曙光再現後 資安產業乘勢而起

行政院產業科技策略會議(SRB, Strategy Review Board)年年舉辦，而在本年度第一次挑選了資安議題作為討論主軸。在行政院科顧組針對我國資安競爭力的SWOT分析當中，我們可以看見優勢與機會──由於海峽兩岸特殊的政治局勢，在全球資安市場裡台灣宛如一個資安練兵場，擁有豐富的資安防護經驗以及駭客行為模式資料，此外本土的資通訊產業發達，擁有質優的科技人才，創新性及對新科技接受度也高，具備整合的條件與能力。亦有需要改善的劣勢和威脅，國內資安防護法制尚未臻完備，且內需市場不大，資源、商品、國際化等專業都不足，國內資安業者面對國際大廠的競爭皆難以相抗衡。

政府也觀察到了，資安需求所能創造的商機與產值不容小覷。依照規劃，2012年起，政府資安經費將占資訊經費10%，若依現有的資訊經費估計約為新台幣 125億，而經過此次SRB會議的討論，預估未來政府將會每年額外投入至少新台幣5億元來改善資通訊環境的安全、提升網路應用安全；並且每年投入4.2億元來發展資安產業推動計畫、推動重點技術與應用，以及培育頂尖研究人才，以達成5年內促進台灣資安核心產值達300億元，衍生資安關聯產值達1,700億元的目標。

因此，如何善用台灣的優勢與機會，並改善劣勢、避開威脅，將是能否真正邁入台灣資安新里程碑的關鍵。

 資安元年 仍須努力

行政院政務委員張進福更表示，台灣的資通訊安全在經過近十年的耕耘之後已不是荒地，所以這次召開資安科技的產業策略會議，目的就在於希望可以做得更好，朝向「固若金湯、滴水不漏」的理想境界努力。此次與會共有五大部會，主要討論內容是有關資安的健檢保全、電子商務與電子病歷安全等應用面安全，重點皆在於取得民眾的信賴。此外，個人資料保護法之修法與濫發商業電子郵件管理條例之立法，值得大家共同努力推動。

張進福於會後接受採訪時也提到，這只是一個開始，希望未來還可以再邀請更多相關的單位一同進來參與，整合所有的資安資源來加以推動。

NCC、經濟部扶植產業  研考會、衛生署、教育部擴大內需
在針對扶植資安產業的部份，其中國家傳播通訊委員會(NCC)主要有兩大重點，一是強化電信事業的資安管理，將於各電信事業單位當中推導、落實ISMS，此外還要建立具CERT、SOC、ISAC等多功能之電信網路「資訊通報處理平台」，形成各ISP業者間的聯合防禦網路。二是資安產品檢測的具體策略，預計在第一年委外研究並且廣納各界意見，訂出適用設備類別、適用等級及適用技術標準等。第二年則徵求試辦計畫廠商，提供資通設備進行檢測，並一邊按照推動狀況來檢討修正等。第三年將會依照試辦作業程序來進行試辦，也協調部份政府機關及徵求資安設備業者參與。第四年預計會檢討其試辦工作計畫成效，修正作業程序及相關作業規範，據以實施第一階段資通範圍，並規劃下一階段。

經濟部工業局則提出為期4年的「Security Taiwan產業發展計畫」（暫定名稱），3大推動策略要點及建議措施如下：
（一）擴大及鞏固本土市場：善用我國產業優勢（如工業電腦、網通、IC設計等）以政策工具、獎勵補助措施，來鼓勵廠商發展嵌入式資安產品；在不違反GPA規定下，鼓勵公家機關優先採購本土資安解決方案，為外銷創造參考案例；透過資通會報讓產業了解政府未來五年需求Roadmap；運用政府資源、管道，協助業者將產品推向新興市場。

（二）政策帶動重點技術與應用：運用科專資源開發雲端服務之關鍵技術，如雲端應用層安全防禦及雲端服務平台安全管理，並有大型重點應用導入案例；吸引國外大廠來台設立資安技術研究測試/中心等；協調國際大廠開放資安應用相關介面。

（三）支援前瞻研究與人才：發展資安虛擬攻防平台，強化國內研發成果的可應用性及競爭優勢；鼓勵學校培育security coding人才；鼓勵學術發展資安驗證/測試基礎技術，提供驗測專業服務；成立TWISC產學研聯盟，加強產學研合作，強化TWISC學術社群的國際合作/價值創造/服務營運能量，提高其自主營運能力等。

