iThome電腦報周刊與賽門鐵克合辦的「資訊安全高峰會」在五月二十日登場,參與討論的有賽門鐵克董事會主席暨執行長John W. Thompson、資策會董事長黃河明、研考會資訊管理處副處長何全德、中國信託助理副總經理、也是銀行公會金融業務電子化委員會電子銀行組的洪啟煌、元大京華證券副總經理林武田等。現場來賓大多來自金融銀行、證券等業界人士,由資策會董事長黃河明擔任該會的主持人。

首先由賽門鐵克全球董事會主席暨執行長湯普森(John W. Thompson)進行「The Future of Internet Security」的專題演講。他在演說中強調,網路安全並非只是用單一防毒軟體來解決單一問題,現在的網路環境已面臨混合式病毒的威脅,IT業者關心的不再只是病毒碼、駭客入侵等問題,提供即時的回應解決立即的危機才是目前的首要課題。

湯普森認為:「網路安全要有整合(integrated)的概念。」他一再強調回應的重要性。「加強網路環境整體的管控與建置,將所有的資訊整合起來,並且當問題發生時,能提供最即時、最迅速的解決方式,這就是『回應』的意義。」

湯普森演說之後,接著進行金控安全議題的討論。資策會董事長黃河明在開場時提到,網際網路原是一個以自由、資訊共享起家的概念,並沒有提供安全的準則。隨著網路服務的增加擴大,世界各國的政府部門與企業體才開始重視網路的安全問題,並逐步成立相關的資訊安全部門,並設定相關法令來規範民眾的網路行為。

研考會資訊管理處副處長何全德說,e化是企業共同的語言,網路安全問題不再僅僅是「科技」層面的問題,已經列入「政治」考量領域內。「企業在進入e化轉換的階段當中,政府有責任提供安全且可信任的環境,讓民眾和企業上網無後顧之憂。」

以下為黃河明(簡稱黃)、湯普森(簡稱John)、何全德(簡稱何)、洪啟煌(簡稱洪)、林武田(簡稱林)對談的內容摘要: 黃:根據資策會統計,臺灣上網人口達780萬人次,在亞洲可以排到前幾名。隨著企業依賴網路的程度日益加深,暴露在開放環境中隱藏的安全問題也逐漸受到關心,也就是說,金融服務的安全問題從Internet普及就已經存在了。由於銀行盜領、資料被竊等問題層出不窮,政府特別組成「國家資訊通訊安全會報」,設置「國家資通安全應變中心」,是國家級防範電腦犯罪和危機應變的常設單位。

何:政府要如何建立一個既安全有可信賴的環境,我認為有以下四個面向:

第一、檢視不安全的環境,尋找安全的技術工程。這也呼應賽門鐵克全球董事會主席暨執行長湯普森前面所提到的「整合」(integrated)概念,現在的安全解決方案並不只針對單一問題,是通盤環境維護。

第二、建立自動的防護措施。將人力介入的部分減到最少,研發自動防護的機制,當遇到突發狀況時,該系統可產生自動預警的功能。

第三、政府應制定安全檢測的標準。透過各界不斷的研討商議,訂定相關產品技術或環境評估條件,利用監測機制迫使個人或企業注意安全議題。

第四、網路安全科技人才的培育。這個部分包括兩方面,一是透過教育訓練建立安全的觀念,其二是產官學應積極培養防護安全專業人才。根據湯普森的說法,全球網路安全領域人才至少缺三萬五千人。

第五、建立下一代網路安全「道德觀」(ethic)。根據駭客入侵的情況來看,其實被外來入侵者的比例並不若內部入侵者的多,有70%的破壞是來自內部。因此,教育IT從業人員該有的職業道德有其必要性。

期望將來透過e-Taiwan建立全面性安全的網路環境,並可變成對外輸出的資訊產業。

洪:傳統金融領域原本就相當重視資訊安全,如財政部、中央銀行和證期會等政府相關單位會有不定期的稽核。過去曾發生的銀行盜領事件,多半是個人資料被他人以社交工程(social engineering)取得。我認為安全的管理比技術更重要,包括IT 部門人員的道德與使用者的知識不足等問題。

