金融資訊安全高峰論壇

延續去年銀行界接二連三的盜刷或資料外洩事件，資訊安全無非仍是今年最受重視的議題之一，政府因此更重視金融環境的安全，相關單位也推出因應策略和罰則，是為了保護消費者，也讓銀行業有所警惕。既然資訊安全成為全民運動，和民眾財產息息相關的金融機構，要如何建置讓人信任環境呢？

有鑑於此，iThome電腦報周刊主辦、賽門鐵克協辦金融高峰論壇，邀請銀行界代表中國信託資訊總管理處副總經理張汝恬和上海商業儲蓄銀行資訊研發處處長劉飛龍、賽門鐵克北亞區技術總監王岳忠、資策會資訊市場情報中心（簡稱MIC）主任詹文男和研考會副處長何全德為與談人，由iThome電腦報周刊總主筆王盈勛擔任主持人，與臺下數十位來自金融業資訊人員進行交流。以下為高峰論壇的內容記實： 主持人：

德國最重要社會學家Beck說過，這個社會是一個風險社會，風險不是時時刻刻都有嗎？他說，以前可能有風險，現在是一定有風險，風險是系統性的，系統變得越複雜，風險就越來越多。尤其是金融產業的後端系統高度複雜又彼此鍊結，所以要增加安全以降低風險。請教臺上的來賓，在銀行的風險控管中，特別是網際網路出現，有什麼樣的措施來增加銀行的網路安全？先請中信銀資訊總管理處副總經理張汝恬來回答：

張汝恬：

網路銀行對銀行來說是新的商機。如主持人所講，沒有風險就沒有reward，希望客人從網路能以較低的成本使用服務，也要承擔低成本流程的風險。我們所用的網路銀行的安全機制都是大家耳熟能詳的科技像SSL、PKI、憑證。

但資訊安全不是科技就能解決，是觀念的問題。這幾年我們看到了問題，也做了很多省思，特別針對憑證、ID和Password等。安全還是要根植於我們的觀念，科技佔35％，政策、程序佔40％，另外就是教育和價值觀。

劉飛龍：

網路銀行的安全已經講了很多，但總是人人有信心，大家也在實體上做了非常多的工作，個個沒把握，總是擔心哪裡有問題。以我們來說，會從3個方面來討論這個問題，第一是組合，第二是管理，第三是驗證的方法來分析網路安全。組合也就是防火牆、IDS、防毒等技術的整合，這些實體建設做好後，再來是管理面，這一部分是非常龐大且繁瑣的工作，目的是要把系統和作業流程的安全管理好。

我們今年比較重要是在驗證的部分，前面兩樣作得再好，後面使用者驗證的部分不好，前面兩樣的心血也是白費，因為可能花很多時間建立的安全環境，一個ID、password遺失，就會造成整個環境的破壞。我們今年在公司內部環境會加強這方面的控管，並啟用晶片卡，把電子憑證PKI納入會員識別和員工簽入，當然在高風險的客戶交易層面，也加強驗證方面的工作。

詹文男：

每年MIC都會針對大型企業，尤其是製造業、服務業和金融業作一些調查，大家都知道，整個銀行的風險，大家耳熟能詳的還包括市場風險、信用風險、作業風險和流動的風險，我們現在談的網路安全就是作業風險最息息相關的一塊。

當大家的生活環境越依賴科技，這個防護網就會越脆弱。先前美國大停電受到很大的影響，雖然資安業者提供非常多的技術和產品來強化網路安全，但從目前的調查來看，也就是張副總提到的，資訊安全最困難的一部分，就是人員、流程和政策進一步的結合，這是也是資安業者和金融業者未來最需要一起合作的地方。

日本這幾年公安事件頻傳，大家都想瞭解為什麼會發生這樣的事情？在我們印象中，日本好像是零風險的國家，但就像主持人所說，過去是可能有風險，現在是一定有風險。最後發現，多數銀行現在用的系統，都是過去30～40年戰後的年輕人、也就是現在的老人家所建立的系統，戰後大家很努力，一步接著一步作，新一代的年輕人在維護過去專屬系統時，因為輕忽或隨便而造成的意外事件多。

