資訊安全在當今社會日益受到重視,成為眾多產業和政府機構關注的焦點之一。然而,資安的發展過程中也面臨著各種挑戰,而這些挑戰往往不只是技術,更牽涉到人、政策和社會等多個層面。臺灣科技大學資訊管理系特聘教授吳宗成對於資安領域的發展和挑戰有著深刻的見解,他指出,資安產業的發展需要適當的熱度,但又不能過熱,以免阻礙未來的發展。
吳宗成強調,資安人才培育的重要性。他認為,成為優秀的資安人才,需具備跨領域專業能力,而且,資安教育應從基礎知識到進階能力全面覆蓋。
此外,他還提到應該要提升全民資安意識,因為目前許多資安政策制定者,和年輕世代的數位原住民之間有著極大的數位落差,更呼籲,應該將資安教育納入學校課程和社會培訓,從根本上提升全民的資安意識。
推動全民資安教育,因為資安問題就是所有人的問題
資安問題已經成為全球性問題,而政府在制定相應政策時往往會面臨著諸多挑戰。在政策制定方面,吳宗成舉例指出,為了做到民眾有感,政府往往更關注鋪橋造路等基礎建設,至於如何解決資安問題,往往因為沒選票而忽視。
此外,政府在面對資安問題時,往往會與產業、社會之間存在認知落差,這對於資安政策的制定和執行而言,都會帶來一定的困難。
隨著科技的發展,像是線上付款、行動支付等新型支付方式,正逐漸成為趨勢。然而,吳宗成更看重這些新技術所帶來的資安風險,他也說,對於將最新科技應用內化的數位原住民而言,這些風險無法避免。他強調,政策制定者和數位原住民的數位落差,可能會導致嚴重資安問題的數位應用或服務,因此,需要更多努力來推動全民資安教育。
資安教育需要從早期開始,吳宗成表示,可以從寫程式的方式去了解系統、教導如何辨識資安威脅,以及如何避免資安風險。然而,他認為,現在的資安問題早已不僅是技術問題,更是涉及整個社會的安全問題,使資安意識融入生活的方方面面變得尤為重要。
吳宗成指出,政府在推動資安方面仍然面臨著許多挑戰,與其他領域不同,資安問題涉及的,不僅是技術層面,還包括社會、政治、經濟等多個方面。因此,他說,政府需要更加注重全方位的資安管理,包括加強法規制定、推動資安教育、提升監管力度等。
面對資安問題的嚴峻挑戰,吳宗成主張推動全民資安意識的建立。他強調,資安不只是高階專家的事情,而是每個人都應該關注的重要問題。因此,政府應該積極推動資安教育和培訓,提高全民對資安問題的認識和理解。
.jpg)
人才培育三階段,從人手、人才到人物
在資安領域,人才培育一直很重要。吳宗成從三十多年對資安研究和資安人才培育經驗,將人才發展分三階段,資安人手、資安人才,以及資安人物。
他認為,資安人才培育應從基礎的「人手」培養開始,逐步提升到「人才」和「人物」層次。然而在這過程中,資安領域確實存在人手、人才、人物之間的斷層,這也成為值得關注的問題。
吳宗成對人手、人才、人物的區分,提出了明確定義。他說,「人手」是指具有一定知識水準,可以理解特定事物的人;「人才」則是有能力應用特定事物的人;而「人物」則是具有聲望,被他人認為是某種領域的專家。在資安領域中,這三個層次之間存在著明顯的差距,尤其是在人才和人物方面的培養上,更多都是當事人自學努力、不斷專精研究的成果才有的榮耀。
吳宗成進一步解釋,基本的「人手」通常可以根據他人的指示行動,缺乏主動性和獨立思考能力,他期待學生畢業後,至少能扮演好人手的角色。
進階的「人才」具有一定的主動性和獨立思考能力,能夠在一定程度上主導自己的行動;最高階的「人物」具有影響力和領導能力,能夠引領他人一起思考和行動。
