行政院資安處處長簡宏偉表示,政府預計在兩年內,以8.09億元成立資安卓越中心,希望可以成為亞太高階資安人才及技術創新基地。

圖片來源: 

iThome

面對現在的各種網路攻擊手法越來越複雜,包括政府和產業對於資安具有攻防實務的高階人才需求也愈形殷切,加上,政府機關預計在2021年必須補足不足的資安人力,因此,行政院資安處推出一個五年期的資安人才培育計畫:《臺灣資安卓越深耕計畫-資安卓越中心計畫》,計畫執行年限為2021年1月~2025年8月。該項計畫全程(2021~2025 年)經費需求 16.36 億元,日前於立法院臨時會院會通過預算審查,以不凍結預算的方式,通過 2021~2022年資安卓越中心8.09億元的專案預算。

行政院資安處處長簡宏偉表示, 資安卓越中心主要是偏重研究和訓練,而在2018年9月成立的資安學院則是資安卓越中心的前身,面對許多人將目前協助政府提供相關資安攻防服務的行政院技術服務中心,等同於資安卓越中心。他更直言,資安卓越中心銜命國家安全的資安研究,技服中心偏重資安防護,兩者性質不同,不可以放在同一個籃子中做比較。

中研院資訊科技創新中心研究員兼行政院科技會報辦公室副執行秘書李育杰表示,資安人才可以分成「資安研究」、「資安研發」、「資安實務」以及「資安管理」等四種類型,養成機制也會有所不同,必須要透過多元管道才能夠培養臺灣所需的資安人才,並可以透過資安卓越中心所招收的資安專家,建立國家戰隊,並與例如HITCON等資安社群合作,經過各種資安競賽「以戰代訓」方式,再與研究單位合作,進一步強化其研發能力,並輔導其投入資安產業或成為資安新創人才,也可以在與實驗室合作的過程中,挖掘具有學術研究潛力的成員,透過實驗室的培養成為資安學術研究專家,可以為大學教育進行拾漏補遺。

培訓資安高階人力,補足資安法規範資安人力缺口

《資通安全管理法》於2019年元旦開始實施,相關的公務機關也必須依法在2020年底前,補足A級機關4人、B級機關2人和C級機關1人的專責資安人力,面對這龐大的資安人力缺口,行政院資安處也規畫《 臺灣資安卓越深耕計畫》,目的就是以成立「資安卓越中心」為核心,定位為國家級前瞻研究中心,具備國際級前瞻研究能量,發展資安科技的同時,也同時要做到培訓資安高階人才,從技術面與人才面,為臺灣2030年資安需求扎根,預計將成為亞洲地區代表性高階人才及技術創新基地。

其中,資安卓越中心負責培訓臺灣具有資安潛力的菁英,藉由挑選產、學、政、軍的高階人才進行培訓,搭配建置工控場域,培養具備實戰能力的頂尖資安人才,並透過這些高階人才協助政府以及關鍵資訊基礎設施(CII)相關業者提供資安防護,藉此填補《資安法》規定的公務以及特定非公務機關的資安人才缺口。

早在2018年9月,行政院為了培養資安人才,在不與民爭利的前提下,先成立虛擬的行政院「資安學院」,這並不是實體的資安培訓單位,而是由行政院出面整合既有的民間資安訓練機構,訂定資安訓練課程內容。未來,不論是公務或者是特定非公務機關需要派人到資安培訓機構受訓,只要符合資安處訂定的課程要求,經過評量並通過合格標準,資安學院就會頒發訓練證明的證書。

簡宏偉表示,資安學院成立初期是以金融以及物聯網領域為優先,希望以招募200名學員為目標,接下來也會將資安人才訓練擴及到5+2產業,長期目標則是希望可以進一步成立「資安研訓院」。

資安學院是從產業發展的資安人才需求出發,以金融產業的資安人才為例,除了必須了解金融領域相關內控與法規外,也必須要懂得資安治理、最新資安威脅和攻擊趨勢、資安事件危機處理程序、解讀異常記錄、稽核實作等技巧,協助金融機構的中高階主管,可以掌握金融領域安資安展趨勢以及具備資安決策能力。

物聯網領域除了要了解物聯網領域的資安產業標準與趨勢外,也必須要了解如何做到安全的網路架構與軟體設計,並且懂得資安事件危機處理惡意程式分析與採證等專業能力,目的希望可以協助物聯網產業的從業人員,可以研發更安全可靠的資通產品和服務。

