網際產業座談會

主持人：網際先鋒副總編輯　歐敏銓

科技日報總編輯　黃俊義

與會來賓：諮安科技總經理　涂舜授先生

鈺松ISS 副總經理　蔡運生先生

博訊科技副總經理　裴兆旭先生

美商凱創台灣區技術協理　鄭可強先生

精誠資訊網路軟體事業部業務處長　江嘉帆先生

台灣科技大學資管系主任　吳宗成博士

開放與安全，可說是Internet環境的兩難，以B2C的發展來說，上階段的隕沒，交易機制的便利性與安全性的不足，便是一大瓶頸。今日正積極發展B2B，然而，資料的接取、交換，也仍有許多的安全性問題急待克服。

這些問題，都促使網路安全解決方案的不斷發展，若從其多元性來看，「網路安全」似乎已儼然具有一個產業的雛形。本次座談會即欲探討若將網路安全視為產業，是否已然成形？所邀請到的來賓包括密碼學、入侵偵測、數位認證、Networking與安全設備代理與建構諮詢的六位專家，正代表了網路安全議題的多個面向，大家對於「網路安全產業」的看法為何？以下為各位介紹座談過程中的精彩內容：

網路安全是新興產業？

問：網路安全的領域正不斷地拓展深化，就 Internet 的商務環境而言，應如何以架構性來來看待 Security 的議題？這個因 Internet 而生的技術領域是否可視為一個完整的產業？

諮安科技總經理涂舜授：資訊安全的議題，首先我們就商業環境來看，目前是一個Open的市場，和過去封閉的架構是不同的，其承受的風險也就有所不同，個人認為資訊安全的架構可以從三方面來考量，分別是資訊安全的基礎架構、交易安全性及安全的管理，其中在交易安全的部分，在經過政府相關的法規規範下，未來可望步入正軌，而資訊安全的管理目前也有英國標準協會BSI及國際標準組織ISO等相關機構的認證，其架構已經成形，但是在基礎架構的安全性上，至今並沒有一個共通的標準，我認為這也是資訊安全應當努力的方向。特別是在資訊安全的狀況愈來愈多的情況下，如何在基礎的架構上建構完整的安全系統是相當重要的問題。

台灣科技大學資管系主任吳宗成：在資訊安全漸受到重視的當下，資訊安全是否已經足以被稱做是一個產業？我想這倒是未必，一個產業的架構應具備的條件，不管是產品本身或是整個基礎架構來看，資訊安全截至目前為止，都還稱不上是一個產業。

現在 Security 的問題愈來愈受到重視，除了在技術面上加以研發、防範外， Security 的問題核心還是來自於人性與管理。過去我們談到網路安全大都著墨在病毒與駭客，因為這兩個部分並沒有牽涉到人性最主要的關鍵點 － 信任（ Trust ）的問題，而網際網路是一個開放性的環境、是一個公共財，就如同現實的社會一般，因此我們可以這樣認定資訊安全是一個社會問題、倫理問題。

有了安全顧慮的問題後，廠商要做的是如何讓企業相信，產品本身的安全性以及管理機構的可信賴度。從這個角度出發我們會發現，隨之而來的是企業如何相對應的機制，而資訊安全的問題到最後會演變成「資訊保全」的階段，強調資訊、資料以及系統應該受到保護。

鈺松副總經理蔡運生：如涂總所說，網際網路的環境是 Open 的，在資料的安全防範上我們可從資訊安全的認證、驗證制度來看資訊的運用與管理，當資訊遭受到破壞、毀損時，企業能否在最短的時間回復，是相當重要的關鍵，而企業本身是否能夠體會資訊對於企業營運的重要程度，則會影響資訊安全防範的建構程度。

個人認為要談到資訊安全的架構，可以從三方面來看，第一是公正的認證機構，目前在國內有中華民國資訊安全標準檢驗局來考察資訊安全的標準，而資訊安全的技術運用目前大都使用密碼模組，而電信總局與國安局則是主要的驗認機構，電信總局主要是負責民間的加密，國安局則掌管在外交與軍事方面的密碼加密，透過這些機構的認證與推動，可以讓資訊安全的防範達到更為安全的目標。

