在成大校務和資安學會兩頭忙的賴溪松教授,為籌備年底的國際密碼學大會,頻頻與國外大師們連繫,言談中透露出,他對這次資安學界年度盛會的期許與期待。賴溪松認為,資安有兩大面向,一為網路安全,一為系統安全。資安產品不能單獨存在,其價值著重在附加服務上,他預測未來市場會出現愈來愈多的整合性產品,單一功能的產品勢必要與其他不同功能產品結合,業者也會朝策略聯盟方式,進行產品整合。
賴溪松進一步指出,明星產品會從以往的防毒及防火牆,轉向入侵偵測、VPN、異地備援等,恢復性與附加價值愈高的產品會愈受歡迎,也將是今年市場的主流。另外,網路犯罪防不勝防及網路應用安全的意識高張,未來「網路保全業」可能會因運而生。
資安觀念養成不是一蹴可幾,賴溪松強調,應由上而下推動資安防護,管理階層要先有資安的危機意識,戒除以往花錢了事的心態,定期接受風險評估結果及深入了解各種安全專案進行現況,提醒所屬多汲取資安新知,以防範突如其來的資安事件。
賴溪松以點套餐來比喻採購資安產品,他說,不是每家企業都要吃相同的套餐,可以按照企業不同需求來配菜單。況且,資安必須靠長期及持久的努力才能有成果。
問:風險評估內容及重要性?企業如何做風險評估?
資安是一種防患未然的風險管理過程,風險評估就是風險管理分析,做好完善的風險評估與管理,才能將資安成本降至最低。風險評估內容包括有,找尋機關內部存在資產、決定資產存在的價值、決定資產本身所潛在不可變的弱點、判斷資產來自外部所可能受到之威脅、利用各種風險分析方式判定資產風險的嚴重程度、最後提出適當的風險改善建議。資訊資產指的是,資料庫、資料檔、使用手冊、操作手冊等;資料文件包括,合約文件、指導文件、公司資料文件等;軟體資產則有應用軟體、自行設計軟體、系統軟體等。
企業在擬訂資安政策前,必須先做風險評估,也可以說是建立資安防線的第一步;利用風險評估方式確定機關內的資產,評估這些資產的價值與可能潛在的弱點與威脅。
問:企業如何推動資安教育?
管理階層在教育訓練過程中,應適當了解各部門在資安中所扮演的角色,以便確切制定防範政策。因各部門的風險價值不同而有不同的優先順序,因此公司內部可能會有許多資安政策的制定,會同時進行。資安沒有員工的配合是做不到的,重要的機密資訊也無法獲得保障,所以員工要有資訊安全的意識和認知應列為首要。
其次,內部系統維護者,直接面對的就是資安防護系統與企業經營的重要伺服器,因此除了資安基本硬體維護技術外,更要對最新駭客技術、安全威脅、安全修補等資訊,並加以定期教育訓練。
而企業內部對於系統開發的員工也應格外重視,包括程式撰寫以避免非預期輸入的錯誤發生、程式開發的過程考慮各階層操作人員的權限分配等,在完成龐大的開發專題中,事先考量各種安全問題的發生,可減少事後系統修補的成本。
問:對資安標準訂定及資安檢核看法?
對於資訊安全標準的訂定建議應該以分級訂定方式進行,而非採用統一標準的方式。例如,根據行政院公佈之「資通安全外部稽核(自我評審)表」共分為十大項、233要點,但是此「資安自評表」以政府行政機關為主,為維持政府單位行政機密與營運,其內容多且繁雜。對於TANet(學術網路)此類主要提供網路相關服務的學術單位,若直接套用此自評表勢必太過複雜而窒礙難行,無法達到預期目標,因此根據自評表可再刪除學術單位非必要之措施、人員考核相關部分、網路嚴格限制部分、一般電腦操作部分、永續經營相關部分等,更能適合學術界的運作。
問:國內資安防護面臨的挑戰?有何因應之道?
商廠心態要改變,安全觀念比較抽象,廠商推廣產品的同時更要教育使用者資安的重要性。換言之,廠商常以產品導向忽視安全導向,對資安防護及教育的內涵,缺乏整體觀念的傳遞,只偏重單一產品介紹,誤導民眾資安觀念。可以參考國外大公司設置安全專責部門,從基礎安全教育做起,有系統的把資安資訊傳遞給員工,並且負責所有企業安全資源整合。有時改善資安不一定要買一堆產品和設備,也可能改一個制定或流程就解決了。
國內網路的興起太快,也發展太迅速,網路犯罪案例層出不窮。防範網路犯罪,未來可能會有很多產業因運而生,就像今天企業聘請保全人員維護公司安全一樣;網路保全業,不久將來可能就會出現。
問: 資訊安全學會(CCISA)在區域聯防中所扮演的角色及其功能?
行政院資通會報下的技服中心,性質類似氣象局,發佈資安預警性訊息。資訊安全學會受其委託,成立的資通區域聯防中心,主要任務在協助政府建置相關資料庫,其中最主要的兩個資料庫分別是文件資料庫及技術資料庫。除了建置重要資料庫外,區域聯防中心也協助政府機關、學校處理資安問題,協助技服中心對基層機關學校做定期資安健檢。
區域聯防中心今年再添生力軍,將增設中區聯防中心,由逢甲大學負責苗栗以南至台中的區域聯防,加上已設置的北區、南區、高屏區、花東區共有五處聯防中心。聯防中心將落實對政府基層機關的教育訓練,預定在北、中、南陸續舉辦三場大型教育訓練,教育政府基層機關人員資安新知,並將教導學員面對資安問題的因應措施。