【资安周报第16期】资安科技中心存废成话题，汇整九大质疑，让你一次看个够

前一阵子，有许多的新科立法委员以及学者，对于即将在4月1日正式挂牌的“国家资通安全科技中心”（简称资安科技中心）有许多的质疑，除了该中心的定位问题之外，有更多立委的疑问在于，新旧政权交接在即，为什么要让原本委外给资策会执行的技术服务中心成员“团进团出”，直接转进到国家资通安全科技中心工作？甚至于，时代力量立院党团协同民进党立院党团，也将于3月29日的立法院院会中，讨论废止“国家资通安全科技中心”，并预计迳付二读。（3月30日更新:由于国民党团反对此一提案，本案进入为期一个月的朝野协商程序。)

面对这波从学界到立院对于资通安全科技中心的质疑，也让过往不被多数人所重视的台湾资安战力问题，获得更多人的关注以及更多元的讨论。但是，我们需要关注的重点并不在于资安技术中心该不该废止，而是，如果立委们决议提案废止资安科技中心，替代方案是否可行？中间所谓的过渡时期，是否能够做到无缝接轨？

目前由技服中心转任资安科技中心的成员们过往的经验和战力，是否还能够顺利保留下来并有更大发挥的空间呢？据了解，在立委提案废止资安科技中心之际，已经有大约五分之一资安科技中心的成员开始私下征询其他工作机会，这些人才流失，将对台湾资安现况带来多大的冲击呢？相信，这些才是提案废止资安科技中心之际，所应该关注的重点所在。

技服中心已经累积15年应对中国网军的经验

技服中心原本就是在2001年3月于扁政府时期成立的单位，在成立初期，到底应该赋予技服中心什么样的定位，甚至该扮演什么样的角色，全体同仁都抱持的摸著石头过河的心态，边摸索、边学习，试图找出可以扮演的角色和定位。

技服中心面临的威胁包括：来自于网军或骇客针对特定政府或企业，长期进行有计划性、组织性资 ​​料窃取的网络间谍行为。最早从1998年起，就发现有苏联骇客针对美国政府等官方单位发动攻击。而台湾因为政治情势特殊，早期的资安攻击事件都视为单一的资安事件，直到2003年9月，技服中心同仁在长官充分授权下，协同警政单位联手调查发现全球第一起APT （先进持续威胁）攻击的案例，当时发现已经有中国网军锁定88个政府机关进行资料窃取。

因为台湾也一直是全球所谓的APT攻击重灾区，甚至是，全球如果有各种最新的APT攻击手法，中国网军也都会以台湾作为测试的先锋基地，如果这样的攻击手法可以在台湾顺利入侵成功，隔没多久，类似的攻击手法就可能出现在其他国家中。

因此，技服中心在过往15年中，也曾经历过各种大大小小不同的网军威胁试探，有成功事先发现新型态攻击手法的案例，当然，也有不幸被中国网军成功入侵成功却迟迟没能发现的案例。但技服中心面临的困境，也和全球其他各国政府负责政府资安事件处理与分析的单位一样，都必须在一次次的挫败与学习中，才能慢慢摸索出一套属于台湾政府对抗中国网军的应对方式。但是，这世上没有百分之百成功的防护手法，只有逐步降低被网军成功入侵比例的方式。

技服中心从原本第一线处理资安事件，转型第二线资安分析

扁政府时期的技服中心，先后发现许多攻击的手法及样态，但是，到了马政府时期，虽然口中对资安相当重视，对于技服中心的运作，仍维持由行政院研考会负责相关的督导业务的惯例，没有多所着墨。

行政院研考会作为技服中心的业务督导机关长达12年之久，这段时间内，技服中心一直扮演协助各个政府机关处理各种资安事件的单位，因为有些政府机关本身并没有配置资安人员，一旦有政府机关发生任何资安事件需要紧急处理时，技服中心都是第一线协助处理的单位。

至于相关的资安幕僚作业，包含资安政策规划，原本由行政院科技顾问组兼办，直到2011年3月成立行政院资通安全办公室（简称资安办）后，资安幕僚的角色才由资安办接手；再加上配合2012年元旦开始的行政院院本部的组织改造（政府组改），资安办才成为常设性的任务编组。而技服中心原本由研考会（组改后为国家发展委员会）负责相关的委办及督导业务，直到2013年元旦，才改由资安办负责。

在这期间，技服中心的运作一直到2012年2月由陈冲担任行政院院长时，找来张善政担任跨部会协调的科技政委，负责政府相关的资安事件处理，后来也担任政府资安长后，开始有了一些改变。

