资安周报第27期：行政院将成立正式组织资安处，取代任务编组的资安办

首页 > 娱乐前沿 > 产经

2016-06-14 13:35:10 | 来源：ithome | 投稿：米阳 | 编辑：dations

原标题：资安周报第27期：行政院将成立正式组织资安处，取代任务编组的资安办

中科技为了递补届退的人才，近期大举徵才，希望能够招募到007情报员旁边的Mr. Ｑ帮忙。

图片来源:

中科院召募海报

台湾虽然没有什幺天然资源，但是，面对中国持续锁定的各种网军试炼，台湾也相对成为全球拥有丰富资安病毒样本的国家。也因为台湾面对的资安情势险峻，执政者都无法忽略资安的重要性。

而新政府于520上任后，在千头万绪中，以最短的时间，率先面对资安议题的处理，回应外界的期待。

行政院成立正式组织资安处，负责资安事宜

据了解，原本採用任务编组型态的国家资通安全会报作为政策制定、由国家资通安全办公室作为幕僚单位的资安管理形态将有所改变，新政府即将成立正式组织的资安处，兼具政策制定、执行和产业推动的角色，负责政院所有相关的资安事宜。成立这样的资安正式组织，则是新政府在回应外界对于政府资安政策期待时的第一记好球。

而资安会报原先由行政院副院长担任召集人、科技政委和科技部长担任副召集人，到新的组织框架后，极有可能由科技政委扮演政策主导的角色，科技会报执行秘书也将扮演重要的政策执行角色。

不过，资安政策的推动，往往必须由上往下才可能真正推得动，达到风行草偃的效果。新政府此时，极可能将政院资安的管理层级由副院长层级，降至科技政委的同时，这将是新政府在回应外界对新政府资安政策期待中的第一记坏球。

再度回归由行政院资安处督导技服中心

不过，技服中心先前在历经成立行政法人，又在短期之间遭废止的风波后，相对应的主管机关也经历原先由资安办督导，后来又改成科技部作为主管机关的历程，从组织定位到主管机关是谁，过程就显得一波三折。因此，新政府在成立资安处之际，也会回归直接督导技服中心，此举也具有稳定军心的效果，成为新政府在资安政策上的第二记好球。

至于马政府时代推动的资安三级制，随着成立正式的资安处，并又重新督导技服中心后，会形成新的资安二级制。或许有人强烈赞成资安二级制的层级扁平，将可以有效快速因应资安议题。但是，资安三级制的推动，则是搭配行政法人化资安科技中心成立的任务分工编组。

因为不论是原本三级制的推动，或者是二级制的成形，都个有其优缺点，对此，则将此视为新政府回应外界对其资安政策期待上的一记界外球，并没有所谓的好或坏的评价，只有时间点适当、不适当而已。

总统府国安会下设的资安办，资安政策应具国家战略高度

除了行政院资安组织架构的调整外，总统府也有国家安全会议下设国家资通安全办公室，因为国安会的任务分配，主要是偏重国防和外交的因应和处理，这个国家资安办公室将会处理更加涉及国家安全层次的资安政策制定和相关的资安事件处理。从总统府资安会谘询委员李德财督导成立的资安单位，具备一定国家安全的政策高度，就是名符其实的资安神盾局，未来将要掌管国家层级的政策资安制定。

国安会下设的这个资安办其实是2012年才成立的单位，当初成立也是非常低调。据了解，马政府时期国安会的资安办，原本应该如同一般政府组织在5月19日任期到期，但是国安会资安会则提前在4月底解散。

或许，因为新政府已经意识到，行政院的资安处面临的更多是政府体系包括关键基础设施的安全性，包括资安管理和、资安事件处理和防护措施等等；但是，位阶若提升到总统府层级，应该更以具战略高度的方式，思考台湾面对中国网军的锁定与攻击时，应该採取何种攻击或防守的策略，是否需要扩大到区域的资安联防，甚至是提升到跨国的资安会谈等等。

要成立6千人的资通电军，还不知道兵源哪里来

甚至于，新政府列为重要政策内容之一的成立资通电军「第四军种」，表现上看似由国防部筹组相关的建军规画，但实际上，没有战略高度的军事单位，是无法发挥其应该有的战略角色与愈及达到的效果。而国安会应该要制定成立资通电军「第四军种」的实施或是作业要点，成为国家层级的资安管理策略方针。

而资安会下设资安办公室，不仅可以协助国安会谘询委员李德财，分担制定与推动相关资安策略的心力，更因为具备国家安全的政策高度，面对第四军种的设立和制定，也可以提供相对客观的建议。这样的资安政策也可视为，新政府面对外界资安政策回应的一垒安打。

但是，坦白说，预计人力规模高达6,000人的资通电军，从设置到招募、到正式成军，都是大工程，加上目前兵源短缺，没有徵兵制度之后，连带募兵制度连基本的兵源都无法顺利补充，对于如此庞大资通电军的兵源该从何而来，对于国安会资安办和国防部而言，都是一大挑战。若要回应6千人网路军队的招募，对于新政府回应第四军种招募的难题，其实是新政府回应外界资安政策的第二记坏球。

