要突破目前行政體系各機關資安工作的瓶頸,研考會副主委宋餘俠
一語道破關鍵點:應加速從體質上做本質改變的組織改造計畫。
《資安人》從2 0 0 3年第4期、2005年第24期、2007年第38期持續不斷地關注政府資安工作的推演與進展。這幾年下來,資安環境的改善雖然稱不上有大躍進,但目前看來似乎問題的癥結已被收歛歸納。
在既有成效上追求改善
甫上任的研考會新任副主委宋餘俠,在研考會歷任資管處科長、高分(高級分析師)、管制考核處、綜合計畫處等單位,談起研考會近年來資安相關工作的推展如數家珍。從民國86年第一個電子化政府計畫的電子認證子計畫,該子計畫執行成果衍生應用在民眾網路報稅,以及政府單位之間推行的公文電子交換,讓宋餘俠體認到IT技術的引用,可以帶動人員思維、管理方法的根本改變。他強調,人員、管理、技術這三層面之間的銜接介面需要經過特別妥善設計,這樣的電子化政府應用才會可長可久。
宋餘俠進一步舉例,當實體發文要改由電子檔傳輸時,包括在何時要插卡(作身分驗證)、監印官在什麼環節負責把關等,需要有一套完整SOP,必須把所有人、機介面銜接的環節規範清楚。包括在收文也是,蓋收文章以證明此電子公文傳送為真的動作絕不可少。在研考會資歷十分完整也親自主導電子公文交換計畫的宋餘俠,對於新IT計畫的導入在人員、管理、技術三層面該如何緊密結合有特別感觸。
同樣地,資訊安全也是如此。10年前,除了電子認證計畫,研考會也同步開始資訊安全機制子計畫的訂定,當時計畫重點在於制定資安相關標準作業措施SOP與法規,並且制定從預防、應變、到復原的各項資安工作。10年後的現在,談起資安工作的成效。宋餘俠從以下5方向檢視:
資安組織
除了有中央級的行政院資通安全會報負責各級機關間資安計畫工作的協調之外,各個機關的資安聯絡窗口也都已建立。儘管目前垂直溝通的聯絡管道已建置起來,但橫向溝通卻還不夠周延。例如,資安事件案例的相互參考有待加強。
人力
由於各機關資安人力有限,對於資安訊息的蒐集不能只靠政府內部機構的溝通,政府跟民間的互動還要持續加強,如現行研考會邀請各界所組成的資安諮詢
委員會。政府部門可善用外部資源,多接收外界訊息,應該樂於得知任何資安事件的訊息,並引以為鑑。
資訊流通
儘管成立了資通安全會報此一專責組織,也有相關資安事件通報網站,但「應變」資訊的流通卻還明顯不足。舉例來說,如果某機關發生系統入侵事件,受害單位都急著把問題網站給關閉封鎖,這樣一來問題雖然當下被解決了,但此一經驗卻無法與其他人分享。如何在緊急應變同時進行適當的資訊流通,讓應該知道的單位知道,提前預警因應,將來需要加強此一機制的設計。
流程設計
目前政府組織整體的資安規範指引都已規劃完成,但個別機關引用落實的SOP仍較為欠缺。現在網路應用的趨勢是要能提供主動服務,但在不知道顧客身分的情形下,民間一般網站可以依照網路廣告的點閱習性等,勾勒出主要客戶使用者的身分描述,但政府網站若要辨識主要目標群眾以提供主動服務則有一定難度。政府所擁有資料多牽涉民眾個人隱私,因此網路服務的流程設計需做許多調整。
訓練
由於許多網站安全問題來自於系統設計漏洞,因此安全程式生命週期(SSDLC)的觀念時常被提起,相關訓練也在進行中。但除此之外,現在更需要加強關於業務及資訊單位人員的互動訓練。讓IT背景的系統設計師加強跟業務部門的討論。IT人員要懂業務,業務部門要懂資訊。推動資安,要讓業務單位了解資安可以幫你避免什麼問題,這會是更重要的。
讓3,000條專線 變成「40串葡萄」