另外,臺灣企業在資訊安全的投資不足,也是不安全的原因之一。歐美先進國家每家企業平均投資在資訊安全的預算比例為10%到12%,隨著軟體技術推陳出新,和網路安全整合的研發工作日益重要,可惜因為人才不足,累積的技術資源有限。歐美企業的安全觀念成熟,產業已經培養不少安全人才。臺灣起步比較晚,安全意識近幾年興起,人才相對稀少。未來最大的挑戰在於經濟規模,規模過小專業分工不明,無法形成培養人力資源的環境。真正懂資訊安全的高階主管不多、企業內部資安人員本身也都大嘴巴、業者傾向賣產品而非解決方案,都是推動資安環境的阻力。有人說過:「安全是過程,而不是產品。」(Security is process,not product)要常檢討資訊安全政策是否適合當下環境,不是只買產品就好。

林:證券業因為每一筆交易都是分秒必爭,對於安全控管要求比金融銀行業更為嚴苛。以元大與京華合併為例,還牽涉到原本兩個公司不同系統合併和資料轉換的問題,因此,系統整合也必須列入安全的考量。如何確保系統在盤中的穩定性是當務之急。

最近金融和IT界的熱門議題-金融控股公司的整合和未來,我認為一般業務單位的整合比較容易,銀行後端使用的主機系統整合才是往後最大的挑戰。有些小券商IT資源少,資訊系統結構不嚴謹漏洞多、不夠穩定等,都是整合過程中的隱憂。我認為有三件事情值得注意。第一、IT人員是金控公司的心臟,必須加強團隊的專業訓練和管理。第二、數位憑證使用率不高,民眾安全意識不足,政府應該使用公權力推動數位認證觀念。

第三、政府應提供減稅的優惠措施,讓金控公司可撥出更多的IT預算,建置安全的交易環境。另外,司法機構有電信警察抓駭客,法務部也應該建置資訊警察,徹底追查並嚴懲網路犯罪。

黃:去年十月底通過電子簽章法,確保網路交易的合法性。因為報稅問題又引起社會對PKI議題的重視。一般民眾的數位憑證資料是否應交給政府保管,成為社會討論的話題。PKI也屬於資訊安全的一環,民眾的認知和數位憑證的推廣之間有非常密切的關係。

John:當客戶群、合作夥伴關係隨業務成長而增加,透過網站交易的風險也隨之升高。使用者來自四面八方,除了建置安全的認證機制進行身分控管外,網站對外的窗口也要有防火牆、VPN等阻絕外來可能的入侵。可以做個人身分識別的PKI並非全球標準,跨區域使用還是會有問題。

PKI具有資料的保密性,應用領域不限於電子商務交易。 何:資訊安全其實是生活的文化,CA只是其中一項技術,生物辨識也可以作為認證技術。在美國CA的應用尚未普及,還需要加強社會教育和學習,或者創造更好更方便的識別方式。

林:每個合併都會有人力的流失,不能因此放棄整合。必須建立共同平臺整合新舊系統,管理各式各樣、複雜的交易處理系統。元大京華共有85家分公司,分公司都沒有IT人員,主要系統都集中在臺北總公司,這邊的負荷相當重,遠端遙控機制也顯得重要。

何:既有(legacy)系統有許多寶藏,是相當有價值的,必須克服整合的難題。發展API或中介軟體,如Bus、Adapter、Message Broker、XML hub等,讓開放和封閉系統能互相溝通。

洪:在網路上花越多精神越會害怕。沒有單一且簡單的解決方案可以解決交易的安全問題,必須有管理機制配套執行。PKI在經濟部的認定屬於低度管理案件,金融證券業事關國家金融發展,應該被列為高度管理的產業,用Single Root CA提升金融業認證的層級。

熱門新聞

Advertisement