-
-
[转载]台湾资讯安全大会揭幕,行政院副院长张善政宣布资安政策2.0
-
发表于:
2015-9-7 20:42
2081
-
[转载]台湾资讯安全大会揭幕,行政院副院长张善政宣布资安政策2.0
新闻链接:
http://www.ithome.com.tw/news/94950
新闻时间:
2015-04-01
新闻正文:
行政院副院长张善政今(1)日参加由iThome主办、行政院资通安全办公室指导的「台湾资讯安全大会2015」首度揭露台湾资安政策愿景「资安政策2.0」,他将从3种作法上,达到政府资安公开透明的目标,除了推动政府会陆续公开许多资安作为并积极和资安业界合作,透过公开透明方式,让外面的人更了解政府资安威胁现况,更透过产学合作,培养对现在资安软体平台真正上手的资安人才。至于,政府希望可以和美国举办网路资安演习CyberStorm,张善政表示,这是非常复杂的协同合作机会,目前政府态度十分正面开放,也希望美国在网路安全的协防合作上,双方有进一步合作的空间。
作法1:政府对资安攻防与作法,态度更公开透明
张善政表示,过往,政府对于各种资安威胁受攻击现况以及如何因应政策,态度都十分保留,秉持不公开说明的态度,反而让更多人质疑政府的资安作法。以去年服贸期间,有许多学者对于政府开放二类电信,都认为风险太高,但是,以政府开放二类电信的风险,其实比起资讯服务、资料服务开放的风险还低,只不过,连学者都不知道政府做哪些事情,甚至对政府的作为误解或是不了解,只能让外界对政府作为更没有信心。
因为政府长期被骇客锁定攻击,很多时候,就算政府遭受攻击,虽然没有对外揭露,但锁定台湾攻击的敌人,总有管道可以知道受骇情况。这样的资讯不对等,只是更加恶化政府资安情况,不仅让人不知道政府真实的受骇情况,资讯不公开只会造成更多不必要的猜疑,只是让外面民众对于政府更缺乏信心。
所以,从2014年底开始,张善政透过每一次资通安全会报的会后记者会,适度揭露政府遭受攻击的真实状况。去年最后一次资安会报后有举行记者会,但普通媒体只专注在政府受到多少次的网路攻击数字,并没有深入报导政府对资安的作法,但这只是第一步,未来仍将持续透过这样的方式,揭露政府对资安作为。
此外,政府也要求各部会重新盘点政府资安分级制度,他说,在资安越来越重要的情况下,多数的单位资安分级都往上调升,同时面临人员和经费不足现象。张善政表示,机关可以盘点后反应不足之处,但不可以隐瞒,现在除了可以调用第二预备金来因应外,才有办法在明年的预算中,编列适当且足够的预算。
不仅如此,政府正在草拟资讯安全管理法,朝野不分蓝绿对资安都十分支持,即便相关的资安资源很难马上扩充,但如果资讯安全管理法草案可以顺利过关,包括政府和企业,对资安的力道都会再加强。
作法2:政府推动第二线资安监控中心
对于政府的资安作为与资安攻击事件揭露更公开透明外,张善政更希望透过和业界合作,让资安监控(SOC)可以落实在每个机关,并由即将行政法人化的技术服务中心担任第二线国家级资安监控中心,最重要的就是,透过和资安业者合作,培养资安人才,由业界赞助平台和软体,提供学校开课并训练学生外,更在暑假提供实习机会,让这些学生有实际演练机会,也可以赢得学分。
张善政表示,目前政府已经在推广资安监控中心(SOC),结合资安软、硬体部署与落实即时流量监控,但除了监控机关的网路闸道口外,更糟糕的是,现在已经有骇客在机关内部重要系统埋了后门程式,只有监控闸道端流量还不够,现在更要针对机关内部重要系统进出做监控,例如:微软的AD(目录服务)伺服器、电子公文系统等,都应该时序监控,确保一旦有异常发生时,能够即时发现、即时阻挡。
张善政表示,以往技术服务中心会协助政府资安进行资安事件处理,但这种作法不仅有与民争利之嫌,更重要的是,技服中心缺乏对政府整体资安事件全貌掌握的高度,因此,除了积极推动资策会技服中心变成行政法人化,成为「国家资通安全科技中心」作为国家级第二线的SOC监控,「只要能和第一线的SOC介接做好,维持第一线和第二线SOC良好互动,彻底掌握政府资安风险整体样貌。」他说。有国家级的资安监控中心还有其他的好处在于,政府机关在进行资安事件通报时,一定会有机关不愿意如实提报,但目前无法确认机关是否有任何隐瞒。因此,当有了第二线的SOC后,各机关的资安事件就可以从SOC中看到,机关也无所谓隐瞒与否,也更有机会落实纵深防御。
作法3:资安业者赞助软体与平台,培养真正可用的资安人才
未来重要的IT趋势都脱离不了云端、社交媒体、4G/5G和IoT等重要趋势,未来资安人才也将极度短缺,张善政说:「各产业都需要资安人才,像是资通讯产业在意产品安全功能;金融、第三方支付、电子商务产业,在意落实保障交易安全;其余像高科技产业,更着重智慧财产权和商业机密的保护等,都需要资安人才的投入与参与。」
在资安人才的培育上,跨教育部、经济部和科技部等,要求国内外资安软体和平台业者,赞助资安软体平台和业师,全部部署在国家高速网路中心,并和各大学校教授资安的老师合作,有需要练习就开虚拟机器使用,让学生真正懂得产品该怎么使用,未来这些学生毕业后,到各个企业任职时,就会因为熟悉相关的平台软体,而选择采购相关的平台软体。学校召开的课程不再只是单一的资安学程,而是真正走到资安实务界,了解相关的产品和技术。
张善政说,虽然政府要求资安软体和平台业者提供学生学习的机会,但对这些资安业者的好处则在于,一旦这些学生开始熟悉相关的软体平台,有些时候就会找出一些可以进步修正的空间,届时,就会透过科技部产学合作的计画,业者只需要提供2成的费用,剩下8成就是科技部支出,「资安厂商就是把赞助资安人才培育费用,当成一种研发费用的支出。」他说。
[课程]Android-CTF解题方法汇总!