為什麼我們要提出這個例子？事實上，近年來的科技犯罪，很大一部分都是具有知識的高科技犯罪者，剛剛所提的內部管控是滿重要的。尤其銀行保存很多客戶的機密資訊如財務、身分和金流的過程，牽涉到很多敏感的問題。未來資安管理的重點，在於政策、流程、人和業者提供的系統工具，這幾個環節能整合或嵌入，對公司整體的安全強化會有更進一步的保障。

王岳忠：

剛剛都有談到，人是最重要的因素，「People make whole world security」，如果能遵從所有規範標準和準則，其實安全就可以達到一定水準。業者提供的各種產品，不管是防火牆或入侵偵測等技術上的安全，還是要遵循一定的規範去執行實施，例如防火牆的規則設定正確與否，影響防火牆是否能發揮功效。同時來講，最後真正出問題的關鍵還是在人的因素，而不是系統上沒有安裝防火牆或防毒。

很多病毒都是用所謂的social engineering（社交工程）手段，以各種理由誘使你打開電子郵件，如果政策規定你不能打開電子郵件或檔案，其實這些病毒是沒有機會入侵的。然而，也沒有任何一項產品或技術能徹底防護社交工程，像金光黨一樣，他們永遠有新的騙術來騙你的錢，在家裡收到簡訊，號稱台北刑大通知你金融卡被盜用，要你的資料要你打電話等。

資料流出去就很難追查，資訊安全最弱的就是在人。所有的技術只能補強它，人是最困難的管理因素。隨著安全作得越來越好，加強銀行防禦功能，因為如此，才能開放更多功能讓用戶使用，最終是所有的安全機制讓銀行信任，才有可能讓用戶在半夜三點使用轉帳等其他功能。原本網路銀行只要輸入使用者帳號和密碼，前一陣子因為出了一些事情，銀行才要求密碼要更改，作一定的補強。

但使用者帳號和密碼是已經知道的東西，也可能不小心被別人知道，或留下的資料被別人拿去。這樣的情況下，就需要two token的認證機制，如果卡片加上two token機制，確定使用者身分，銀行就可以放心地開放夜晚轉帳的功能。如果銀行主動提出這樣的解決方案和服務，就可以領先其他競爭對手。

主持人：

講到資訊安全，都會從防弊來看，不出狀況是好事。我們是否可以積極來想，有沒有辦法讓資訊安全做得更好，客戶使用有信心，變成銀行的資產，在我們這個時代，沒有人說資訊安全不重要。請教，有沒有可能建立一個資訊安全的指標？這有兩個意義，第一個是公司內部在建構資訊安全建設時，怎麼去評估自己做到什麼地步？第二個是說，對於使用者或顧客來看，銀行是否可以對他們說，我的銀行已經做到什麼地步，可能有這樣的指標嗎？

張汝恬：

這個問題非常難回答，我不知道應該用什麼指標，主要原因是資訊安全和投資是相對的關係。每一家銀行或每一家企業對資訊安全的定義不一樣，所以在資訊安全的投資佔其資訊總投資的比例，可能也會不一樣。到底要用什麼指標，拿到這個大綱時，還不太確定要如何回答。

就投資的角度來看，我想可能有一個指標可以代表銀行業，大家在這幾年在資訊安全的投資可以作一個指標，依照公司規模、產品多寡或人數規模，銀行有所謂效率比，也就是投資一塊錢到底有多少比重在業務成本，效率比多半在45％到55％，超過的話是不好的，這可以說是銀行的指標。對於主管來說，這個指標可以來檢視資安的投資是落後還是超過。

第二，如果拿剛剛我說的指標來看，中國信託在8年以前，中國信託的IT投資僅佔美國同等規模銀行的八分之一而已。由此可以很清楚的知道，當時IT投資遠遠不及現在市場上所需要的安全水準，所以大量投資可能就是正確的政策，因此我們每年IT的發展就會放手給下面的人去作。

銀行會這樣做，資訊安全的損失以及資安事件的攻防頻率，這也是一個指標。每當公司在制訂政策時，該思考到這個政策是否能降低被攻破的可能性。

事實上，資訊安全很多的投資，在我的經驗中，公司內部的安全人員要能設計出需要的資訊安全政策，或請顧問引導如何訂定資訊安全政策，這和公司導入的資訊安全科技有關。我在這裡借用一下大家的時間，給幾個我認為銀行可以參考或著手進行的政策或方針。

