◎ 王天樂
資安影響國安,因此這幾年相關議題深受重視,我國也已成立「資通電軍」。甚至總統在接見美國參議員時還特別提及,期盼台美資安能多交流。國家領導人帶頭,當然有助資安受到重視、深耕,但以筆者在跨國公司從事資安工作近二十年經驗,台灣的資安實力和水準,其實和歐美甚至中國大陸還是存在一定程度的差距。
人才多寡當然是一個問題,更多的是整體的思維和素養。舉個例子,台灣號稱最多政府機構通過資訊安全管理系統認證,但稍微深入觀察,大多數通過的機關,不是做半套(也就是只關注流程或文件紀錄),就是作假(也就是整套認證系統委外處理)。連主管機關的人員,能把資安完全搞明白或講清楚的沒幾個人。
關鍵在於大家只在乎「看得到」的東西,例如設備或人。但好的設備需要繁瑣與複雜的設定和維護;好的人才則需專業的技能和嚴謹的工作態度。少了這些前提,再好的設備與再優秀的人才,也無法將資安真正做到位,因為只要有一個疏失或弱點,整體資安強度可能就此崩潰。
另外,台灣資安還有一個很大的盲點,就是不重視「測試」。全然相信名牌或明星,買最貴的設備,用最有名的資安顧問,但從沒人想過,也沒人知道,如何檢驗或評估該設備或資安顧問的實際防護能力或效能。
再提供一個命題,請教國內的資安主管機關或專家。很多行業要求或國家標準都提到:「敏感資訊透過網路傳輸必須要加密處理後才能進行傳輸或交換」,據此,政府機關或業界都啟用SSL/TLS安全通訊協定來達成此一要求。請問有沒有專家或單位測試過SSL/TLS的加密效能或強度,也就是主機的設定及憑證或密碼模組的選用怎麼測?用什麼工具?依據什麼標準?這問題的答案,或許可做為評定台灣資安實施或人才水準的選項之一。
最後,再談一個相對敏感的話題,提供正在廣招資安人才的單位參考。所謂資安人才,應該不僅限於網路安全專家,能有著名的「白帽」或「黑帽」在團隊中,當然振奮人心,但千萬別想能就此高枕無憂,因為,網路安全不等於電腦安全,和資訊安全更有一段差距。畢竟電腦科技只是資訊生命週期中的一環,千萬不要忽略能綜觀整體流程的人才,才能進一步提高整體的防護能力。
(作者現職資安顧問,新北市民)
編輯精選
自由評論網粉絲團