教育部電子計算機中心的任務是,全權負責台灣學術體系的資訊安全政策擬定、技術規範研議、建置和評估等工作,透過TANet,提供研究、學習和教學的人才培育平台。TANet和一般商業營運網站不同的是,TANet更涵養了豐富的實驗精神和公益性質,而其資安的考量和建置則反射到教育界的資安問題,諸如人才培育不足的窘境、作業流程不足,或有流程也沒落實、安全意識低落、智慧財產保護的不重視以及普遍性的經費短缺等問題。
資安防護策略
TANet的網路架構分為國家骨幹網路、地區性網路和校園網路三個部份,其中大考中心和新策中心雖屬獨立法人機構,但由於與性質與教育有關,所以其骨幹網路也屬TANet。教育部電子計算機中心主任郭耀煌表示,目前電算中心的資安策略是從教育部開始,到區網中心、縣網中心,再逐步落實到各大學的計算中心,及中小學,今年年初已逐步在進行,明年將更大規模的佈建。
學術單位最重要的資產是很多具機密性的研究資料、智慧財產。郭耀煌表示,現在大學裡的電算中心設備其實也頗充足,但是對智慧財產權的觀念和對學術資產的保護觀念卻還有很多改善空間;很多教授和產業界合作時,其專業知識都是暴露在一個較不成熟或未被驗證過的安全環境下,而這些學校裡的知識和研究有可能是關乎國家未來經濟命脈的研究成果,機密性與價值性非常高,卻因為人員對安全認知的不足而造成無可彌補的資產損失。
因此,資安防護策略除了設備建置的計畫外,更著重在人員的教育培訓、作業流程規範和認證規劃等機制。
學校單位資安規劃案
由於國中小或高中、大學的學校規模及屬性不同,網路提供服務的對象和模式也相異,有些是研究用途,有些可能是行政作業或教學目的等,從自由度、安全性和成本上來考量都不適於用同一個模式套用到不同的學校單位;因此,學校單位目前透過兩個規劃案進行中:一是NII(中華民國國家資訊基本建設產業發展協進會)執行長吳國維負責國中小學部份,二是成功大學電機系特聘教授賴溪松(現為崑山科技大學資訊科技學院院長)負責高中大學部份。內容以教育訓練(包括人才培育與國際學術交流)、認證機制和稽核等整體規畫為主,明年將具體實施。規劃案的目的是提供學校單位建置時的一個依循標準,同時檢驗目前學校在做的資訊安全項目是否有達到一定層級。
由於現在的中小學的資訊教育非常貧乏,所以中小學的規畫偏重於教材編寫。郭耀煌表示,「網路倫理課程設計在電腦課程裡並不適宜,因為台灣的升學考試並不考電腦,最理想是設計在公民與道理的課程裡,就不會被忽略掉…」。因此,除了強調網路使用的資料保護、智慧財產權等安全基礎教育外,未來在9年一貫教育中將配合資訊融入教學,以教育學生電腦資訊所需的素養、技能和認知。目前學生的能力指標已定,課程綱要和教材編輯都在進行中。而高中則是選修課程,學生可依感興趣的科目選修,偏向資訊工程和資訊科學的專精培育。
負責規畫案的NII執行長吳國維表示,建置學校的管理規範和企業很不一樣,企業是每個個體,需逐一討論,而學校單位雖然資源有限,最大的困難就是經費和人力有限的問題,例如,使用正版軟體的經費問題,或是連MIS都沒有的人力問題。但是學校單位透過教育部來建置,最大的好處是「一條鞭」做法,教育部規範下來,學校就會去執行,只要教育部電算中心了解到資訊安全的重要性,透過集體採購、統籌應用的方式處理,就可以用最少的錢,建置到4,000多所學校。
縣市網路中心強化資安建置
TANet在縣市網路中心的資通安全設備的建置,今年選擇了台北縣、高雄縣、台南市和嘉義市4個縣市為優先補助對象,電算中心數位平台組組長莊育秀表示,主要是因為這4個縣市的運作狀況比較上軌道、對安全的認知也更加充份,再加上其本身已有投資部份相關經費,基於這些考量,所以先透過這4個縣市的建置模式,逐年擴展至其他21個縣市。幾個縣市集合起來做一件事,再將此介面分享到其他縣市,避免所有縣市重複投資,造成人力物力的資源浪費,這種模式對投注下去的資源會有更好的效益。郭耀煌表示,此部份明年已編列預算,將可持續建置的擴展工作,讓資通安全的基礎建置更趨完善。
