網際產業座談會
主持人:網際先鋒副總編輯 歐敏銓
科技日報總編輯 黃俊義
與會來賓:諮安科技總經理 涂舜授先生
鈺松ISS 副總經理 蔡運生先生
博訊科技副總經理 裴兆旭先生
美商凱創台灣區技術協理 鄭可強先生
精誠資訊網路軟體事業部業務處長 江嘉帆先生
台灣科技大學資管系主任 吳宗成博士
開放與安全,可說是Internet環境的兩難,以B2C的發展來說,上階段的隕沒,交易機制的便利性與安全性的不足,便是一大瓶頸。今日正積極發展B2B,然而,資料的接取、交換,也仍有許多的安全性問題急待克服。
這些問題,都促使網路安全解決方案的不斷發展,若從其多元性來看,「網路安全」似乎已儼然具有一個產業的雛形。本次座談會即欲探討若將網路安全視為產業,是否已然成形?所邀請到的來賓包括密碼學、入侵偵測、數位認證、Networking與安全設備代理與建構諮詢的六位專家,正代表了網路安全議題的多個面向,大家對於「網路安全產業」的看法為何?以下為各位介紹座談過程中的精彩內容:
網路安全是新興產業?
問:網路安全的領域正不斷地拓展深化,就 Internet 的商務環境而言,應如何以架構性來來看待 Security 的議題?這個因 Internet 而生的技術領域是否可視為一個完整的產業?
諮安科技總經理涂舜授:資訊安全的議題,首先我們就商業環境來看,目前是一個Open的市場,和過去封閉的架構是不同的,其承受的風險也就有所不同,個人認為資訊安全的架構可以從三方面來考量,分別是資訊安全的基礎架構、交易安全性及安全的管理,其中在交易安全的部分,在經過政府相關的法規規範下,未來可望步入正軌,而資訊安全的管理目前也有英國標準協會BSI及國際標準組織ISO等相關機構的認證,其架構已經成形,但是在基礎架構的安全性上,至今並沒有一個共通的標準,我認為這也是資訊安全應當努力的方向。特別是在資訊安全的狀況愈來愈多的情況下,如何在基礎的架構上建構完整的安全系統是相當重要的問題。
台灣科技大學資管系主任吳宗成:在資訊安全漸受到重視的當下,資訊安全是否已經足以被稱做是一個產業?我想這倒是未必,一個產業的架構應具備的條件,不管是產品本身或是整個基礎架構來看,資訊安全截至目前為止,都還稱不上是一個產業。
現在 Security 的問題愈來愈受到重視,除了在技術面上加以研發、防範外, Security 的問題核心還是來自於人性與管理。過去我們談到網路安全大都著墨在病毒與駭客,因為這兩個部分並沒有牽涉到人性最主要的關鍵點 - 信任( Trust )的問題,而網際網路是一個開放性的環境、是一個公共財,就如同現實的社會一般,因此我們可以這樣認定資訊安全是一個社會問題、倫理問題。
有了安全顧慮的問題後,廠商要做的是如何讓企業相信,產品本身的安全性以及管理機構的可信賴度。從這個角度出發我們會發現,隨之而來的是企業如何相對應的機制,而資訊安全的問題到最後會演變成「資訊保全」的階段,強調資訊、資料以及系統應該受到保護。
鈺松副總經理蔡運生:如涂總所說,網際網路的環境是 Open 的,在資料的安全防範上我們可從資訊安全的認證、驗證制度來看資訊的運用與管理,當資訊遭受到破壞、毀損時,企業能否在最短的時間回復,是相當重要的關鍵,而企業本身是否能夠體會資訊對於企業營運的重要程度,則會影響資訊安全防範的建構程度。
個人認為要談到資訊安全的架構,可以從三方面來看,第一是公正的認證機構,目前在國內有中華民國資訊安全標準檢驗局來考察資訊安全的標準,而資訊安全的技術運用目前大都使用密碼模組,而電信總局與國安局則是主要的驗認機構,電信總局主要是負責民間的加密,國安局則掌管在外交與軍事方面的密碼加密,透過這些機構的認證與推動,可以讓資訊安全的防範達到更為安全的目標。
其次是資訊存取行為的確認,資訊的儲存在電子商務的過程絕對是不可避免,特別是有關企業生存的關鍵性資訊,因此在儲存上必須特別受到保護,不僅要安全,甚至要做到保全、異地備援的目標。第三是資訊安全的維護,任何網路上流通的訊息,在傳遞的過程是應當受到安全機制的保護,因此安全的維護機制,對於資訊安全的整體架構來說是不可缺少的部分。
朝向整合性的專業服務是未來趨勢
問:隨著 Internet 應用的多元化,Internet 的環境也日趨複雜,企業對網路安全的需求也從產品的採購,提升到全面性的防護思考,因此會有整合性的顧問諮詢服務,目前網路服務提供商彼此的垂直整合性似乎不高,是否有提升的必要?
