不僅是資安的教育資源不夠全面性,資安專才也找不到資安產業的出口。 除了政府的資安單位以外,台灣電腦網路危機處理暨協調中心(TWCERT/CC)是民間的國際性通報應變組織,它是國際CERT(Computer Emergency Response Team)組織的成員,也是台灣在資安方面對外的窗口。成功大學資通安全研究與教學中心主任兼召集人賴溪松表示,日前各學術、民間單位商請行政院國家資訊通信發展推動小組(NICI)召開協調會議,目標是找出TWCERT的明確走向,期望可以強化並協助政府做資安規劃,或作民間資安監督服務。
而談到資安人才的培育,賴溪松認為除了在大學院校正規體系培育資安人才外,還可針對有經驗的社會人士進行培育,要社會新鮮人馬上接手資安工作或許還需要時間,但要具有多年工作經驗的人補強資安的部份,較為容易。他認為甫從學校畢業5至10年左右的人,正是社會的中流砥柱,而在這批人求學的年代,資安尚未加入到學程裡,目前職場上的資安應用,多為自行摸索進修的片段學習,政府若能結合產學界力量,增設相關教程、在職進修課程,才更能提供完整性、國際性的學習機會。
台科大資通安全研究與教學中心主任吳宗成認為儘管資通安全研究與教學中心(TWISC)培育出不少資安人才,但台灣資安人才的缺口是什麼?學界培養出的人才是否符合產業需要?有些畢業學生雖具有資安專長,但是台灣資安市場是否有對等的規模?例如,企業尋找網管人才時,可能會要求持有CISCO證照,但是尋找資安人才時卻是「具備資安證照為佳」的資訊通才,而不是找資安專業人才推動資安,但具備什麼條件才是「資安工程師/?資安管理師」呢?
他建議國家應該要明確定義出資安專才的「規格」,例如具備資安證照才能擔任資訊安全師的工作。此外,政府也應協助扶植產業,對國內資安產業採行減稅、補助等措施。
資安產業 儘管資安業者大聲疾呼資安應拉高到國土安全的層級,所能爭取到的資源還是有限。經濟部工業局認為,資安產業現在面臨大環境問題,工業局對資安產業的協助有限(見前頁表)。工業局相關官員認為企業不肯多做投資,原因在於資安事件發生後沒有主管機關出來追究責任;至於本土資安廠商在政府標案市場不佔優勢,這需要到跨部會層級的會議中協調,如資通安全會報。
先前借調行政院科顧組資通安全會報的成大資工系教授郭耀煌指出,當初NICI的U台灣計畫有包含要推動安全可信賴的產業,這部份值得後續關注。另外他對產業提出2點建議,除了等待政府重視外,應走向國際化,如趨勢科技善用日本資源而後發展為國際性企業;此外,台灣在資訊硬體方面的資源較為充足,跟硬體結合研發較有機會。
| 產業聲音 資安人才養成與產業政策篇 |
|
關貿網路總經理陳振楠:
並非TWISC培養出來的人才資安產業沒有需求,產業要的不只是懂理論、修過幾門資安學程的學生,而是要有實務經驗或者擁有資安證照,例如CISSP、CEH等。
中華龍網總經理蔡銘桔:
政府在產業政策上對於資訊服務公司與產品研發公司一視同仁,發展服務業的同時,卻逐漸侵蝕智慧貢獻的行業,忽略平衡發展。導致資訊軟體人才快速萎縮, 研發人才的缺口繼續擴大。台灣在電子製造優勢逐漸失去的同時,卻仍未見以腦力取勝的資訊產業被政府大力投資。相較於日、韓、中國對於信息產業的高度重視,台灣的網路產業是被忽視的。
中華數位總經理劉孟達:
資安產品與其他IT產品認證不同,應建立更完善的認證機制,因為需站在國家安全角度考量。有以下3點建議:
1. 產品應有中文版或中文碼轉換認證。
2. 政府建立評測中心進行惡意程式檢測;或作業系統相容性測試, 例如電腦公會的Linux認證。
3. NCC應盡速取得與國外產品標準的相互承認,以協助加速本土企業進入國際市場。此外,資安人才培育與扶植資安廠商擴展海外市場都是極為重要的產業政策。
趨勢科技台灣區總經理 洪偉淦:
只要政府致力推動法規與強化認知,對產業的扶植也會有明顯成效的。趨勢過去創業的經驗是,到海外發展、做品牌還需要面臨文化問題。
台灣微軟伺服器平台事業部
資深產品行銷經理羅廷儀:
資安專業人才的培養。台灣企業或政府對資安人才的培養跟重視不及歐美。在歐美,CSO(Chief Security Officer) 薪水是CIO的1~1.5倍。但在台灣,資安大部分還是由公司的MIS人員兼管。
|