資訊安全要在組織做到一個水準，以中國信託來說，要花個5年到8年，我們可能很難說已經做到滿意的程度，其中有太多層次的問題。

第一個問題在於，銀行要是沒有安全風險、文件等級的規範的話，你根本不知道要如何保護文件，或要花多少錢去保護。我用一個簡單的例子來說明中國信託做到的事情。首先，我們要界定企業的公共文件，什麼是內部文件、什麼是機密文件，什麼是極機密的文件，每個不同的等級，處理方式都不一樣。

風險、安全和投資是相對應的。對於公司一般簡報或報紙上的剪報，根本不需要保密，公司內部文件或數位文件處理方式不一樣，當它是一頁一頁出去，可能不是很重要，當它是一本一本出去，一定是很重要了，縱使是電子檔，也是很重要，就必須給予安全技術上的保護，它就會變得不一樣。

如果是機密文件，可能會說要放在牛皮紙袋，透過企業內部員工傳遞，紙袋上要蓋密件，而且是有授信的人才能打開封套，這就是人力成本。例如同仁的薪水或獎金，絕對不能用電子檔，一定要親手交到，我們還有秘書，大部分同仁是沒有秘書的，相關負責人就要親手將薪資單交到每個人手上。

這樣分析下來後，我們發現，資訊等級這樣一個簡單的概念，要透過規範等級、政策和程序相對應處理，就會變成很大的學問。如果都不去分析它的量或實質內容，我們不會知道成本到底是什麼，這是一個構面。

另一個構面是營運風險。公司有70、80個甚至一百多個應用系統在我們手上處理，我相信主管不可能全盤瞭解每個機器或軟體的設定，這時候討論的是operational risk，如果沒有這個概念，要開發服務或安全規範，很難有綜觀的看法。

也就是說，系統可能有風險，但我根本不知道它在哪。必須具備系統提升能力，尤其是你的公司很大的時候，如此能讓你掌握營運概念。

第三個構面是我們的經驗，就是應用系統的設計。我們時常要面對各種程式如Java、ASP program或C#，可能本身用的程式有port大漏洞，如果對port沒有一個政策管理的話，無論賽門鐵克或趨勢的產品都沒有用，將會是大問題，就有風險在。應用系統的設計、撰寫的標準和指引，包括伺服器怎麼進入機房，這些流程的規範和管理非常重要。

只有IT並不能讓這個體制越來越安全或越來越堅固。所以資訊安全是非常廣泛的問題，從政策、流程到定義到科技，都要花不少錢，所以先決定什麼是最重要的，先把它解決掉。

我認為最重要的是和客戶最有關的錢的部分，內部混亂可以快速或慢慢解決。一般來說，是要先安內才攘外，資訊安全要先攘外才安內，投資順序要看重要程序，越重要的部分投資要越多。

最後作個總結，今年我們資訊主管跑來跟我說，我們的電子郵件進出應該都要掃描，要看發生什麼事情。後來我就把他編的預算畫個大叉叉，並跟他們說，沒搞清楚，買這個幹嘛，害他們有挫折感。我跟他們講，連資訊安全的等級都還沒有分類，都不知道公司要保護什麼，那要掃瞄什麼，port又不關，Internet Access又不控制管理，好像硬要裝個產品看垃圾，自己幫自己創造一份工作。

資訊安全還是要回頭來看政策，包括ICQ要不要開、公司的電子郵件系統要不要和Pop Mail交換等，太多的議題了，總經理有總經理的看法，資安主管有資安主管的看法，有的保守有的開放，這都要吵清楚、吵乾淨了，我們IT才知道怎麼搭配。政策非常非常重要。

劉飛龍：

我們在IT方面的投資花得相當經濟，資訊研發處關心的指標包括有沒有中毒、有沒有被入侵、程式有沒有bug、系統穩定度等。資訊安全中很多部分我們還沒有注意到，也尚待解決，如客戶的資料的分析和傳遞，如何把這些行銷資料交給客戶服務中心，如何防止他們把資料洩漏出去，資安人員可能要解決這個問題。

我們關心的指標比較重視技術。上海商銀也有網路銀行，我非常信任資訊實體架構如SSL、PKI等，駭客要擷取中間的資訊造成入侵行為，機率非常低。客戶不會知道這些東西，他們只知道安不安全，用這個有沒有保障。