政府單位推動資安若單靠資訊部門苦口婆心推動將有一定難度,應該由各機關的資安長帶頭由上而下來推動。應讓業務單位了解IT技術的可能性,以明白資訊安全對業務工作的幫助。知易行難,宋餘俠認為應加強從根本體質上做本質改變,也就是增加資訊與業務部門互動,才有可能提升高層主管的資安認知。
依照以前規劃是各部會副首長兼任資安長,而依現行議定中的組織改造法案規定,將會由各部會資訊長負責(組織改造法案將在立法院9月開議的會期等待審議通過)。由上而下推動資安,宋餘俠以防垃圾郵件宣導為例,當初即是直接對資訊長進行垃圾郵件震撼教育開始,讓他們瞭解問題的實際面,接著各部會長官回去交辦下去,跟業務面結合的政策推行才會有效,現在打開惡意郵件的比例已明顯下降。「本質改變會是未來比較大的突破作法。」宋餘俠說。
此外, 整個行政體系有7,000~8,000個組織,共有3,000多條專線連上政府骨幹網路GSN,再加上每條專線背後需維護的主機,其系統之龐大需耗費相當多IT人力維運,對分散的資安防護也是一大挑戰。組織改造後,中央二級機關若由現行37個
減少為26個部會,資訊資源能有效集中,宋餘俠打比方,將來二級加上主要三級機關的網路系統若能集中管理,有如變成40幾串葡萄,那麼就可以從葡萄串的根蒂做整體資安防禦,不需將來整併後也許三、四級機關不需要那麼多且零星的防火牆資安設備,可配置預算到其他資安整體防護設備上面去,做更好的縱深防禦。而IT
例行性的服務包括掃毒、備援等也可朝向委外,甚至中長期合約進行,這樣除了IT服務能有更好的規劃之外,也能與業者建立穩定的合作關係。
組織改造讓資訊資源集中好管理
根據「行政院組織法」修正草案規定,未來組織改造後對政府資訊作業最主要改變是,在政府行政管理四長當中,新設資訊長一職,其餘包括人事長、主計長與法制長。宋餘俠指出,依據組織改造內容,將來行政院資訊長是政務職務,是院長必須重視的重要管理資源,也會設有副資訊長是常任職務,確保IT投資是延續性的施政。而來到各部會,宋餘俠認為讓常任次長兼任資訊長一職將較能確保資訊安全政策的延續性。將來部級單位設立資訊處,委員會是資訊室,資訊單位皆能定位為一級單位,以配合行政院資訊長制之運作。這也是資安工作推動多年以來,本質根
本改變的契機。
而組改後的IT人力配置,希望IT人力能往上集中,除了重要三級單位有IT人力之外,一般三級與四級單位的IT人力可集中到二級單位。最好是一個資訊單位有40~50名的IT人力,這樣不但對資安工作有充足人力資源,也好約有1/10的人可以有較多機會去外界受訓,吸收資訊技術新知,人力可以彈性調配。雖然人力集中後是由上級單位管轄,但IT人員還是可派駐到所屬各機關單位,就近服務。這樣一來是二級機關人員派駐在四級機關,代表二級機關推動四級機關的資訊化業務。
然而回歸現實面,若是組織改造修正草案未能在此會期通過,資安工作如何推動?宋餘俠坦言,立法進度並非研考會所能左右,研考會能做的就是持續加強目前的作法,透過跨部會主管組成的「策勵營」來逐步達成資訊改造。共構機房就是策勵營集中焦點計畫,目前包括陸委會、經建會、行政院本部,都已加入機房共構,以網際網路資料中心(IDC)的管理概念,讓硬體設備集中,提升資安整體防護品質,但系統仍可分開各自管理。
組改過後能加速實現資訊改造計畫,資安將成為各部會資訊長責無旁貸的任務。當資訊資源集中以後,IT人力所能處理的效率也能增加。而行政體系的改造後,在網路犯罪、資訊安全部分,也會強化與國安會、調查局的協調與溝通。這一切,待透過質變而帶來改變。