防護安全人才相對稀少，系統整合難度越來越高

iThome電腦報周刊與賽門鐵克合辦的「資訊安全高峰會」在五月二十日登場，參與討論的有賽門鐵克董事會主席暨執行長John W. Thompson、資策會董事長黃河明、研考會資訊管理處副處長何全德、中國信託助理副總經理、也是銀行公會金融業務電子化委員會電子銀行組的洪啟煌、元大京華證券副總經理林武田等。現場來賓大多來自金融銀行、證券等業界人士，由資策會董事長黃河明擔任該會的主持人。

首先由賽門鐵克全球董事會主席暨執行長湯普森（John W. Thompson）進行「The Future of Internet Security」的專題演講。他在演說中強調，網路安全並非只是用單一防毒軟體來解決單一問題，現在的網路環境已面臨混合式病毒的威脅，IT業者關心的不再只是病毒碼、駭客入侵等問題，提供即時的回應解決立即的危機才是目前的首要課題。

湯普森認為：「網路安全要有整合（integrated）的概念。」他一再強調回應的重要性。「加強網路環境整體的管控與建置，將所有的資訊整合起來，並且當問題發生時，能提供最即時、最迅速的解決方式，這就是『回應』的意義。」

湯普森演說之後，接著進行金控安全議題的討論。資策會董事長黃河明在開場時提到，網際網路原是一個以自由、資訊共享起家的概念，並沒有提供安全的準則。隨著網路服務的增加擴大，世界各國的政府部門與企業體才開始重視網路的安全問題，並逐步成立相關的資訊安全部門，並設定相關法令來規範民眾的網路行為。

研考會資訊管理處副處長何全德說，e化是企業共同的語言，網路安全問題不再僅僅是「科技」層面的問題，已經列入「政治」考量領域內。「企業在進入e化轉換的階段當中，政府有責任提供安全且可信任的環境，讓民眾和企業上網無後顧之憂。」

以下為黃河明（簡稱黃）、湯普森（簡稱John）、何全德（簡稱何）、洪啟煌（簡稱洪）、林武田（簡稱林）對談的內容摘要： 黃：根據資策會統計，臺灣上網人口達780萬人次，在亞洲可以排到前幾名。隨著企業依賴網路的程度日益加深，暴露在開放環境中隱藏的安全問題也逐漸受到關心，也就是說，金融服務的安全問題從Internet普及就已經存在了。由於銀行盜領、資料被竊等問題層出不窮，政府特別組成「國家資訊通訊安全會報」，設置「國家資通安全應變中心」，是國家級防範電腦犯罪和危機應變的常設單位。

何：政府要如何建立一個既安全有可信賴的環境，我認為有以下四個面向：

第一、檢視不安全的環境，尋找安全的技術工程。這也呼應賽門鐵克全球董事會主席暨執行長湯普森前面所提到的「整合」（integrated）概念，現在的安全解決方案並不只針對單一問題，是通盤環境維護。

第二、建立自動的防護措施。將人力介入的部分減到最少，研發自動防護的機制，當遇到突發狀況時，該系統可產生自動預警的功能。

第三、政府應制定安全檢測的標準。透過各界不斷的研討商議，訂定相關產品技術或環境評估條件，利用監測機制迫使個人或企業注意安全議題。

第四、網路安全科技人才的培育。這個部分包括兩方面，一是透過教育訓練建立安全的觀念，其二是產官學應積極培養防護安全專業人才。根據湯普森的說法，全球網路安全領域人才至少缺三萬五千人。

第五、建立下一代網路安全「道德觀」（ethic）。根據駭客入侵的情況來看，其實被外來入侵者的比例並不若內部入侵者的多，有70％的破壞是來自內部。因此，教育IT從業人員該有的職業道德有其必要性。

