| 日期 | 講題 | 地點 | 主辦單位/活動 |
| 2025/5/27 | 雲端應用下的零信任架構 | 芬恩特創新聚落 | 金融研訓院 |
| 2025/5/13 | 雲端安全應用安全 | 芬恩特創新聚落 | 金融研訓院 |
| 2025/4/24 | 網路封包分析實務進階 | Virtual | 精誠軟體股份有限公司 |
| 2025/4/10 | 網路封包分析實務初階 | Virtual | 精誠軟體股份有限公司 |
| 2025/3/6 | 資安日誌分析實務 | Virtual | 精誠軟體股份有限公司 |
| 日期 | 講題 | 地點 | 主辦單位/活動 |
| 2024/12/26 | 物聯網安全與因應對策 | 國立台北科技大學 | 國立台北科技大學 |
| 2024/12/24 | 面對雲端世代的資安思維 | Virtual | 經濟部產業發展署 |
| 2024/12/17 | 資安事件調查與數位鑑識 | Virtual | 經濟部產業發展署 |
| 2024/12/13 | OWASP Top 10 for Large Language Model Applications | 道騰國際共享平台 | OWASP Meetup |
| 2024/12/11 | AI 世代下的資訊安全 | 國立成功大學政治學系暨政治經濟研究所 | 國立成功大學政治學系暨政治經濟研究所 |
| 2024/12/10 | 資安威脅與趨勢分析 | 國立成功大學 | 113年產業高階人才培訓計畫 |
| 2024/12/10 | 物聯網安全與因應對策 | 國立成功大學 | 113年產業高階人才培訓計畫 |
| 2024/11/28 | 打造資安人才的試鍊場 | 台北南港漢來飯店 | 113年度全國大專校院資訊行政主管研討會 |
| 2024/11/25 | 資訊安全概論與法規研析 | 信鋐工業股份有限公司 | 信鋐工業股份有限公司 |
| 2024/11/19 | 雲端應用下的零信任架構 | 芬恩特創新聚落 | 台灣金融研訓院 |
| 2024/11/15 | 雲端技術與安全應用 | 國立彰化師範大學 | 國立彰化師範大學 |
| 2024/11/14 | 資安維運與偵測技術 | Virtual | 國立高雄餐飲大學 |
| 2024/11/6 | 穿越挑戰迎向智慧安全之路 | Virtual | 經濟部產業發展署 |
| 2024/11/5 | 雲端安全應用安全 | 芬恩特創新聚落 | 台灣金融研訓院 |
| 2024/10/23 | 雲端應用下的零信任架構 | 中華電信 | 中華電信學院/中華電信113年資訊安全研討會 |
| 2024/10/18 | 如何從弱點分析掌握資安風險 | 國立中興大學 | 國立中興大學 |
| 2024/10/18 | 國際資安威脅與趨勢分析 | 國立中興大學 | 國立中興大學 |
| 2024/10/17 | 現代人的必修資安指南 | Virtual | 國立臺南女子高級中學 |
| 2024/10/15 | AI醫療應用與資安威脅 | 高雄市立聯合醫院 | 高雄市立聯合醫院 |
| 2024/10/1 | 國際雲端安全證照大解密 | Virtual | 數位發展部數位產業署/財團法人資訊工業策進會 |
| 2024/9/26 | 從西遊記學資安的危機管理 | 國際資訊安全人才培育與推廣協會 | 國際資訊安全人才培育與推廣協會 |
| 2024/9/25 | 資安維運與偵測技術 | Virtual | 國立高雄餐飲大學 |
| 2024/9/24 | 以數據驅動資安的世代 | 國立勤益科技大學 | 國立勤益科技大學 |
| 2024/9/18 | 社交工程攻擊與資料保護 | Virtual | 國立臺東大學 |
| 2024/9/11 | 網路封包與事件解析課程 | 中華民國資訊軟體協會 | 中華民國資訊軟體協會 |
| 2024/9/5 | 網路封包與事件解析課程 | 新竹恆逸資訊 | 中華民國資訊軟體協會 |
