你能想像在未來世界裡,資通安全將扮演著極其關鍵的角色?而隨著智能手機、智慧音箱和其他聯網設備的普及,對於資通安全的需求將更加迫切。這些設備所隱藏的潛在危險和風險,將成為我們需要特別關注和應對的重要課題。然而除了硬體產品存在被駭客入侵的風險,內建的軟體如果使用不安全的開源資源,也可能會被植入惡意木馬程式,甚至在使用者不知情的狀況下,成為驅動終端裝置的韌體,為駭客打開竊取資訊的大門。
面對日益嚴峻的資安挑戰,臺灣勢必要與各界高手過招,屆時要如何阻敵入侵、防護資通安全,已是如今刻不容緩之事。而2022年104人力銀行,也提出從近五年趨勢可觀察到,近年因疫情提升,也連帶提高數位化快速發展,例如2020年平均每個月的資安工作數已突破1,000大關,2021年則來到1,326個,與2017年平均每月539個相比,成長約1.5倍。
有鑑於此,我國國家資通安全政策,是由行政院國家資通安全會報負責督導,且我國在去年8月成立數位部及資安署,是為資安會報中最重要的執行幕僚機關。
其中,資安署將負責國家資通安全政策規劃、計畫核議及督導考核,整合資源強化國家資通安全防護能量,執行國家資通安全防護、演練與稽核業務等。希望先就國內重要機關、設施,持續強化精進整體資安防護,使重要機關及設施,皆能有效應對國際資安發展趨勢及應處最新資安威脅。
啟動三層式聯防機制,對內強化資安意識
「資安署主要是從三個層面去落實公務機關的資安聯防及管控。」數位發展部資通安全署鄭欣明副署長解釋道,「分別是資訊分享與分析中心(ISAC)、電腦緊急應變團隊(CERT)與資訊安全監控中心(SOC),藉由三層式環環相扣的緊密合作,以確保內部資安的應對能力」。
目前,國內政府機關及產業界正面臨快速的數位轉型,並大量運用資訊科技來輔助提升作業效率。其實在數位科技應用上所遭遇的資安威脅,與全球趨勢基本上大致相同;這些威脅包括:雲端環境帶來的開放性及複雜性,所衍生對應的資安風險、物聯網及行動設備的普及所促成的惡意程式演進、關鍵資訊基礎及OT設施的鎖定式攻擊或委外廠商被駭的供應鏈安全議題等,都對機關的資安防護及管理作業上,造成很大挑戰!
藉由資安署研定的三層式聯防機制,不僅可保障內部良好的資安環境,同時也能給予同仁正確的資安觀念。第一層SOC(事前監控),則是類似於一個監視器,不斷蒐集分析監測情資,一旦偵測到異常反應時就能啟動警訊,通知相關人員進行處置,以避免危害擴散並將傷害降到最低;而第二層CERT(事中通報),則是像負責處理協調資安事件的管理中心,假設資安攻擊事件發生時,CERT將即時接到各機關的通知,掌握整體資安事件發生情形,並適時協調資源協助因應,甚至發動聯防;第三層ISAC(事後分享),可視為資安體系的神經傳導中樞,資安署針對國內各關鍵基礎設施領域進行情資分享,並告知有哪些新的駭客手法要各部門嚴加防範,在攻擊行為尚未影響防護區域前,預先告警以達聯合防範之目的。
此外,資安署為持續應對新型資安威脅,不斷精進、發展資安防護措施,推動每4年1期的國家資通安全發展方案,以建構我國整體資安防護策略為目標。該方案旨在整合各部會資源,推動資安人才培育、促進資安產業發展、引進主動式防禦技術、確保落實資通安全法遵作業及公私協力聯防等作為,透過上述作為,不斷提升我國整體資安防護量能。
「例如與教育部共同推動的『資訊安全人才培育計畫』就是一例。」鄭欣明說明,「該計畫以厚植資安專業人才為實施重點,強調實務與產學鏈結的創新培育模式」,透過將整合國內大專校院資安教學能量,建立以需求為導向的資安人才培訓環境,協助孕育優質資安人才。
「另外,除了在學學生的培育外,資安署在產業界資安人才培育上,也提供相關資源的協助」鄭欣明補充,例如資安署自今年2023年7月至11月間,委由資安院辦理的「資安菁英人才培訓課程」,目前已舉辦3期課程,每期培訓約60名資安實戰人才,藉此精進不同領域產業之資安人才實戰能力。
廣發英雄帖邀請學子參與,孕育資安人才不遺餘力
「培育人才肯定是資安精進中最重要的核心」鄭欣明認為,因此除了在政策推動上的不遺餘力,資安署為能擴大國內的資安人才庫,積極辦理資安系列競賽。而資安系列競賽中,區分兩個部分,一個是「資安技能金盾獎」競賽,另一個則是「資安海報」與「資安影片」徵選活動。
鄭欣明分享,其實最早自2006年政府即開始著手舉辦「資安技能金盾獎」競賽,透過高手競技的方式,提升學生對於資安領域的興趣並提升攻防實戰的技術能力。
「今年報名的組數有241組,比去年成長近8成,」鄭欣明分享,且從報名數據可反映出,有越來越多的學校及相關科系的學生,逐漸展現對資安領域的重視與興趣。過去金盾獎在題目的安排與設計上,都是以透過破解漏洞找出金鑰作為得分項目;但考慮近年駭客手法層出不窮,主辦單位也透過模擬真實情景的方式設計題目,使得參賽團隊更能實際感受解題過程,並將競賽題目與時事接軌,貼近臺灣當下面臨資安情況。
「資安技能金盾獎已被教育部資安學研人才培育計畫,列入大學入學特殊選才管道條件,確保競賽前三名優勝者日後升學能持續發展精進資安技術」鄭欣明進一步補充,歷年的優勝者在資安領域也持續展現出優異表現,其中不乏有代表臺灣參與全球規模最大、聚集全球頂尖資安高手的「世界駭客大會搶旗攻防賽(DEF CON CTF)」,並獲得傲人的成績,這顯見辦理競賽,確實挖掘及培育了許多潛在的資安人才。
此外,資安系列競賽不僅旨在挖掘資訊相關科系人才,更重要的是讓資安意識能廣泛深植到學子心中,讓更多人都能正視這個議題的重要性,因此還規劃了「資安海報」與「資安影片」的徵件活動,期許能讓非本科系的學生,透過集思廣益、激發創意的方式,更深入地了解資安的概念。鄭欣明指出,今年徵件活動特別以「網路安全智慧:預防網路騙局,守護你我資安」為主題,鼓勵參賽者反思在網路釣魚及詐騙訊息猖獗的當下,應該如何自保與防範;後續資安署及資安院,會把這些有創意的得獎作品再作進一步宣傳,以達成將資安觀念有效融入生活的目標。
「資安署也認為人才培育不應該侷限於學生,對於在職人員也應提供相關的規劃」鄭欣明強調,不同產業對於資安的需求各有不同;因此透過課程賦能的方式,讓這些在職人員就地升級、通過對應培訓獲得資安專業知能,將有助減輕各界對資安人才需求缺口,所以不論是學術界或是產業界,全方位的資安人才培育都是未來重要的工作。
「只要你勇於挑戰都可以加入資安人才的行列」鄭欣明以自身經驗分享,並鼓勵說道,其實資安的領域日新月異,每隔幾年就必須提升自身專業知識,以因應新的技術發展,需要保持開放心態並樂於接受挑戰,是在這個領域找到成就感並勝任資安工作的關鍵。
