https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

曙光再現後 資安產業乘勢而起

2009 / 09 / 29
吳依恂
曙光再現後  資安產業乘勢而起
資安議題首度中選  宣示起跑決心

行政院產業科技策略會議(SRB, Strategy Review Board)年年舉辦,而在本年度第一次挑選了資安議題作為討論主軸。在行政院科顧組針對我國資安競爭力的SWOT分析當中,我們可以看見優勢與機會──由於海峽兩岸特殊的政治局勢,在全球資安市場裡台灣宛如一個資安練兵場,擁有豐富的資安防護經驗以及駭客行為模式資料,此外本土的資通訊產業發達,擁有質優的科技人才,創新性及對新科技接受度也高,具備整合的條件與能力。亦有需要改善的劣勢和威脅,國內資安防護法制尚未臻完備,且內需市場不大,資源、商品、國際化等專業都不足,國內資安業者面對國際大廠的競爭皆難以相抗衡。

政府也觀察到了,資安需求所能創造的商機與產值不容小覷。依照規劃,2012年起,政府資安經費將占資訊經費10%,若依現有的資訊經費估計約為新台幣 125億,而經過此次SRB會議的討論,預估未來政府將會每年額外投入至少新台幣5億元來改善資通訊環境的安全、提升網路應用安全;並且每年投入4.2億元來發展資安產業推動計畫、推動重點技術與應用,以及培育頂尖研究人才,以達成5年內促進台灣資安核心產值達300億元,衍生資安關聯產值達1,700億元的目標。

因此,如何善用台灣的優勢與機會,並改善劣勢、避開威脅,將是能否真正邁入台灣資安新里程碑的關鍵。

 資安元年 仍須努力

行政院政務委員張進福更表示,台灣的資通訊安全在經過近十年的耕耘之後已不是荒地,所以這次召開資安科技的產業策略會議,目的就在於希望可以做得更好,朝向「固若金湯、滴水不漏」的理想境界努力。此次與會共有五大部會,主要討論內容是有關資安的健檢保全、電子商務與電子病歷安全等應用面安全,重點皆在於取得民眾的信賴。此外,個人資料保護法之修法與濫發商業電子郵件管理條例之立法,值得大家共同努力推動。

張進福於會後接受採訪時也提到,這只是一個開始,希望未來還可以再邀請更多相關的單位一同進來參與,整合所有的資安資源來加以推動。

NCC、經濟部扶植產業  研考會、衛生署、教育部擴大內需
在針對扶植資安產業的部份,其中國家傳播通訊委員會(NCC)主要有兩大重點,一是強化電信事業的資安管理,將於各電信事業單位當中推導、落實ISMS,此外還要建立具CERT、SOC、ISAC等多功能之電信網路「資訊通報處理平台」,形成各ISP業者間的聯合防禦網路。二是資安產品檢測的具體策略,預計在第一年委外研究並且廣納各界意見,訂出適用設備類別、適用等級及適用技術標準等。第二年則徵求試辦計畫廠商,提供資通設備進行檢測,並一邊按照推動狀況來檢討修正等。第三年將會依照試辦作業程序來進行試辦,也協調部份政府機關及徵求資安設備業者參與。第四年預計會檢討其試辦工作計畫成效,修正作業程序及相關作業規範,據以實施第一階段資通範圍,並規劃下一階段。

經濟部工業局則提出為期4年的「Security Taiwan產業發展計畫」(暫定名稱),3大推動策略要點及建議措施如下:
(一)擴大及鞏固本土市場:善用我國產業優勢(如工業電腦、網通、IC設計等)以政策工具、獎勵補助措施,來鼓勵廠商發展嵌入式資安產品;在不違反GPA規定下,鼓勵公家機關優先採購本土資安解決方案,為外銷創造參考案例;透過資通會報讓產業了解政府未來五年需求Roadmap;運用政府資源、管道,協助業者將產品推向新興市場。

(二)政策帶動重點技術與應用:運用科專資源開發雲端服務之關鍵技術,如雲端應用層安全防禦及雲端服務平台安全管理,並有大型重點應用導入案例;吸引國外大廠來台設立資安技術研究測試/中心等;協調國際大廠開放資安應用相關介面。