博訊科技副總經理斐兆旭:網路安全的整合是非常重要的,沒有一套完整的資訊安全系統與服務,很難促使電子商務的發展達到成熟的機制。就舉民眾線上購物的例子來看,個人曾在電台的 call in 節目中接到民眾的詢問,自己的信用卡在線上交易時遭到冒刷,個人應如何維護自己的權益?
關於這個問題,個人覺得最重要的關鍵,是在要透過「技術」的研發來做到資訊安全的目標,有了技術作為後盾,那麼在法律或其他的規範上,才能真正顯現其意義,而目前在資訊安全的技術上面最常使用的方法便是加密,但在未來的電子商務或行動商務上,不單只是加密就可以的,必須配合更為完善的保密系統,如此才能真正達到資訊安全的目標。
而整個資訊安全的建構,並非單一公司就可以完全做到,在網際產業中,專業分工的概念是非常重要的,在有了基礎的技術防範後,我們可以再往上研發資訊保全、保密的技術,讓資訊安全的防護做到較為理想的境界。
美商凱創台灣區技術協理鄭可強:關於資訊保全的實際運作情況,主要根據資訊本身的重要程度來做判斷,例如銀行的交易往返、軍事單位的重要機密文件等,這些屬於重要的資訊,在保全的程度上就會高出許多,事實上,涉及到電子商務的交易行為,不管是 B2B 或 B2C ,在資訊的保全上都屬較高程度的資訊保全範疇,因此談到資訊保全的運用,最主要是依據資訊本身的重要性來作為判斷。
市場利基與未來挑戰
問:台灣網路安全內需市場仍屬於開發前期,是否會面臨飽和的危機?除了產品的銷售與整合的服務,國內廠商是否還有其他的發展利基或途徑?也就是說,以產業的觀點來看,我國網路安全領域的機會與挑戰。
精誠資訊業務處長江嘉帆:目前台灣的資訊安全現況,仍處在產品與服務的銷售、競爭階段,各家廠商無不對於自己的產品特色與優點,向企業,特別是 e 化的企業進行遊說與建議,但是在度過這個階段之後,應如何走下去,是應該好好的思考。我們可以看看大陸市場的例子,根據了解,大陸在資訊安全的規範上,有兩種做法,第一是要求進口廠商將資訊安全防範的產品原始碼提供出來,才能在大陸正式銷售,另一方式就是靠自己的研發,由於這兩個因素使得大陸的網路安全問題得以有很好的管制,但是反觀台灣就不是這樣了。
企業所能做的資訊安全保護,就是透過相關產品與保全的服務來為自己做些防範,而這樣就能達到資訊保全的目標呢,我想那是未必的。台灣的作法可以用兩句話來形容,就是「廠商做的是表面的多」、「企業做的是買心安的多」,雖說這樣的情況有些諷刺,但卻是目前我們在資訊安全領域的實情。換言之,整個資訊安全的目標,就如同現實社會中的大同世界,是不可能完全做到的。
鄭可強:我們可以了解台灣現今的資訊環境,在產品與技術的創意投資比例偏低,國內也因缺乏創意人員的培養,這會造成我們只能跟隨國外的腳步。就以美國的例子來看,他們的企業通常會成立一個頗具規模的研發機構,藉由不斷的研發、改進,來使得未來前景更為看好,這樣的做法是非常值得我們學習的。
涂舜授:資訊安全其實就是「打架」,就是表示「自己要夠強壯」、其次是「經驗要多」,以美國來說,他們的資訊安全研發無疑引領全球的發展,另外他們亦是遭受攻擊最多的地方,這也是在資訊安全的發展上,美國一直是居於領導地位的原因。反觀國內,我們應該找出自己最為優勢的地方,如此才能在資訊安全的領域有所發揮。
