35%公部門資安人力短缺 國網中心前主任:高強度防護靠4重點培訓

出版時間 2021/08/31
論者針對公部門資安人力的培育,提出數項芻議以供政府決策者和先進參考。圖為示意畫面。路透資料照片
論者針對公部門資安人力的培育,提出數項芻議以供政府決策者和先進參考。圖為示意畫面。路透資料照片

葉俊雄/曾任國家高速網路與計算中心主任

近日,審計部的年度中央政府總決算審核報告指出,有高達35%、193個公務機關資安專職人力配置不足,短缺259人與數百張資安專業證照,其主因為員額限制、預算不足、或難望業界項背之薪俸。行政院將透過多管道方式逐步補強,並規劃分階段補足。

資訊安全是一場易攻難守永不止息的戰鬥,隱藏於四面八方的外部駭客及內賊隨時隨地伺機出擊,而台灣更是時時遭受中共網軍的侵擾。資安領域廣泛,專業技能的養成不易,優質的專業人士極為可貴。

針對資安人力的培育,筆者提出數項芻議,以供政府決策者和先進參考,下文所述乃是以公部門為主要對象。

一、設立資安人力培訓的專責中心,也許可歸屬於規劃中的數位發展部。培訓中心要依實際需要制定課程,理論與實作兼顧,防禦與攻擊並重,並隨科技發展而更新教材,由淺而深的引導,有規劃循序的培訓,可與産學研界合作開發課程。課程宜涵蓋資安三面向:管理、技術、實體,一個高強度的資安防護系統必須三面向同時顧及方能奏效。訓練課程可依技術的深度和困難度分初中高三階級,至少宜包括廣泛的基礎扎根、攻擊手法和行為、防禦技術/演練、防禦系統設計、縱深防禦、工具使用實作、漏洞/威脅偵測、事故追查與分析、管理體制設計、風險管理、工具開發、新技術引人等領域。

二、建置孤立大型仿真的資安培訓環境。資訊安全是最實務的專業,所有的技能都要在網路世界裡展現真工夫,有實作及實戰的經驗才能打下紮實的基本功夫。但培訓不宜在真實世界實施,小疏忽也會造成大動盪或實質傷害。培訓環境要具備各種攻防工具,且必須自擁隔離的獨立網路,可與産學研界合作串連。它也可以做為硏究實驗、資安產品測試、紅籃隊攻防對戰的「戰場」。

三、公部門資安人力的招募可由各單位為之,或則仿效公部門會計/人事的一條鞭體制,由某單位統籌招募,再配置至各單位。後者的優點是所有公部門可以有一致的資安政策及策略,而其挑戰是:資安運作必須與資訊設備的管理者和使用者密切合作,才能達到最佳的功效,否則,可能問題叢生,障礙重重。由於白帽駭客可能因利益或個人因素,而變身為黑帽或灰帽駭客,所以,招聘時,應徵者的人格品德與專業才能要同等重視,背景調查格外重要,務必嚴謹評審

四、新聘人員須先到培訓中心接受嚴格密集訓練6(或4)個月,有多年資安實務經驗且擁有有效資安證照者可免除訓練,培訓後半年內須考取一張初級資安證照。如同軍事學校,錄取並不保證能結業,未能結業就不能當軍官/士官,培訓未通過或未取得證照者不予錄用。就職後仍須持續學習,如每年40小時的資安訓練。結訓後4年內,須考取一張職務相關的中級資安證照,之後4年內,須再考取一張職務相關的高級資安證照的,在職資安訓練和證照的取得亦可列入績效考核的評量項目裡。如此才能保持「戰技及戰力」,永續捍衛國家安全。

資訊科技的快速進步及應用普及,使得資訊設備已是營運/工作/生活/娛樂必有的工具/用品,這致使資安已為國家安全極為重要的一環,諸多國家也紛紛成立第五軍種的正規網軍。公部門資安人力的不足務必高度關注與重視,解決之道必須有長程的思維和使命,期盼上述的芻議能對台灣的資安體質和人力培育有所助益。


電價調漲補助垃圾焚化發電 環團憂加劇污染:何不調漲垃圾費率「引導減量和回收」
電價調漲補助垃圾焚化發電 環團憂加劇污染:何不調漲垃圾費率「引導減量和回收」
出版時間: 2022/07/06 13:23
恩恩案「救護車路上瞎跑也不好」說 專家打臉:忽略到院前緊急救護重要性
恩恩案「救護車路上瞎跑也不好」說 專家打臉:忽略到院前緊急救護重要性
出版時間: 2022/07/04 12:06