各機關落實資安的關鍵成功因素。

能否期待專責單位、專職防禦？
張進福的想法是，「資通安全，人人有責」的觀念，運用在政府組織體系中，所要強調的是每個機關單位皆有須肩負的資安責任，如法務部、國家通訊傳播委員會及經濟部等主管機關，負責資安相關法令規範及產業政策的制定；行政院國家科學委員會、經濟部等機關對於推動資安科技研發責無旁貸；而資料的擁有者，理所當然的都該對資料保護負起重責大任，因此所有機關都應善盡維護自身資訊安全之責。目前各項資安工作的協調推動，仍以任務編組形式成立的「行政院國家資通安全會報」為主，也提供各層級部會間串連溝通的平台。
不過，反觀各界對於設立資安專責主管機關的呼聲不斷，政府自「行政院國家資通安全會報」的運作經驗中，配合行政院組織改造進程，也將會進一步參酌各界意見納入規劃。

培養自主資安實力 透過人才培育與國家研究能量累積
由於企業在強化資安防護普遍面臨到資安技術能力需加強、缺乏良好的資安防護系統及資安經費不足的問題。他說，行政院科技顧問組會視科技發展需要，推動教育部設計一些課程在各個大學裡面去推廣，除了開辦資安學程及依需求規劃課程內容之外，也建構共享平台並培育種子教師、辦理成果發表會等，讓大家能夠關注到資安的議題。此外，在國科會方面亦提供資安研究計畫的補助，雙管齊下。
行政院於98年1月9日通過「國家資通訊安全發展方案（98年至101年）」，當中「發展資安服務業」之重要措施（見圖），含「建構資安人才培育體系」與「強化國家資安研究能量」2項行動方案，可達成培養國家自主資安實力的目標。前者由由教育部負責，持續鼓勵高教體系培育資安專業研究人力，第三期計畫新增的「建構技職體系資安人才培育課程，培育高級資安技術人才」，便可以因應業界需求。
而「強化國家資安研究能量」行動方案，則是由國科會、經濟部及國防部負責，其重要工作含(1)研發關鍵資通安全技術，推廣研發成果，帶動產業發展；(2)建立資安科技研發合作與成果擴散平台；(3)吸引與凝聚國內外優秀人才；(4)利用全球資源提高資安科技自主研發創新能力。
讓好的人才得以在產業舞臺上充分發揮，進而促使更多人才願意投入資安領域發展，並將技術能量轉化為產業效益，國家自主資安實力便能賴以建立。

產業、人才互為表裡　提升全民資安認知
也因此，目前在行政院科顧組的協調下，也有一個國際合作計畫機會－iCAST。該計畫已經進行了2年多，主要是與美國柏克萊加州大學及卡內基美隆大學，進行「資安科技跨國研究計畫」，他表示，其中有個很重要的面向就是技術開發出來之後，希望可以技轉給業界，並且透過後續合作，提升國內資安科技水準，兼具培育人才和研發自主技術的重要任務。
除了國家安全自主實力的培養，他認為由於民眾普遍對資安的認知與警覺性不足、未習慣於在行為上落實資安，致使有心人士可透過P2P分享軟體、無線網路、網路釣魚、網頁掛馬、社交工程等各種攻擊手法竊取電腦中的個資，或用來作為入侵其他電腦的跳板。因此，提升全民資安認知是解決民間資安問題的第一道防線，「國家資通訊安全發展方案（98年至101年）」會延續前期計畫的成果，結合各界力量，針對特定主題來分眾加強宣導，並且持續充實全民資安網iSafe(http://isafe.tw/)、進行資安認知調查與辦理全民資安健檢活動。同時，也將思考如何與其他機關所推動之防制詐騙工作結合（相較於資安，民眾對於防制詐騙較有感覺），以發揮其綜效。
對於民眾與非公務體系的資安再教育，他提到像是民間的金融單位可以透過主管機關，如金管會等來進行教育，學生也可透過學校教育來認識資安，但對於社會大眾而言，資安教育的習得並沒有很多機會，如陳冠希不雅照片事件，民眾得到的教訓卻只是電腦壞了不要隨便讓人修而已，他也認為往後應該可以再針對社會大眾的資安教育多加著墨。