教育、認證、稽核
郭耀煌表示,各單位設置防護設備是基本的設施,但不是安全的全部;教育網要做的是從設備、運作和人員全面性的強化和推動資安,否則光是有設備而人員的認知不足也只是浪費設備資源。因此,在計畫中特別針對電算中心及網路中心人員,加強資訊安全認知和素養的教育培訓課程;另外,規劃一個適合學術體系的人員認證制度和稽核制度,並透過學術界及政府部門等專家學者組成稽核小組,每年常態性執行。
資安事件,前車之鑑。日前發生了一個國小老師違法竄改女友考試成績,後遭大考中心解聘的案件。今年電算中心也邀請了學者專家組成調查小組,著重在安全調查相關業務,例如,大學聯考的選填志願作業,在分發前檢視其作業程序、系統架構是否還有改善空間等工作,提醒和要求單位改善。
Safety計畫
不當資訊防治機制
由於網路詐欺、援交等問題氾濫,使得學校環境及學生的身心靈安全也倍受威脅,這方面教育部主要從教育訓練和不當資訊防治機制著手。一方面安排學校心理輔導老師的教育訓練,加強老師對網路安全的認知,再往下對學生做教育。另一方面,則從學生著手,透過TANet的不當資訊防治機制來過濾不適合中小學生瀏覽的網站。做法是先與ISP業者座談產生網站過濾機制,再加上行政院網站分級基金會所定義的分級制過濾。
但學生回到家裡又是另一個漏洞,此部份郭耀煌表示,目前有自由軟體的計畫,也是配合行政院網站分級基金會的分級制度,可提供家長在家裡免費下載,讓中小學生回到家裡後可以使用網路時仍可以得到一定程度的保護。
除了對外來不良網站的嚴加過濾外,TANet也反求諸己到自我環境的自律做自我網路的管控。假使發現資訊有不當用途、違反犯罪暴力色情等條例時,通報小組會採取立即管制措施,進行封鎖、通報、審議、檢測等並與以輔導。
網路言論適法問題
網路言論發表(BBS)是TANet另一個令人關注的問題,例如,學生在網路上發表的言論,可能會面臨的法律問題。這方面郭耀煌表示,日前找了國內一些BBS版主和法律專家座談研擬方針,目前規劃請法律專家提供並研究一些關於網路言論案例提供學生參考。明年將舉辦BBS版主的聯誼會,以了解大家的想法和做法,同時聘請專家辦理演講活動,目的是教育版主作為一個網路言論網站的管理者,應該注意到的問題。
高層支持
郭耀煌表示,教育體系的資安建置可以順利推展,有個關鍵因素是來自高層的支持。由於部長是研究學者,相形下對專業的重視度,以及對資料安全、智財權的敏感度都比較高。再者,由於政府對安全政策的推動和重視,資通安全會報將學術單位的區域網、縣市網及各學校單位也都做了等級區隔,必須達到要求的安全等級。因此,部長也了解到這是必須落實的,因此,當電算中心向部長報告關於TANet現況和未來走向時,並不需要花太多心力去分析。
結論
郭耀煌表示,教育界的現實面問題始終會回歸到預算問題,在經費有限的狀況下很難強制各單位執行額外的安全工作。但是學術界對自由度高度要求的特殊文化下,更難的問題是老師、學生及行政人員等認知的不足。這是源於我們的學制,從國小國高中到大學教育都還沒有很明確的資通安全教育,因為沒有教育很自然地認知就會不足,即使訂定了的規範,也很難推動和落實,這是需要長期去耕耘的。
網路的迅速發展和多面向的應用及帶來複雜問題,讓網路世界已不叫做所謂的虛擬世界了,而是社會的另一種真實模式的呈現。我們期待在學術界這一範疇,透過教育部的資安策略和積極的規畫和佈建,改善不足的部份,讓台灣的整體資安防護工作再提升。