安全政策指引讓台灣資訊環境更健全

2005 / 11 / 04

徐國祥

台灣資訊安全推展可追溯國軍推動自動化之際，有鑑於國軍作戰系統平台已逐漸電腦化，倘若外來入侵或由於內部人員操作等因素都可能導致國軍重要主機癱瘓，如果不將安全問題列為重點考量，未來安全問題將成為重大警訊，因此政府部門在民國90年成立『行政院國家資通安全會報』，也為了慎重起見總召集人原來是由行政院長兼任，但由於行政院長公務繁重，為避免資通安全會報流於形式，目前確定改由行政院副院長擔任資通安全會報的最高層級，且在民國93年進行組織調整時針對「政策研擬」、「跨部會協調」、「解決共通性問題」等都是要藉此積極推動台灣內部更健全的資訊安全架構。
強化不同層級的安全防護力
究竟政府在資訊安全方面執行哪些措施？行政院國家資通安全會報第一期計畫目標是建立「資通安全基本防護力」和健全「資安環境與制度」為主要訴求，所謂「資通安全基本防護力」包括防護服務、稽核服務和事件通報等；「資安環境與制度」則涵蓋標準規範、資料蒐集和網路犯罪等作業。在整個防護體系中，政府也針對對民生有極大影響的3,713個重要機構進行資安查核工作，如電信局、水利局、入出境管理局等。主講人更以親身經驗強調，曾在前往紐約時遭遇美國大停電事件，當時原本想直接飛往西岸，但沒想到由於停電導致機場極為混亂而無法成行，因此必須建立緊急應變能力，這些就必須依賴建立完整稽核文件彙整與反覆演練等，才能明瞭整體流程是否周嚴與適時改進，如同金融機構發生資安問題時，仍需確保客戶領取帳戶金額無虞。
值得一提的，目前政府已針對機構重要性已訂出A、B、C、D四種資訊安全等級，各等級機構會有不同程度的資安防護要求，同時必須提供相應對的資安服務。另外，已建立資安防護管理中心（SOC），這對於強化資安認知、資安預警縱深延伸和資安教育訓練等都有莫大幫助，但光從上述規定仍無法有效推動資安工作，因此外部稽核就成為另一項重點工作，政府也律訂了幾個大方向，包含資安政策為何？組織架構是否符合資安要求？資料有無分類？這也正是政府機構或企業共同面臨的問題癥結，因為駭客可以運用簡單的入侵方法就能夠攫取、破壞重要資料，對此，主講者強調，主官可以不懂，但主官必須相信資訊人員的判斷，否則就會發生企業主以為防火牆是某種實體牆，只關注其材質的優劣與否，這就發生與真正資安防衛功能相去甚遠的笑話。

內、外兼備的措施才能萬無一失
對於身為島嶼國家的台灣而言，國際貿易早已成為最重要的生存命脈，假如台灣不能提供安全和可信賴的投資環境將失去競爭力，因此必須藉由上述各項措施才能建構完整的資通安全環境。主講者回憶執行『資通安全會報』工作情況時，當時正值美國推動電子化政府，台灣曾仿效其做法，針對不必要的流程做簡化，也在簡併流程中發現了許多安全的漏洞，過程中累積了許多寶貴的經驗，如制定完成34種資通安全國家標準、推動資訊安全管理系統（ISMS）等，截至目前，台灣已有45家公、民營機構通過BS7799認證；至於在防治網路犯罪方面，除了92年增訂刑法『妨害電腦使用罪』專章、修訂『個人資料保護法』等來制衡內、外部入侵行為和網路詐欺等，更積極參與亞太經濟合作之『網路犯罪偵防立法及能力建構組織』共同打擊國際網路犯罪事件、也促成美國司法部派遣人員來台辦理網路犯罪的司法能力教育訓練等，凡此都是為了建構台灣更安全的資安環境。
主講者更指出，企業發生資安問題時多半不敢聲張，因此資通安全會報的第二期計畫（94年1月～97年12月）將著重建立整理防護力為目標，包括落實資安通報責任、促進ISP業者建立自律機制、資安人才培養、導入國際資安標準和國際合作等，當然這類措施要由政府機關逐年落實到民間企業，為了達成這些目標，最重要的工作就是必須落實資安長（CISO）責任制度，因為隨著企業流程改變，必須思考資安工作也須一併進行改善，主管也必須針對安全政策做評量，如此在發生資安狀況時才能迅速找出問題癥結，和授權與否的問題。唯有機關主管體認資安防護工作的重要性與迫切性，才能真正確保整體的資訊安全；當然推動CNS17800/BS7799認證、資料加密和內、外部稽核等將成為未來持續進行的工作。

後記
由於推動資安工作是非常孤獨與寂寞的，鮮少有人願意投入，因此資安人才明顯不足，這是政府未來必須加速強化的環節，至於企業也應配合政策推展資安工作，不能因為有了政府這樣的消防隊，就可以不在家中放置滅火器，因此企業購買資安設備時不應只考量價格問題，反而應該著重其整體安全防護功能，才能讓台灣資安環境朝更健全方向邁進。

資通安全會報沿革
89年8月30日總統核定國家安全會議有關『建立我國通資訊基礎建設安全機制建議書』。
90年1月行政院第2718次院會核定第一期資通安全機制計畫，並成立『行政院國家資通安全會報』，積極推動我國資通安全基礎建設。
93年3月17日行政院頒佈實施第二期資通安全機制計畫(94年～97年)
93年9月資通安全會報進行組織調整，通報與應變工作組的結合，使資安事件之處理更加迅速。在持續推動我國資通安全相關建設上將更專注「政策研擬」、「跨部會協調」和「解決共通性問題」。

iSecuTech Taipei 2005