我們正導入BS 7799，希望有公信力的機構來偵測銀行系統是不是安全，並分安全等級，某些等級能相信哪些不能相信。另外，還有電子交易安全的保險制度，如果不小心被駭客擷取，客戶由誰保障。不過，目前還沒有保險公司願意承保，這也是大家可以努力的地方。

主持人：

剛才張副總提到，臺灣的IT投資只有美國的八分之一，投資比例相對偏低。請教王總監，如果從投資角度，是否有指標來評估投資有效？

王岳忠：

安全就是說你要花多少錢保護多少資產，而資產對於公司來說的重要性程度。要說出一個指標來評估公司安全和投資，是件困難的事情。有些企業會花很多錢在IT的基礎建設，是否能反映在資訊安全有多少，其實很困難。資訊安全是不能作廣告的，今天有一家銀行公開說我的網路安全是世界最好的，我相信全世界所有駭客就會把你當目標。

為了不希望引起太大的注意，要有政策，沒有政策之前，你什麼都很難作。政策是從最上層主管說要作的，有了政策之後，有標準作為規範，如BS 7799或ISO 17799，臺灣目前變成CMS 17799和17800，就像以往製造通過某種程序標準，就會說公司通過ISO 9000認證，標準已經在那裡了。

有些單位聲稱已經通過ISO 17799或BS 7799，這意思是說他目前的安全已經達到某種程度的要求。這些認證最大的特色是每年會回來進行稽核，不是一次導入之後就完成工作，會不斷檢查你是否有繼續執行安全程序，確保公司的安全能維持一定水準。

像美國國會通過的法令是有強制性的，例如某些行業必須符合某種規範，證明符合某種標準，否則會吃上官司。臺灣政府只能勸大家去作，做了很好，沒有強制性，不作沒有給予起訴或處分，未來可能會慢慢改觀。

如果要讓安全成為公司的競爭優勢，可以考慮導入國際標準或認證。通過BS 7799並不是給駭客很大的挑戰，但對安全來說是很好的信心指標，代表這家銀行已經符合某種水準的安全、某種信用。

詹文男：

剛剛幾位先進有提到資訊分級和投資的概念。最近常收到一封電子郵件，署名CA，從大陸發來的，他說他是一個非常資深的顧問，曾在前三大顧問公司做過，M公司對中國聯想作的策略規畫報告都可以賣，目的是希望大家能一起成長。

我們常想知道競爭對手的策略規畫情況，離職員工把東西帶走，大陸就是這樣，可以這樣販賣。這是內部的例子。外部的例子如很多非核心業務外包，如阿嫂幫忙掃地倒垃圾，除此之外有沒有作什麼事情？這也是漏洞。

投資多少才算是合理的比例，或如何建立安全指標？我8年前曾到史丹佛受訓，學什麼？學scenario，什麼是scenario？當我要去規畫一個5年的策略，未來的產業環境的scenario是什麼？最好的情況和最快的情況是什麼？80％會發生什麼樣的情況？20％會發生什麼情形？most likely發生的情況是什麼？東方最喜歡標準答案，會問最容易發生的情況是什麼？因此在這樣的情境之下，策略和因應之道是什麼？我們努力去找這些問題的答案，會花最多的錢在0.8的部分。

後來有個顧問跟我們說，讓我印象最深刻，他說，雖然發生的機率僅0.0001，但是如果一發生，機率就是1。什麼意思？雖然是most likely，但可能不會發生，反而言之，雖然發生的機率很低，但還是有可能發生。表示什麼？我們要有策略來應付變化的環境。

倒過來看，我們在安全投資那麼多成本，小康家庭和富有家庭的損失程度、風險承擔能力不一樣。有沒有辦法訂出一套資訊安全指標？我認為在短期內要訂出來是有困難的，而且牽涉的範圍非常複雜，每一家銀行業務種類和規模大小不一，且標準將誰來訂？是否能有標準？銀行也不能提自己有多安全，否則馬上會被駭客攻擊。

之前曾到國安局演講，為了測試資訊安全，常常會找一些駭客測試銀行防火牆堅強的程度。政府現在也在看，希望比較重要的機構單位，訂定基本的標準，每年作驗證或演習，不定期進行偵測。就像多數航空公司，很少說我的飛機是最安全，都會說是最舒適的，講飛安就會想到墜機。 銀行若能通過BS 7799或巴賽爾公約提到的風險管理規範，對於銀行的信用和名譽都會有有幫助。