| 2024/8/31 | 從國際資安組織看AI發展趨勢 | 大同大學 | 資安與鑑識研習營 |
| 2024/8/30 | 應用程式開發資安實務 | 城智科技股份有限公司 | 城智科技股份有限公司 |
| 2024/8/28 | 我們與駭客的距離 | 國立竹東高級中學 | 國立竹東高級中學 |
| 2024/8/28 | 金融雲端化之資安防護及措施 | Virtual | 台灣金融研訓院/2024國際金融科技論壇 |
| 2024/8/27 | 駭侵手法與資安威脅分析 | Virtual | 國立臺灣科技大學 |
| 2024/8/15 | 駭侵手法與資安威脅分析 | Virtual | 國立臺灣科技大學 |
| 2024/8/8 | AI潮流下的資安發展趨勢 | Virtual | 國立高雄科技大學/AI鐵道技術應用與實例研討 |
| 2024/8/1 | 雲端服務與個人資料安全 | 國立政治大學電算中心 | 國立政治大學/113年區網中心研習會 |
| 2024/7/30 | 物聯網設備安全評估與檢測 | 經濟部林口產業園區服務中心 | 113年跨域產業資安教材訓練 |
| 2024/7/24 | 網站滲透測試與漏洞修補 | 資安暨智慧科技研發大樓 | 財團法人資訊工業策進會 |
| 2024/7/23 | 網路封包與事件解析課程 | 中華民國資訊軟體協會 | 中華民國資訊軟體協會 |
| 2024/7/20 | 資訊安全概論、資安法規與規範 | 資展國際 | 財團法人資訊工業策進會 |
| 2024/7/19 | 資安現況與未來發展趨勢 | 台南市政府 | 台南市政府 |
| 2024/6/27 | 智慧工廠如何因應新型態的資安威脅 | 集思台中新烏日會議中心 | 經濟部產業發展署/生醫產業智慧化 |
| 2024/6/20 | 事件調查與分析實務 | 國立中央大學 | 桃園區域網路中心 |
| 2024/6/19 | 建構智慧製造對應資安解決方案 | 三重勞工中心 | 金屬產業智慧化通識班 |
| 2024/6/4 | 從駭客視角看企業資訊服務安全 | 巨鷗跨界智慧創新集團 | 巨鷗跨界智慧創新集團 |
| 2024/5/30 | 雲端資安人才現況與趨勢 | Virtual | 安碁學苑/CCSK雲端安全知識與認證講座 |
| 2024/5/28 | 企業在數位時代中的資安風險 | Virtual | 資策會/被駭後的數位韌性,快速掌握企業資安韌性SOP |
| 2024/5/23 | 網站應用程式安全 | 台中市政府社會局 | 台中市政府社會局 |
| 2024/5/21 | 解析零信任架構與未來發展趨勢 | 永豐餘大樓 | 工業技術研究院/科專法人資安研討會 |
| 2024/5/21 | 建構智慧製造對應資安解決方案 | 財團法人金屬工業研究發展中心 | 金屬產業智慧化通識班 |
| 2024/5/17 | 從駭客視角建立資安思維 | 國立澎湖科技大學 | 國立澎湖科技大學 |
| 2024/4/30 | 企業面對新世代威脅下的資安思維 | Virtual | 資策會/多元意識課程 |
| 2024/4/10 | 數位轉型後的資安威脅 | 監察院 | 監察院 |
| 2024/4/2 | 網站應用程式安全 | 國家災害防救科技中心 | 國家災害防救科技中心 |
| 2024/3/28 | 如何讓 SIEM 成為企業的資安決策中心 | 大直典華 | Fortinet VIP Event |
| 2024/3/27 | 數位轉型下的醫療資訊安全 | 成大醫院 | 成大醫院 |
| 2024/3/26 | 從OWASP看雲端時代下的API安全 | 金融研訓院 | F-ISAC第一季研討會 |
| 2024/3/20 | 建構智慧製造對應資安解決方案 | 財團法人金屬工業研究發展中心 | 金屬產業智慧化通識班 |
