政府公開資安稽核是好的開始

日前行政院做了一件罕見的事，政務委員張善政在一個公開演講場合，說明行政院今年度的資安稽核結果，首度指出「行政院陷入高度的資安風險」。

行政院在每年9月、10月都會針對重點機關實施資安稽核，但過去未曾對外公開談論稽核的結果。正所謂家醜不外揚，更何況是資訊安全這等內容敏感的問題。然而，資安專家時常引述孫子兵法「知己知彼，百戰不殆。」的心法，來說明資安意識的重要性；若對自己的情況不甚了解，是不可能在資安攻防戰獲勝，況且，在多數的攻擊事件中，發動攻勢的駭客早已占盡優勢，使得攻防局面一開始就處於不對等的狀態。倘若我們再不面對問題，甚至還隱匿問題，使得訊息不通透，那麼就只是讓駭客繼續得逞罷了。

張善政所指行政院處於高度的資安風險，是稽核結果顯示政府機關在資安管理與資安技術的失衡。有些機關雖已遵照規定落實資訊安全管理政策，但是資安技術能力卻明顯不足，一旦遇到緊急資安事件，可能就會難以應付；而有些機關的情況則是相反，資安技術能力較強，但未落實資安管理制度。

資訊安全專家時常以木桶理論與鍊條理論來解釋上述狀況。木桶理論是指，木桶的最大裝水量，取決於最短的一根木材。這是說以好幾根木板圍成木桶，若其中有一根木板比其他的短，那麼木桶裝滿水的高度就是這根短木板的長度，因為超過此水位就溢出來了。而鍊條理論則是說，鍊條的強度取決於最弱的一節，因為只要其中一節斷了，鍊條就沒作用了。

這兩個道理其實都是一樣的，說明了資安防護的各個環節必須有一致的水準，所以不論資安管理政策或資安技術何者為強，只要其中一個不符標準，就有致命的弱點。因而張善政才會說：「不均衡的發展讓行政院陷入高度的資安風險。」

針對今年行政院資安稽核的結果，行政院資訊處處長趙培因提出3個面向的6個共通問題，在政策面上，雖然一級機關普遍都取得國際資訊安全管理制度ISO 27001的認證，但實際的情況是認證範圍只及少數部門，而不是整個機關都通過資安認證。例如有的機關只是資訊部門通過資安管理制度認證，然而現今與資安有關的可不只是資訊部門管理的資訊系統而已，更大的安全風險是業務流程上的問題；此外，資安預算不足則是長久以來的問題。

管理面的共通問題，則是業務承辦人員對資安意識的不足，以及個資保護的宣導與訓練不足；技術面的問題則是對員工自帶設備的管制不確實，以及網路服務的安全控管措施。

其實大家對這些資安問題都不陌生，有些甚至是老生常談了，然而，解決問題最重要的就是先正視問題。敢於指出問題需要勇氣，決定公開政府的資安問題，更需要很大的魄力。對於行政院這次的作法，我們應該給予鼓掌。（請見新聞第16頁）

本期封面故事則是分析快閃儲存（Flash Storage）的最新發展。快閃儲存已成為企業儲存領域的兵家必爭之地，除了一線儲存大廠紛紛投入這個新興領域之外，更有為數不少的新創公司加入這個戰局，而這是過去儲存業界比較少見的局面。

因為消費性產品而普及的SSD固態硬碟，帶給儲存廠商一個全新的機會，新創公司因而有了切入市場的契機。有的公司強調其儲存架構是完全針對快閃儲存的特性而設計，沒有傳統架構的包袱；有的公司則是著眼於伺服器主機端的快取儲存記憶卡，訴求SSD記憶卡動輒有數TB的容量，為何還要把資料放在大老遠的網路儲存設備，何不把儲存空間直接部署在伺服器內；亦有新創公司進一步提出No SAN的口號，干脆就捨棄SAN網路儲存網路架構，讓儲存回歸運算端。

上述想法何者能生存下來，接下來Flash Storage的發展會有證明。不過，一個由Flash Storage帶動的百家爭鳴新局面，已經到來了。（請見第29頁）

吳其勳／iThome電腦報周刊總編輯