政府公開資安稽核是好的開始 - iThome

資訊安全專家時常以木桶理論與鍊條理論來解釋上述狀況。

木桶理論是指，木桶的最大裝水量，取決於最短的一根木材。

這是說以好幾根木板圍成木桶，若其中 ... 移至主內容 按讚加入iThome粉絲團 文/吳其勳 | 2013-11-27發表 日前行政院做了一件罕見的事，政務委員張善政在一個公開演講場合，說明行政院今年度的資安稽核結果，首度指出「行政院陷入高度的資安風險」。

行政院在每年9月、10月都會針對重點機關實施資安稽核，但過去未曾對外公開談論稽核的結果。

正所謂家醜不外揚，更何況是資訊安全這等內容敏感的問題。

然而，資安專家時常引述孫子兵法「知己知彼，百戰不殆。

」的心法，來說明資安意識的重要性；若對自己的情況不甚了解，是不可能在資安攻防戰獲勝，況且，在多數的攻擊事件中，發動攻勢的駭客早已占盡優勢，使得攻防局面一開始就處於不對等的狀態。

倘若我們再不面對問題，甚至還隱匿問題，使得訊息不通透，那麼就只是讓駭客繼續得逞罷了。

張善政所指行政院處於高度的資安風險，是稽核結果顯示政府機關在資安管理與資安技術的失衡。

有些機關雖已遵照規定落實資訊安全管理政策，但是資安技術能力卻明顯不足，一旦遇到緊急資安事件，可能就會難以應付；而有些機關的情況則是相反，資安技術能力較強，但未落實資安管理制度。

資訊安全專家時常以木桶理論與鍊條理論來解釋上述狀況。

木桶理論是指，木桶的最大裝水量，取決於最短的一根木材。

這是說以好幾根木板圍成木桶，若其中有一根木板比其他的短，那麼木桶裝滿水的高度就是這根短木板的長度，因為超過此水位就溢出來了。

而鍊條理論則是說，鍊條的強度取決於最弱的一節，因為只要其中一節斷了，鍊條就沒作用了。

這兩個道理其實都是一樣的，說明了資安防護的各個環節必須有一致的水準，所以不論資安管理政策或資安技術何者為強，只要其中一個不符標準，就有致命的弱點。

因而張善政才會說：「不均衡的發展讓行政院陷入高度的資安風險。

」針對今年行政院資安稽核的結果，行政院資訊處處長趙培因提出3個面向的6個共通問題，在政策面上，雖然一級機關普遍都取得國際資訊安全管理制度ISO27001的認證，但實際的情況是認證範圍只及少數部門，而不是整個機關都通過資安認證。

例如有的機關只是資訊部門通過資安管理制度認證，然而現今與資安有關的可不只是資訊部門管理的資訊系統而已，更大的安全風險是業務流程上的問題；此外，資安預算不足則是長久以來的問題。

管理面的共通問題，則是業務承辦人員對資安意識的不足，以及個資保護的宣導與訓練不足；技術面的問題則是對員工自帶設備的管制不確實，以及網路服務的安全控管措施。

其實大家對這些資安問題都不陌生，有些甚至是老生常談了，然而，解決問題最重要的就是先正視問題。

敢於指出問題需要勇氣，決定公開政府的資安問題，更需要很大的魄力。

對於行政院這次的作法，我們應該給予鼓掌。

（請見新聞第16頁）本期封面故事則是分析快閃儲存（FlashStorage）的最新發展。

快閃儲存已成為企業儲存領域的兵家必爭之地，除了一線儲存大廠紛紛投入這個新興領域之外，更有為數不少的新創公司加入這個戰局，而這是過去儲存業界比較少見的局面。

因為消費性產品而普及的SSD固態硬碟，帶給儲存廠商一個全新的機會，新創公司因而有了切入市場的契機。

有的公司強調其儲存架構是完全針對快閃儲存的特性而設計，沒有傳統架構的包袱；有的公司則是著眼於伺服器主機端的快取儲存記憶卡，訴求SSD記憶卡動輒有數TB的容量，為何還要把資料放在大老遠的網路儲存設備，何不把儲存空間直接部署在伺服器內；亦有新創公司進一步提出NoSAN的口號，干脆就捨棄SAN網路儲存網路架構，讓儲存回歸運算端。

上述想法何者能生存下來，接下來FlashStorage的發展會有證明。

不過，一個由FlashStorage帶動的百家爭鳴新局面，已經到來了。

（請見第29頁）吳其勳／iThome電腦報周刊總編輯 作者簡介 吳其勳 iThome總編輯 熱門新聞 以HTML挾帶手法躲避偵測的網釣攻擊越來越多了 2021-11-15 Grafana雲端加入開發者待命管理工具OnCall 2021-11-15 從工研院釋出3分鐘影片，搶先看新竹物流自駕車展現的自駕技術能力 2021-11-11 【資安週報】2021年11月4日至12日 2021-11-12 AMD的RadeonGPU含有18個高風險漏洞 2021-11-15 Disney+正式上線，偕台灣大哥大、凱擘聯手搶市 2021-11-12 新惡意程式BotenaGo具有開採超過30個安全漏洞的能力 2021-11-12 臺南市與華碩雲端打造動態影像AI感知平臺，自動偵測車流、人流，民眾是否戴口罩、保持社交距離 2021-11-12 Advertisement 2021iThome鐵人賽 專題報導 Julia資料科學新女神降臨 Google雲打包進企業 擁抱多雲，VMware大轉型 高中學習歷程檔案遺失事件簿：2萬多件學生升學資料為什麼救不回來？ 微軟新版伺服器OS登場 更多專題報導