政府推動資安,各領域主管機關扮演重要角色,教育部電算中心一步一腳印,為各級教育單位拉起資安防線。
在「國家資通訊安全發展方案」中,明確定義出政府各部門所負責的資安政策與計畫。其中教育部承襲一直以來的方針,資安政策的推動已逐漸展現成果。包括教育體系資安驗證制度的建立、資安通報機制、資安系列教材編製等。教育體系涵蓋4,000多所各級學校及相關所屬單位,要推動資安誠屬不易。教育部電算中心主任趙涵捷談到教育部推動資安的策略,以及對於台灣學術網路(TANet)未來的發展期許。
訂定分級管理政策 集中資源防禦
本刊在2006年曾採訪過教育部電算中心,當時前主任郭耀煌提及資安推動重點策略,包括建立學術體系分級制度,以及以TANet為中心導入資安產業資源的作法。3年後的今天,教育體系的資安分級已確實建立起來,並依照不同的機密等級實施資安策略。
依照目前分級管理的政策,高中職學校的資安防護機制較為不足。因為目前所有國中小學的系統大都歸在縣市教育網路中心(以下簡稱縣網中心),較為統一完整。然而高中職學校系統有些是區域網路中心(區網中心)提供實體校園網路連網介接服務,有些還是縣網中心,這樣容易產生管理上不一致的情形。依照目前教育部電算中心的規劃,未來將由TANet各區、縣市網路中心協助實體資安防禦系統,同時配合推動高中職資安外部稽核作業及資安種子學校協助輔導方式,強化其學校的人員及機制,以提升高中職學校的資安防護環境。
話鋒一轉, 趙涵捷提到,資安永遠有做不完的工作,然而現階段最急迫重要的是把高中職系統不足的部分趕快補強。畢竟在高中職求學階段的青少年,正是屬於對網路法律懵懂,在網路上取得攻擊程式便想在同儕之間一夕成名的一群。
擔任過國立宜蘭大學、東華大學電算中心主任的趙涵捷相當清楚區網/縣網中心所面臨的問題,因此他認為在有限資源下,應把資源集中給各區網/縣網中心,包括人力的集中,各校相關資訊人員則以負責基礎的網路設施管理就好。可見整併,不只是企業IT管理的顯學,對政府機構、學術單位皆是。目前全台13個區網中心是由13所大學電算中心兼任,協助鄰近學校線路基礎設備管理。教育部一直以來,對於各大學的資安問題是站在協助的立場,由於清楚各校人力不足的窘境,趙涵捷表示,將盡力為區網中心爭取到1個專職人力,來負責區網中心的管理工作。至於縣市教育網路中心,還是要看各縣市政府首長對資安的配合支持。
資安工作對於各大學是相當重要的一環,各大學存有重要的學術研究資料及大量的學生學務資訊,教育部原則尊重校園自主,採取的措施以輔導各校自建資通安全管理系統為主要方式,因強制或統一的資安措施未必符合不同類型大專校院各別需求。然而,教育部就像是各大學與民眾之間的防火牆,趙涵捷比喻。現在電子化政府時代,許多民眾有任何意見都會投訴到部長、院長甚至總統信箱,而教育部就扮演另一種居中協調的角色。此外,校務評鑑也可說是另一種管理機制,未來教育部也可以透過校務評鑑獎補助方式來對校園資安防護績效提供評核。
教育版ISMS培訓資安稽核人才對於轄下學校機關,教育部採取鼓勵及協同輔導的手段,教育部建立一套教育體系資安驗證制度,輔導學校做資安,如同前述正在高中職及大學所推廣的。趙涵捷指出,教育體系在IT應用推廣上面臨著明顯的城鄉數位落差,資安情形也一樣。因此藉由一套標準化的管理制度,讓學校資安防護作業導入正軌。由於ISO 27001的輔導、稽核費用對學校來說不是各校都負擔得起,因此教育部便委託成功大學規劃推動建立教育體系版ISMS,期望各級學校只要少許的經費(4萬元/年)就能依此建置完成必要ISMS項目。教育版的ISMS是參考ISO 27001規範內的條款,再依據學校、學術機構特性,量身訂做出較為合適導入的標準,未來我們仍會持續檢討修訂簡化更符合學術體系的ISMS。
教育部配合國家資通安全會報的政策明確訂定,今年年底前包含大學、區網/縣網中心在內的學術A、B級單位需通過「驗證」,而學院、專科、高中職等C、D級單位雖不需通過驗證但也須建置ISMS。這套機制除了ISMS規範之外,教育部也規劃出後續輔導、驗證稽核的體制,由清華大學黃能富教授主持教育機構資安驗證中心。此一用意,是希望能藉此培訓出稽核觀察員以及資安稽核人才。趙涵捷希望,除了提升我國自建資安驗證能力外,未來資安也能成為電資相關學系學生畢業後的另一出路。培育國內資安人才,正是教育部重大的資安政策之一。
未來強化事件通報 早期預警
去年,經濟部國營會建置了國內第一座資訊分享與分析中心(ISAC),緊接著,教育部也規劃今年在2個區網中心建置起ISAC,結合3個區網的資安監控中心 (SOC)以達到資安通報、早期偵測預警的目的。現階段通報應變的作法是設立TANet ABUSE資安檢舉信箱,結合區、縣市教育網路中心,處理網路攻擊、垃圾郵件、網路釣魚、網頁中毒或侵犯智財權等資安檢舉案件,而資安事件透過區、縣網路中心也可於24小時內通知與處理。但未來透過ISAC應可達到早期主動預警的作用。此外,更透過與國內學術研究服務團體的合作,建置Botnet監控防護網,以解決目前困擾學術網路最為嚴重的殭屍網路問題。
最後,推動資安最重要的仍是教育訓練,身為教育單位主管機關,本身對於資安教育訓練課程、教材設計也不遺餘力。目前,教育部針對不同對象舉辦各類型教育宣導活動,包括:
1) 針對主管、資訊主管教育訓練,例如針對校長等層級的資安認知訴求。
2) 資安主導稽核員證照教育訓練,目前已辦理220人次資安主導稽核員證照教育訓練。
3) 資安技術巡迴教育訓練,針對各級學校IT技術人員辦理北中南東資安技術教育訊練。
4) 要求學校辦理教職員資安訓練,教育部要求學校每年辦理4小時資安宣導教育訓練。
5) 資安推廣活動,結合25縣市推動國中小學資安達人闖關有獎徵答活動,加強國中小學學生資安觀念。
上述相關教材在教育部「校園資訊安全服務網」網站中均開放下載,網址:
http://cissnet.edu.tw。
教育部有計畫、有策略地推動資安政策,從IT整併、資源集中到建置ISMS以驗證稽核機制代替強制要求,通報管道的建置以及一系列針對不同對象的教育訓練,多重管道同時並進。儘管部分學校網站系統仍存有掛馬漏洞,或主機被當作攻擊跳板等問題,然而他們推動資安的策略仍然值得其他主管機關學習。