主持人：

剛剛張副總有提到，跟顧客錢有關的都要小心。之前有金融卡被盜刷和資料外洩等資安事件，各位覺得在事先防範上是否可以多做些什麼，而在事後危機處理有該加強哪些地方？

張汝恬：

以前我們的系統當得很厲害，如果系統不當，我們都會請同事吃蛋糕，但每次吃完蛋糕馬上當，所以他們說不能吃蛋糕。安全真的是沒有極限，至於說資料外洩的部分，其實中國信託也歷經過信用卡資料外洩事例，我的印象非常深，張智銓也一直向大眾道歉，甚至上報的慘痛經驗。

經過那次事件之後，讓我們覺得資訊安全實在是防不慎防。我還是要回頭呼籲一個觀念，每一個人都有責任要給董事長到總經理、或各處的處長知道，沒有絕對的安全，銀行一定要期望系統會有問題。真正沒有安全問題的銀行，代表沒有客人願意上門，因為不方便使用，所以沒有人願意跟你往來。銀行每天都和財政部、金融局拉鋸，就是要在安全和彈性之間找一個平衡點。發生事故，不見得不應該，禱告的禱告，拜佛的拜佛，不要是大事就好。

資料外洩可分成好幾個構面來看。市面上有太多科技，如臺銀的針孔照相機問題，事前很難想像出來，和內部管理沒有關係，是和環境管理有關。這個盜刷事件後就開始IC晶片卡化，也是需要非常大的成本。

還是要回歸一個觀念，如果之前聽的可能會忘記，只有這一個一定要記住，那就是資訊安全等級。在數位資訊中鑰匙（key）的管理非常重要，通常key換新要兩方或三方人馬，不同部門碰在一起才能生效，它的資訊等級屬於極端機密highly information asset。

客戶資料也相當重要，銀行信用卡部門都知道，名字加上地址是非常重要的資產，是很有價值的東西，是mining的來源，也屬於highly information asset。這些資料的組合一定要被管理，送到外面去一定要加密。我再三強調，IT投資要放在哪裡，一定要緊跟著資訊等級走，真正有價的資訊就要嚴格的被管理。

鑰匙（key）放在機房中要被謹慎地管理，薪水是重要的也要被管理，這些資訊的等級都要能清楚地界定，如何被儲存、如何被交換、要用怎樣的規範管理，都會有清楚的原理原則。信用卡業務都委外了，當客戶的資料數位化鍵完檔後，要怎麼傳到我們這裡來？加密就成為必要條件。

所以又回歸政策，才能確定我要如何規範，或放多少投資在這個部分，這是對內來看。對外來說，對於合作廠商的管理是重要的。一般來說，我們都不知道要如何管理和廠商之間的資料傳輸走法，另外就是環境面，保全公司要幫我們想想辦法，還要偵測有沒有在ATM房間裡安裝針孔攝影機等。 總而言之，資訊安全要給予政策和資訊分級。安全不代表完全沒有失誤，科技只是為了免掉一些可能的危險。

劉飛龍：

ATM和實體安全沒有太大的關連。ATM的設計全世界都是採取一樣的模式，為什麼其他國家都沒有發生事情，臺灣發生特別多？是臺灣人特別聰明，還是有其他原因？全世界都用磁條卡，為什麼臺灣會發生這樣的問題？我本人也為臺銀抱屈，這個事件逆推回一年前，就有發生過類似的事件，但大都沒有警覺。當時或許是警察機關處理的速度快，還有金融界喜歡大事化小、小事化無，助長了歹徒的動機，認為反正銀行不會聲張，事情因此可以擴大。案件發生次數多了，才受到大家的重視。

資安人員在IT方面努力讓資料更安全，該做的似乎都作完了，卻忽略了環境、流程和人性的智慧，所以我還是強調在合法使用者的驗證上，值得再度加強的。一個合法使用者的驗證，在安全體制中，是最後一道關卡。

王岳忠：

先前來賓都是講IT，其實還要考慮實體安全包括人員雇用和考核等，很多部分不是IT人員所掌控的。其實國外很多的大銀行企業內傾向設立CSO，由他來掌握包括環境等實體面的安全。

我非常同意張副總提到的觀念，安全和彈性就像是蹺蹺板。舉個例子來說，像提款卡這樣的東西，國外也在用，臺灣為什麼特別麻煩？我問國外的同事，為什麼你們比較少發生類似事件？他們說，國外的提款卡密碼要6到8碼，臺灣只要4碼。

