行政院這幾年透過「國家資通安全會報」大力推動資安工作,各機關紛紛將資源投資在資安防護上,但是幾年下來,很多單位在預算有限的情況下,往往投資了資安,就沒辦法做其他資訊系統,讓不少政府單位陷入「巧婦難為無米之炊」的兩難。臺北市政府資訊中心主任張俊鴻表示,系統開發、維護、資安防護等,資訊中心要做的工作相當多,受限於資源,資訊委外是政府單位必然的選擇。

在判斷資訊系統應不應該委外時,張俊鴻認為,可以從3個角度去檢視,包括重要程度、成本與經濟規模,以及是否為核心能力。無庸置疑,重要系統肯定自己維護,以政府機關來說,像地政、戶政、稅捐稽徵處等與民眾私密資料息息相關的系統,安全性要高,私密性必須更高,這些比較難委外。

受限人物力,資訊委外是政府單位必然選擇
至於成本與經濟規模,一個系統如果可以讓最多單位使用,經濟規模就最大,所花費經費除以單位數後,才知道划不划算,市政府有數百個單位,每個單位的單位成本都必須受到控制。以臺北市政府資訊中心來看,扣掉行政人員不算,資訊人員只有30~40名,但要服務的人包括400個各級機關單位、學校也有7~8萬人,學校教職員不算,整個行政體系也有3~4萬人,資訊人員與服務人數明顯懸殊,與國外2.5%~5%相比少一半以上。張俊鴻表示,政府資訊單位普遍缺乏人力與預算,委外成為必然的考量。

尤其是政府單位的資訊預算普遍太低,只占整體預算的1.3%,網路、系統、硬體、耗材、資安等零零總總加起來,要做的事情很多,每個人每年卻平均只分到20000元,每個月不到2000元,人力、物力都不足是政府資訊委外的主因。

舉例來說,目前市政府所有的共同資訊系統一定委外,以創造最大的經濟效益,像是公文知識網、電子公務系統等等,但是多個系統跨平臺連結的問題也跟著浮現,終於在今年委託廠商開發單一簽入系統,採取帳號密碼與自然人憑證並行制,做為人員帳號與權限管理。

張俊鴻表示,每臺PC都配備讀卡機,採用自然人憑證固然方便,因為每次登入系統都要插入卡片,操作上太麻煩,所以就規定市府員工早上來先以自然人憑證登入,上班時間就以帳號密碼登入,但下班時間過後帳號密碼權限自動消失,必須重新以自然人憑證登入,員工還可以自己上系統檢查每天登入的次數與紀錄。

資安非政府核心能力,委外勢在必行
核心能力方面,則要看單位規模,以及具不具備培養人才的能力,如果員工離職,是不是有辦法遞補?自己做是不是能夠比廠商做得更好?像是資安的部分,張俊鴻便認為委外比較有效益。

他表示,資安工作固然重要,但技術變化快速且門檻高,顯然資安不是政府機關的核心能力,由專業廠商來做會比自己做好,各單位自己做也不具經濟規模,委託外面的專業團隊來做是很自然的選擇。

「除非由中央政府出面,成立一個服務所有政府機關的專責資安團隊,以集中控管、集中訓練、集中研發的方式,開始培養專責的組織團隊,當這個團隊可以做的比外面廠商好時,資安才有可能變成政府單位的核心能力。當服務範圍擴及所有政府機關,經濟規模達到一定程度時,單位成本就自然降低。」他說。然而,目前政府部門則還沒有辦法做到這樣的程度。

檢視目前臺北市政府資安相關的工作當中,幾千臺、幾萬臺個人電腦的終端管理,就是一筆不小的支出,像是個人電腦的防毒、防駭、防木馬、防垃圾郵件,再加上帳號密碼與存取權限的管理、系統的單一嵌入等等,要做的事情相當多,都不是幾萬、幾十萬元可以做到,預算有限下,很難真正做到滴水不漏。現在已經將部分的個人端防毒、防駭委外,正在逐步加強伺服器端的安全性,讓終端設備的資安建置成本降低。

網站安全委交專業,7X24監控滴水不漏
不過,對於政府資安工作的範圍界定,張俊鴻有不同的看法,像政府網站的安全防護,因為是民眾最常接觸的一塊,又等於是政府的門面,一旦被駭客入侵或被惡作劇塗鴨,很容易被解讀為資安防護不周。