| 2024/3/12 | 雲端技術之安全措施、方法與標準 | 國家生技研究園區F棟 | 人工智慧醫療器材探究培育計畫 |
| 2024/3/7 | 如何成為資安數據魔法師 | 國立政治大學 | 國立政治大學資料科學系 |
| 2024/3/6 | 資安事件調查與分析實務 | Virtual | 台灣數位安全聯盟 |
| 2024/2/21 | 2024國際資安組織新動向 | Virtual | 台灣數位安全聯盟/資安五四三 |
| 2024/2/20 | 當IT與OT邊界消失下的資安防禦 | Virtual | 中華電信學院/物聯網資安系列課程 |
| 2024/1/20 | 從孫子兵法談資訊安全 | 國家文官學院菁英講堂 | 國家文官學院 |
| 2024/1/16 | 從孫子兵法談資訊安全 | JRA杰人磐石學院 | 中華兩岸EMBA聯合會(CSU)商資E學院 |
企業需要什麼樣的資安技術來保護自家的重要資產呢?長年在協助企業資安培訓時,這是一個經常被問到的問題,因為買了許許多多的資安產品後,為什麼對於防禦駭客的攻擊,卻是一點也沒有把握,也沒法有個量化的數據來證明投入的資安防禦是有效的,也許有人會說這些資安設備每天產生的告警資訊,就是攻擊者可能帶來的威脅,但是捫心而論,又有誰能完全確認這些告警是真的告警,而不是個誤告警呢?再加上越多的資安設備,產生的告警日誌就越多,該如何進行分析與歸納,本身就是一個大問題,傳統的做法是把這些日誌送到資安維運中心 (Security Operation Center, SOC) 進行分析,利用日誌間的關聯以及嚴重程度的判斷,來決定是否要進行事件的處理,早已是過時的做法,但是從目前資安威脅的角度來看,如果這些資安設備依賴偵測規則來觸發告警,而這些偵測規則並無法涵蓋所有的資安威脅時,那又如何收到完整的告警資訊呢?
參考了一些資料後,統整了目前企業應該要思考的十二個面向,如何進行企業所需要的資訊安全防禦,而這些不同的面向仍然會因為企業的屬性、使用的平台以及商業模式的不同,而有不同的權重比例,但應該至少都會有八個以上的防禦思維,必須在現在的架構中完整的評估與思考,畢竟資安的需求是跟著企業營運的腳步,不同的企業必須選擇與決定自己的資安防護架構。
確認使用者的身份,是許多資訊系統不可或缺的功能之一,也是資訊安全的重要環節,透過不同的身份驗證技術,例如:單純的帳號與密碼、生物特徵、綁定裝置或持有特定的物品,來加強身份的識別,以目前許多平台的設計,考量到身份驗證的嚴謹性,多數會採用多因子的身份驗證機制,除了原本的帳號與密碼外,也會加上一次性的驗證碼,透過 OTP 或是簡訊、郵件等方式來提供,也可以利用 FIDO (Fast IDentity Online) 網路身分識別標準來完成。
在資訊安全的領域中,我們經常提到「最小權限原則」,指的就是當使用者完成身份驗證後,能夠使用的資源或是賦予的功能,讓完成身份驗證的使用者,能夠做被授權的事,這個是保護資料與系統作業的關鍵,一般而言在設計授權的機制上,可以採用「以角色為基礎的授權」、「以屬性為基礎的授權」或是「以時間與情境為基礎的授權」,除了可以讓授權的規則以及政策容易落實外,如果需要追蹤某位使用者的行為路徑,能夠有跡可循。
加密的技術經常運用於保護重要的資料,對於企業而言,公司的營運資料、研發技術等資產,透過加密的方式限制存取,避免未經授權的使用者能夠看到不應取得的資料,而加密的機制經常運用於通訊過程以及資料儲存的過程,而加密的類型,大致上可以分成「對稱加密」、「非對稱加密」以及「雜湊運算加密」,不同的類型各有優缺點,也有適用的情境,必須取決於資訊服務平台對於資訊保護的訴求,以及希望達成的目標。
對於企業而言,在系統、應用軟體或是網路架構上出現的弱點,都可能成為攻擊者運用的機會,進而對於企業的營運帶來威脅,因此從資安防護的角度來說,修補已知的弱點是必要的工作,也是降低營運風險的主要方法,一般來說,弱點包括了軟體的漏洞,例如:程式沒寫好出現的問題,衍生了緩衝區溢位、XSS (Cross-Site Scripting) 跨腳本攻擊、SQL Injection 等,也包括了人為設定的問題,造成系統在運作過程因為配置不當而造成的資安風險。