其次是資訊存取行為的確認，資訊的儲存在電子商務的過程絕對是不可避免，特別是有關企業生存的關鍵性資訊，因此在儲存上必須特別受到保護，不僅要安全，甚至要做到保全、異地備援的目標。第三是資訊安全的維護，任何網路上流通的訊息，在傳遞的過程是應當受到安全機制的保護，因此安全的維護機制，對於資訊安全的整體架構來說是不可缺少的部分。

朝向整合性的專業服務是未來趨勢

問：隨著 Internet 應用的多元化，Internet 的環境也日趨複雜，企業對網路安全的需求也從產品的採購，提升到全面性的防護思考，因此會有整合性的顧問諮詢服務，目前網路服務提供商彼此的垂直整合性似乎不高，是否有提升的必要？

博訊科技副總經理斐兆旭：網路安全的整合是非常重要的，沒有一套完整的資訊安全系統與服務，很難促使電子商務的發展達到成熟的機制。就舉民眾線上購物的例子來看，個人曾在電台的 call in 節目中接到民眾的詢問，自己的信用卡在線上交易時遭到冒刷，個人應如何維護自己的權益？

關於這個問題，個人覺得最重要的關鍵，是在要透過「技術」的研發來做到資訊安全的目標，有了技術作為後盾，那麼在法律或其他的規範上，才能真正顯現其意義，而目前在資訊安全的技術上面最常使用的方法便是加密，但在未來的電子商務或行動商務上，不單只是加密就可以的，必須配合更為完善的保密系統，如此才能真正達到資訊安全的目標。

而整個資訊安全的建構，並非單一公司就可以完全做到，在網際產業中，專業分工的概念是非常重要的，在有了基礎的技術防範後，我們可以再往上研發資訊保全、保密的技術，讓資訊安全的防護做到較為理想的境界。

美商凱創台灣區技術協理鄭可強：關於資訊保全的實際運作情況，主要根據資訊本身的重要程度來做判斷，例如銀行的交易往返、軍事單位的重要機密文件等，這些屬於重要的資訊，在保全的程度上就會高出許多，事實上，涉及到電子商務的交易行為，不管是 B2B 或 B2C ，在資訊的保全上都屬較高程度的資訊保全範疇，因此談到資訊保全的運用，最主要是依據資訊本身的重要性來作為判斷。

市場利基與未來挑戰

問：台灣網路安全內需市場仍屬於開發前期，是否會面臨飽和的危機？除了產品的銷售與整合的服務，國內廠商是否還有其他的發展利基或途徑？也就是說，以產業的觀點來看，我國網路安全領域的機會與挑戰。

精誠資訊業務處長江嘉帆：目前台灣的資訊安全現況，仍處在產品與服務的銷售、競爭階段，各家廠商無不對於自己的產品特色與優點，向企業，特別是 e 化的企業進行遊說與建議，但是在度過這個階段之後，應如何走下去，是應該好好的思考。我們可以看看大陸市場的例子，根據了解，大陸在資訊安全的規範上，有兩種做法，第一是要求進口廠商將資訊安全防範的產品原始碼提供出來，才能在大陸正式銷售，另一方式就是靠自己的研發，由於這兩個因素使得大陸的網路安全問題得以有很好的管制，但是反觀台灣就不是這樣了。

企業所能做的資訊安全保護，就是透過相關產品與保全的服務來為自己做些防範，而這樣就能達到資訊保全的目標呢，我想那是未必的。台灣的作法可以用兩句話來形容，就是「廠商做的是表面的多」、「企業做的是買心安的多」，雖說這樣的情況有些諷刺，但卻是目前我們在資訊安全領域的實情。換言之，整個資訊安全的目標，就如同現實社會中的大同世界，是不可能完全做到的。

鄭可強：我們可以了解台灣現今的資訊環境，在產品與技術的創意投資比例偏低，國內也因缺乏創意人員的培養，這會造成我們只能跟隨國外的腳步。就以美國的例子來看，他們的企業通常會成立一個頗具規模的研發機構，藉由不斷的研發、改進，來使得未來前景更為看好，這樣的做法是非常值得我們學習的。