醞釀資安實力 逐步增加資源投入
此外，確定政府資安預算也能逐漸建立國家資安防禦能力。於97年12月初時，立法院委員賴士葆等23人去函行政院「針對政府機關握有許多民眾隱私或重要機密資訊，…在未來三年內各機關預算之資訊安全經費占資訊支出之比重，應逐年增加1%」，希望行政院能夠針對資安資源進行研究處理。張進福說，目前資安支出是7%，離目標10%還有落差，往後要逐步增加以接近先進國家的標準。因此在國家資通訊安全發展方案當中，也要求各機關明定資安預算，各機關所需之資安預算由資訊安全長（由副首長兼任）來協助爭取，使之在資訊預算中占有適當的比例，並且將之列為第一優先，納入年度預算額度內，而行政院主計處也針對各機關列入年度預算中之資安經費，均依需要合理性予以優先核列。
而既然準備逐步增加資安資源的投入，因此在預算上也需要更有效的分配利用，他表示由上往下(top-down)的面向來規劃的話，將會協調各主管機關來建置政府單位的資訊分享分析中心(ISAC, Information Sharing and Analysis Center)，目前是分領域由各單位辦理，屆時該建置經費將會由科顧組來統籌，進行統整性的串連；而從由下往上(bottom-up)來看，目前也正在與相關的機關談，了解過去各單位在推動資安工作上資源不足的部分、有什麼樣的困難，目前正在收集彙整意見，希望將來也能夠透過預算的分配來協助各單位解決問題。因此針對缺乏良好資安防護系統及資安經費不足的問題，目前也已在思考如何推動相關業者（如資安廠商、ISP等）成立策略聯盟，研發有效的整體解決方案，來協助企業將有限的資安經費效益發揮到極大化。

以服務精神為主 良好產品把關為輔
改善政府採購觀念
資安產品精神首重服務，然而許多政府承辦人員卻以購買硬體、附贈服務的心態來進行採購，使得資安產品無法發揮其功效，如果可視採購案件特性擇取最有利標決標原則辦理採購，在符合「委託專業服務、技術服務或資訊服務，經公開客觀評選為優勝者」，得採限制性招標的規定下，藉由評選委員的專業與公開評選，便能夠擇定最符合需求、品質佳、價格合理之產品，而包含資安產品本身以及後續所需服務，都應建立資安服務等級規範(SLC, Service Level Criteria)，此部分也已由行政院研考會納入政府相關採購指引。
不過，若承辦人之資安意識不足，依然用一般IT人員購買硬體的方式來進行資安採購，將會使得資安防禦無法發揮其綜效，因此他也認為，政府機關辦理採購時，應該要落實資安產品以「服務」為主的精神。

安全把關資通產品等級
在資安產業的發展上，亦將持續關注並設法協助本國資安廠商克服困境，諸如在研發過程中所需的資金補助、研擬獎勵配套措施，鼓勵願意採用並重視資安的企業，擴大需求規模，帶動產業成長、協助國際行銷等。在過去發生了多起資訊產品出貨內藏惡意程式事件，而許多廠商幾乎都在中國大陸設廠，突顯資通訊產品安全認證的重要性，為了確保國家資訊安全，各先進國家紛紛建立資安產品認驗證體系，我國也朝加入共同準則國際相互承認協議(CCRA, Common Criteria Recognition Arrangement)持續努力。在國外投資的民間企業需注意保護自有資訊產品的研發成果，並做好一定的安全控管；而在國內若採用資安強制驗證的作法，要求資訊系統相關產品在銷售前，需經相關的機關對於加密技術、電磁波檢測與其他相容於共同準則的國家標準驗證，無疑將對資安多一層保障。是以，國家資通訊安全發展方案優先推動政府機關採購符合安全驗證之資通訊設備，由主管機關建立優先採購經驗證之設備項目，並開辦審驗作業訓練等。

結論
在本期封面故事「給歐巴馬的資安建言—打贏一場無形戰爭」當中，有個重要結論便是政府應該認同網路資訊安全是現今最主要的問題之一，建議應該透過協調動員政府可用之行政資源、國際外交、軍事與經濟工具，來參與網路情報、執法資訊流通等。美國目前已經在聯邦體系、公共建設等都設立有各種資安單位，如今美國國際戰略研究中心又再度給予新任總統研究報告與政策建議，再次建議要在白宮底下設立這些機構的協調單位，可見資訊分享的重要。政府除了建立政府各機關的資安專職機構和分享平台之外，更應明白擴大與民間機構分享的重要，資安工作千頭萬緒，唯有透過政府、民間、產官學界等全心全力的參與才能打贏這場無形的戰爭。