當資安已經成為各個產業升級時最重要的基礎時,原先規畫的資安學院培養的人才已經不敷所需,因此,行政院資安處更規畫以培養更高階資安人才的「資安卓越中心」取代原先規畫的「資安研訓院」。

資安卓越中心發展的五大面向

臺灣積極推動DIGI+方案以及5+2產業創新計畫,為了帶動產業數位升級,資安已經成為最重要的基礎,而規畫《臺灣資安卓越深耕計畫-資安卓越中心計畫》則是以「成為亞太高階資安人才及技術創新基地」為目標,除了設立資安卓越中心之外,更要從資安前瞻研究、養成頂尖實戰人才、建置實習場域、國際合作,以及技術移轉創新育成等五大面向著手發展。

首先,資安前瞻研究的部份,簡宏偉直言:「資安卓越中心主要就是銜命國家安全的研究,」也就是說,是一個依照國家任務導向作為研究方向的單位,要能夠提供政府機關短、中、長期所需應用技術的研究為主。

簡宏偉表示,資安卓越中心定位為國家級前瞻資安國際研究中心,類似國家衛生研究院的定位,其主管機關不僅具備一定高度,更重要的是,資安卓越中心未來將朝向固定挹注經費,朝向永續運作的目標努力,也將主動出擊,積極網羅海外頂尖高階研究人員及打造一流培訓師資團隊;而為了確保資安卓越中心的長期研究績效,也將參考美國國家型實驗室或是研究機構的行政與技術等監督機制。

因為這類國家級前瞻資安研究的議題多屬機敏,不僅會視議題敏感程度做分級,為了確保研究議題的安全性,參與相關研究的學者,也會做背景的安全查核,希望以專任的方式聘用,以有效保護研究成果;如果屬於學術研究議題,則可以採用開放源碼的方式,並在國際資安研究社群會議發表,累積國際聲譽並奠定國際合作的基礎。

若從技術面來看,包括:主動式防禦技術、惡意攻擊溯源追蹤、弱點挖掘自動化、駐外館處的安全網路通訊技術、5G政府網路的資安防護架構等;政策面研究則包括:跨國網路戰的國際法規研究、平戰轉移等相關議題。第一年將以主動式防禦技術或 5G 政府網路的資安防護架構為主,後續年度研究主題將視當前需求訂定。

其他,關鍵核心研究則屬於長期的基礎研究,目的就是以發展國防、國安的關鍵技術和研究為主,例如後量子密碼技術、人工智慧資安攻防技術、暗網攻防技術、零時差弱點研究及包含工控系統的解決方案等。相關的研究人力將以專任為主、兼任為輔,也會邀請國內外知名的年輕、有潛力的資安學者與專家共襄盛舉。

初期關鍵核心研究的主題將以「量子安全」技術研究為主,雖然目前量子電腦仍屬實驗階段,但近期有大量資源投入量子研究中,而隨著量子位元增加快速,要破解目前網路通訊與機敏資訊所使用的加密技術的可行性也越來越大。加上,量子的不可複製性、量測不確定等物理特性,都可以確保資訊傳輸安全,若用來設計密碼學,將可能不會受到量子電腦的威脅。因此,資安卓越中心也將規畫五年的研究計畫,要研究與證實量子破密以及對抗量子電腦的相關安全技術。

第一年的目標定為「量子破密技術研究與驗證」,將研究分析量子運算與其破密的原理,並設計量子破密演算法進行概念性驗證;第二年研究目標則是「後量子密碼技術研究」,了解國際後量子密碼技術的發展現況,並設計後量子密碼演算法進行概念性驗證。第三年研究目標則是「量子密碼技術研究」,將研究分析量子密碼技術的理論基礎,建構實驗場域,並設計量子密碼演算法進行概念性驗證;第四年~第五年的研究目標則為「後量子與量子密碼整合應用研究」,分析量子與後量子密碼技術的應用整合,並取代現有密碼演算法的可行性,設計量子與後量子密碼應用整合方法,進行概念性驗證。

其次,關於頂尖實戰人才的養成,不僅需要具備資訊及資安的基本知識和技能,更需要多年實務經驗的累積和技術鑽研,而相關高階人才需要具備的資安攻防實務、密碼學及破密分析、數位鑑識實務、系統漏洞分析及挖掘、資安威脅情資整合應用等能力,皆需要長時間的累積與養成,也成為高階資安人才養成不易的關鍵。因此,資安卓越中心也希望透過發展人才鑑定與證照制度,作為未來產業用人的參考依據。

