SECURITY 7 壯志凌雲-航空業

　　想到要在未來的飛機中建置空中的IP網路，會讓不少航空公司的資訊安全主管心驚膽顫。

　　但Andre Gold卻不會。

　　要當大陸航空的資安主管，的確需要面對一些挑戰。解開不可能的任務，幾乎已變成Gold在航空業界的印記了。他的10年職涯可分為兩個部份：前6年是網路服務的技術主任，負責開發及管理這家去年成長16億美元的航空公司的電子商務架構，最後4年則是擔任頂尖的資訊安全主管。要維護分散在277個國家各點的網路安全，Gold磨練出閱歷，使他精通各種大小事務，例如漏洞分析與管理、以角色為基礎的服務管理機制及網路存取機制等。

　　附帶一提，他還利用時間攻讀了科羅拉多州立大學的MBA學位，在這個主管必須精益求精的資安產業中，Gold選擇勇敢面對趨勢。

　　「對於CISO來說，這不全然跟科技有關。防火牆、IPS等精緻科技的日子已經結束了。」Gold說。「現在要談的是你要如何消除風險，並利用你建置的安全計劃來增進股東價值。」

　　這就是G o l d 最新的計畫，要將無線寬頻以及安全的塔台對座艙通訊與資料共享等技術，帶進下一代的飛行器中。

　　Gold代表大陸航空參加「資料連結安全委員會」，宗旨在擬定未來噴射客機中安全協定的產業會議。會中除了各家航空公司外，還包括了空軍與波音、Honeywell、空中巴士，以及Rockwell等製造商，這個團隊不只是撰寫Wi-Fi連線的協定與標準，還包括了飛行器要如何與系統業者連線，以及要如何傳送訊息及資料。

　　「這裡頭涉及了安全以及商務的觀點，而商務通常是驅動因素。」Gold說。「為了維護安全的三大支柱（機密性、完整性，以及可用性），我們必須體認到新系統的操作者並不是安全人員。而是飛行員、空服員等人員。重點是我們要如何讓這些人操作這些系統。」

　　Gold的名聲不只讓他成為一名幹練的技術主管，他的熱情更伸及供應商（特別是還點燃了他們的熱情），以及與他共事的研究人員。

　　「我喜歡與願意聆聽的技術人士合作，探討具有防護價值的安全與創新科技，才能滿足我的野心。」Gold說。「我喜歡接觸新興的市場，開發技術，並確保那裡有可行的案。」

　　舉例而言，ConSentry Networks就受惠於Gold對於網路存取技術的深入洞察。「Gold總是能快速了解並應用新的科技，不像時下許多人只會把名詞放在嘴邊而已。他能與新廠商快速地深入技術的細節，並探知他們的產品是否具有價值。」

　　ConSentry的銷售副總Dean Hickman-Smith說。「從個人的觀點來看，他能夠了解事物在網路中的真實價值。他會從商務的觀點來看事情，而不會鑽牛角尖。」

　　Gold所在的產業是恐怖份子的頭號目標。8月英美大西洋航線班機發生恐怖襲擊陰謀時，第一家被懷疑成為目標的就是大陸航空。Gold說大陸航空的意外反應計畫非常有效率，且遍及全公司，自911以來，有些事情已被委任管理或做過細部調整。然而，Gold領悟到他每天還是得面對直接或間接來自Internet的威脅。

　　該公司的電子商務系統連結了其他的航空公司、飯店，與租車廠商，使得可能滲透公司網路的攻擊管道變得更為複雜。

　　「從虛擬世界的觀點來看，攻擊不會只來自一個地方。大陸航空或許不會是直接的攻擊目標，但攻擊很可能會透過合作服務廠商的網路進來。」Gold說。「這就是這工作難搞的地方。」

　　地理區隔為大陸航空的網路安全與政策落實帶來了挑戰。營運據點分散在277個國家，使得他及其團隊對於國際法規更加認識。由於大陸航空在許多國家都將服務委外出去，因此缺乏資安認知的人就要負責任上的問題。

　　「我無法想像在現在威脅與日俱增的情況下，未來會有多麼艱困，嚴苛的立法環境、油價節節高升、預算也越來越吃緊，都讓生活變得越來越困難，」ConSentry的Hickman-Smith說。「Andre具有極佳的人格特質，能讓人們跟著他共事。也由於他的處世得體，使得他從廠商那裡獲益不少。」「我看不久之後他就會是CIO或是CTO的人選了。」

Michael S. Mimoso是Information Security的編輯。