行政院副院長張善政：將助HITCON成為亞洲最大國際資安會議，讓臺灣資安人才更能站上國際

代表臺灣參加八月上旬在美國拉斯維加斯舉辦的DEF CON CTF競賽的臺灣代表隊HITCON，比賽最終成績揭曉，獲得全球第四名的好成績，比第五名中國的藍蓮花（Blue-lotus）成績表現更好。行政院副院長張善政今（26）日上午出席第11屆臺灣駭客年會（HITCON）企業場致詞時表示，政府除了積極強化資安防禦能力外，也希望從產學合作角度，進一步落實資安人才培育。他認為，政府協助投入資源，藉由舉辦大型的、國際化的資安會議，例如將HITCON打造成亞洲最大的國際資安會議，藉此國際交流，讓強化資安防禦能力和培育資安人才的政策開花結果。

運用大資料分析，打造第二線政府資安監控中心

張善政表示，過往政府依照政府機關的重要性分成ABC等3個等級，以往被列為A級的資安單位，除了購買基本的防火牆等資安設備外，還都被要求做即時的流量監控，就要打造資安監控中心（SOC）。從加入政府部門運作之初，他表示，初步估計有一百多個單位，已經建立SOC資安監控中心。

不過，以往的資安分級不見得是針對資訊系統重要性做分級，為了讓政府機關的資安分級更符合現實的資安等級重要性，張善政表示，從去年開始，重新調整政府的資安分級，除少數機關降級外，多數機關都升級一～二級。在政府機關資安等級普遍升級之際，則強制要求各部會將資安列為重要的預算規畫之中，政府也在科技預算納入資安相關預算。

在面對資安議題時，政府早期仰賴行政院科技會報技術服務中心（簡稱技服中心）協助機關進行各種資安事件的處理，但張善政坦言，技服中心忙於協助沒有資安預算的單位，進行第一線的資安事件處理，並無法真正掌握整個國家的資安威脅現況。專注在第一線資安事件處理時會發現，政府機關一旦受駭都必須依照規定進行資安通報，假設一年如果通報三次，實際發生的次數往往多於三次，忙於處理資安事件也容易忽略資安全貌，「這也是政府機關在面對資安事件通報時，必須面對的現實。」他說。

他認為，政府應該要把資安能量放在掌握國家整體資安狀況，而不是侷限在處理單一資安事件，因此，張善政將技服中心轉型成為第二線的資安監控分析單位，第一線資安事件則由各政府機關委由資安廠商協助處理。他也要求，技服中心負責的第二線資安監控，必須和第一線各機關與民間單位的資安監控中心介接，除了可以收到所有政府企業攻擊封包資料，也引進大資料分析技術。

張善政說：「技服中心的第二線資安監控中心過濾政府企業所有封包流量，也可以藉此掌握政府和企業面臨的資安威脅，可以更即時發現政府和企業所面臨的資安受駭狀況，也知道政府企業面臨的資安威脅趨勢為何。」也因為技服中心會收到所有政府資料，也可以透過過濾以前側錄的封包資料，追蹤資安事件源頭，當引進大資料工具分析後，未來技服中心不僅是國家的SOC，也會是資安先導單位，他表示，當第二線收到分析資料，就可以知道政府和民間受駭狀況。

除了政府部門外，也挑選了八個跟關鍵基礎建設有關的產業，包括電力能源、金融、醫院等產業，列為國土安全的一部分。舉例而言，電力公司的配電系統和工業控制系統，都必須列入政府資安防禦系統中。雖然政府將資安預算納入科技預算內，部分克服資安預算不足的問題，但「金融業看好未來大資料技術的發展，出現和其他企業及政府爭取資安人才的競逐場景，」他說，因為政府組織出不起高額的薪水聘任高薪的資安人才，只好仰賴民間協助解決資安事件，但基本上仍是很大的資安人才壓力缺口。

彌補龐大資安人才缺口，從打造產學合作的機制著手

資安人才最大的來源是學校，但張善政坦言，很多在國際比賽表現傑出的選手，政府提供的資源並不多，大多是選手和一些企業支持下的發展。而相較韓國傾國家企業之力培養資安人才，他認為，臺灣政府的目的不在培養資安競技選手，而是希望透過各種產學合作的方式，讓在學校的師生可以接觸到實際的資安事件和真實社會，讓資安成為真正可以養活自己的一技之長。

不過，要培養資安人才就必須讓學生懂得使用這些資安工具，「這些網路和鑑識的資安工具都很昂貴，若要採購相關設備，教育部甚至得編列超過七位數的設備採購預算，」張善政表示，這樣龐大的支出已經超出目前政府能力範圍，政府便思考，希望藉由企業贊助建立一個資安分析平臺，不要由每個學校自己建立實驗室，在政府網路（GSN）和學術網路（TANET）的網路閘口側錄封包，提供學生在這個平臺上側錄的實際封包，供各校在這平臺上的虛擬機器使用，也有助於臺灣資安人才培育。

除了讓各校的師生在平臺上，熟悉各種企業在使用的工具外，教育部和經濟部也將聯手建立一個產學合作的學生實習機制，未來在放暑假時，學生可以到企業實習，接觸真實的攻擊流量並分析攻擊手法，不僅是有學分的實習，學校教授也必須陪著學生一起看流量、做分析，讓學校老師更接觸真實流量，對未來教學上可以更務實。

把HITCON資安會議國際化，匯集政府和企業資源面對險峻資安威脅

不論是為了要掌握政府和企業的整體資安威脅現況，或者是，讓學校培育的資安人才有表現的機會，張善政說：「舉辦一個具有國際視野的資安會議是一個好方法。」最好的方式就是打造一個亞洲最大的資安會議，成為彙整全亞洲政府和企業的資安資源和交流的平臺。他表示，政府現在不自己編預算、辦活動，透過提供資源，協助已經成熟的HITCON變成臺灣招牌的資安會議，臺灣駭客年會企業場讓政府和民間的資安從業人員有交流機會；臺灣駭客年會社群場則鼓勵資安技術的切磋，並讓HITCON CTF的競賽打造變成臺灣甚至是亞洲最大的招牌競賽。

臺灣駭客年會HITCON企業場總召蔡松廷（網路暱稱TT）表示，要改善資安環境，只光靠資安社群的努力是不夠的，要透過大型的資安會議，引進國外最新的資安趨勢議程和資安高手，讓政府和企業開拓眼界，願意投資資安並改善資安環境，成為改善臺灣資安環境的支持力量。