培訓初級的對象,除了則優挑選產、學、政、軍的人才外,在相當學經歷等各觀條件下,也將優先調訓女性,以減少在資通訊領域職業性別隔離情況,並針對不同類型的資安人才,規畫取得證照或通過考試等不同評核機制,讓完成培訓的資安頂尖人才可以獲得薪資較為優渥的就業機會,也可以協助政府及關鍵資訊基礎設施(CII)的資安防護,作為國家面臨緊急狀況人的調用人力後盾,而長期招收對象也將擴及亞太地區,並以成為亞太資安頂尖人才培育基地作為目標。

第三,建置實習場域的部份,可以分成三種類型的場域。第一種是以關鍵基礎設施的工控場域為主要建置對象,包括能源、水資源、交通、衛生醫療各領域,相關場域將提供相關單位的教育訓練及攻防演練。

資安卓越中心也會定期評估國內各關鍵基礎設施人才需求的迫切性、需求量以及優先順序,作為國家型工控/OT場域的規劃,預計從2021年~2025年間,每年都會在資安卓越中心內,建置一座關鍵基礎設施的工控場域,依序建置的工控場域,分別是:2021年建置水處理工廠;2022年建置供水廠;2023年建置發電及輸配電站;2024年~2025年建置化工精煉廠等工控場域。

相關工控場域的建置,也會比照廠區實際作業流程和操作環境,達到防護實體網路系統的作業流程,並針對相關從業人員進行資安攻防演練並驗證資安解決方案。

在攻防演練部分,初期規畫將建置模擬系統提供紅隊(Red Team)作為攻擊腳本的發展及模擬,先透過模擬系統進行觀察和測試後,再導入測試場域,並可同時針對電網相關傳輸協定及特殊專有協定進行解析和研究;藍隊(Blue Team)則將針對實測工控場域發生的資安攻擊事件,進行相關的資安事件監控及分析、事件處理和災後復原的相關演練。

第二種則是以大學區網中心作為校園資安教學所需的學術場域,初期以有設立資安系所的臺大、交大、清大以中山大學作為補助對象,並針對區網中心實體網路環境所面臨的資安實務攻防,作為資安實務研討課程或專題競賽的題目,鼓勵學生設計並實作可以提升區網中心資安防護能量的解決方案,並可以參照相關的試辦成效,評估是否要擴大辦理。

第三種則是關於開放政府場域,主要是以現有GSN(政府骨幹網路)作為收集及分析基礎,透過逐步建置並完善資安能量,可以提供國內學研單位作為資安分析與防護技術的實務研究內容;初期以六都作為開放的政府場域,後續則視中央及地方政府資安防護需求做調整。

第四,促進國際合作交流,主要以美國、歐盟以及澳洲等國家級或資安著名的研究機構為主要合作對象,初期也不排除透過鎖定資安重點學校,持續擴大延伸到國家實驗室或標準制定機構等方式辦理,並且可以積極參與國際組織以推動制定相關的資安標準,藉由辦理大型國際學術會議發表研究成果。至於相關的跨國研究方式,暫時以共同對特定主題進行互補性研究為主。。

最後,技術轉移及創新育成面向,主要如簡宏偉指出,是針對國家任務導向以及關鍵核心的研究方向所自行研發出具有發展潛力及市場價值的自有研發產品或服務,未來可以透過技術轉移或者是成立新創公司的方式,逐步擴大產業規模。

從校園、產業和國家等三面向盤點臺灣資安人才現況

除了《資安管理法》有規定A、B、C級公務機關的資安人力需求外,行政院在「第五期國家資安全發展方案(2017年~2020年)」以及「資安產業發展行動方案(2018年~2025年)」,透過由教育部、科技部、經濟部以及行政院資安處等單位,共同推動專業資安人才培育計畫,強調以實務與產學鏈結為導向的創新培育模式,並結合大專院校資安教學能力,建立以需求為導向的資安人才培訓體系,以培養產業所需的資安人力。

隨著數位經濟發展以及各種資安威脅愈形複雜,臺灣不管是政府或者是產業,對於資安人才是處於「供不應求」的狀態。可以從校園、產業和國家等三個面向,進一步盤點臺灣既有資安人力,若以校園面向來看,臺灣已經有四所大專院要從2019年成立五個資安碩士(學程)班,希望可以逐步建置系統性的資安人才培育體系,但目前仍缺乏相關的師資和教學資源。