后来，在张善政的规划下，为了蓄积台湾能有更多的资安能量，也让仅有一百人出头的技服中心，可以发挥更大的价值，他积极推动“国家资安二线监控机制”，由各机关搭配各家第一线资安监控服务业者，共同关注外在资安威胁、内在系统弱点，落实法规遵循和协助资安事件处理，并将搜集到的各种监控资料，分享给退居第二线监控（G-SOC）的技服中心。

张善政希望，技服中心不必为了解决各机关面临的各种资安事件而疲于奔命，退居政府资安的第二道防线的技服中心，便可就该次攻击入侵的手法，分析过往是否有类似的案件发生？这次的攻击对于台湾整体的威胁程度为何？并针对相关的攻击做趋势统计、分类分群，找出相关的攻击模式，作为未来分析预测的基础，和第一线资安监控业者合作资安联防。他认为，透过技服中心对于资安威胁分析全貌的掌握，也有助于政府主事者可以更快速掌握台湾资安威胁的风险高低。

推动资安三级制，技服中心转型行政法人负责技术幕僚与支援

技服中心开始扮演政府第二线资安防护的角色后，张善政开始思考推动许多先进国家都采用的资安三级制，有负责政策制定的决策单位，有政策监督与执行的主管机关，以及相关资安技术幕僚与支援的单位。

推动政府资安三级制也有助于跨部会分工，行政院国家资通安全会报负责资安政策的决策（资安办仍为资通安全会报的幕僚单位，负责资安政策规划研拟，及执行资安会报交办的任务，协调各部会执行并落实相关资安政策）；科技部担任资安政策的监督与执行；技服中心则转型为行政法人，成立国家资通安全科技中心，作为相关技术幕僚与支援的角色。

而成立资安科技中心这样的法人机构，需要有相关的法源依据，行政院科技部也在2014年8月将“国家资通安全科技中心设置条例”送交立法院审议，历经3个会期的折冲妥协，才在2015年12月14日三读通过该条例后，总统于同年12月30日公布，行政院核定于2016年1月20日正式施行，并于今年4月1日正式挂牌运作。

有学者质疑，资安科技中心的成立是科技部私设公法人，但从整个立法推动的过程中可以发现，技服中心转型行政法人也历经波折，设置过程最后是经由立法院院会三读同意通过，何来科技部私设公法人之说？

面对学者与立委的9点质疑，资安科技中心有助政府提高资安战力

有许多人对于技服中心过往的历史与演变并不清楚，只觉得负责政府资安的技服中心是委外给资策会执行后，连带技服中心的名声也跟着臭掉了。因此，由私法人的技服中心转型成行政法人资安科技中心的同时，便有学者质疑，相关人事采用“团进团出”的方式，是侵犯新政府的人事权。

首先要思考的是，这样人员的团进团出，真的是侵犯新政府的人事权吗？

目前转任资安科技中心的人员就是原本在技服中心工作的人员，其中，有一些人选择留在资策会，但多数的人都直接从原本在技服中心工作，转任到资安科技中心继续工作，而相关人员在转任后，薪水都和原本是一样的，这对于原有技服中心员工其实是一种工作权的保障。

再者，学者又质疑，采用团进团出的方式加上没有淘汰、审核员工机制，也是侵犯新政府人事权。

试问，对于以技术能力为导向的技服中心或是资安科技中心而言，扮演技术幕僚的角色，想要在短期间内找到上百名具备资安技术的专家，也要熟稔政府资安威胁态势，岂是一件容易达成的任务？因此，让有意愿留任的资安专家以“团进团出”的方式，继续在资安科技中心服务，实在看不出来，何以有侵犯新政府的人事权。

技服中心原本就有自己的绩效评估机制，加上，许多企业整并时，除非是决议裁员，否则，为了稳定军心，在一刚开始也都是以留任原有员工居多，实在看不出这样的留任有何不妥。

而资安科技中心原本规划的编制达180人，在面临新旧政权交接之际，则是遇缺不补，这难道不是一种尊重新政府人事权的表征吗？

第三点，学者质疑，资安并不在科技部成立之初的目标，将科技部指定为资安科技中心的督导单位并不合适，学者建议，应该资安科技中心应该隶属内政部而非科技部。指派哪个部会作为资安科技中心的督导单位，其实是行政院的职权，当初指派科技部的关键原因之一，在于资安科技中心也要扮演资安技术研发的角色，而科技部有研发经费可以作为资安研发之用，才有这样的指派。

若要参考学者建议以内政部或者NCC作为督导机关或政策规划机关，倒不如直接将资安三级制中间的督导层级拿掉，可以直接隶属行政院资通安全会报，从三级制走向更扁平的二级制。而且，依照现行规定，行政院副院长也兼任资通安全会报召集人，在层级上具有一定高度，也容易有实权，要跨部会沟通也更容易。