常見用來攻擊弱點的方式, 包括了針對該漏洞進行的攻擊,網路上對於已知的弱點,經常可以找到攻擊程式 (Exploit Code) 等工具,對於這些已知的漏洞直接造成影響,但攻擊者也可能運用尚未被揭露的弱點,利用這些新的發現進行的攻擊行動,也可稱之為零時差攻擊,大多數這類型的攻擊,企業並不容易防範。
至於弱點的嚴重程度,經常會使用 CVSS (Common Vulnerability Scoring System) 進行評分,因此如果有高風險的弱點,建議企業可以儘快進行修補,如果短時間無法立即修補,也應該有治標的防範規劃,避免高風險的弱點直接影響企業的營運。
有人說,資安的作為來自於法規的要求,其實是滿正確的看法,因為被要求要達標後,才會開始思考如何進行這回事,透過稽核的方式來驗證企業的作業流程與程序都符合資訊安全管理上的要求,以避免資安風險的產生,而稽核作業本身是一個必須依據管理規範、獨立進行以及透過文件化的過程,讓所有需要遵循管理規範的人員,都清楚的理解與瞭解如何進行資訊安全的管理作業,並且對於營運過程產生的資安風險進行矯正預防;而稽核的類型大致上可以分成「內部稽核」、「外部稽核」以及「合規稽核」,不同的類型有各自的目的,以及需要由不同屬性的人員來實施,而稽核的範圍需要涵蓋管理規範所制定的範圍,包括了資安政策、作業流程、實施程序以及透過技術檢測的方式,驗證資訊安全管理的作業流程,被落實到企業的營運上,另外對於人員的資安培訓也是相當重要的,一般人員需要建立資安認知,而專業人員需要具備資安實務技術,以因應企業可能潛在的資安風險。
目前常見的資安法規包括了 ISO 27001、ISO 27017、ISO 27018、ISO 27701,以及針對個人資料保護的 GDPR (General Data Protection Regulation) 或是對於醫療機構或是保險公司用於保護醫療資訊隱私安全的 HIPAA (Health Insurance Portability and Accountability Act),而對於金融的支付卡,也有 PCI DSS (The Payment Card Industry Data Security Standard) 的要求,以確保在處理資料上的安全性符合支付應用的標準。
總體而言,透過合規的稽核,可以提供企業在風險管理以及產業合規上,能夠達成符合法規的要求,而透過稽核作業的發展,能夠將缺失或是觀察事項,納入後續的改善,最終可以降低企業營運中的資安風險,也能夠提供企業本身的營運品質。
網路安全是企業不可或缺的重要環節,透過網路層防火牆、應用層防火牆、入侵偵測(防禦)系統等網路存取控制 (Network Access Control, NAC) 的機制,進行網路的區隔與控制,其中也可以運用虛擬私有網路 (Virtual Private Network, VPN) 的方式,建立端到端的加密通道,多數應用於遠端連線且經授權驗證的管理作業,在 COVID-19 疫情期間,遠端存取的網路安全管理,是最受到企業重視的,以提供一個安全的作業方式,又能夠保有企業的營業秘密為主要目標。
經常我們可以看到來自網路上的攻擊,包括了駭客的攻擊,不斷嘗試企業資安防禦上的脆弱點,希望找到可以入侵或是破壞系統並竊取資料的管道,以目前在資安事件中常見的手法,多數會配合惡意程式進行此類的攻擊,另外透過分散式阻斷服務攻擊 (Distributed Denial-of-service Attack, DDoS) 也是經常運用於消耗受攻擊者網路與系統資源的方式,近來有親俄的駭客組織,經常發起此類的攻擊,嘗試對於他們鎖定的目標進行網路攻擊,目的是癱瘓受攻擊者對外提供服務的網站。
