資安需求經驗分享

2018 / 10 / 18

編輯部

政府要創造需求，身為資安用戶的地方政府，尤其像全國首善之區台北市，有哪些資安需求？要如何才能把預算花在刀口上？台北市資訊局局長李維斌一開始便強調，政府對資安的需求不是只有買產品而已。這樣的預算使用方式容易變像同消費券的一次性購買，無法促進國內資安產業升級，只是讓業者淪為設備操作員。

出難題給廠商有助資安產業升級
台北市資訊局局長李維斌認為除了採購產品外，還要出難題給業者，促使業者在技術上更為精進。這也符合資安人雜誌總召集人侍家驊提到的，資安不是只有購買設備，更重要的是服務，「就像家庭醫師一樣，最瞭解我們的健康狀況，能提供患者最好的建議」。如同家庭醫師一樣，企業要有長期配合的資安服務廠商，一旦發生問題時，才能依據企業環境提供最適當的建議，讓資安經費能做最有效的運用，引導市場往對的方向走，不是一味的用殺價搶標。因為殺價的背後通常意謂服務的打折，結果就是廠商賺不到錢，用戶也得不到足夠的防護，最後成為雙輸的窘境，更讓國內資安產業停滯不前。

資安的產品服務眾多，要如何選擇，到底刀口在哪？李維斌認為可先由盤點現況開始，從三個面向來檢視。首先是未來趨勢為何？也就是應該要做什麼？再來是看目前正缺少的，最後針對法規要求有什麼要做的。以台北市為例，像SSDLC(安全系統發展生命週期)就是目前尚未做到的部份。以往對軟體系統的開發都只著重在功能的驗證上，較少考量到系統安全的部分，直到上線後才透過防火牆、網路應用程式防火牆(WAF) 來進行過濾，但對有些直接來自應用程式的攻擊就無法阻擋，所以SSDLC是未來北市需努力的資安工作項目之一。

當資安建置防護日趨完備後，會有人懷疑這些防護措施是否有效？最簡單的方式就是從駭客角度來看是否安全，所以李維斌提到資安工作要做到「知己知彼」和「知彼知己」兩個方向。因此未來也會更著重在Red Team(紅隊演練)這類主動的攻防演練方式，而這樣的防禦態勢也意謂著資安的採購不會像以往僅是單純的產品購買，他強調對國內資安產業發展「希望是建立整個生態系，不是只有標案」。更多技術含量高的資安服務，才有助於資安廠商技術服務上的提升，把台灣資安能量拉大。

經驗分享資安意識