当然，台湾也可以参考中国成立信息部，掌管所有资讯与资讯安全相关事宜；或者是仿效韩国，设立韩国资讯安全部（KISA）掌管所有网络与安全相关事宜等，都是可以参考的机制。但面临的问题就是，政府组改后，要新设任何一个机关部会难度都很高，能否增设主管资安科技中心的单位，几乎是不可能的任务。

是否要参考学者建议，指派连Google网络业务都不愿意管理的NCC，或者是业务属性繁杂的天下第一大部内政部作为资安科技中心的业务督导机关，新政府在正式交接后，再行指定也无妨。资安科技中心是否要成为具有学者口中，具有公权力且有调查权的单位，或者和其他单位的资安单位整并，只需要提案修改设置条例即可。若因上述两种情况而决议要废止资安科技中心，实在是因噎废食。

第四点，有立委认为，资安科技中心董监事名单政府代表只有三分之一，政府丧失主导权。事实上，大家都知道，先进的资安技术来自产业，尤其是许多先进国家的资安防护技术往往具有独特专利甚至是防护准则，有产业代表加入董监事作为顾问咨询的角色，将有助于整体资安技术能力的提升；而政府代表才有权引领政府资安政策走向，政府根本不可能丧失主导权。

更何况，对资安科技中心而言，产业代表的董监事往往是“求之而不可得”，因为一旦担任资安科技中心董监事成员中的产业代表，就表示该公司无法参与政府的资安标案，光是这一点，就足以逼走许多具有先进资安技术研发能力的产业代表。

第五点，有立委质疑，不论是技服中心或者是资安科技中心的成员，因为资安等于国安，也会涉及国家机敏资料，都应该要对相关人员祭出旋转门条款，以及规定离职多久内，不得在中资公司任职的规定。

虽然资安等于国安，但不是所有的资安都等于国安，以技服中心转型资安科技中心的任务导向，有一些威胁情资的分析仍有等级之分，并不是所有资安科技中心的成员所经手的业务，都是机敏的国家安全业务。

根据侧面了解，早期由行政院研考会督导技服中心时，当时会针对技服中心的资安专家们，尤其有机会经手比较关键资讯的成员做背景调查；资安办接手后，虽然没有做类似的调查，但对于经手较为机敏资讯的人员，仍维持原本技服中心的作法，对于人员出入境都有严格的控管。例如，目前大约有三分之一的原技服中心人员，要出国必须提前20天前申请核准，而且不准到中国旅游，除非是公务所需且经主管机关同意才行；在离职一年内，也不得到中资机构任职。

当技服中心只是私法人时，对于牵涉机敏资料的人员都已经有做严格的规范，资安科技中心成为行政法人后，在里面工作的人员等于是准公务人员，更可以有类似的资安控管要求。对于资安科技中心牵涉机敏资料的人员，采用同公务人员一致的要求是合理的，却不可以将扛着“资安等于国安”的大旗，将这样的要求无限上纲。

第六点，面对有立委质疑，台湾政府被网军入侵后，必须要花8.5个月才能发现，甚至借此质疑，一旦成立资安科技中心可以缩短多少面对攻击入侵政府机关或企业的潜伏时间呢？

事实上，没有任何资安专家可以对此打包票，因为，资安攻击越来越复杂，要缩短骇客在政府或企业的潜伏期，越来越难。根据资安公司FireEye的M-Trend报告，即使是美国面对APT攻击在企业的潜伏期，从2011年的416天，在近年来的努力下，也逐渐缩短到2015年的146天；但若参考像是趋势科技的研究资料，台湾面对APT潜伏期为559天，极端案例甚至超过2千天。因此，成立一个资安科技中心不一定能够完全改善政府资安威胁现况，但至少会有一点减缓效果。

第七点，包括学者和立委都质疑，为什么不在资通安全管理法通过后，才据此通过“资通安全科技中心设置条例”呢？事实上，行政法人的设置条例，就像组织改造一样，只要立法院通过相关的设置条例即可。

资通安全管理法基本上是一个作用法，主要是一个同时规范政府和企业，包括关键基础建设相关的产业，以及有运用资通讯工具资安和其他相关产业时，面对资安威胁时应该要投入的资安资源多寡。

台湾制定资安管理法时，曾经参考美国新联邦资讯安全管理法（FISMA 2008）的精神与内容，该法规定美国各政府机关必须发展、制定和执行资讯安全计划，每年也要针对资讯安全控管政策、程序、实务等面向进行测试与评估。而美国新联邦资讯安全管理法则赋予白宫管理和预算办公室（OMB，Office of Management and Budget）及国家标准技术局（NIST，National Institute of Standards and Technology）对联邦机关进行监督与审查的相关职权。

