网际产业座谈会

主持人：网际先锋副总编辑 欧敏铨

科技日报总编辑 黄俊义

与会来宾：咨安科技总经理 涂舜授先生

钰松ISS 副总经理 蔡运生先生

博讯科技副总经理 裴兆旭先生

美商凯创台湾区技术协理 郑可强先生

精诚信息网络软件事业部业务处长 江嘉帆先生

台湾科技大学资管系主任 吴宗成博士

开放与安全，可说是Internet环境的两难，以B2C的发展来说，上阶段的陨没，交易机制的便利性与安全性的不足，便是一大瓶颈。今日正积极发展B2B，然而，数据的接取、交换，也仍有许多的安全性问题急待克服。

这些问题，都促使网络安全解决方案的不断发展，若从其多元性来看，「网络安全」似乎已俨然具有一个产业的雏形。本次座谈会即欲探讨若将网络安全视为产业，是否已然成形？所邀请到的来宾包括密码学、入侵检测、数字认证、Networking与安全设备代理与建构咨询的六位专家，正代表了网络安全议题的多个面向，大家对于「网络安全产业」的看法为何？以下为各位介绍座谈过程中的精彩内容：

网络安全是新兴产业？

问：网络安全的领域正不断地拓展深化，就 Internet 的商务环境而言，应如何以架构性来来看待 Security 的议题？这个因 Internet 而生的技术领域是否可视为一个完整的产业？

咨安科技总经理涂舜授：信息安全的议题，首先我们就商业环境来看，目前是一个Open的市场，和过去封闭的架构是不同的，其承受的风险也就有所不同，个人认为信息安全的架构可以从三方面来考虑，分别是信息安全的基础架构、交易安全性及安全的管理，其中在交易安全的部分，在经过政府相关的法规规范下，未来可望步入正轨，而信息安全的管理目前也有英国标准协会BSI及国际标准化组织ISO等相关机构的认证，其架构已经成形，但是在基础架构的安全性上，至今并没有一个共通的标准，我认为这也是信息安全应当努力的方向。特别是在信息安全的状况愈来愈多的情况下，如何在基础的架构上建构完整的安全系统是相当重要的问题。

台湾科技大学资管系主任吴宗成：在信息安全渐受到重视的当下，信息安全是否已经足以被称做是一个产业？我想这倒是未必，一个产业的架构应具备的条件，不管是产品本身或是整个基础架构来看，信息安全截至目前为止，都还称不上是一个产业。

现在 Security 的问题愈来愈受到重视，除了在技术面上加以研发、防范外， Security 的问题核心还是来自于人性与管理。过去我们谈到网络安全大都着墨在病毒与黑客，因为这两个部分并没有牵涉到人性最主要的关键点 － 信任（ Trust ）的问题，而因特网是一个开放性的环境、是一个公共财，就如同现实的社会一般，因此我们可以这样认定信息安全是一个社会问题、伦理问题。

有了安全顾虑的问题后，厂商要做的是如何让企业相信，产品本身的安全性以及管理机构的可信赖度。从这个角度出发我们会发现，随之而来的是企业如何相对应的机制，而信息安全的问题到最后会演变成「信息保全」的阶段，强调信息、数据以及系统应该受到保护。

钰松副总经理蔡运生：如涂总所说，因特网的环境是 Open 的，在数据的安全防范上我们可从信息安全的认证、验证制度来看信息的运用与管理，当信息遭受到破坏、毁损时，企业能否在最短的时间回复，是相当重要的关键，而企业本身是否能够体会信息对于企业营运的重要程度，则会影响信息安全防范的建构程度。

个人认为要谈到信息安全的架构，可以从三方面来看，第一是公正的认证机构，目前在国内有中华民国信息安全标准检验局来考察信息安全的标准，而信息安全的技术运用目前大都使用密码模块，而电信总局与国安局则是主要的验认机构，电信总局主要是负责民间的加密，国安局则掌管在外交与军事方面的密码加密，透过这些机构的认证与推动，可以让信息安全的防范达到更为安全的目标。