產業面向目前已經有經濟部針對待業者開發中長期養成班,也針對在職員工開設產業資安班,關鍵基礎設施的員工提供金融、物聯網以及工控等資安相關課程。根據統計,從2017年~2019年,已經累計培訓將近二千名(1,903人)資安人員,開辦包括系統滲透測試攻防、資安事件鑑識、資安攻防與監控、Web應用滲透測試、無線網路與物聯網安全、關鍵基礎設施資安攻擊與防護等資安課程。

而經濟部也從2018年起,結合產業人力能力鑑定機制(iPAS),建立「iPAS資安工程師初級鑑定認證;2019年新增「iPAS資安工程師中級鑑定認證」,接軌資安產業的人才需求。只不過,不論是上述相關資安課程的開辦,或者是產業人力的鑑定機制,都還是無法提供產業更亟需的實戰以及跨域人才。

若從國家面向來看,從2001年開始的四年期國家資通安全發展方案,迄今已經到第五期方案,完成許多資安基礎建設,對於發展國家整體資安聯防機制、提高政府機關資安防護能力、強化網路犯罪研究偵防技術、推動資安產業發展等,都帶來長足的進展,但對於相關的資安前瞻研究面向上,仍以學研機構的研究成果為主,缺乏國家整理發展的策略和成果。這也是為什麼此次打造資安卓越中心會納入資安前瞻研究的議題。

資安人才可以分成資安研究、研發、實務和管理四大類

李育杰坦言,政府目前資安人力缺口高達千人,民間企業對於資安人才需求大增,想要補足資安人力就必須要建立有效的人才培育機制。但他認為,資安人才依照職能、角色有不同類別,若參照美國國家標準局(NIST)公布的「美國國家資訊安全教育倡議」(The National Initiative for Cybersecurity Education,NICE),則將資安人員工作領域區分成七大類,共計有52種不同工作角色。因此,可以證明,資安人才不是單一種類或角色,但可以粗略分成「資安研究」、「資安研發」、「資安實務」以及「資安管理」等四大類。

所謂的「資安研究」,李育杰認為,就是從事對於資安科技、學理、技術進行學術研究工作,作為資安領域的基盤;「資安研發」則是將資安科技、技術,具體落實為資安產品或服務,以推動在各領域的實際應用。

他說,「資安實務」則是指在政府機關、關鍵基礎設施、企業,乃至於個人生活應用中,實際規畫、部署、操作各項資安產品與服務的實作人才;「資安管理」則是各個政府機關、關鍵基礎設施及企業中,負責資安相關決策、管理,像是企業內部資安策略、企業內部資安規章以及資安預算等事項的管理階層。

培育資安人才不能依賴單一培訓管道

因為各種資安人才所需能力不同,養成機制也會有所差異,除了基礎課程與能力外,像是資安研發人才需要具備研發資安產品的能力,資安實務人才則需要懂得維運資安系統或具備資安攻擊事件的處理能力,此外,還需要因為工作場域不同而必須有不同產業別專業能力,例如,金融業和傳統製造業的資安實務人才,所偏重的資安面向則會有不同。

但他也坦言,若以目前學校教育培養資安人才會產生極大的學用落差,以資安研發為例,現在資安系統畢業生,對於當下市場產品需求並不具備充分敏感度,無法成為研發領域的即戰力;就資安實務而言,畢業生還要經過職場淬鍊,並培養產業經驗和能力,才能成為合格的產業資安實務人才;至於資安管理面向而言,一般資安系所的畢業生,並不具備管理相關職能,更遑論管理相關經驗。

更關鍵的是,臺灣是高科技製造業的大國,他說,許多優秀畢業生都會受到例如台積電的磁吸效應,相較於繼續留校研讀博士課程,更容易受到高薪而轉往高科技業任職;至於留在學界的人才,也會因為產業提供的研究報酬來決定研究方向,這也絕對不會是資安領域的研究方向。此外,學校資安學程有一定的修業年限,對於當下的資安人才缺口,更是緩不濟急。

李育杰觀察,要真正滿足臺灣資安人才的需求,必須包括學校教育、民間的證照訓練、政府的職業訓練、各機關或行業的在職教育,以及針對特殊人才的特別培訓。因此,臺灣目前的資安人才培訓方式,除了學校教育外,成立資安學院則希望透過補助民間訓練單位,強化企業所需資安人才培訓能量;行政院技服中心則是為政府培養資安實務人才;甫成立的資安卓越中心,更是以資安研發人才作為主要的培育目標。文⊙黃彥棻

 

 

 


熱門新聞

Advertisement