另外，他們的ATM鍵盤外有罩子，連手都看不到，那對阿公阿媽怎麼辦？這就是方便性和安全取捨的問題。國外認為沒關係，只要你習慣，就能輸入正確的密碼。這樣的設計對於老阿公和老阿媽來說是不可能的，臺灣的銀行怕客戶跑掉，所以設計成4碼方便使用。經過幾次的資安事件，終於認為這樣的設計不妥當，才改晶片卡因應盜刷問題。

安全等級或高或低決定於人，犧牲或妥協也在人。為了讓客戶更方便，要降低安全等級，如果提升太高，可能就沒有客戶。這些評分點是動態的，或許去年此時可能評分點好，今年可能不適用。銀行要時時刻刻針對安全作稽核和評量，必要的話需調整和修正。

詹文男：

我們過去做過調查，金融業無論在資訊安全的政策或定義、涵蓋的範圍、目標的設定，甚至流程、權責分工、災難處理或復原等，各行業中花最多心思的，因為他們的業務牽涉到很多客戶的資料。

我可以提出幾個例子給大家作個參考。剛剛提到安全和彈性的平衡，昨天我到臺灣銀行作個演講，講到一個例子，科技始終來自人性，剛剛副總也提到，提款卡對阿公阿媽也是有問題的。有個演藝人員每個月都會匯錢給媽媽，實在太不方便了，就給她提款卡。他再三交代他的媽媽，用提款卡時千萬不能讓人家知道密碼，否則會被人家盜領。

這位媽媽始終很小心，在提款機排很長的隊伍，輪到她，她先把卡片插入ATM，螢幕上顯示輸入密碼的訊息，阿媽就掩著手小聲地說3323……本土化的部分有很多問題要解決，要瞭解很多情況，否則會有很多問題要處理。

再舉個有趣的例子。我之前在網站上買數位相機，剛剛把信用卡資料輸入，一按確定，桌上電話就來了，問我是不是用信用卡付帳買了一臺數位相機？我說對阿，馬上check。這個效率真嚇人，但一則以喜，一則以憂，我買什麼東西都銀行被知道！但這也是確保不被盜刷的一種好方式。

我有個朋友被銀行通知說他的信用卡超過額度，可能被盜刷了十多萬，而且消費地點是在香港。他嚇一跳，就馬上打電話問他太太，他太太馬上回答說，我是在幫你買生日禮物！有一道防線可以減少很多問題。

剛剛處長有提到大事化小，小事化無的問題，如果發生這樣的事情，雖然有災難回復或復原計畫，但銀行總是要讓人家覺得是負責的態度，對顧客可以作百分之百的保全。讓使用者認為，如果發生問題，銀行會給個保障的話，我相信加上後面的補救或回復做得好，會讓顧客覺得滿意，這點也是滿重要的。

主持人：

下面一個問題，從各位的實務經驗來看，特別是在網路或電子金融出現以後，金融資安風險包含了哪些威脅？

張汝恬：

以過去的經驗來看，我覺得網路銀行首要的工作第一是身分認證，另外，網路銀行的技術是非常需要克服的，例如寫程式的標準、怎麼樣寫程式才是安全的，這很重要。再者，銜接port部分的標準也很重要。最後是平常的偵測，這1、2年我們都有請專業公司幫我們偵測系統，確定是否有不清楚的漏洞，這些都是重要的防範。最後還是內部的管理，開發人員不應該碰到客戶的資料。財政部和金融局對銀行規範得非常嚴格，我想還滿安全的。

劉飛龍：

我羨慕十多年前沒有網路銀行時代，那時候只要把主機顧好、系統沒有什麼漏洞，就沒事了。網路銀行業務出現後，五花八門的漏洞和攻擊，要天天擔心哪裡會有漏洞。 我們每季都會掃描，防毒牆裝了一海票，但每個月受到感染的次數是3萬多、4萬多，這些威脅讓人擔心。我們曾經把一個月的駭客攻擊記錄印下來，整整半疊印表紙，這些資料是否有用，我實在很懷疑。