(三)支援前瞻研究與人才:發展資安虛擬攻防平台,強化國內研發成果的可應用性及競爭優勢;鼓勵學校培育security coding人才;鼓勵學術發展資安驗證/測試基礎技術,提供驗測專業服務;成立TWISC產學研聯盟,加強產學研合作,強化TWISC學術社群的國際合作/價值創造/服務營運能量,提高其自主營運能力等。

而在擴大內需部份,行政院研究發展考核委員主要目標則是建立起政府機關版的ISMS,改善過去推動A、B級政府機關推動ISMS的問題;此外也建立起G-ISAC,一個資訊共享平台,在過去的資安事件通報應變基礎上,更進一步的達到資訊分享的目的,達到更進一步的資訊防禦;並且因應到目前政府單位遭受到網頁安全威脅的問題,預計要更加提升政府網站應用程式的檢測及修護能力;建立與推廣政府資安職能訓練與評量機制,讓各政府機關能夠逐步擁有資安自主的成熟能量。(註)

經濟部商業司為促進電子商務發展,健全整體交易環境,更是打算於未來4年內規劃投入新台幣9.23億元,並且邀集法務部、內政部等單位來一起推動個人隱私保護方案、建置個人資料管理制度、推動交易主體確認機制、交易安全知識宣導與認知強化、普及電子商務信賴安全機制、推動網路交易平台安全機制、推動電子商務信賴安全支援機制等7大行動方案。希望在這些環節的推動之下,可以達到4年B2C電子商務市場規模達新台幣3,700億元等多項產業效益。

而行政院衛生署則是主要針對「電子病歷安全」提起討論,預計在2010年至2012年期間投入新台幣60.4億元,加速推動醫療院所實施電子病歷,並建立及維護電子病歷安全,保護病人之隱私,以達成「在病人同意下,病人可透過健保IC卡在任一家醫院,由經授權之醫師完整取得病人過去之病史資料,提供病人連續性的照護。」之目標。

對教育體系,教育部於政策面提出努力推動教育機構的ISMS,並且針對大考網路服務主機訂定資安作業規範,發展網站應用程式弱點監測平台等。在環境面則打算建置ASOC與Botnet監控點,要整合現有資安資源、建立學術CERT和國際資安組織結盟,交流重要訊息。教育面則預計要推動全民資安素養(不過該計畫仍在研議中)、推動資通安全學程,並輔導專業證照取得,提供學習資安技能管道,培育資安專業人才等。


 

形塑資安文化  專家建議

而在SRB進行的第三天,來自各國的專家,也提出了相關的建議。美國商務部國家標準與科技研究所先進網路科技主管蘇慧陽說到,政府單位、商業界以及所有使用者都必須意識到,我們必須發展「資安文化」。而資安文化並不是只靠法律或規範來形成,「形塑資安文化」應與民主社會、多樣化文化、國際義務等一致,特別是在一個資訊開放和自由的環境下,都必須考慮到個人隱私的重要性。

網際網路政府論壇主席顧問Patrik Faltstrom也提出他的看法,他認為應該要發展跨政府與產業的聯合防禦平台,統整資安事件偵測、資訊共享、防禦與反應。該平台成員應涵蓋政府部門、學術界、公私單位等的參與,並應有單一代表負責建立此平台。此平台應納入CERT/CC、全國的弱點資料庫並與研究組織進行合作。並且要有來自外部的稽核定期審視、確保這些機制。對政府而言也需要更好的水平協調,在立法程序或設定公部門內需時都應將資安工作考慮進去。而在資通安全的教育當中,應增加更多資安意識、技能等知識。

此外,在他看來台灣並不是一個很大的國家,因此相當適合試驗新的環境、創新的政策,而TANet恰好是一個絕佳的機會,能夠去試煉所有顯著的在教育體系內的資安問題。而國內政府單位等遵循ISO 27001是很好的,因為驗證是一項很有效的工具,不過亦可透過不同的機制來增加安全的投入,例如法規的制定、在採購程序上的規範或像是在網站上的標章(例如規格、標準、協議等)。


他也提醒,駭客、病毒或類似的漏洞攻擊等並不是唯一需要去關注的安全問題,同時還有注意的還有像是:作業上的錯誤和未經規劃的疏忽、基礎建設上的漏洞、意外災難備援管理等,他認為要維護資訊系統的安全,通過ISMS驗證只是第一步,應該要定期的去檢視系統的可靠度。還有,應該建置一個國家緊急應變措施去處理天然災害的狀況,即使不是資通訊科技(ICT)基礎建設,也應該使用ICT來達到迅速回覆。