涂舜授：資訊安全其實就是「打架」，就是表示「自己要夠強壯」、其次是「經驗要多」，以美國來說，他們的資訊安全研發無疑引領全球的發展，另外他們亦是遭受攻擊最多的地方，這也是在資訊安全的發展上，美國一直是居於領導地位的原因。反觀國內，我們應該找出自己最為優勢的地方，如此才能在資訊安全的領域有所發揮。

資訊安全最主要是依附在 IT 產業上，但卻是「高附加價值」的產業。我認為國內在這塊領域的發展上，沒有必要跟著國外的腳步，一昧的投入在研發產品上，事實上整個資訊安全的產品市場是已經趨於飽和，國內唯一能做的是不斷提升專業性的服務，畢竟資訊安全的問題還會繼續出現，專業的資訊安全服務比技術或產品的開發更適合我們來做。

裴兆旭：從廠商的角度來看，現今並沒有一套很完善的整合性服務，所以在這方面是可以作為我們努力的方向。至於是否能靠自己來研發資訊安全產品的技術與產品，我也舉大陸的例子作為我們的借鏡，事實上大陸在資訊安全的的自我研發上，也投入不少的人才與經費，但是在成果的呈現上並沒有如預期，因此在這方面的發展，個人也不贊同國內投入大量的時間與成本來研發資訊安全產品。

培養專業人才是不二法門

問：網路安全與 Internet 整體環境息息相關，例如電子交易或產業間的資料交換，除了技術廠商與企業本身，更需要政府政策的協助推動。而政府還應著力於何處？換個角度來看，當全球都邁入Internet的世界，雖然我們並不打算攻擊別人，但也應具備攻擊能力，這是一個很現實的問題，從這一點來看，叢林法則會不會也成為Internet 的發展法則？

江嘉帆：談到國內資訊安全的發展方向，從目前的市場趨勢看來，我們在技術的研發上稍顯不足，雖說國內有不錯的廠商投入產品開發與技術研發，而且也做的不錯，但是仍然有國外的影子。未來發展上，可以針對國內的企業需求，來發展更為適切的專業服務，並且加強自己的 IT 產業專業人才的培養。諷刺的是，「安全事件的發生」往往比教育市場來的迅速且有影響力，近來每次有事件發生，某些產品的銷售就會大幅成長十分明顯；而國內的學術團體在資訊安全的發展上，則可以作為產業的最佳後盾，有了學術界不斷提出的測試報告，就可以促使資訊安全的產品達到更完善的目標。

吳宗成：我們可以用一句俗諺來說明資訊安全，就是「沒有三兩三、不要上樑山」，沒有 Security 就不要上 Internet ，在現階段我們應該做的是，建立一套安全規範，同時去思考「企業的 Security 環境與成本」之間的考量，如何運用最低的成本來建構最為安全的資訊環境。此外專業人才、創意能力的培養同樣也是我們可以努力的方向。同時國內的廠商應該朝認證制度認可的目標邁進，藉由國際認證的許可，來加強我們自己的優勢，亦可以增加我們的國際品牌知名度。

檢討

這次的座談會，雖然廣泛的討論了網路、資訊安全發展的大環境議題，與會的來賓則請到學界與業界各個領域的多位先進，但整個座談過程，感覺上交集點並不多。檢討原因，當然與本刊主持、串場的功力密切相關，題目過於廣泛也是個問題，另外，來賓代表領域，從學術面、基礎架構面、產品面到網路認證等各有不同，對於問題的看法也各持一見，尤其可以感受到學界與產業界常有南轅北轍的意見。

所以看起來，雖然網路安全伴隨Internet的發展而日趨重要與架構龐大，但要看到國內從政府政策、觀念教育、學術研究到產品、技術的開發、代理與服務等，能夠成為具有共識、彼此密切聯繫的產業型態，目前仍未是成熟的時候。但誠如多位來賓所指出的，Internet是Open的，網路安全不是一家企業或一家廠商就能做到完善的，因此，做為網路安全的工作者、開拓者，彼此之間的Open程度，將會是這個產業能否成形的衡量指標吧。