引進新觀念 提升臺灣資安能量
面對日新月異的資安攻擊,中華民國資訊安全學會每年都與日本、韓國等舉辦國際資安會議,藉此掌握最新資訊與趨勢,並分享給臺灣各界資安專家。
採訪/施鑫澤‧文/林裕洋‧刊期/2022.5
為獲取經濟利益的前提下,入侵者正持續擴大攻擊面向,根據 accenture 研究報告指出,網路犯罪造成企業平均損失達到 1,300 萬美元,預計未來 5 年全球經濟損失將高達 5,200 兆美元以上。正因如此,過去幾年企業對資安人才需求量大增,預估全球資安人才缺口高達 30 萬以上,臺灣資安人才缺口也達到 2 萬人。因此,民間單位、政府組織均擴大資安人才培育,期盼在最短時間內解決人才荒的問題。
[ 2022年度CIO大調查報告下載 ]
為此,中華民國資訊安全學會在舉辦每年的全國資訊安全會議之外,也會透過各種研習營等活動,讓更多在學學生了解資安的重要性。如最近剛舉辦的 2022 金融資安研習營,即是為協助大學財金、資工、資管及資訊類相關背景學生,認識金融產業及瞭解資安的實務運用。藉由整合產業的力量,舉辦此研習營以協助學生能夠於在校期間認識金融資安的工作,同時建立產業與學界共同合作的機制。
中華民國資訊安全學會理事長范俊逸指出,我們是臺灣第一個舉辦資安活動的組織,隨著資安議題愈來愈熱門,也帶動臺灣各界舉辦各種資安大會的風潮。學會成立目的之一,就是希望扮演產官學的平台,連結不同領域的資源,讓各界了解到資安的重要性。其次,我們每年舉辦資安活動的目的並非要與民爭利,而是扮演先驅者的角色,持續為臺灣引進全球最新的資安觀念。最後,則是扮演與國外合作的平台與管道,讓臺灣資安產業能夠接軌國際。
與國外機構交流 引進最新資安訊息
從事資訊安全之研究、推廣資訊安全之應用與發展,促進國內外資訊安全之研究與發展的中華民國資訊安全學會,從 1994 年創立至今已有近 30 年的歷史。學會主要任務「為舉辦與資訊安全相關之學術會議」、「舉行有關資訊安全之學術研究、講習、訓練 、討論、訪問、觀摩等活動事項」、「收集國內外有關資訊安全之圖書與資料」、「發行有關資訊安全之學術刊物、論文集、新知簡訊及書籍」、「研訂有關資訊安全之專用名稱、術語及符號」、「國際資訊安全學術機構聯系事項」,以及其他有關資訊安全發展事項。
以連續舉辦 31 屆的全國資訊安全會議為例,是臺灣資訊安全界最重要的學術活動之一,有助於促進學術界、政府單位、和產業界等在資訊安全領域的交流。所以每屆會議都會邀請學者、專家與會,藉由不同主題的專題演講及論文發表,提昇臺灣資訊安全領域的研究能量。除此之外,產、官、學界的資訊安全專家、工程師、應用界研發人才與研究者,也能藉此機會分享與資訊安全相關方面最新的經驗、心得、技術以及成果,並透過相互討論與學習成長。
范俊逸說,學會主要成員是教授、研究生、業界會員,目前總會員人數大約在 400 人左右,而即將舉辦的第 32 屆全國資訊安全會議,將由國立勤益科技大學負責承辦。回顧學會剛成立之初,還是處於使用磁碟片的年代,根本還沒有資安觀念。不過,隨著資安事件持續爆發,幾乎每個企業都在談論資安議題,因此我們定時舉辦全國資訊安全會議的目的,正是想提供各界資訊安全領域之專家與學者,最新的資訊安全趨勢與動向,並從中吸收更多的經驗與技術。正因如此,我們每年也會與日本、韓國等舉辦國際資安會議,以便可藉此掌握最新資訊與趨勢。
解決資安人才荒 中山大學功不可沒
除定時舉辦全國資訊安全會議、與其他國家進行深入交流,引進最新資安觀念與資訊外,培育資安人才也是中華民國資訊安全學會的主要工作之一。以前述提到的 2022 金融資安研習營,課程內容聚焦在資安法修法應對,並剖析各級機關資安的佈署重點,了解更多端點偵測回應以及資安監控管理系統,同時更可透過資安零信任的觀念建立,協助產業佈署固若金湯的資安環境。由於范俊逸本身也是國立中山大學工學院院長及資工系特聘教授,在學校全力支持下已於學士班開設資通安全學程多年,備受業界與學生肯定。