資訊安全最主要是依附在 IT 產業上,但卻是「高附加價值」的產業。我認為國內在這塊領域的發展上,沒有必要跟著國外的腳步,一昧的投入在研發產品上,事實上整個資訊安全的產品市場是已經趨於飽和,國內唯一能做的是不斷提升專業性的服務,畢竟資訊安全的問題還會繼續出現,專業的資訊安全服務比技術或產品的開發更適合我們來做。
裴兆旭:從廠商的角度來看,現今並沒有一套很完善的整合性服務,所以在這方面是可以作為我們努力的方向。至於是否能靠自己來研發資訊安全產品的技術與產品,我也舉大陸的例子作為我們的借鏡,事實上大陸在資訊安全的的自我研發上,也投入不少的人才與經費,但是在成果的呈現上並沒有如預期,因此在這方面的發展,個人也不贊同國內投入大量的時間與成本來研發資訊安全產品。
培養專業人才是不二法門
問:網路安全與 Internet 整體環境息息相關,例如電子交易或產業間的資料交換,除了技術廠商與企業本身,更需要政府政策的協助推動。而政府還應著力於何處?換個角度來看,當全球都邁入Internet的世界,雖然我們並不打算攻擊別人,但也應具備攻擊能力,這是一個很現實的問題,從這一點來看,叢林法則會不會也成為Internet 的發展法則?
江嘉帆:談到國內資訊安全的發展方向,從目前的市場趨勢看來,我們在技術的研發上稍顯不足,雖說國內有不錯的廠商投入產品開發與技術研發,而且也做的不錯,但是仍然有國外的影子。未來發展上,可以針對國內的企業需求,來發展更為適切的專業服務,並且加強自己的 IT 產業專業人才的培養。諷刺的是,「安全事件的發生」往往比教育市場來的迅速且有影響力,近來每次有事件發生,某些產品的銷售就會大幅成長十分明顯;而國內的學術團體在資訊安全的發展上,則可以作為產業的最佳後盾,有了學術界不斷提出的測試報告,就可以促使資訊安全的產品達到更完善的目標。
吳宗成:我們可以用一句俗諺來說明資訊安全,就是「沒有三兩三、不要上樑山」,沒有 Security 就不要上 Internet ,在現階段我們應該做的是,建立一套安全規範,同時去思考「企業的 Security 環境與成本」之間的考量,如何運用最低的成本來建構最為安全的資訊環境。此外專業人才、創意能力的培養同樣也是我們可以努力的方向。同時國內的廠商應該朝認證制度認可的目標邁進,藉由國際認證的許可,來加強我們自己的優勢,亦可以增加我們的國際品牌知名度。
檢討
這次的座談會,雖然廣泛的討論了網路、資訊安全發展的大環境議題,與會的來賓則請到學界與業界各個領域的多位先進,但整個座談過程,感覺上交集點並不多。檢討原因,當然與本刊主持、串場的功力密切相關,題目過於廣泛也是個問題,另外,來賓代表領域,從學術面、基礎架構面、產品面到網路認證等各有不同,對於問題的看法也各持一見,尤其可以感受到學界與產業界常有南轅北轍的意見。
所以看起來,雖然網路安全伴隨Internet的發展而日趨重要與架構龐大,但要看到國內從政府政策、觀念教育、學術研究到產品、技術的開發、代理與服務等,能夠成為具有共識、彼此密切聯繫的產業型態,目前仍未是成熟的時候。但誠如多位來賓所指出的,Internet是Open的,網路安全不是一家企業或一家廠商就能做到完善的,因此,做為網路安全的工作者、開拓者,彼此之間的Open程度,將會是這個產業能否成形的衡量指標吧。