代表臺灣參加八月上旬在美國拉斯維加斯舉辦的DEF CON CTF競賽的臺灣代表隊HITCON,比賽最終成績揭曉,獲得全球第四名的好成績,比第五名中國的藍蓮花(Blue-lotus)成績表現更好。行政院副院長張善政今(26)日上午出席第11屆臺灣駭客年會企業場致詞時表示,政府除了積極強化資安防禦能力外,也希望從產學合作角度,進一步落實資安人才培育。他認為,政府協助投入資源,藉由舉辦大型的、國際化的資安會議,例如將HITCON臺灣駭客年會HITCON,打造成亞洲最大的國際資安會議,藉此國際交流,讓強化資安防禦能力和培育資安人才的政策開花結果。
運用大資料分析,打造第二線政府資安監控中心
張善政表示,過往政府依照政府機關的重要性分成ABC等3個等級,以往被列為A級的資安單位,除了購買基本的防火牆等資安設備外,還都被要求做即時的流量監控,就要打造資安監控中心(SOC)。從加入政府部門運作之初,他表示,初步估計有一百多個單位,已經建立SOC資安監控中心。
不過,以往的資安分級不見得是針對資訊系統重要性做分級,為了讓政府機關的資安分級更符合現實的資安等級重要性,張善政表示,從去年開始,重新調整政府的資安分級,除少數機關降級外,多數機關都升級一~二級。在政府機關資安等級普遍升級之際,則強制要求各部會將資安列為重要的預算規畫之中,政府也在科技預算納入資安相關預算。
在面對資安議題時,政府早期仰賴行政院科技會報技術服務中心(簡稱技服中心)協助機關進行各種資安事件的處理,但張善政坦言,技服中心忙於協助沒有資安預算的單位,進行第一線的資安事件處理,並無法真正掌握整個國家的資安威脅現況。專注在第一線資安事件處理時會發現,政府機關一旦受駭都必須依照規定進行資安通報,假設一年如果通報三次,實際發生的次數往往多於三次。「這也是政府機關在面對資安事件通報時,必須面對的現實。」他說。
他認為,政府應該要把資安能量放在掌握國家整體資安狀況,而不是侷限在處理單一資安事件,因此,張善政將技服中心轉型成為第二線的資安監控分析單位,第一線資安事件則由各政府機關委由資安廠商協助處理。他也要求,技服中心負責的第二線資安監控,必須和第一線各機關與民間單位的資安監控中心介接,除了可以收到所有政府企業攻擊封包資料,也引進大資料分析技術。
張善政說:「技服中心的第二線資安監控中心過濾政府企業所有封包流量,也可以藉此掌握政府和企業面臨的資安威脅,可以更即時發現政府和企業所面臨的資安受駭狀況,也知道政府企業面臨的資安威脅趨勢為何。」也因為技服中心會收到所有政府資料,過濾以前的資料,當引進大資料工具分析後,未來技服中心不僅是國家的SOC,也會是資安先導單位,當第二線收到分析資料就可,以知道政府和民間受駭狀況。
除了政府部門外,也挑選了八個跟關鍵基礎建設有關的產業,包括電力能源、金融、醫院等產業,列為國土安全的一部分。舉例而言,電力公司的配電系統和工業控制系統,都必須列入政府資安防禦系統中。雖然政府將資安預算納入科技預算內,部分克服資安預算不足的問題,但「金融業看好未來大資料技術的發展,出現和其他企業及政府爭取資安人才的競逐場景,」他說,因為政府組織出不起高額的薪水聘任高薪的資安人才,只好仰賴民間協助解決資安事件,但基本上仍是很大的資安人才壓力缺口。
彌補龐大資安人才缺口,從打造產學合作的機制著手
資安人才最大的來源是學校,但張善政坦言,很多在國際比賽表現傑出的選手,政府提供的資源並不多,大多是選手和一些企業支持下的發展。而相較韓國傾國家企業之力培養資安人才,他認為,臺灣政府的目的不再培養資安競技選手,而是希望透過各種產學合作的方式,讓在學校的師生可以接觸到實際的資安事件和真實社會,讓資安成為真正可以養活自己的一技之長。
不過,要培養資安人才就必須讓學生懂得使用這些工具,「這些網路和鑑識的資安工具都很昂貴,若要採購相關設備,教育部甚至得編列超過七位數的設備採購預算,」張善政表示,這樣龐大的支出已經超出目前政府能力範圍,政府便思考,希望藉由企業贊助建立一個資安分析平臺,不要由每個學校自己建立實驗室,在政府網路(GSN)和學術網路(TANET)的門口側錄封包,提供學生在這個平臺有實際封包側錄,這平臺上面就有很多虛擬機器供各校使用,這也有助於臺灣資安人才培育。
除了讓各校的師生在平臺上,熟悉各種企業在使用的工具外,教育部和經濟部也將聯手建立一個產學合作的學生實習機制,未來在放暑假時,學生可以到企業實習,接觸真實的攻擊流量並分析攻擊手法,不僅是有學分的實習,學校教授也必須陪著學生一起看流量、做分析,讓學校老師更接觸真實流量,對未來教學上可以更務實。
把HITCON資安會議國際化,匯集政府和企業資源面對險峻資安威脅
不論是為了要掌握政府和企業的整體資安威脅現況,或者是,讓學校培育的資安人才有表現的機會,張善政說:「舉辦一個具有國際視野的資安會議是一個好方法。」最好的方式就是打造一個亞洲最大的資安會議,可以彙整全亞洲政府和企業的資安資源和交流平臺。他表示,政府現在不自己編預算、辦活動,透過提供資源,協助已經成熟的HITCON,變成臺灣招牌的資安會議,臺灣駭客年會企業場讓政府和民間的資安從業人員有交流機會;臺灣駭客年會社群場則鼓勵資安技術的切磋,並讓HITCON CTF的競賽打造變成臺灣甚至是亞洲最大的招牌競賽。
臺灣駭客年會HITCON企業場總召蔡松廷(網路膩稱TT)表示,要改善資安環境,指光靠資安社群的努力是不夠的,要透過大型的資安會議,引進國外最新的資安趨勢議程和資安高手,讓政府和企業開拓眼界,願意投資資安並改善資安環境,成為改善臺灣資安環境的支持力量。