中山大學規劃的資通安全學程重點,是以密碼學為出發點的密碼協定設計與應用課程,著重在培養修習的學生具備融會貫通能力,能夠針對不同環境下的各種生活應用,利用密碼學的知識及各項密碼元件來設計、分析,並且檢驗安全協定以滿足安全需求。學程課程的另個重點,則是確保網路環境安全,藉由相關課程的規劃,教導學生保護自身的使用環境安全,避免受到來自於網路上的各項惡意攻擊。最後一項重點,則是資訊法律的部分,藉由法律的角度切入,檢視技術層面的可行性與合法性。由於資通安全學程內容深受肯定,該校近幾年更進一步開設資訊安全碩士班、資訊安全博士班,為臺灣培育所需的高階資安人才。
「以目前產業對專業資安人才的需求,多數公司都認為現四年制大學所接受的專業訓練,如資料庫、電腦網路、無線網路、電腦硬體、作業系統、演算法等專業課程,還不足以應付日益複雜的資安威脅。因此,我們在配合資安即國安的政策下,於 2019 年在資訊工程學系增設資訊安全碩士班,並於 2020 年成立資訊安全博士班,投入培育高階資訊安全領域人才的工作,以加速臺灣資安領域的發展,並提供產官學所需之資安人員。」范俊逸指出:「碩士班是在前述課程的基礎上,更深入研究數據安全、電腦系統安全、網路安全、駭客/病毒偵測及防禦、雲端服務、物聯網/行動裝置/網通設備之資安軟硬體監控防護等技術。」
產業攜手學校 有助資安人才接軌
資安課程與資工課程在思維上是不同的,資工人追求速度快、省空間,以便讓軟硬體發揮最大效益,相較之下資安人思維則是將安全放在首位,絕對不能因為省時間、省空間,而忽略安全的重要性。所以現今企業內部,也開始減少資訊人員兼任資安工作的安排,而是透過延攬專業資安人才,建構更為完善的資安架構。而中山大學的資訊安全碩士班課程設計強調理論與實務並重,並透過跨校、院、系的多元師資合聘及多面向的課程規劃,不論在師資及課程方面皆能提供豐富的資安研究能量,滿足培育資安人才需求,使學生在學期間能深耕於資安相關研究領域,畢業之後有足夠實力,在產官學界成為重要的高階資安專家,或繼續攻讀博士精進專業。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
鑑於業界對資安人才需求更為迫切,范俊逸建議產業界可善用學校的能量,除協助培育人才之外,也可與教授合作推動產學計畫。只是學校團隊對市場需求較為陌生,所以適合投入產品的前期研究、POC 等,主要確認概念或想法是否可行。而當創意或想法要轉化成商品階段時,還是得由產業依照市場需求、企業定位等,自行完成最後設計與包裝,才能達到事倍功半的效果。
范俊逸指出,雖然每個學校在人才培育部分,都有既定的計畫與機制,很難因為產業提出需求就改變。不過,產業界可思考在既有人才機制下,提供學校所需的相關資源或協助,如實習、資安講座、獎學金、共同開設課程等等。其次,則是透過推動產學計畫,彌補自身研究能量不足的問題,讓老師與學生共同執行產業需要的專案。然而,產業界與學校共推產學計畫的心態必須調整,不可以把產品開發流程完全交由老師完成。
善用精準資安概念 追求防護力、預算平衡
臺灣向來是全球遭受資安威脅最嚴重的國家之一,近幾年不光高科技大廠頻頻傳出遭到勒索軟體入侵,國家基礎設施亦曾爆發遭駭客攻擊的事件。因此,過去幾年企業資安意識明顯提升,也紛紛擴大在資安領域的投資,然臺灣經濟結構以中小企業為主,在企業營運規模不大,且資安預算有限的狀況下,很容易陷入不知道該從下手的窘境。為此,范俊逸提出精準資安的概念,建議企業用戶、臺灣資安廠商、資服業者等,應該先從釐清需求做起,才能打造真正符合營運所需的資安架構。
范俊逸表示,不光大公司與中小企業的結構迥異,即便是同產業的公司,也因組織架構、重要資料等均不同,市面上不會有一套可滿足所有公司、產業的資安產品。企業在建構資安防護架構時,也必須要體認到資安防護力不足會產生風險,資安防護建置過多則有成本暴增的疑慮。精準資安概念與大家熟知的精準醫療相似,就是針對真正的問題著手,藉由資安產品結合客製化服務,將資安風險降至可接受的範圍。因此,企業在規劃資安架構時,一定要選擇合適的理論基礎、技術架構,並盤點出需要保護的資料或服務。
由於資安防護強度高低與資安成本支出成正比,但並非每個企業都需要高強度的防護。因此,首要工作自然是先釐清自身需求,進而找到防護強度與支出之間的平衡點,才能真正達到精準資安的概念,達到保護資訊安全、兼顧整體成本支出的雙重目標。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
