目前擔任資策會專案支援處副處長,且同時擔任行政院國家資通安全會報技術服務中心主任的劉培文,在就讀成大電機碩士班時,由於對電腦科學產生興趣,因此研究領域選擇了電腦科學相關領域,專注於醫學影像分析式計算,並且一路念到博士班畢業,取得博士學位後便進入資策會開始了4年國防役研究員的工作,迄今已經任職10年。
|
▲行政院國家資通安全會報技術服務中心主任劉培文進入資策會10年,從系統開發工程師做起,經歷各種不同產業領域的IT工作,而後踏入資訊安全領域,希望能與技服中心資安團隊共同邁向國際級的水準。 |
「我進資策會時網際網路正要開始蓬勃發展,因此除了持續原先專長的醫療資訊系統專案研究之外,也參與資策會協助經濟部推動的網路相關專案,例如學校家庭上網專案、教學網站專案、經濟部電子商務、電子市集等,基本上都在網路的範疇中,後來是因為長官的提攜才開始了我在技術服務中心的資安工作。」劉培文說。
政府資安幫手
劉培文目前負責行政院研考會的國家資通安全技術服務與防護管理計畫,擔任計畫主持人,主要協助研考會服務所有政府機關的資訊安全,單位性質特殊,且功能涵蓋廣,處室組別分工明確,其中包括網路資安威脅情蒐團隊、24x7網路監控、事件應變處理、資安事件鑑識、資安系統開發、滲透測試提昇資安品質團隊及政府機關的資安教育訓練團隊。此外,也協助研考會訂定行政院所屬機關的資安管理規範及參考指引,並負責廣宣,例如資安週、資安金像獎等,涵蓋了技術面服務至政府機關資安品質提昇再到訓練推廣等範圍。
他表示,技服中心畢竟資源有限,並不是將所有政府相關資安工作一手承包,原則上各單位機關的資安工作還是需要自行維護。技服中心主要協助研考會建立所有政府機關的通報應變體系,目前在超過3000個政府機關,每個機關有2位以上的資安聯絡人,並且將資料建於資料庫中。技服中心所監控到的威脅或是發布的資安事件警示,都會透過資安通報體系通知這些聯絡人,而技服中心還是主要以資安事件等級較高的單位或特定事件監控進行直接協助。
震撼教育 學習加速
「初到技服中心才沒幾個月就遭遇重大資安事件,也就是當時開始談論的網軍及組織型駭客透過社交工程攻擊政府機關。」劉培文回憶,技服中心以往頂多處理類似政府網頁置換的問題,因此當時第一次碰到社交工程攻擊時,讓團隊措手不及,還好透過優秀的國防役同仁以及內部駭客級的同仁組成的團隊,釐清攻擊事件原因及影響範圍,也因為這次事件,技服中心將相關的技術慢慢培養起來,也對於當時政府機關的資安建置無法防範的攻擊進行研究和調查,開始對資安威脅建立更全面性的了解。「這個單一事件對我自己及整個技服中心都可以說是震撼教育,但也因此讓中心整體學習加快了腳步。」他說。
「我剛進來時連資訊安全相關ISO都沒聽過,由於不懂的東西太多,因此花了相當多時間學習。」劉培文也回憶來到技服中心最大的挑戰是對資安領域的不熟悉,雖然原先就浸淫在IT領域中,但是剛開始的前幾年還是得花費相當多時間研讀資料,所幸以往系統開發coding的歷練對劉培文面對資安工作帶來極大幫助。「因為我在系統開發單位時接觸到了網際網路不同的應用,像是醫療系統、電子商務系統、e-Learning系統,後來也做了一些KM的系統,等於多領域的IT需求都已經歷練過。」他說。
他指出,資安就是解決使用者及應用系統的問題,如果對網路的應用已有深刻了解,對資安處理就會更容易上手。例如談及Web系統弱點時,雖然以往coding沒有特別針對資安做訓練,但還是會比較清楚可能發生的問題點,如果對不同產業IT領域都能了解,相對所面臨的資安問題也都更能快速進入狀況。
集合智慧 做好資安
劉培文表示,技服中心從2004年開始注意社交工程攻擊後,並且協助政府機關制定出反制措施。當一般的使用者不會輕易上當後,社交工程攻擊開始演變成使用假冒的方式誘導使用者受騙,因此技服中心也不斷教育訓練及宣導使用者注意定期上Patch等。後來駭客組織開始用零時差攻擊後,技服中心也針對此開發了偵測系統。
「我相信要做好工作就要去集合同仁的智慧,當然也要有好的制度和方式將同仁的智慧結合。」劉培文指出,技服中心最早只有導入BS7799,接著導入ISO27001,之後意識到只有資安標準還不夠,當人力越多且要處理的問題越複雜時,就需要一些管理的標準,來協助團隊中的專案經理或組長等中階管理階層,除了要能夠專注在資安特定的議題之外,還要能帶領整個團隊有相同共識投入其間,因此技服中心後來導入了ISO20000並且取得驗證。
「這些方法論最大的好處是,當所有人的管理方法一致時,就可以減少很多溝通成本,反而可以更專注在資安該做的事,其他管理相關議題透過標準化解決,雖需要時間落實,但整體效益會陸續展現。」劉培文說。
團隊溝通 分工授權
「資安這個領域值得長期投入,我希望能將技服中心對資安領域的掌握邁向世界級水準,讓我們的團隊慢慢朝這個目標走。」劉培文表示,溝通永遠都是團隊工作的重點,要解決跨組團隊合作的問題,破除本位主義將會比技術問題更難解決。因此,希望把管理方法訂出標準,讓工作溝通更順利。
他進一步指出,當各組功能分工確定後,要讓中階主管及工作團隊看問題的觀點能夠提昇,將工作化被動為主動,做資安服務如果能夠比使用者預先想到所面對的問題,使用者就會認同服務單位對他的價值。
「大部分的工作者比較被動,會希望等上級管理階層下達命令後再執行,我的體認是與其別人告訴你做什麼,不如你先想好自己要做什麼,因此要讓中階管理階層先動起來,對每個專注的分工領域能夠有完整的掌握。」他說。