错误的资安人力招募资格，只能招来B级资安人才

全球都在抢优秀的资安人力，近两年，台湾HITCON战队代表台湾参加在美国拉斯维加斯举办的DEFCON CTF比赛，不仅顺利取得决赛资格，最后，也获得不错的成绩，表现不俗。而这个曾参加CTF国际资安竞赛并获得前10名者的资格，也成为转型行政法人的中山科学院（简称中科院）近期对外公开招募「资讯安全科聘人力」的招募资格之一，更有趣的是，中科学还指定要参加哪几个特定的CTF比赛并且要获得好成绩的人才，才符合他们招募的资格。

设定CTF比赛作为资安人才招募资格的作法可以理解，也是某种程度的潮流趋势，但从这样资格设定的前提也可以知道，中科院心中其实是锁定这批HITCON战队CTF参赛成员，希望有机会可以纳为己用。

不只如此，中科院为了突破以往「偏重学历」的徵才模式，希望更多具有骇客实战能力的资安人才可以到中科院工作，还特别将资安人才的招募，另外以「国家中山科学研究院资讯安全领域特殊人才进用作法」作为资安人才招募基础。

主要召募的对象是：非理工学院「资讯管理或应用」相关系所硕士及以上学历毕业的资讯安全领域特殊人才，符合招募资格条件还包括：具备大学及硕士修满与「资讯学科」相关课程24学分，且具备国际资安证照，或国际重要资安竞赛得名或具资讯安全特殊技能者，就可以报名参加徵才活动。

因为中科院过往军中科研单位的背景，即便已经行政法人化，但是主要还是以接国防部的专案为主，所以便有人认为，中科院此次的徵才，其实是为了呼应政府将要设立资通电军「第四军种」的前哨站。不过，中科院公关室主任颜肇莹则表示，这次的徵才主要的目的是为了递补这几年届退的人力为主，和第四军种成立并没有直接关係。

但是，许多资安专家看了中科院的资安人才招募资格后，只有少数比较年轻的成员认为，若是有机会可以参与一些军事相关的资安研究，因为是外面商业领域接触不到的技术，有机会愿意尝试外，多数的资安专家对于这样的工作机会都表示摇头、缺乏吸引力。

因为，资安专家们认为，这种人力聘任资格朝向证照化、比赛化和学历化的资格限制，其实无法招募到真正的神人加入这样的团队，尤其是，资安又是一门与学历、证照无关、只和能力有关的技能，甚至于，有一些我们很熟悉的资安研究员们，有的只有高中毕业，靠着自修达到神人般的成就，面对中科院设定的徵才资格，神人永远都会是漏网之鱼。

中科院作风官僚，如何有创意思维解决资安问题

中科院目前仍有5％（大约6百～7百名）的军职人员担任管理角色，军人的思维僵化又官僚作风，让他们事事都要控制、报备，但偏偏资安却是不按常理出牌、跳脱常规的学门，箝制、保守又封闭的环境，要开出自由、奔放又具创意的花朵，结果往往是，这朵花在开花之前就已经先枯萎了。

此外，薪资和福利也不够有吸引力，硕士毕业的薪水介于54,000～60,000元之间，这是死诸价，不会因为你是做资安或是其他类别的工作，造成薪水会有不一样，在吃大锅饭的心态下，不论多好的人才来到这种齐头式平等的环境，只会变得越来越烂，相对缺乏吸引资安专家到任的诱因。

至于民间机构的薪资，包括资策会、工研院或是中华电信等单位，大多按照学历叙薪，一般硕士大约45,000元左右，比中科院略低，但若是其他更专业的资安公司，若在趋势科技任职的资安攻防人员，薪水大概百万年薪，还有第一手最新的资安报告与资安黑市资讯，整体薪资诱因比中科院好，更不论一些资安外商技术顾问的平均年薪大约200万～500万元之谱，两者相较，更是小巫见大巫。

中科院最大的问题在于，採用错误的资安徵才标準，而这样的徵才标準，甚至可能成为新政府中，包括未来成立资通电军的徵才标準参考。这是新政府回应外界对资安疑虑的第三记坏球。

新政府上任不到一个月，非常有诚意的面对複杂的资安议题，不过，在这场资安的棒球赛中，现在其实只是球赛第一局上半场，在上场投手投出了二好球、三坏球的成绩后，下一球投出来，究竟是可以三好球迅速三振打者，还是投出四坏球，不得不将对手保送上一垒，不仅是考验上场投手和捕手合作的默契，更是考验教练战略战术应用的智慧。就让我们继续看下去。

上週（6/5～6/11）重要资安事件回顾：

※台湾大上午手机断讯将减收月租5%作为补偿

※美议员拟修法扩大政府调阅资料权限，Google、脸书及民权团体联手反对

※多个网站共用帐密，Facebook、Netflix吁用户赶快换密码

※第一季全球DDoS攻击年增125%，100Gbps以上规模创新高

※Facebook Messenger有漏洞，可窜改对话内容、删除连结或档案

※老是打错密码导致帐号被锁住？专家提议密码容错系统

※Google释出Android更新，一次修补6个重大安全漏洞

※研究：三菱Outlander电动车Wi-Fi易被骇，能远端开门、关闭防盗警报

※Gartner：6成数位商务恐因资安管理能力不足被迫中断

※巴西里约奥运倒数59天，近两年已完成20万小时IT测试

※强化用户帐号安全，TeamViewer祭出两项安全措施