當然，網路銀行業務對銀行有很大的幫助，傳統銀行業務有20％到30％移轉到網路銀行、電子金融，有助於降低成本。我們面對主要的威脅還是在於病毒的部分，也是目前花最多人力的地方，把這些問題解決了，才能去設計別的安全機制。

王岳忠：

網路銀行是web-based最主要的實踐，無論使用者端在哪裡，都可以透過瀏覽軟體從事他認為正常的交易行為，用的電腦有沒有問題你無法控制，這道防線還需要加強。前端的web server需要非常高的安全等級，要勤上patch、時常掃描、攔阻攻擊等，因為一旦網路伺服器被入侵，就有可能連到後端所有資料庫。

電子商務網站會要求輸入帳號密碼登入，一般用戶在網際網路上的帳號和密碼使用數量通常不會超過3組，因為如果每個網站都設不一樣的帳號密碼，到時候可能會記不起來。然而，帳號密碼如果不小心被攔截，就有可能被不當使用，將有很大的風險，銀行會有盜刷、電子商務網站會有盜買或盜賣的情形。

銀行本身無法作什麼事情，這是用戶端自行設定的帳號密碼。如果要從事電子商務交易，帳號密碼應該用比較特別的一組，其他一般資訊網站用平常的帳號密碼，不要和收信件的同一組，依照需要重視的安全程度將帳號密碼分開，否則猜到一組，可能到其他網站也試試看，從事不正當的交易。

詹文男：

消費者對資訊安全的觀念和想法已經有提升，主要問題仍在執行面。根據研究發現，臺灣人有一個特性，認為倒楣的事情不會發生在自己身上，但是呢中樂透就會有機會。中樂透只有被雷打到十次的機率，但他認為我不會被雷打到，但是有機會中樂透！

未來幾年日本老一輩資訊人員逐漸退休，由新一代年輕人接手，新舊交替將發生維護的斷層，導致公安事件的發生，臺灣會不會發生類似的問題？我認為應該不會。因為日本幾乎是用專屬系統，專屬系統再連結很多子系統，牽涉層面廣，一個環節出問題，整個都會有問題。臺灣不一樣，資訊系統是整合出來的，有歐規、美規等混合，出問題都是一段而已。當然，這是阿Q的想法。

若資安業者在技術上讓客戶更有信心，功能改良更整合，價格更能被市場接受，這樣比較有機會。 另外，資安是嵌入（embeded），不是外掛，它應該和人員、系統和流程整合，這樣的觀念要整合在一起，對系統整體安全才有幫助。

何全德：

業界朋友在經營電子商業或電子商務，或拉高層次談知識經濟，我認為目前最大的威脅，就是不知道威脅，應該從安全管理科學層次拉高到資訊安全的哲學。網路有先天結構的脆弱性，連結程度越來越高、軟體元件越來越普及，不安全是必然，應該從管理哲學思考如何處理這個問題。

去年10月被OECD邀請參與如何建構全世界的資訊安全文化論壇，會中談到，資訊安全不只是技術問題，它是一種生活的方式，無論是個人或企業，看你如何對待它，就像從小我們就被教育成紅燈停、綠燈走的習慣，也應該養成帳號密碼不能讓別人知道的習慣。

自從911之後，資訊安全典範移轉，第一將面臨不可預測的未來。外界變化太快速，依賴網際網路越深的情況下，受傷害的程度會更高，我們應從國家整體層面，養成網路化社會的文化，要如何養成？從紅塵拉到雲端，透過社會運動、awareness角度來作。

安全不是CIO的問題，是所有人的問題。技術只是第一道防線，從過去發生的資安事件來看，槍口不應該對外而是要對內，多半是出自於內部管理問題。

去年10月我在挪威提出3P理論，第一個P是產品product，企業應該用適當且足夠的產品。第二個P是程序process，領導人如果沒有重視，有制度但沒有執行，就有可能釀成資料外洩事件。第三個P是people，從人員的行為的變化來管理。

另外4E，第一個E是ethic，銀行的專業就是不能洩漏客戶資料，如醫生的專業是不能洩漏病人的隱私，效果最慢但是要從現在開始培養。第二是教育education，網路的安全是大家的事情，政府不安全，企業也不可能會安全，也是投資最少，報酬率最高的。對企業領導人也要教育，因為他們決定未來是不是每個人都要付一定的比例來作安全的工作。今年TCA辦的資訊月就應該以資訊安全為主題。