端點裝置是使用者直接操作的設備,包括了電腦、手機、平版或是對外服務的網路應用服務伺服器,這些都與終端的資訊安全有關,而且也成為目前資安威脅中的關鍵,至於企業如何保護終端的安全,可以採取以下所列的作業,包括了防毒軟體 (Anti-Virus)、偵測回應 (Endpoint Detection and Response, EDR)、資料加密保護、裝置與設備本身的存取控制,應用軟體的使用規範、對於系統與應用軟體出現的漏洞進行修補、對於企業的重要數位資產等進行防外洩的保護 (Data Loss Prevention, DLP)、可攜式裝置的管理與授權等面向,這些都有助於企業建立起一個安全的終端設備使用環境,另外也可以配合網路安全中的隔離措施,將不同屬性或是業務內容的部門進行網路隔離,以避免企業資料的人為外洩。
目前許多的企業都導入了資訊安全管理系統 (Information Security Management System, ISMS),因此在資安管理的規範上,可以將終端設備的管理以及使用納入規範中,要求員工遵循資安政策與規定,並且端點社交工程的演練,提昇員工的資安認知,配合定期的內部稽核與外部稽核掌握終端設備以及使用者的行為是否出現異常的狀態,即早進行風險的管理與排除,可確保資安政策能夠落實到企業的營運上。
企業在面對駭侵威脅時,需要具備緊急回應的能力,依據預先制定的緊急回應計畫 (Incident Response Plan, IRP) 進行因應,對於發生中的資安威脅進行具體的行動,可以達到緊急回應的關鍵目標,包括了阻止威脅的持續擴大、保護企業的營運資產與重要的資料、快速回恢復受影響的服務以及掌握過程中的關鍵資料,做為後續研判發生的原因,並轉換成未來防範同類型攻擊的經驗。
以目前而言,企業普遍遭受到惡意程式的威脅,尤其以勒索軟體所帶來的影響最大,對於緊急回應而言更是急迫,必須儘快讓感染到勒索軟體的終端裝置回復作業,因此建立起一套面對此類的資安威脅的應變計畫,就是相當重要的關鍵,定期的資料備份措施,可以讓企業遭到此類威脅時的傷害降至最低,能夠快速的從備份的資料回復,在可以接受的損失下儘快恢復營運。
採用容器化 (Container) 的技術來建構應用服務已成為未來的趨勢之一,採用輕量級的虛擬化技術,將應用程式運作的環境打包在一起,除了達成輕量化的要求外,也讓應用程式在不同的環境中能夠一致,與虛擬化最大的差別在於共用作業系統的核心程式,而採用容器化的技術,企業仍然需要留意共用核心可能產生的漏洞,例如:因為核心上的漏洞而造成跨容器的攻擊,而因為將運作需要的環境打包在一起,也可能因為打包的元件存在未被修補的漏洞或函式庫而帶來資安上的風險。
因此我們在採用容器化的技術時,仍然需要依循資安上的管理原則,採用 CI/CD (Continuous Integration / Continuous Deployment) 時也同時需要進行安全的檢查作業,確定在進行部署前都能夠符合資安上的要求,這也是實現敏捷與自動化流程時,必須納入考量的關鍵因素。
在 2023 年 OWASP 發佈了新一版的 API (Application Programming Interface) 前十大資安風險,也讓我們更關注意目前的時代中,在大量的使用微服務、雲端服務以及跨平台的作業環境中,應用程式介面被大量的使用,用於資料的交換傳輸以及遠端的存取應用,因此許多隨之而來的資安威脅,攻擊者轉向了對於這些應用平台所提供的 API 進行攻擊,企業對於自身所使用的 API 必須完全的掌握,才能夠確保對於數位邊界的掌握程度。
API 經常遇到的資安問題,包括了未經過授權的遠端存取、未進行保護的介面、典型的應用程式攻擊被運用到 API 的服務上、無法有效掌握 API 的監控、資料保護與加密的議題、API 的過度請求,以及人為的組態設定錯誤等,這些都可能因為駭客的攻擊,而讓原本的 API 曝露在資安的威脅之中,目前在弱點掃描與滲透測試的作業中,許多企業已將 API 納入檢測的範圍中,避免潛在的資安風險因為未經檢測而存在營運的服務中。