他坦言,目前資安領域大多數的培育工作,其實多集中在人手的培養,而人才和人物的培育相對較為缺乏。儘管有許多人加入了資安領域,但真正具備能力且具有影響力的資安專家仍然稀少。這種培育斷層,使得資安領域在人才的供應,面臨嚴峻的挑戰。
韓國最著名的Best of the Best(BoB)資安菁英人才培育計畫,每年培訓一、二百名全國頂尖的資安人才,並將他們推薦到各個產業和不同領域工作。
吳宗成表示,臺灣已經參考BoB推出AIS3的資安菁英人才培育計畫,但資安需要培養各種不同層次的人才,不只是菁英級別的專家。
因此,產業對資安人才的需求,也應該將納入培訓計畫,以培養更多的資安人才和人物。他認為,這類計畫式的資安人才培養,除了能夠解決資安人才短缺的問題,還能夠促進更多優秀人才在培訓過程中嶄露頭角。因此,將產業需求納入資安培訓計畫的做法,有助於培養更多具備跨領域專業能力的人才,進而推動整個資安領域的發展。
對於資安人才的培育,吳宗成認為,除了學校教育,還可以透過在校、在職和社群等多種途徑,培育不同層次的資安人才,但是,這些都是需要長期的投入和努力,才能夠取得實質成效。
扎實的學養是跨域人才基本功
在資安領域,具備產業專業的資安人才的培養一直是重要課題。吳宗成認為,成為優秀資安人才需具備跨領域的專業能力,扎實的學養基礎很重要。
他指出,資安領域的基礎能力包括電資、資管和數學等基礎科學能力,也必須懂線性代數、離散數學、統計學等計量數學,其他像是基本的程式語言、程式設計、資料結構、演算法、作業系統、計算機結構、網路系統、資料庫系統等,都是基本知識能力。
他也提到資安圈的進階能力,包括密碼學、破密分析、大數據分析、人工智慧、機器學習等理論創新能力;系統安全(軟硬體)、網路安全、資料庫安全、雲端計算、行動運用、數位鑑識等工程研發能力;甚至包括關鍵基礎設施、電子商務、金融支付、電子治理、隱私保護、智財保護等應用及管理能力。
因相關能力與人才培養不易,他感嘆臺灣面臨嚴重資安人才斷層與短缺。
資訊安全不僅是技術性問題,更是關乎國家安全的嚴肅議題。因為資安的重要性在於,不僅涉及企業的正常運作,還直接影響個人的生活。這種跨越企業和個人層面的影響,使得資安的重要性不言而喻。
培養跨域資安人才挑戰大
吳宗成坦言,在資安人才培育方面,我們面臨著一系列挑戰。首先,跨領域的專業能力要求高,他說,從資安管理、資安技術到資安法律,跨域人才培育需要學生具備廣泛的知識和技能,這也對教育機構提出了更高的要求。
其次,教育機構和企業需要投入大量的時間和精力進行培訓和引導,只不過,這樣的培訓工作是長期的耕耘過程,往往難以量化成具體的成效,並且缺乏即時的績效評估標準,使得資安人才培育更加困難。
第三,政治因素的影響也不可忽視。例如,馬英九政府時期的服貿協議都對資安人才培育帶來一定的影響。而且,政府對於培育資安人才的政策,同樣對資安人才培育產生影響,因此,政策制定者需更加重視資安人才的培育。
例如,臺灣資安人才培育計畫已經推行多年,並且得到政府相關部門的大力支持,像是針對資安菁英人才提出的「AIS3新型態資安暑期課程」即為一例,不僅獲得教育部及其他部門提供相應的資源支持,連帶許多往下延伸到高中生的培訓課程,都讓資安人才培訓可以繼續往下扎根。
第四,現行的資安課程主要局限在研究所層次,而吳宗成說,這對於大學生來說,資安相關的課程選擇相對較少。因此,我們需要加強對大學生的資安教育,提供更多選修課程和實踐機會。
他認為,為了讓大學生畢業後都能具備資工、資管和資安的基本能力,不一定要獨立開設資安系,但針對現在的資工或是資管科系的學生,至少都要設立資安組,而且,不分組別的學生也都要修習資安的基本課程。