第三個E是落實enforcement，請合作伙伴來稽核安全體系，第四才是engineering。把密碼安全做好了，就安全了，這個思考是錯誤的，安全不是只有防病毒、駭客攻擊或入侵等，應從整個系統功能來看，用正確的態度，養成組織文化。不可能有完美的系統，重要的是要如何去保護、偵測和反映，並思考以最快的速度讓傷害降到最低。

最後，注意力經濟這本書有提到，注意力是非常稀有、有價值的東西。未來臺灣或全世界經營電子商務，安全可以變成差異化的企業經營策略。還要讓客戶信任和信賴，不只安全，還有品牌、教育等。

政府是否應立法規定銀行要做到某種程度的安全？如果沒有做到安全，如果變成跳板，自己需不需要負責任？這些法律的問題都有被提出來，但我認為，政府不應該一開始就用法律強制，應該用市場機制、差異化策略，由業者自行調整，給客戶更好的信心和風險管理。

有好的企業管理就有好的資訊管理，這是你的責任，爭取主管加強投資，因為如果發生問題，影響的不只是商譽，牽涉到保險和再保的問題。安全不是cost，而是enabler。政府傾向立法，計畫成立國家安全技術服務中心，以及24小時資訊安全營運中心（SOC），類似網路保全概念，提供政府機關或相關單位，沒有立法，政府也不能強制。

主持人：

根據資策會歷年針對台灣資通訊安全的報告指出，金融業一直都在網路安全建置上投注相當大的預算，想請教分析師及資安業者，在未來金融業的網路安全部署上，是否會朝向國外「網路安全委外」的方向前進？

詹文男：

現在流行談委外，就是把企業非核心資源外包，鎖定於核心優勢上。從銀行營運來看，資訊安全非銀行的主要業務，雖然委外是方向，但網安的損失誰來承擔？風險轉嫁的成本要事先有共識，除非這個業者有非常強的資訊管理能力，委外才有效益產生。

尤其委外會讓業者成為風險管理的一環，如果銀行業者無法管理委外業者，未來的風險上會增加複雜度。整體而言，有意願進行委外業務的比例（包括製造、電信和金融業）大概33％左右，其中服務業和金融業的接受度高。為什麼臺灣還是那麼低？因為市場沒有辦法信任，我的東西放你那邊是否安全的疑慮尚未消除。

委外能減少專業人員，減少缺乏資安知識等風險，但如果把資安融合到企業內部流程等，委外才有意義。委外需要注意到以下幾點：服務廠商是否值得信任，所簽的契約是否會被承認。M臺灣、e臺灣目前都在建構過程，如何建立T臺灣，建立信任信賴的環境，讓環境更好管理，是否有保險機制來賠償損失，都需進一步說明和建議。

王岳忠：

我目前看到的委外都和管理有關，就像剛剛提到的當銀行開始上防火牆、IDS或防毒軟體後，這些安全產品會產生很多報表，公司內部是不是有專家能判讀這些資料，加上電子銀行盛行，更需要這樣的專家。

當資訊安全產品買到一定程度，客戶希望在資訊中找出資安事件線索，大部分都會委外，但並非什麼都不管，什麼IT人員自己作，什麼委外，會有清楚的規範。國外簡單的分法是讓好人進來的是由IT人員管理，所有攻擊行為的防禦、被動性機制交給委外公司。

以成本來看，公司可以創造更多產值和商機的業務系統，可以考慮委外，即使委外，並非完全不管，多數大企業會雇用安全專家，全天候待命，在非上班時間把防禦機制委外，正常上班時間由專家監控。國外超過50％的公司將防禦性的安全系統委外。

張汝恬：

便利和安全的平衡點，可以以使用量來評估，公司內部可以透過教育，對消費者比較難。美國都用SSL，我們的電子銀行先和企業結合，採用IC晶片卡或PKI，當時為了配合1024 bit。然而，PKI不好用，當時遭遇非常大的抗拒，SSL可以用於小額交易。方便和安全要靠實驗，當客戶用過PKI後，就不願意接受SSL，因為他們覺得PKI雖然麻煩，但是更安全。

劉飛龍：

當初我們要上網路銀行也做過調查，採用PKI會發生系統的瓶頸，如電腦OS相容性等，最後還是用SSL。目前來看，PKI還是會造成消費者使用的不方便，還是以教育企業戶為主，消費端採SSL。