而在擴大內需部份，行政院研究發展考核委員主要目標則是建立起政府機關版的ISMS，改善過去推動A、B級政府機關推動ISMS的問題；此外也建立起G-ISAC，一個資訊共享平台，在過去的資安事件通報應變基礎上，更進一步的達到資訊分享的目的，達到更進一步的資訊防禦；並且因應到目前政府單位遭受到網頁安全威脅的問題，預計要更加提升政府網站應用程式的檢測及修護能力；建立與推廣政府資安職能訓練與評量機制，讓各政府機關能夠逐步擁有資安自主的成熟能量。（註）

經濟部商業司為促進電子商務發展，健全整體交易環境，更是打算於未來4年內規劃投入新台幣9.23億元，並且邀集法務部、內政部等單位來一起推動個人隱私保護方案、建置個人資料管理制度、推動交易主體確認機制、交易安全知識宣導與認知強化、普及電子商務信賴安全機制、推動網路交易平台安全機制、推動電子商務信賴安全支援機制等7大行動方案。希望在這些環節的推動之下，可以達到4年B2C電子商務市場規模達新台幣3,700億元等多項產業效益。

而行政院衛生署則是主要針對「電子病歷安全」提起討論，預計在2010年至2012年期間投入新台幣60.4億元，加速推動醫療院所實施電子病歷，並建立及維護電子病歷安全，保護病人之隱私，以達成「在病人同意下，病人可透過健保IC卡在任一家醫院，由經授權之醫師完整取得病人過去之病史資料，提供病人連續性的照護。」之目標。

對教育體系，教育部於政策面提出努力推動教育機構的ISMS，並且針對大考網路服務主機訂定資安作業規範，發展網站應用程式弱點監測平台等。在環境面則打算建置ASOC與Botnet監控點，要整合現有資安資源、建立學術CERT和國際資安組織結盟，交流重要訊息。教育面則預計要推動全民資安素養（不過該計畫仍在研議中）、推動資通安全學程，並輔導專業證照取得，提供學習資安技能管道，培育資安專業人才等。

形塑資安文化  專家建議

而在SRB進行的第三天，來自各國的專家，也提出了相關的建議。美國商務部國家標準與科技研究所先進網路科技主管蘇慧陽說到，政府單位、商業界以及所有使用者都必須意識到，我們必須發展「資安文化」。而資安文化並不是只靠法律或規範來形成，「形塑資安文化」應與民主社會、多樣化文化、國際義務等一致，特別是在一個資訊開放和自由的環境下，都必須考慮到個人隱私的重要性。

網際網路政府論壇主席顧問Patrik Faltstrom也提出他的看法，他認為應該要發展跨政府與產業的聯合防禦平台，統整資安事件偵測、資訊共享、防禦與反應。該平台成員應涵蓋政府部門、學術界、公私單位等的參與，並應有單一代表負責建立此平台。此平台應納入CERT/CC、全國的弱點資料庫並與研究組織進行合作。並且要有來自外部的稽核定期審視、確保這些機制。對政府而言也需要更好的水平協調，在立法程序或設定公部門內需時都應將資安工作考慮進去。而在資通安全的教育當中，應增加更多資安意識、技能等知識。

此外，在他看來台灣並不是一個很大的國家，因此相當適合試驗新的環境、創新的政策，而TANet恰好是一個絕佳的機會，能夠去試煉所有顯著的在教育體系內的資安問題。而國內政府單位等遵循ISO 27001是很好的，因為驗證是一項很有效的工具，不過亦可透過不同的機制來增加安全的投入，例如法規的制定、在採購程序上的規範或像是在網站上的標章（例如規格、標準、協議等）。

他也提醒，駭客、病毒或類似的漏洞攻擊等並不是唯一需要去關注的安全問題，同時還有注意的還有像是：作業上的錯誤和未經規劃的疏忽、基礎建設上的漏洞、意外災難備援管理等，他認為要維護資訊系統的安全，通過ISMS驗證只是第一步，應該要定期的去檢視系統的可靠度。還有，應該建置一個國家緊急應變措施去處理天然災害的狀況，即使不是資通訊科技(ICT)基礎建設，也應該使用ICT來達到迅速回覆。