中研院資通安全專題中心執行長李德財也提到,應加強學界與產業的合作,並應該促成國際大廠與國內廠商的合作機會。

資安國產廠商實行建議

此外,本次會議也提供了國內各廠商替資安產業發聲的機會。中華數位科技總經理劉孟達說,在NCC行動方案推動政府機關(構)採購經驗證之資通設備中,提到將會在99年會完成制訂國內產業標準、採購指引及獎勵措施且再推動試辦三年,提到國際流通的共同準則(CC, Common Criteria),實施方法中規劃了相關的配套措施,包括提供Pre-Test讓業界逐步適應、技術輔導讓業界加速產品改良和經費補助給「有技術能力」、「積極改良」的廠商,他希望這些措施可以如計畫來實施,否則許多國外廠商的產品是走在前頭的,國內廠商將會非常吃力。

另外他也提出幾點建議,包括:

1. 落實執法,與立法並進:
現有法規的落實執行,如個資法對現有八大行業有關個資洩漏的案例,依法追究責任。由於國人普遍對法令的執行的觀感打了很大的折扣,所以對「個人資料保護法」與「濫發商業電子郵件管理條例」是否能如期通過立法也不敢期望太高,主要是因為對政府立法及行政效率存疑。

2. 研考會與政府預算:
政府要增加資安預算比例這是立意良好,但是每年增加1%還是不夠多,因為政府的資訊預算的編列一直偏低,必須要先增加資訊預算,再逐年增加資安預算1%才有具體效益。

3. 針對教育部的建議:建議可以提供TANet的網路平台,供國產廠商有一個大型的實體網路的產品測試環境,如此對廠商的成長會有幫助,教育單位在產品採購訂定規格時,不要偏向國外品牌,應給國產品牌廠商有一個更公平的競爭環境及成長的機會。

此外,政策推行分散在各部門,政府單位是否有一個統合的單位,來面對產業廠商,讓廠商知道政府如何下放資源?要如何作投入才容易有具體成效?

桓基科技總經理江衍源則針對可能在SRB會議後列入政策發展項目的資訊安全研究所提出,宜應針對此組織的使命任務、工作項目、經費來源、營利與否(研發產品及服務)等,廣徵各方意見,作明確的規範及律定。該研究所應該以作為盱衡國內外資安情勢,厚植國家資安總體戰力的研究者為自居,強化市場資訊的收集跟判斷,廠商才能據此做策略開展。

他也提到,若政府願意厚植資安產業,可以考慮將錢撥給這些願意投入資安產業的研究生,三、四年後,新一代實力堅強的研發人才必然就會在民間企業出現。而政府能夠花資源做的就是深度研究國際市場,並建立市場灘頭堡,國內有如IBM、HP、Intel及微軟等的台灣市場行銷人才均可聘請。並且,亦協助廠商建立競爭門檻,例如可代為申請重要地區專利,獲利後國家自然可抽成。

數聯資安總經理張肇榮也說,在產業界(中華民國軟體協會)有一項非常重要之建議,為「儘速推動個人資料保護法」通過立法。他認為這可因此促進企業單位重視個人隱私保障,也為各種資訊安全之基礎,此外亦可大幅提升資安產業市場。

當然,也有悲觀的廠商認為,計畫都只是計畫,預算是否真能夠撥下來還是個問題。

政府推動資安這些年來,終於看見相關部會主管機關對於推動資安的具體計畫。例如經濟部商業司對於電子商務交易安全的計畫。這是因為在一片經濟不景氣當中,唯線上購物、線上遊戲的交易異軍突起,擁有不錯的好成績,然而網路詐騙、個資外洩等資安事件卻層出不窮,讓人失去信心,若電子商務的發展想要更進一步,勢必得將資安問題徹底解決,恢復消費者的信心。此外,經濟部工業局在這次的SRB會議當中也提出諸多實施計畫,雖然還有許多可以商榷、修正的部分,但對國內資安產業來說,其進步是顯而易見並且值得鼓勵的。

SRB會議將國內資安產業、內需問題一次放上檯面,從政策面、環境面、技術面等進行通盤的統籌與討論,這一切雖都只是個新的開端,仍有許多地方值得深入研擬。然而當曙光再現後,讓我們期待這次資安產業可以乘勢而起!

註1:IS65期可見更詳盡的特別報導。