以前行政院的國家資通安全會報, 有個很厲害的單位叫:技術服務中心 (以前簡稱技服中心, 現已改制為行政法人: 國家資通安全研究院), 他們過去十幾年來, 制定了二三十本資安相關的實作指引 (共通規範), 供政府單位參考.

技服中心這群人非常優秀, 也有實務經驗, 這些制定出來的指引內容都非常有價值, 而且技術層次很高, 從 SSDLC 的方法論, VPN 與 Web 的防護, 網路架構參考, 行動裝置防護, 無線網路, 異地備援....一直到政府專用的組態基準 TWGCB (仿效美國聯邦的 USGCB) 都有.

但是你去看一下政府 A/B/C/D/E 級機關, 有多少單位有能力全部都實施的?

是寫得太難了嗎? 實際去看過那些指引, 具有資安專業的人都知道:其實並沒有很困難, 只要實作的人有充足的資安專業訓練, 都可以獨力辦到 (TWGCB 基準組態也才 290 幾條設定而已, 文件裡面都寫得很清楚).

問題是各單位現況:

1. 缺人: 現有資訊人員缺乏資安專業, 看不懂規範
2. 缺錢: 有些規範需要依賴設備來做控制, 沒錢買
3. 缺時: 執行規範需要額外的工作時間, 沒空多做

現在更糟糕的是, 政府開始對供應商也有同樣要求, 但各標案的承辦人員本身不懂資安, 在寫標案裡面的資安規範的時候, 只是照抄上級單位的樣本, 不懂得要修改成適合自己單位的內容, 導致寫出來的標案規格, 要不是內容模糊, 要不就是實際上無法執行.....

但是承辦人不知道, 驗收單位也不知道; 甚至連驗收單位也不知道結案該怎麼驗?
廠商看標書看得一頭霧水, 每件事都要問: 這個驗收標準是甚麼? 要做到甚麼程度?

隨便講一個, 承辦人依據規範, 在標案內規定:

Web 主機的 Log 要保存六個月.

(他真的就寫這樣一行, 沒有多餘的描述)

請問:

1. Log 應該保存在哪裡? (做資安的都知道 Log 不能保存在本機, 但驗收和承辦知道嗎?)
2. 各主機的 Log 是各自保存(多處)? 還是要把全單位所有主機的 log 集中保存在一處?
3. 用甚麼格式保存? (這涉及將來要如何查詢? 用甚麼語言查? 甚麼介面查? 多快效能?)
4. 儲存容量由誰負責買? (若集中保存是否單位要自負儲存? 萬一不夠誰要負責擴充?)
5. Log 的儲存掛了怎麼辦? 誰來負責管理? Log Server 被入侵被刪被盜, 算誰的責任?
6. Log 保存之前要不要對特定欄位做去識別化? (資安都知道要做, 但承辦驗收知不知道?) 是要做匿名化（anonymization）? 還是假名化（pseudonymization）? (承辦會選嗎?)
7. 超過 6 個月的 log 怎麼處理? 封存-->封存到哪裡? 刪掉-->要不要刪除的證據?
8. A 級機關跟 B 級機關的 log 保存原則相同嗎? 其他 C/D/E 級機關又是如何呢?
9. Log Server 故障不能收的時候, 主機該如何處理持續產出的 Log?
10. Log 有很多種, Linux audit, Windows Event, secure, messages, httpd 還分 access 和 error, DB 可能有 binlog, error 和 slowlog, 有 FTP 還要 xferlog, 有 PHP 還要 php-fpm log, 應用程式還可能有自己的 debug log, action log, audit log, 本機防火牆會有 Connection log, drop log, Linux 開機還有 dmesg, grub boot log....全部加一加也有幾十種 (我還沒算各種微服務裡面自己的 log)....這些是要全部都存? 還是要選擇性的存? 還是只要存特定某些欄位?

(問題又回到儲存, 容量夠當然全部都存啊, 問題就是: 單位有那麼多的容量嗎? 我有客戶一天就可以產出 88GB 的 Log 耶, 保存 180 天要多少容量? 你叫乙方自備容量? 好啊, 總價才 90 萬的標案, 我能備多少容量? 可以到法定的六個月嗎? 還沒驗收上線之前, 我能準確預估未來六個月所產生的 Log 量嗎? 如果上線後發現錯估怎麼辦?)

當乙方問甲方以上資安問題時, 99% 的政府甲方承辦人都是呆掉, 不知該怎麼回答才好?
諸如此類的情境, 近一年每個資訊標案都在上演中, 甲方不懂, 乙方也不知道該怎麼配合;

政府規範都有也都完整, 但第一線的人不懂如何執行, 中間有個大落差還沒補上.

隨便拿個政府規範來, 去問看看每個標案承辦人, 能不能準確解釋裡面的每一項怎麼驗收:
http://www.rootlaw.com.tw/Attach/L-Doc/A040030000002700-1071121-11000-010.pdf
我可以預測: B 級以下機關每個講出來的結果都不相同, 試問: 投標者該聽誰?

依資安法第11條規定:

公務機關皆應設置資通安全長；資通安全長由機關首長指派副首長或適當人員兼任

我相信, 目前大部分機關的資安長, 還無法完整回答上面的問題.
(當然也可能有做得很好的單位, 不過到目前為止, 我還沒遇到)

數位發展部知道以上的狀況, 也啟動方案嘗試縮小落差, 但仍需要時間, 估計至少五年以上.

如果你是要寫論文的話, 應該要找一套方法來做定性或定量的評量, 才能寫得出現況與差距. 建議你往資安成熟度的方法論去找評量方法, 例如美國 NIST 的 CSF 2.0 標準, 或者金管會的: 金融機構資安治理成熟度評估方法.

民間金融單位已經陸續在導入 NIST CSF, 早期政府也有制定一套資安成熟度評估方法, 但最近好像也要逐漸改成 NIST CSF, 至於 ISO 27001 新版的 2022 裡面, 也已經把 NIST CSF 的精神納入, 所以這可能會是目前最通用的一種成熟度評估方法論.

對於在校學生，我覺得加考幾個證照
妳的薪資前途一片光明
目前業界缺資安人才非常多

學業當然要跟教授搞好
不過教授們多半沒有業界實務經驗
理論與實務會有些差距
所以功課歸功課，操練歸操練
妳心裡留意就好

至於政府方面
可以看一下以下文章
政府雙標處理資安問題
raytracy大大是業界大神，說得當然有理
但人就是有人性
在沒有禮讓行人罰6000以前
我開車也沒那麼注意斑馬線
現在資安情況也差不多

資安合作本來就有路徑依賴
和美國合作當然是既有收穫也有風險
合作一定代表標準統一和權限開放
技術優勢方會有更大的話語權
現在熱議的金融資安合作妳也提到了
軍方的合作只會更多

所以只要不跳脫美國的框架和掌控
是會更安全
前提是不要和美國有利害衝突