玄力科技總經理林益正先生受國家通訊傳播委員會的邀請,在12月9日以The Movement and Insight of Security Verification為題,向與會來賓說明美國資安驗證的沿革與精神。
林總經理在演講中提到整個資訊安全的思維型態已從單純的隔離防護轉變為積極的資安保證。傳統的資訊安全僅局限於控制層面,即便有防火牆、防毒軟體仍無法避免遭受攻擊,政府或企業的資訊安全還是備受威脅,其原因可歸咎於在這些防堵性產品不能提供任何安全上保證,甚至無法為已經發生的資安事件留下有鑑識價值的證據。
而資安保證不僅是美國資安發展的核心價值,也是今後資訊環境虛擬化的重要議題。企業營運高度依賴電腦資訊系統,人們的生活也越來越數位化,科技生活的便利性,像是電子商務、電子化病歷等,資安保證所帶來的不僅是對資訊系統的信任,也是人類科技邁向新世紀的基石。
新時代資安思維在於實踐資安保證的方法,而資安保證的首要手段就是稽核。目前有許多資安產品都開始注重滿足客戶在稽核方面的需求,將資訊稽核做得更簡單、自動化。第二個手段就是鑑識,可在事後清處查出問題環節、能滿足可歸責性的機制。事前有稽核;事後可鑑識,就是達到資安保證的左右護法。
林總經理提到Common Criteria是國際認可的共通安全標準,以7項安全評估保證等級來界定安全性規範檢測的結果。然而,Common Criteria驗證所花費的成本較高,驗證時間也較久,因此仍需要藉由政府協助來找出最適合台灣的驗證方式。
在未來的資安產業中,政府應積極扮演領導角色,統合有限的資源並創造資安保證的需求。同時,政府與業界相互合作,帶動資安產業的群聚效應,提升專業的資安技術來防禦未來的資訊戰役,不再依賴國外產品,促進本國資安產業升級。
玄力科技致力於提供尖端、高品質的資料庫安全解決方案(Database e-Security Solution),以知行合一的精神,持續不斷的開發與創新產品來保護個人資料與企業資訊財產的安全與完整。玄力科技的資安產品是由美國與台灣兩地具有數十年經驗的優秀資訊安全專家研發而成,並在美國、台灣申請了多項資訊安全關鍵技術的專利,更榮獲經濟部的創新研發獎勵。客戶包括國際會計師事務所、大學計算機中心、政府機關等。