中研院資通安全專題中心執行長李德財也提到，應加強學界與產業的合作，並應該促成國際大廠與國內廠商的合作機會。

資安國產廠商實行建議

此外，本次會議也提供了國內各廠商替資安產業發聲的機會。中華數位科技總經理劉孟達說，在NCC行動方案推動政府機關（構）採購經驗證之資通設備中，提到將會在99年會完成制訂國內產業標準、採購指引及獎勵措施且再推動試辦三年，提到國際流通的共同準則(CC, Common Criteria)，實施方法中規劃了相關的配套措施，包括提供Pre-Test讓業界逐步適應、技術輔導讓業界加速產品改良和經費補助給「有技術能力」、「積極改良」的廠商，他希望這些措施可以如計畫來實施，否則許多國外廠商的產品是走在前頭的，國內廠商將會非常吃力。

另外他也提出幾點建議，包括：

1. 落實執法，與立法並進：
現有法規的落實執行，如個資法對現有八大行業有關個資洩漏的案例，依法追究責任。由於國人普遍對法令的執行的觀感打了很大的折扣，所以對「個人資料保護法」與「濫發商業電子郵件管理條例」是否能如期通過立法也不敢期望太高，主要是因為對政府立法及行政效率存疑。

2. 研考會與政府預算：
政府要增加資安預算比例這是立意良好，但是每年增加1%還是不夠多，因為政府的資訊預算的編列一直偏低，必須要先增加資訊預算，再逐年增加資安預算1%才有具體效益。

3. 針對教育部的建議：建議可以提供TANet的網路平台，供國產廠商有一個大型的實體網路的產品測試環境，如此對廠商的成長會有幫助，教育單位在產品採購訂定規格時，不要偏向國外品牌，應給國產品牌廠商有一個更公平的競爭環境及成長的機會。

此外，政策推行分散在各部門，政府單位是否有一個統合的單位，來面對產業廠商，讓廠商知道政府如何下放資源？要如何作投入才容易有具體成效？

桓基科技總經理江衍源則針對可能在SRB會議後列入政策發展項目的資訊安全研究所提出，宜應針對此組織的使命任務、工作項目、經費來源、營利與否（研發產品及服務）等，廣徵各方意見，作明確的規範及律定。該研究所應該以作為盱衡國內外資安情勢，厚植國家資安總體戰力的研究者為自居，強化市場資訊的收集跟判斷，廠商才能據此做策略開展。

他也提到，若政府願意厚植資安產業，可以考慮將錢撥給這些願意投入資安產業的研究生，三、四年後，新一代實力堅強的研發人才必然就會在民間企業出現。而政府能夠花資源做的就是深度研究國際市場，並建立市場灘頭堡，國內有如IBM、HP、Intel及微軟等的台灣市場行銷人才均可聘請。並且，亦協助廠商建立競爭門檻，例如可代為申請重要地區專利，獲利後國家自然可抽成。

數聯資安總經理張肇榮也說，在產業界（中華民國軟體協會）有一項非常重要之建議，為「儘速推動個人資料保護法」通過立法。他認為這可因此促進企業單位重視個人隱私保障，也為各種資訊安全之基礎，此外亦可大幅提升資安產業市場。

當然，也有悲觀的廠商認為，計畫都只是計畫，預算是否真能夠撥下來還是個問題。

政府推動資安這些年來，終於看見相關部會主管機關對於推動資安的具體計畫。例如經濟部商業司對於電子商務交易安全的計畫。這是因為在一片經濟不景氣當中，唯線上購物、線上遊戲的交易異軍突起，擁有不錯的好成績，然而網路詐騙、個資外洩等資安事件卻層出不窮，讓人失去信心，若電子商務的發展想要更進一步，勢必得將資安問題徹底解決，恢復消費者的信心。此外，經濟部工業局在這次的SRB會議當中也提出諸多實施計畫，雖然還有許多可以商榷、修正的部分，但對國內資安產業來說，其進步是顯而易見並且值得鼓勵的。

SRB會議將國內資安產業、內需問題一次放上檯面，從政策面、環境面、技術面等進行通盤的統籌與討論，這一切雖都只是個新的開端，仍有許多地方值得深入研擬。然而當曙光再現後，讓我們期待這次資安產業可以乘勢而起！

註1：IS65期可見更詳盡的特別報導。