至於修課過程,應以三(基本)、三(核心)、四(興趣)的比例做課程選修的分配,他說,至少都要讓畢業的學生都懂得軟工、網路、資料庫、系統分析、資料結構、演算法和資安等基本能力,「這些課程都是讓學生大學畢業後,想到系統整合商(SI)工作要具備的基本能力。」他說。
第五,在人才培育方面,老師扮演重要的角色,吳宗成說,現在的他更希望能夠扮演學生的「人生導師」,不只有專業領域的知識技能,而是攸關未來人生的發展方向應該怎麼走會更好。
因此,他現在收的學生也比以往少,要提供學生足夠的資源,也必須有更多時間了解學生、有更多溝通機會,他才能夠扮演好人生導師的角色。
此外,吳宗成也觀察到,因為教育部對於教師升等有一定的規範路徑,年輕的學者除了花時間在準備教學,也需要花費很多時間在教師升等。
他認為,這些教師升等壓力,也使得很多年輕的老師無法發揮創造力,也無法將心力放在某些特定、值得鑽研和深入研究的領域,導致年輕老師比較難成為領域的專家,更難引領學術風潮。
吳宗成表示,因為資安人才培育是複雜而艱巨的任務,需要政府、教育機構和企業等共同努力、持續改革,才有辦法培養更多人才、保障國家資安。
期許能成為一個博派資安人
吳宗成在資安領域深耕超過三十年,他從1976年念碩士班開始接觸資安領域,對領域的學習迄今仍堅持不懈。回憶當初學密碼學的時候,發現自己對數學理解不夠深入,但數學對於密碼學又非常,便痛下苦功,務求徹底讀懂。
其次,資訊領域的必修課程也是必不可少的,例如資料結構、演算法等,這些都是必須掌握的基本知識,甚至會去讀相關論文,不會因為只想知道答案而走捷徑。像是密碼學中的微積分是非常重要的學科,對於明文、密文的解密,如果懂得向量、懂得代數,就會覺得解密相對簡單。
在資安領域中,基本功非常重要,就像武術一樣,基本功不扎實,就無法應對複雜情況。因此,我們必須將基本功練得非常扎實,以應對各種挑戰。
吳宗成以金庸小說《倚天屠龍記》出現的少林寺藏經閣掃地僧覺遠和尚為例,每天擔水掃地,練成最上乘內功,才能教張君寶(張三豐)學會以柔克剛、創立太極。他說:「資安領域最怕的就是半瓶水、響叮噹的人。」
他認為,面對充滿挑戰的領域中,身為資安專家,也需要具備豐富的知識和技能,才足以應對不斷變化的威脅和挑戰,因此,廣泛閱讀也是必不可少。因為資安涉及多個領域,包括人工智慧、軟硬體、天文地理等各個領域,他說「只有不斷地學習和閱讀,才能夠跟上資安領域的最新發展。」
吳宗成很喜歡用「變形金剛」來比喻,他說資安人就要像博派機器人,不能只活在自己的世界,要懂人民生活感受並能提出對策,不能只懂學理、固守自己觀點、活在象牙塔。
他說,博派資安人就像變形金剛,可從「生成式」去變化,要博學多聞、活在人的世界中、懂得人民感受,並且要能夠提出對策,他期許每一個資安人,都能成為「博派資安人」。
除了專業知識,溝通能力也是資安人必備能力之一。吳宗成表示,身為資安人要學習溝通,知道怎麼做到「下情上達、上情下達」,也須懂得「說人話」,就是不要講太多術語、不能只有同儕聽得懂,必須做到普遍溝通才行。
此外,金管會規定上市櫃公司要設資安長,公司資安治理要有高階主管層級,所以資安長也要懂得營運,也必須懂得簡報技巧。吳宗成認為,資安要和不同領域的人合作,若能具備良好的溝通能力,可幫助資安人更好地與他人合作,解決問題,具備良好的情商(EQ)也能更好理解和處理人際關係,才能有好的CQ(溝通品質),對於團隊的合作和工作效率的提升,都有很大幫助。【本文採訪日期為2024年5月】
熱門新聞
2024-06-17
2024-06-18
2024-06-17
2024-06-18
2024-06-18
2024-06-18
2024-06-19