其次是信息存取行为的确认，信息的储存在电子商务的过程绝对是不可避免，特别是有关企业生存的关键性信息，因此在储存上必须特别受到保护，不仅要安全，甚至要做到保全、异地备援的目标。第三是信息安全的维护，任何网络上流通的讯息，在传递的过程是应当受到安全机制的保护，因此安全的维护机制，对于信息安全的整体架构来说是不可缺少的部分。

朝向整合性的专业服务是未来趋势

问：随着 Internet 应用的多元化，Internet 的环境也日趋复杂，企业对网络安全的需求也从产品的采购，提升到全面性的防护思考，因此会有整合性的顾问咨询服务，目前网络服务提供商彼此的垂直整合性似乎不高，是否有提升的必要？

博讯科技副总经理斐兆旭：网络安全的整合是非常重要的，没有一套完整的信息安全系统与服务，很难促使电子商务的发展达到成熟的机制。就举民众在线购物的例子来看，个人曾在电台的 call in 节目中接到民众的询问，自己的信用卡在在线交易时遭到冒刷，个人应如何维护自己的权益？

关于这个问题，个人觉得最重要的关键，是在要透过「技术」的研发来做到信息安全的目标，有了技术作为后盾，那么在法律或其他的规范上，才能真正显现其意义，而目前在信息安全的技术上面最常使用的方法便是加密，但在未来的电子商务或行动商务上，不单只是加密就可以的，必须配合更为完善的保密系统，如此才能真正达到信息安全的目标。

而整个信息安全的建构，并非单一公司就可以完全做到，在网际产业中，专业分工的概念是非常重要的，在有了基础的技术防范后，我们可以再往上研发信息保全、保密的技术，让信息安全的防护做到较为理想的境界。

美商凯创台湾区技术协理郑可强：关于信息保全的实际运作情况，主要根据信息本身的重要程度来做判断，例如银行的交易往返、军事单位的重要机密文件等，这些属于重要的信息，在保全的程度上就会高出许多，事实上，涉及到电子商务的交易行为，不管是 B2B 或 B2C ，在信息的保全上都属较高程度的信息保全范畴，因此谈到信息保全的运用，最主要是依据信息本身的重要性来作为判断。

市场利基与未来挑战

问：台湾网络安全内需市场仍属于开发前期，是否会面临饱和的危机？除了产品的销售与整合的服务，国内厂商是否还有其他的发展利基或途径？也就是说，以产业的观点来看，我国网络安全领域的机会与挑战。

精诚信息业务处长江嘉帆：目前台湾的信息安全现况，仍处在产品与服务的销售、竞争阶段，各家厂商无不对于自己的产品特色与优点，向企业，特别是 e 化的企业进行游说与建议，但是在度过这个阶段之后，应如何走下去，是应该好好的思考。我们可以看看大陆市场的例子，根据了解，大陆在信息安全的规范上，有两种做法，第一是要求进口厂商将信息安全防范的产品原始码提供出来，才能在大陆正式销售，另一方式就是靠自己的研发，由于这两个因素使得大陆的网络安全问题得以有很好的管制，但是反观台湾就不是这样了。

企业所能做的信息安全保护，就是透过相关产品与保全的服务来为自己做些防范，而这样就能达到信息保全的目标呢，我想那是未必的。台湾的作法可以用两句话来形容，就是「厂商做的是表面的多」、「企业做的是买心安的多」，虽说这样的情况有些讽刺，但却是目前我们在信息安全领域的实情。换言之，整个信息安全的目标，就如同现实社会中的大同世界，是不可能完全做到的。

郑可强：我们可以了解台湾现今的信息环境，在产品与技术的创意投资比例偏低，国内也因缺乏创意人员的培养，这会造成我们只能跟随国外的脚步。就以美国的例子来看，他们的企业通常会成立一个颇具规模的研发机构，藉由不断的研发、改进，来使得未来前景更为看好，这样的做法是非常值得我们学习的。