政府單位最常見的就是網站被駭,政府網站被張俊鴻視為是民眾的公布欄兼留言板,要讓民眾自由出入及公開發言。如果整個資訊架構是一間房子,將網站形容為家裡的一塊門窗,將資安防護無限上綱的結果,就像是為了防止外人打破門窗玻璃,只好把所有一般玻璃通通換成防彈玻璃,甚至為玻璃架上鐵窗、還派人24小時看守。
「但現在大家都過度放大網站被駭的事件,只為了守護網站門面而大大增加資安支出成本,究竟有沒有矯枉過正?網站安全重要還是資訊重要?都是很值得大家深思的問題。」他說。也因此臺北市政府將網站的安全控管中心(SOC)全權委外,希望透過專業廠商進行7X24小時的安全監控與即時回應,張俊鴻表示,與系統安全整體投資相比,網站上的資安花費算少的。

他指出,一旦網站門面被塗鴨,快速回復與即時應變,都遠比重重安全防護重要,交由專業資安委外,就能達到即時發現、即時回應。網站就是要讓民眾網站進出,重要系統都在內部,受到防火牆與VPN的基本保護。

不過,他也強調,以資安監控中心(SOC)服務來看,廠商也必須建立具有經濟規模的服務團隊,具有服務一定數量廠商的能力,透過經濟規模降低每一個用戶所需支付的費用,才能讓SOC更加平易近人,不然一般企業或政府機關也無法負擔。

委外SLA評估,扣點扣錢作為把關
另外,既然要委外,如何評估廠商服務品質(SLA),張俊鴻有他的一套,先是將委外分為專業型與服務型,透過不同的積數扣錢制度來監督委外廠商,一旦委外廠商出現服務瑕疵就扣點、扣錢。續約評估則是透過每年固定的使用者滿意度調查及監督委員會評分,兩者相加如果超過80分就可以續約。

他認為SLA是一種警示作用,目的在協助廠商提升自己服務的能力,並不是真的要把廠商的錢扣光光,所以很有人情味的將罰款「開更號」。因為他相信一個「一件事情要做超過21次,才會變成本能」的理論,不管是資訊人員、委外廠商,如果沒有機會作業超過21次,如何要求他們完全不犯錯?文⊙高雅欣

CIO觀點>>政府安全認證風潮,亟需分層落實
張俊鴻認為,資安是一個政策,但什麼是資安的範圍?這牽涉到所謂A、B、C、D分級的定義,這樣的安全分級,究竟是該級機關的系統安全層級?還是網站安全層級?被分成不同層級的機關,到底該做哪些資安工作?目前還沒有被明確定義出來,確實也很難定義。

現行的一些標準很容易被當成遵循法則,像是這幾年政府機關一窩瘋導入BS7799安全認證,企業導入CMMI、ITIL和COBiT,張俊鴻並不認同,「並不是說標準錯了,也不是不需要標準,只是大部分的標準都太過理想化,沒資源的單位沒錢做,有錢的作了也是浪費錢。」他認為,專家學者訂定標準太過於崇高,臺灣最好可以仿造國際標準的模式,建立一套自己的標準,國內的廠商遵循的門檻跟成本也比較低。

太複雜的工作項目多不適用於一般單位,企業應該建立「分層落實」的觀念,先將標準裡每個工作項的層次釐清,分階段從企業內的基礎工作做起,不需要藉由認證,幾年內就可以確實達到那些標準。

他認為,導入任何標準之前,企業可以先自我檢視,這樣是否能夠做到更快、更好、更便宜?如果不行,就從採取小範圍的示範式投資,就可以減少無謂的投資與浪費。文⊙高雅欣

CIO小檔案:張俊鴻
●學經歷:中原大學數學系、清華大學資管研究所、臺北市政府資訊中心主任,中原大學數學系教授
●簡介:臺北市政府是臺北市的行政機關,成立於1945年10月,1967年7月改制為直轄市,目前在正副市長之下設有民政、財政、教育、建設等14局,秘書、地政、新聞等7處,以及原住民等6委員會,還有公務人員訓練中心、自來水事業處、捷運工程局和12個區公所等直屬機關。
●營業項目:市民服務
●員工人數:行政人員含教職員70000多名。
●IT部門人數:30多名。

熱門新聞

Advertisement