行政院副院長張善政在臺灣資訊安全大會揭露資安政策2.0政策願景。

圖片來源: 

iThome

行政院副院長張善政今(1)日參加由iThome主辦、行政院資通安全辦公室指導的「台灣資訊安全大會 2015」首度揭露臺灣資安政策願景「資安政策 2.0」,他將從3種作法上,達到政府資安公開透明的目標,除了推動政府會陸續公開許多資安作為並積極和資安業界合作,透過公開透明方式,讓外面的人更了解政府資安威脅現況,更透過產學合作,培養對現在資安軟體平臺真正上手的資安人才。 至於,政府希望可以和美國舉辦網路資安演習CyberStorm,張善政表示,這是非常複雜的協同合作機會,目前政府態度十分正面開放,也希望美國在網路安全的協防合作上,雙方有進一步合作的空間。

作法1:政府對資安攻防與作法,態度更公開透明

張善政表示,過往,政府對於各種資安威脅受攻擊現況以及如何因應政策,態度都十分保留,秉持不公開說明的態度,反而讓更多人質疑政府的資安作法。以去年服貿期間,有許多學者對於政府開放二類電信,都認為風險太高,但是,以政府開放二類電信的風險,其實比起資訊服務、資料服務開放的風險還低,只不過,連學者都不知道政府做哪些事情,甚至對政府的作為誤解或是不了解,只能讓外界對政府作為更沒有信心。

因為政府長期被駭客鎖定攻擊,很多時候,就算政府遭受攻擊,雖然沒有對外揭露,但鎖定臺灣攻擊的敵人,總有管道可以知道受駭情況。這樣的資訊不對等,只是更加惡化政府資安情況,不僅讓人不知道政府真實的受駭情況,資訊不公開只會造成更多不必要的猜疑,只是讓外面民眾對於政府更缺乏信心。

所以,從2014年底開始,張善政透過每一次資通安全會報的會後記者會,適度揭露政府遭受攻擊的真實狀況。去年最後一次資安會報後有舉行記者會,但普通媒體只專注在政府受到多少次的網路攻擊數字,並沒有深入報導政府對資安的作法,但這只是第一步,未來仍將持續透過這樣的方式,揭露政府對資安作為。

此外,政府也要求各部會重新盤點政府資安分級制度,他說,在資安越來越重要的情況下,多數的單位資安分級都往上調升,同時面臨人員和經費不足現象。張善政表示,機關可以盤點後反應不足之處,但不可以隱瞞,現在除了可以調用第二預備金來因應外,才有辦法在明年的預算中,編列適當且足夠的預算。

不僅如此,政府正在草擬資訊安全管理法,朝野不分藍綠對資安都十分支持,即便相關的資安資源很難馬上擴充,但如果資訊安全管理法草案可以順利過關,包括政府和企業,對資安的力道都會再加強。

作法2:政府推動第二線資安監控中心

對於政府的資安作為與資安攻擊事件揭露更公開透明外,張善政更希望透過和業界合作,讓資安監控(SOC)可以落實在每個機關,並由即將行政法人化的技術服務中心擔任第二線國家級資安監控中心,最重要的就是,透過和資安業者合作,培養資安人才,由業界贊助平臺和軟體,提供學校開課並訓練學生外,更在暑假提供實習機會,讓這些學生有實際演練機會,也可以贏得學分。

張善政表示,目前政府已經在推廣資安監控中心(SOC),結合資安軟、硬體部署與落實即時流量監控,但除了監控機關的網路閘道口外,更糟糕的是,現在已經有駭客在機關內部重要系統埋了後門程式,只有監控閘道端流量還不夠,現在更要針對機關內部重要系統進出做監控,例如:微軟的AD(目錄服務)伺服器、電子公文系統等,都應該時序監控,確保一旦有異常發生時,能夠即時發現、即時阻擋。

張善政表示,以往技術服務中心會協助政府資安進行資安事件處理,但這種作法不僅有與民爭利之嫌,更重要的是,技服中心缺乏對政府整體資安事件全貌掌握的高度,因此,除了積極推動資策會技服中心變成行政法人化,成為「國家資通安全科技中心」作為國家級第二線的SOC監控,「只要能和第一線的SOC介接做好,維持第一線和第二線SOC良好互動,徹底掌握政府資安風險整體樣貌。」他說。 有國家級的資安監控中心還有其他的好處在於,政府機關在進行資安事件通報時,一定會有機關不願意如實提報,但目前無法確認機關是否有任何隱瞞。因此,當有了第二線的SOC後,各機關的資安事件就可以從SOC中看到,機關也無所謂隱瞞與否,也更有機會落實縱深防禦。

作法3:資安業者贊助軟體與平臺,培養真正可用的資安人才

未來重要的IT趨勢都脫離不了雲端、社交媒體、4G/5G和IoT等重要趨勢,未來資安人才也將極度短缺,張善政說:「各產業都需要資安人才,像是資通訊產業在意產品安全功能;金融、第三方支付、電子商務產業,在意落實保障交易安全;其餘像高科技產業,更著重智慧財產權和商業機密的保護等,都需要資安人才的投入與參與。」

在資安人才的培育上,跨教育部、經濟部和科技部等,要求國內外資安軟體和平臺業者,贊助資安軟體平臺和業師,全部部署在國家高速網路中心,並和各大學校教授資安的老師合作,有需要練習就開虛擬機器使用,讓學生真正懂得產品該怎麼使用,未來這些學生畢業後,到各個企業任職時,就會因為熟悉相關的平臺軟體,而選擇採購相關的平臺軟體。 學校召開的課程不再只是單一的資安學程,而是真正走到資安實務界,了解相關的產品和技術。

張善政說,雖然政府要求資安軟體和平臺業者提供學生學習的機會,但對這些資安業者的好處則在於,一旦這些學生開始熟悉相關的軟體平臺,有些時候就會找出一些可以進步修正的空間,屆時,就會透過科技部產學合作的計畫,業者只需要提供2成的費用,剩下8成就是科技部支出,「資安廠商就是把贊助資安人才培育費用,當成一種研發費用的支出。」他說。

 

相關報導請參考:「臺灣資安大會現場直擊」

熱門新聞

Advertisement