但因为资安管理法规范民间企业应该要投入资安资源，包括政府部门与一些民间企业在内，对于资安的预算、人力等资源分配可以更为明确化，让资源不足不会成为没有落实资安的借口。

因此，从资安办一路到科技部等行政单位推动立法的过程中，频频遭到许多来自利益团体代表的压力，就是不希望政府规定，企业必须要花钱投资在资安上，也使得原本在2014年已经有草案的资安管理法，迟迟无法由科技部提出一个完整的行政院版，送交立法院进行审议。如果学者和立委认同资安管理法有急迫通过的必要性，应该要求科技部尽速推出政院版的资安管理法，以最快速度排入立法院院会的一读，进入立法院委员会的实质审查。

他山之石最好的案例就是韩国，便透过立法方式，强制韩国企业必须定期做渗透测试，也造就5千万名人口的韩国，却有超过200间以上的资安公司。至于范围更大的资讯基本法，则由国家发展委员会负责草拟，但是不论资讯安全管理法或资讯基本法，哪个先通过或后通过，本质上并不互相排斥，还可以达到相辅相成的效果。

第八点，为了不要重蹈资策会左手从政府接案，右手又立即转包的与民争利行为，加上，资安往往是无法立即看到成效的投资，如何让资安科技中心可以顺利的发挥第二线政府防线的功能，并避免为了要自筹经费而必须与民争利的情况，未来新政府能否同意，资安科技中心是政府必要的投资（以往委办经费每年是2.65亿元），经费来源除了以政府编列相关预算外，其余就是捐助经费，不让资安科技中心的成员担心没有钱维运，也借此让政府有健全的资安能量。

最后一点，其实也是为什么要成立资安科技中心最关键的原因，就是为了要解决资安委外对政府资安带来的风险。因为先前由资策会负责维运技服中心，即便当时资策会在研考会的要求下，都是由专职人员负责维运技服中心，但在资安等于国安的前提下，政府能够对资安威胁控管具有的主控权，才是最合适的，才有转型资安科技中心的提案产生。只不过，在许多复杂因素的交杂下，这个主因却被多数人所忽略。

资安科技中心蓄积丰富资安能量，如何善用是关键

技服中心在2001年3月成立之后，历经经济部、前研考会、院资安办等机关委办及督导等各个阶段，除了协助行政院资安会报逐步建置政府机关分级管理、国家资安防护管理平台（N-SOC）等重要机制外，也提供政府机关事前安全防护、事中预警应变、事后复原鉴识等资安技术服务，都有助于提升政府整体资安能量。

加上，各界普遍认为，资安涉及国家安全，不应该长期以委外的方式办理，加上资安具有高度专业性，相关资安人才也相当缺乏的情况下，既有的行政体系根本无法承接任务属性如此复杂的资安任务，若改由具备智库幕僚、技术研究、系统开发、专业服务及训练推广能量的技服中心，转型行政法人承接相关的​​​​资安业务，其实也是现阶段相对好的选择。

但是，立法提案废止也将使得资安科技中心的成员感到不安，即便，废止资安科技中心设置条例后，就只是恢复原本由科技部委由资策会的情况，经费早已编列，原来工作今年不受影响，但一切都回到原点，过往的努力形同白费。此时，因为人心不安造成的资安战力流失时，景况只会更糟，对于国家整体资安威胁的掌控，更是大扣分。

 

本周（3/20～3/26）重要资安事件回顾：

※ 报告：激进骇客组织一度掌控自来水厂

※ “怯场”漏洞修补有严重落差，还有8.5亿Android装置曝攻击风险

※ 微软聊天机器人少女Tay被网友教成纳粹份子，上线不到一天黯然下场

※ 只要225美元的无线电波接收器，就可以在没有钥匙前提下偷走24款汽车，连BMW、Toyota都受害

※ 美国政府控告3名叙利亚电子军成员

※ iOS 9.3更新传出灾情，部分旧款iPad2更新后变砖头

※ 要帮FBI解密iPhone的是一家以色列行动鉴识公司

※ Uber五月将举办抓漏奖励活动，奖金上看1万美元

※ 思科重整事业群，建立物联网、网络、云端及安全等四大部门

※ CoreOS释出容器漏洞扫描工具Clair正式版，可提供和更新漏洞修补程式

※ 苹果iMessage爆漏洞，用户传讯内容被看光光

※ 全日空因系统故障，日本国内航班交通大乱

※ 资安业者开发Android攻击程式Metaphor，可攻陷三星、LG及HTC手机

※ 报导：孟加拉央行窃案后，SWIFT要求会员银行加强资安措施

※ 美国政府公开提醒消费者及车厂重视汽车资安