「2003資訊安全新紀元論壇」現場實錄

在政府和廠商的密集宣傳下，資訊安全已經被列為全民必修的學分。不只企業要修這個學分，國家也需要有縝密的防護罩，遊走於虛實之間才能免於受到攻擊或傷害。然而，網路是否有國界？要如何做到實體世界的安全？金控公司應該注意什麼?2003資訊安全新紀元提供了不同思考的角度。

資訊安全議題走紅於2002年，在歲末新舊交換之際，熱度似乎沒有燒退的跡象。迎向2003年資訊安全新紀元，數位臺灣、金控等議題仍是關注的焦點，強調的重點不再是產品的功能效果，管理面的政策制定和執行，才是企業必須不斷檢視的項目。

由組合國際主辦、iThome電腦報周刊協辦的「2003年資訊安全新紀元論壇」，會中以未來資訊安全新趨勢為主題，邀請臺灣電腦網路危機處理中心主任陳年興、勤業會計師事務所企業風險管理協理萬幼筠、中國國際商銀資訊處處長黃永貴、組合國際資訊顧問總監許明治等參與討論。以下為論壇內容整理摘要：資訊安全牽涉的範圍相當廣，包含產品技術、管理、組織文化等層面，從國家政府、金融和企業內部稽核的角度來看，未來需要注意的資訊安全行動方案為何？

陳年興：政府非常重視國家整體資訊安全，行政院在2001年1月17日通過「建立我國通資訊基礎建設安全機制」計畫，並於行政院下設立國家資通安全會報，下設NICI執行並對應到技術服務中心。目前已推動的具體方案如區域聯防的機制，N-CERT由技術服務中心扮演角色，主推區域聯防，總中心委託資訊安全學會召集，北、中、南、中各設區域中心。

總中心下設由研考會支援交通大學針對政府相關單位成立的GSN-CERT中心，TW-CERT扮演臺灣地區的CERT，作為協調國際IR的中繼站。危機處理中心提供第一線網管人員支援，提供漏洞即時的通報和工具、入侵的回報、遠端系統安全掃描等，所有的國家級CERT包括臺灣皆加入國際組織FIRST，彼此交流新技術和資訊。

如何提升第一線網管人員的技術水平是重要的條件，但是技術訓練的能力不足。我曾經幫助TW-CERT推e-Training，是快速培養資安人才的方式之一。 國家應該有評估網路安全的指標，重點是要看整年的安全性是否有提升。把網路安全分成事前、事發、事後和事中，強調預防重於治療，要如何做是最重要的。最近安全受到重視的議題為網路安全的「鑑識」工作，證據如何能在呈堂供證時有法律效益，需要有專門的鑑識專家。另外，安全倫理、網站安全等級的分級也是重要的議題。

數年前我曾提出將ISP分成IAP、IPP、ICP的分類方法，這三種人負擔的責任不一樣。像DoS的問題，誰要負責？我分成五種權利和義務關係：使用者、伺服器管理者、ISP、系統提供者、應用軟體提供者，技術提供者不能只賣產品，也有維護網路安全的責任。網路是有國門的，抱持網路發展前期的態度沒有辦法創造出健全的虛擬社會。我們在網路國門導入安全機制，才能爭取一點防禦的時間。

萬幼筠：網路安全已經不是技術議題，而是企業經營課題。風險管理是金融業界最重視的項目，也就是「業務管理從寬，風險管理從嚴」的意思。我發現許多企業開始導入一些風險管理的解決方案，但是內部卻沒有完整的風險管理架構。

其實，安全的建置不是一個單純的介面就可以掌握，我認為管理機制可分成六大面向：第一為實體安全，不要以為實體安全就是買攝影機或門禁系統就好，很多是人性的問題；第二是網路安全；第三是作業系統的安全，不只談系統漏洞、設定管理，因為業務會變動，最後關卡還是在人，必須設置程式或制度管理。

第四是資料庫安全，資料的權限管理是其中最重要的工作；第五則是應用系統，企業最缺乏這部分的管理，應用軟體是否有漏洞，這是相當弔詭的問題。只要是人開發的軟體就一定有漏洞，有些客戶比較懶，相信廠商的程式設定，營運資料因此暴露在危險的環境。

刑法的資料犯罪處理刑責從三年增加到七年，雖然罰責加重了，但就體系面來看會有執行上的困難。BSi 17799或ISO 7799標準是「Nice to have」，如何落實才是一大學問，需要靠人來大力推動。風險管理做得越好，對公司績效就有正面的影響。

根據過去稽核上市上櫃公司安全制度的經驗，公司安全人員的訓練、資訊資產的分類、是否全部都要保護等，決定資訊安全解決方案的投資。要做好網路安全必須對症下藥，透過風險分析找出關鍵點，錢要花在刀口上，企業網路安全理想才可以慢慢實現。

黃永貴：銀行最重要的任務是保護客戶資料安全，從技術面、管理面、組織面著手。過去我們把錢放在銀行只擔心銀行會不會倒，現在要考慮電腦系統安不安全。如果臺灣發生911，存在系統的客戶資料在一夕之間化為烏有，下場會如何？資訊安全不是只有防毒和防駭，建立第二個備援中心是必然的安全之道。

金融稽核單位風險控管越嚴謹越好，使用者端強調便利親和，再多的控制只是讓使用者更疏遠。為了達到控制的目的，就要付出代價不計成本，控制對銀行來說非常重要，數千億元的存款不容許出任何差錯，更不能因為安控抹煞使用者便利性，如此會降低市場競爭力。

安全要做到面面俱到，因為資訊系統一有破洞就會引發相當大的問題。銀行對資訊安全要求非常高，打造滴水不露的資訊系統可以為銀行整體績效加分。

許明治：下一波資訊安全趨勢：身分認證、使用授權、存取控制、事後稽核、區域聯防等五大議題，市場從產品走向管理，資安不可能做到完美，在有限的成本限制下，把錢花在最重要的部分，且系統不是放著就安全，應該逐步建立安全機制，定期做檢測，應用程式的漏洞無法避免，改善軟體開發生命周期是程式開發者應盡的責任。臺灣有96％中小企業因為成本限制而對資安投資卻步，有什麼方法可以滿足中小企業需求？

陳年興：風險管理關鍵在於企業本身風險承受度，安全很重要不需要宣導，不同業務安全需求面也不一樣。安全是非常專業的，依賴專家，其中人是關鍵因素，中小企業沒有辦法有專業的維護人員，應該事先評估忍受風險指數，依照指數大小決定投資金額。

萬幼筠：IT委外必須承受風險，但可以降低中小企業建置成本，安全要做多好是多數企業的困擾，但也都沒有一定的答案。

黃永貴：沒有共通原則可以滿足所有情形，視企業願意承擔多少風險。每個公司一定要制定安全原則，我認為成本不是最重要的問題。

許明治：講求投資報酬率不分大小企業，資訊仰賴度越高，越需要投入較高的成本，經營者一定要有這樣的體認。