改善資安人才環境 張善政:建構資安共用平台

行政院副院長張善政。(駭客年會提供)
行政院副院長張善政。(駭客年會提供)

【記者方惠萱/台北報導】

台灣資安狀況嚴峻,資安人才更是面臨斷層狀況,行政院副院長兼國家資通安全會報召集人張善政26日表示,要改善資安人才現況,最重要的還是學校,政府目前正規劃一系列方案,跨部會整合,希望學界與業界接軌,他也透漏,政府規劃建立資安共用平台,提供學界進行實戰演練。

台灣資安界盛事駭客年會26日登場,張善政於開幕致詞時表示,政府目前了解台灣資安狀況的嚴峻,從強化資安防禦以及人才培育雙方面著手,期盼改善台灣資安環境;政府資安部分,因應資安情勢提升,已經將過去安全操作中心(Security Operation Center, SOC)的分級進化,很多過去不在A級的單位,都已經提升層級。

除此之外,針對通報機制部分,張善政說,其實通報機制相當具有風險,因為可能會發生隱匿的情況,所以實際受到攻擊的數量一定高於通報數量,為了解決這個問題,目前正在建立第二線SOC,稱為「National SOC」,針對國土安全單位如台電等分類為八大領域,並對政府的資安狀況進行監控,無論單位是否有通報,都會收到即時資安報告。他指出,這個系統「將成為政府相當重要的資安單位,不需要通報就可以知道攻擊,二線SOC做好以後,資安攻擊資訊將是全台灣最大量,可以隨時了解政府與國家的資安狀況。」

在人才培育部分,張善政說,「人才培養最大的來源是學校」,第一步還是先讓目前出國比賽的資安專家選手,讓國家系統性的培養,不過他強調,不會做成像是韓國一樣,「不會走向早期集權國家的做法,要培養出選手能夠靠自己謀生」,除此之外,如果參賽者是學生,學校應出經費,如果是已經在業界工作,業界則應該出比賽經費。

除此之外,張善政呼籲教育部主動去推動大學教授了解網路攻擊,希望學校跟業者結合,因為資安不是課本上的東西而已,「沒有看實際案例,沒有辦法真正了解」,他認為學生可以到企業界實習,還要給學分,不過不是平日幾個小時的實習就可以完成,必須利用暑假等長時間假期全力投入,而教授也必須投入,要看業者給的實習是否有品質。

在硬體建設部分,由於網路資安工具非常昂貴,張善政表示,這讓教育部每次開出的預算金額都非常大,因此政府設法讓業界捐設備,並建立一個共用平台,把平台上的工具弄全,但希望不要有任何預算支出。他指出,這個平台會於政府網路跟學術網路的入口處側錄,取得相關的流量數據,並放到平台上,提供學生進行網路攻擊模擬等研究。

在政府部門合作的部分,張善政指出,希望教育部能夠改善過去閉門造車的做法,跨出去與科技部、經濟部合作,「科技部做產學合作的功能」,學界有需要研究,可以跟科技部申請經費,讓學界做的研究可以接軌業界。

北市府成駭客重點

政府資安部分,台北市長柯文哲4月自爆市長室電腦被駭,資訊局也證實此事,台北市政府資訊局長李維斌26日參與駭客年會座談,坦言因為柯文哲太紅了,台北市府成為駭客的練兵場,三不五時就會受到攻擊。李調侃的說,每次跟柯通報,柯就以政府資訊公開為由表示影響不大。

雖然資料開放看似一個笑話,不過駭客年會議程組主席叢培侃(網路暱稱PK)說,當大部分的資料都是公開資訊,就會讓重點受保護的資料範圍變小,就可以做更好的資安預算配置,許多公司會用內外網路進行區分,不過「內網外網有資料交換需求,就有資料共用區,這就會成為駭客的焦點。」

李維斌也提到,市府的資安預算僅占整體預算的1%,預算常常受到限制,面對市府的資安工作,他認為,實務上操作還是以了解自己為先,先做分層管理,同時做市府人員的資安宣導,才能在有限的預算內解決資安困境。

綜觀整體台灣資安現況,叢培侃指出,「台灣面臨著嚴峻的資安挑戰」,他打趣的說,台灣對生物是個寶島,但對於惡意攻擊來說也是個寶島,造成台灣的威脅非常多,他強調,「台灣企業要去適應這樣的威脅,要讓自己能夠跟這些威脅並存」。◇

延伸閱讀
駭客年會26日登場 聚焦物聯網安全
2015年08月23日 | 9年前
免費WiFi不安全 紐約時代廣場居首
2015年08月23日 | 9年前
無處不駭 陸駭客攻擊印度機構
2015年08月21日 | 9年前
取消