期望將來透過e-Taiwan建立全面性安全的網路環境，並可變成對外輸出的資訊產業。

洪：傳統金融領域原本就相當重視資訊安全，如財政部、中央銀行和證期會等政府相關單位會有不定期的稽核。過去曾發生的銀行盜領事件，多半是個人資料被他人以社交工程（social engineering）取得。我認為安全的管理比技術更重要，包括IT 部門人員的道德與使用者的知識不足等問題。

另外，臺灣企業在資訊安全的投資不足，也是不安全的原因之一。歐美先進國家每家企業平均投資在資訊安全的預算比例為10％到12％，隨著軟體技術推陳出新，和網路安全整合的研發工作日益重要，可惜因為人才不足，累積的技術資源有限。歐美企業的安全觀念成熟，產業已經培養不少安全人才。臺灣起步比較晚，安全意識近幾年興起，人才相對稀少。未來最大的挑戰在於經濟規模，規模過小專業分工不明，無法形成培養人力資源的環境。真正懂資訊安全的高階主管不多、企業內部資安人員本身也都大嘴巴、業者傾向賣產品而非解決方案，都是推動資安環境的阻力。有人說過：「安全是過程，而不是產品。」（Security is process，not product）要常檢討資訊安全政策是否適合當下環境，不是只買產品就好。

林：證券業因為每一筆交易都是分秒必爭，對於安全控管要求比金融銀行業更為嚴苛。以元大與京華合併為例，還牽涉到原本兩個公司不同系統合併和資料轉換的問題，因此，系統整合也必須列入安全的考量。如何確保系統在盤中的穩定性是當務之急。

最近金融和IT界的熱門議題－金融控股公司的整合和未來，我認為一般業務單位的整合比較容易，銀行後端使用的主機系統整合才是往後最大的挑戰。有些小券商IT資源少，資訊系統結構不嚴謹漏洞多、不夠穩定等，都是整合過程中的隱憂。我認為有三件事情值得注意。第一、IT人員是金控公司的心臟，必須加強團隊的專業訓練和管理。第二、數位憑證使用率不高，民眾安全意識不足，政府應該使用公權力推動數位認證觀念。

第三、政府應提供減稅的優惠措施，讓金控公司可撥出更多的IT預算，建置安全的交易環境。另外，司法機構有電信警察抓駭客，法務部也應該建置資訊警察，徹底追查並嚴懲網路犯罪。

黃：去年十月底通過電子簽章法，確保網路交易的合法性。因為報稅問題又引起社會對PKI議題的重視。一般民眾的數位憑證資料是否應交給政府保管，成為社會討論的話題。PKI也屬於資訊安全的一環，民眾的認知和數位憑證的推廣之間有非常密切的關係。

John：當客戶群、合作夥伴關係隨業務成長而增加，透過網站交易的風險也隨之升高。使用者來自四面八方，除了建置安全的認證機制進行身分控管外，網站對外的窗口也要有防火牆、VPN等阻絕外來可能的入侵。可以做個人身分識別的PKI並非全球標準，跨區域使用還是會有問題。

PKI具有資料的保密性，應用領域不限於電子商務交易。 何：資訊安全其實是生活的文化，CA只是其中一項技術，生物辨識也可以作為認證技術。在美國CA的應用尚未普及，還需要加強社會教育和學習，或者創造更好更方便的識別方式。

林：每個合併都會有人力的流失，不能因此放棄整合。必須建立共同平臺整合新舊系統，管理各式各樣、複雜的交易處理系統。元大京華共有85家分公司，分公司都沒有IT人員，主要系統都集中在臺北總公司，這邊的負荷相當重，遠端遙控機制也顯得重要。

何：既有（legacy）系統有許多寶藏，是相當有價值的，必須克服整合的難題。發展API或中介軟體，如Bus、Adapter、Message Broker、XML hub等，讓開放和封閉系統能互相溝通。

洪：在網路上花越多精神越會害怕。沒有單一且簡單的解決方案可以解決交易的安全問題，必須有管理機制配套執行。PKI在經濟部的認定屬於低度管理案件，金融證券業事關國家金融發展，應該被列為高度管理的產業，用Single Root CA提升金融業認證的層級。