建立國家防護體系，帶動資訊安全產業發展

文/郭慧姿


政府與企業應如何維護資訊安全？政府又如何建立國家資訊安全防護體系？相信是資訊安全業界與使用者關心的，因為政府的相關政策與法令，直接關係著產業未來的發展。目前行政院下設有國家資通安全會報，以建立國內通訊與資訊的安全計劃，而學者專家、業者與使用者對於國內資訊安全的發展有何看法？請看以下的報導。
異地備援值得重視
有人的地方就會有資訊安全的漏洞，台灣科技大學教授盧希鵬表示，駭客、騙子與天災是威脅資訊安全的三個要素，由於網際網路四通八達的特性，資訊完全暴露在全球所有駭客的眼底；以國內目前來看，駭客通常具備較高的電腦層次，且多未存做壞事之心，再加上目前電子商務商機未如預期，因此現階段國內駭客破壞力力並不強，盧希鵬指出，值得政府與企業重視的是，未來若電子商務商機夠大，駭客組織會做出什麼？另外，騙子利用人為疏忽破壞資訊安全，以所謂社交工程（Social
Engineering），利用電話等方式騙取企業內部人員的密碼，也不容輕忽。



 



盧希鵬說，9月份發生的納莉颱風淹水災情，造成部份公司因未進行資料的異地備援而無法繼續經營。財金資訊公司總經理林真真也表示，財政部要求銀行要進行異地備援，但並未嚴格規定異地備援的安全等級，納莉颱風來襲之時就出現數家銀行因異地備援安全等級不夠高而遭受損失。由於異地備援費用所費不貲，她建議，企業可共用主機與不斷電系統加以因應。


資訊安全工作責無旁貸
了解駭客、騙子與天災對資訊安全的威脅後，同時應檢視實體電腦機房的恆溫恆溼以及門禁的安全，盧希鵬表示，根據國外文獻指出，駭客真正能危害企業內部資料的比例僅佔5﹪，60-70﹪是企業內賊與騙子利用人為疏忽達成的，其餘則是實體安全部分。這樣看來，其實資訊安全有絕高比例是掌握在企業自己手中的，趨勢科技總經理丘立全就表示，根據訪問企業CIO與MIS Manager的結果顯示，防毒工作的成功20﹪靠產品，80﹪則有賴於企業內部的管理。


政府的做法
為建立國內通訊與資訊的安全計劃，行政院下設有國家資通安全會報（以下簡稱資通安全會報），由行政院正副院長擔任正副召集人，政務委員蔡清彥則擔任執行長。目前政府對於資訊安全有哪些做法呢？國家資通安全會報技術服務中心副主任高天助表示，資通安全會報分為七個組織：







1.綜合業務組：由行政院資訊通信發展推動小組（NICI）擔任幕僚作業，進行相關政策規劃。

2.技術服務中心：即國家資通安全會報技術服務中心，主要提供技術相關服務。

3.標準規範工作組：由經濟部主要負責，執行單位為標準檢驗局，以制定相關標準。

4.稽核服務工作組：由行政院主計處負責，目前已計畫針對重要單位展開稽核工作。

5.網路犯罪工作組：由法務部主要負責，主要工作為網路犯罪相關法令制定。

6.資訊搜尋工作組：由國科會主要負責，建立根據國外資訊提出相關預警的機制。

7.危機通報工作組：由主計處負責，不論是企業或政府單位，當資訊安全遭遇威脅時可透過網站進行通報並尋求協助。







高天助進一步指出，依影響程度的高低，資通安全可依序分為A、B、C、D四個等級，當緊急情況發生時，危機通報工作組就要依需要進駐資通會報下編設的國家資通安全應變中心。國家資通安全應變中心下設：危機通報分組（主計處擔任召集單位）、事業機構分組（主計處擔任召集單位）、學術機構分組（教育部擔任召集單位）、國防體系分組（國防部擔任召集單位）與民營機構分組等六個分組（交通部擔任召集單位）。







在資通安全會報的七個分組中，除了綜合業務組、技術服務中心專職外，其餘皆是相關單位兼辦，主要工作由技術服務中心協助綜合業務組推動，內容包含協助政府進行資通安全基礎建設，協助相關單位進行風險評估，制定資安政策，目前技術中心正在擬定資安手冊與指引，期協助政府在資通安全的管理。另外也協助產業發展，了解推動資通安全需要哪些技術，而哪些可從國外引進，哪些又是可自行研發的。此外，亦將結合各方面的力量，推動PKI的應用。





業者的建議
技術服務中心的重要工作在於創造資通安全的需求，並協助制定規範，讓業者可以參與市場，那麼相業者的需求與看法又是如何？丘立全表示，寫病毒的駭客雖然引起很大的災害，卻未受到法律的制裁，可見法律跟不上科技進步的腳步，因此他建議相關法律應進行修正。聯傳科技總經理劉一強則建議，政府應加強宣導資訊安全的重要性，並以電子化政府的資訊安全為示範，不僅對一般企業具指標作用，且對於業者擴大內需市場也有助益。此外劉一強表示，部分研究機構與民間工作重疊，希望未來工作能加以釐清，而由於國內軟體產業較小，在申請國外認證時，也需要政府協助。


使用者看法
金融業是資訊安全產品的重要用戶，林真真表示，目前各國業者所推出的資訊安全產品標準都不一樣，在產品的市場接受度未明確以前，銀行機構對於該選擇何種產品往往無所適從，最典型的例子即是金融界普遍認同SET機制的安全性，但是一般使用者多認為SET使用太麻煩，而改用SSL，這樣SET就不算一個合適的產品。她強調，金流在電子商務佔有舉足輕重的地位，而e-payment在金流中又扮演重要角色，因此e-payment的安全格外受到注目；從企業端到銀行，再從銀行到企業端，金流若因使用方便而犧牲安全，日後將難以補救與復原，必須審慎思考相關機制是否足夠安全。







另外，林真真表示，FEDI（金融EDI；金融電子資料交換）、信用卡等方面的安全也受到重視，其中由於偽卡氾濫，目前信用卡有晶片化趨勢，但是並非晶片化就解決所有問題，重點在於晶片所採用的技術要達到何種標準與安全等級，而值得注意的是，目前國內並無機構對資訊安全產品進行認證的機構，使用者很難用得心安，針對此部份，高天助表示，目前工研院正在規劃國內資安產品檢驗機制，未來將結合產、官、學、研力量建立相關技術。