臺北市資訊局局長李維斌日前在資安產業發展會議(SRB)中,對外界揭露資安產業場域實驗試辦計畫,這也借鏡本身智慧城市產業場域試辦計畫的經驗,期望彌補地方政府資安不足與帶動整體產業發展(圖片來源/行政院)。

為促進資安產業發展,臺灣中央政府除了在經濟投資、人才培育、法規與國際化等面向,需做出改變,開放資安攻防實驗場域,也成為地方政府帶動資安發展的新招,期許在經費、人力不足的情況下,透過結合民間的做法,試圖找出優先強化的防禦關鍵,彌補自身資安方面所欠缺的服務需求,同時,也能帶動鍛鍊國內資安解決方案,作為練兵場域,進而成為拓展國際市場的一種經驗。

日前臺北市資訊局局長李維斌在資安產業發展會議(SRB)上,也首度對外界揭露,臺北市資安產業場域實驗試辦計畫的發展現況,目前已有16款產品投入臺北市資安場域進行概念驗證(Proof of Concept, POC),當中包含APT、DDoS、虛擬網路、網頁安全、端點安全、漏洞評估與威脅情報與等8大資安產品類型,不僅期望成為國產資安產品的試驗測試場所,同時也解決現階段地方政府資源不足的窘境,找出補強重點。

將城市變成資安練兵場,不只培植本土產業,又能找出得先補齊的資安防禦缺口

談到臺北市資訊局近年在資安方面的發展,李維斌首先點出了地方政府資源有限的困境,像是臺北市政府的資安預算佔總預算僅萬分之四,加上受限的聘人機制,目前資訊局僅調配1.5個人力,並強調是專責而非專職,加上遇到資安問題就只有被指責的份,即便處理得宜仍不被外界所體諒,他更是以沒人、沒錢、沒地位來比喻資訊局的環境。

即便臺北市是各地方政府之首,挹注在資安方面的資源亦相當有限,而這也是所有地方政府,都可能面臨的困境,因此整個大環境需要做改變。「資安投資到底是戰略資產投資,還是固定資本支出?」李維斌更是拋出這樣的問題,讓大家來思考。

而在現行局面之下,沒有人、沒有錢該怎麼辦,如何與民間的力量串連起來,採互相合作的方式,是政府一直在思考的事。近年臺北市資訊局在智慧城市發展的機制上,就推動了「臺北市智慧城市產業場域實驗試辦計畫」,期望協助打造整體生態系,也能藉由情境設定促成局處協作,並與產業創新解決方案媒合。

據臺北市資訊局的經驗,之前為發展智慧城市及物聯網應用,就是先從打造智慧場域做起,期許提供企業一個大型的試驗場域,為民間業者提供一個更好的實證環境與機會。像是在臺北市提供的實驗場域中,有業者已經展開自動駕駛小巴上路實驗,期許從技術測試到法規遵循,最終產業化發展,另外也有智慧車站、空氣盒子等實驗案例。

而對於資安產業場域的實踐,背後的推動同樣也建立在此機制之上。李維斌提到,現在,臺北市資訊局已經與各局處都有了磨合經驗,並發展出一定的模式,能與各局處的資訊中心合作,並達到緊密配合的效果。

「目前臺北市政府資安場域中,已有16多款產品投入場域進行POC。」李維斌說,這些資安POC驗證,並非只是簡單架兩、三臺電腦而已,而是可以大區域施行,他更強調:「由於地方政府本身的資安拼圖不是很完整,像是該有的產品都有,但重點是服務都沒有到位,因此,目的是為了搞清楚到底還缺什麼。」

在臺北市資安產業場域中,已經投入包含了8種類型的資安產品,包括3種APT解決方案、3種端點防護與EDR方案,關於網路安全、虛擬網路、漏洞評估、DDoS解決方案也各有兩種,另外也有網路威脅情報服務與解密裝置各一,總共16種。

李維斌並舉例,像是今年9月發生CCleaner遭植入後門,使用戶電腦可讓駭客入侵及竊取資料的事件,其實,在媒體報導快一個月前,他們在8月24日就先發現該事件的攻擊樣本,系統並定義為Lever 4的安全層級,算是相當嚴重的事件(最高為Level 5,但實際上只會定義到Level 4),因此著手調查,雖然因為POC的緣故,後續廠商與臺北市資訊局沒有往下繼續追,但李維斌認為,藉由臺北市政府提供大範圍場域的合作機會,臺灣也可能成為第一個發現此問題的國家,合作廠商也可能利用這樣的POC機會發表分析成果。

李維斌認為,很多業者需要POC的場域來實做,像是可進行產品研發與後續技術成效的驗證,更關鍵的是,這些場域的提供也要地方政府相互配合,臺北市政府現在就已經這麼做。

而這樣的機制執行下來,透過合作的方式,不論是由上到下,對應資安方案需求,藉由情境設定促成局處協作,並與產業創新解決方案媒合,對地方政府能彌補不足之處,並可找出得先補齊的防禦缺口;或是由下到上,廣邀民間業者提案,藉此創造具國際競爭力之技術、產品及服務。整體而言,不僅是期望支持本土資安產業投入研發,同時也期望促進國內資安與資安產業的發展。

在臺北市資安產業場域中,目前已有16款資安產品與解決方案投入進行概念驗證(Proof of Concept, POC),當中包含APT、DDoS、虛擬網路、網頁安全、端點安全、漏洞評估、威脅情報與解密裝置等8大資安產品類型(圖片來源/行政院)。

資安沒錢沒人怎辦?更要靠跨域聯防及早掌握情資

近年政府為強化機關單位的資安防護,中央政府也正推動區域與跨域的聯防機制,畢竟要落實資訊安全,只靠政府部門單打獨鬥並不容易,攜手民間共同進步是一種方式,才能面對不斷演變的資安威脅環境。

對於地方政府而言,如何在資源受限的情況下,找出因應之道,李維斌也點出臺北市政府資訊局的處境、需求、經驗與期盼。

「對於資安,沒人、沒錢,情資就很重要。」李維斌並進一步說明他們對於情資的需求性,在於要能做到預防。他更是比喻,這裡的情資是要能預防注射的疫苗,而不是發給大家口罩,有很多情資都是已經發生的事情,如果已經大範圍感染,要大家注意也都來不及了。

而一般與各縣市政府交換情資,通常都是已經發生的事件,除非要跟業界合作,讓預防的機制能及早啟動,建立跨域的資安聯防機制。李維斌並指出,事先預防的成本真的低很多。

李維斌表示,如果可以把聯防機制建立起來,就需要業界提供很多的解決方案,最好能搭配成為一完整解決方案,最終,讓公務員可以辦好自己的事情,廠商也能獲得足夠資訊並做出解決方案,也許又能將整提資安環境再提升到另一個層次。畢竟,各地方政府應該都面臨相同的問題,沒有能力培養資安方面的高階人才。

不僅如此,李維斌也提出一些政府單位當前的需求,像是在資安威脅情資方面,希望業者多研發自動化的功能,因為就地方政府資訊單位而言,像是監控中心一天若是收到上千的系統警告通知(Alert),並沒有足夠人才分析處理,是否能提供自動化功能來把問題收斂,提供更符合現實環境需求的解決方案。

他認為,這不僅是地方政府的需求,在市場上,業者若能提供這樣的解決方案,資安產業也不怕走不出國際。藉由資安產業場域實驗等計畫,臺北市政府願意提供資安實驗場域,讓資安廠商可以展現實力和能量,未來甚至能以臺北市當品牌來行銷國內外。


Advertisement

更多 iThome相關內容