涂舜授：信息安全其实就是「打架」，就是表示「自己要够强壮」、其次是「经验要多」，以美国来说，他们的信息安全研发无疑引领全球的发展，另外他们亦是遭受攻击最多的地方，这也是在信息安全的发展上，美国一直是居于领导地位的原因。反观国内，我们应该找出自己最为优势的地方，如此才能在信息安全的领域有所发挥。

信息安全最主要是依附在 IT 产业上，但却是「高附加价值」的产业。我认为国内在这块领域的发展上，没有必要跟着国外的脚步，一昧的投入在研发产品上，事实上整个信息安全的产品市场是已经趋于饱和，国内唯一能做的是不断提升专业性的服务，毕竟信息安全的问题还会继续出现，专业的信息安全服务比技术或产品的开发更适合我们来做。

裴兆旭：从厂商的角度来看，现今并没有一套很完善的整合性服务，所以在这方面是可以作为我们努力的方向。至于是否能靠自己来研发信息安全产品的技术与产品，我也举大陆的例子作为我们的借镜，事实上大陆在信息安全的的自我研发上，也投入不少的人才与经费，但是在成果的呈现上并没有如预期，因此在这方面的发展，个人也不赞同国内投入大量的时间与成本来研发信息安全产品。

培养专业人才是不二法门

问：网络安全与 Internet 整体环境息息相关，例如电子交易或产业间的数据交换，除了技术厂商与企业本身，更需要政府政策的协助推动。而政府还应着力于何处？换个角度来看，当全球都迈入Internet的世界，虽然我们并不打算攻击别人，但也应具备攻击能力，这是一个很现实的问题，从这一点来看，丛林法则会不会也成为Internet 的发展法则？

江嘉帆：谈到国内信息安全的发展方向，从目前的市场趋势看来，我们在技术的研发上稍显不足，虽说国内有不错的厂商投入产品开发与技术研发，而且也做的不错，但是仍然有国外的影子。未来发展上，可以针对国内的企业需求，来发展更为适切的专业服务，并且加强自己的 IT 产业专业人才的培养。讽刺的是，「安全事件的发生」往往比教育市场来的迅速且有影响力，近来每次有事件发生，某些产品的销售就会大幅成长十分明显；而国内的学术团体在信息安全的发展上，则可以作为产业的最佳后盾，有了学术界不断提出的测试报告，就可以促使信息安全的产品达到更完善的目标。

吴宗成：我们可以用一句俗谚来说明信息安全，就是「没有三两三、不要上梁山」，没有 Security 就不要上 Internet ，在现阶段我们应该做的是，建立一套安全规范，同时去思考「企业的 Security 环境与成本」之间的考虑，如何运用最低的成本来建构最为安全的信息环境。此外专业人才、创意能力的培养同样也是我们可以努力的方向。同时国内的厂商应该朝认证制度认可的目标迈进，藉由国际认证的许可，来加强我们自己的优势，亦可以增加我们的国际品牌知名度。

检讨

这次的座谈会，虽然广泛的讨论了网络、信息安全发展的大环境议题，与会的来宾则请到学界与业界各个领域的多位先进，但整个座谈过程，感觉上交集点并不多。检讨原因，当然与本刊主持、串场的功力密切相关，题目过于广泛也是个问题，另外，来宾代表领域，从学术面、基础架构面、产品面到网络认证等各有不同，对于问题的看法也各持一见，尤其可以感受到学界与产业界常有南辕北辙的意见。

所以看起来，虽然网络安全伴随Internet的发展而日趋重要与架构庞大，但要看到国内从政府政策、观念教育、学术研究到产品、技术的开发、代理与服务等，能够成为具有共识、彼此密切联系的产业型态，目前仍未是成熟的时候。但诚如多位来宾所指出的，Internet是Open的，网络安全不是一家企业或一家厂商就能做到完善的，因此，做为网络安全的工作者、开拓者，彼此之间的Open程度，将会是这个产业能否成形的衡量指针吧。