企業因應業務或營運需要,經常會建置不同的服務平台,而這些平台可能採用現有的雲端服務或是透過第三方供應商與合作夥伴共同開發,而企業也需要依賴這些協力夥伴來取得技術、服務或是相關的資源,在目前的時代中,第三方扮演著重要的角色,而從目前的資安事件不難發現,許多的資安事件因第三方的風險而造成,因此在整體評估企業的營運風險時,必須將第三方管理納入資安管理的範疇。而第三方管理主要關鍵,包括了資安政策與標準的一致性、合規的要求、可能來自供應鏈的攻擊行動、資料的保護等,這些都是在與外部進行商務與技術合作時,必須思考的關鍵問題。
災難復原主要用於發生資安事件後,如何快速恢復營運的作法與策略,在數位時代中企業大量的依賴資訊科技、雲端服務、運營科技等技術來營運重要的核心業務,在業務持續運作的規劃中,企業需要設想可能發生的營運衝擊的事件,並且提早因應可能發生的事件進行救災的規劃,而制定災難復原計畫時,必須要思考如何處理幾個關鍵的問題:
- 復原時間目標 (Recovery Time Objective, RTO) :讓企業能夠更加快速地復原資料儲存,以及使得主機正常運行的時間。
- 資料復原目標時間 (Recovery Point Objective, RPO):能容忍的最大資料損失,當業務恢復後,恢復得來的數據所對應時間點。
- 最大可容忍中斷時間 (Maximum Tolerable Period of Disruption, MTPD) :核心業務流程發生中斷後不會導致業務造成無法回復的傷害之最大可容忍的時間。
從 ESG 角度思考企業資安管理已成未來的趨勢,而資訊安全不會是單純是資訊部門的責任,在參與許多資安稽核的行程中,卻不難發現經常接受稽核的是來自資訊部門的人員,雖然說技術面的問題需要由資訊技術的人員來處理,但是關係到企業或組織營運的資安管理,需要有更完整且明確的資安政策支持,才能夠讓企業或組織中的所有人,能夠瞭解資訊安全的重要。
話說寫了許多的資訊圖書,這次終於配合 InfoSec Taiwan 2024 國際資安組織大會的機會,辦了人生的第一場簽書會,在會場 30 分鐘左右的時間限量 100 本銷售一空,感謝碁峰 Sonala 多年來的支持,基本上她到那家出版社,我就跟到那出書,這也是一個 20 幾年的奇妙緣份,回想起大一的時候,跟當時的女朋友,現在的老婆 Sunny 26 年前為了隔天的一早九點半在出版社的會議,前一天晚上我們倆個半夜三點去搭統聯的夜車北上,一大早我們就出現在承德路的街頭,當時還是一個手機不普及的時代,也很感謝當時的儒林出版社,願意給了難得的機會,也開啟了我的作家之旅。
踏入寫作的領域成了資訊圖書的作家,在大學修課之餘最常看到我的地方,就是成大的圖書館,在大四畢業那年,看了這四年來的借書紀錄,超過 1,200 本,當然各種類型的圖書都有,但是資訊相關的書籍還是佔了大宗,畢竟資訊圖書的更迭速度很快,在當時的年代要學習新的知識,看書是最主要的管道。
以軟體而言有的一年就會推出一個新的版本,經常拿到軟體公司提供的上市前的 Alpha 或是 Beta 測試版,就得趕快安裝,準備配合軟體的上市推出新的圖書,不過也受惠於作者的特權,我們可以在軟體上市前,就能夠拿到接近發行的版本,多年下來這也就練就了如何快速的規劃出一本圖書的大綱、各章節的分佈以及如何讓讀者容易學習圖書的內容,是個相當難得的經驗。
這幾年因為離開法人出來創業,還有相當多需要學習的地方,也少了許多可以寫書的時間,不過秉持了知識傳承的志願,在空閒之餘還是願意將個人所學、所知的知識與見聞,轉換成文字留存在人類的歷史中。
參考資料:
終於 InfoSec Taiwan 2024 在眾人的分工之下,順利完成了許多不可能的任務,今年在主辦單位多方的邀約下,以及許多好友的相挺,已經聚集了十個國際組織在台分會,包括了 The Honeynet Project、Cloud Security Alliance (CSA)、Open Worldwide Application Security Project (OWASP)、Centre for Strategic Cyberspace + International Studies (CSCIS)、ISACA、FIDO Alliance、Project Management Institute(PMI)、ISC2、Regional Scrum Gathering (RSG)以及Women in HPC (WHPC),感謝這些國際組織在台分會的會長們,還有一同協助促成 MOU 簽署的 Ray,願意支持與參與今年 InfoSec Taiwan,讓我們這個國際資安大會更加強大,資訊安全已經成為各個領域共同的問題,也歡迎想要一同參與 InfoSec Taiwan 的國際組織與主辦單位聯繫,成為我們 InfoSec Taiwan 2025 的夥伴。
一場成功的大型會議,大家看到的是最後的成果,但過程中需要許多背後的推手一起努力,包括了協會的 Sunny、Yijing 兩位得力的助手,這八個多月來,包括了贊助計畫的撰寫、講師的徵求與邀集、議程與場地的規劃、文宣美編的製作,還有多位共同主席的鼎力相助,再次謝謝 PMI 高治中理事長、RSG Taipei 陳麗琇社長、ISC2 唐任威理事長、ISACA 葉奇鑫會長、FIDO 張心玲會長以及 WHPC 楊嘉麗會長,也感謝北科大魏銪志老師與林敬皇老師的學生們,以及 ISC2 志工群等夥伴們,從會場作業到演講廳中的線上直播,沒有大家透過組織無私的支援,就無法讓今年的 InfoSec Taiwan 2024 如此成功,同步線上會議與實體會場的作業,雖然複雜化了整場活動的進行,但我們將許多組織與講者所分享的新知,以及未來的趨勢,有更多的管道能夠更多的人知道,每天下午由各個組織精心規劃的議程,讓活動更聚焦於關鍵的議題上,感謝各個共同主辦組織的支持與規劃,也期待能夠一起在 InfoSec Taiwan 這個大家庭中,一起為了台灣這塊土地,也為了我們的下一代。
感謝 InfoSec Taiwan 協辦單位大力的宣傳,包話中華民國資安學會、成大資通安全研究與教學中心、GDG Taipei、台灣數位鑑識發展協會、全球網際空間管理暨產業發展協會、中華民國軟體自由協會、中華民國電腦稽核協會、數位金融交易暨資料保護協會以及中華民國開放系統協會,還有最重要的贊助商支持,感謝數位部、工研院、凱鈿、微智安聯、安創、鈊保、如梭、安華聯網、杜浦數位、Panasonic、元盾資安以及吉普司的贊助,讓我們有資源可以把會議辦得更好。會場中的資安茶成為會眾聯誼交流的角落,感謝 Tim 與 Scott 的支援以及輪班泡茶給大家品嘗的朋友們,還有網管人雜誌、說資安新聞網以及碁峰資訊等媒體的協辦。
在人生的歷程中,雖然已經寫了 37 本書,但也在 InfoSec Taiwan 2024 辦了人生的第一場簽書會,這本書的誔生,最需要感謝的是第一版到到第三版的作者潘天佑老師,我深深被這段話所吸引與感動:「我寫的資訊安全教科書,前後出了三版,賣了十五年,謝謝老師和同學們的支持!兩年前碁峰出版社跟我討論出第四版,我實在沒有時間,就建議能不能下市算了。碁峰的專案經理對我曉以大義,說現在要找人寫一本適用的教科書很不容易,希望我能為台灣學生繼續奮鬥。於是我做了一個決定,就是無償轉讓版權,讓出版社找適合的人來更新、補充這本書。我不再是作者,也不分版稅。今天看到第四版出來了,心中甚感欣慰。成功不必在我,恭喜新作者,希望老師和同學們能繼續支持這本資訊安全教科書。謝謝大家(下台一鞠躬)!」,感恩潘老師的無私與付出,我們才能夠一同完成了知識的傳承。簽書會扣除成本的所得,亦將全數捐助需要的團體。
有了國際組織鏈結的資源,今年更在許多協會理事長的支持下,我們一起在 InfoSec Taiwan 成立了台灣資安大聯盟,感謝大家願意為了我們這塊生活的土地未來能夠更好所付出的努力,這樣期間許多的想法與發展方向不斷的湧入,能夠凝聚台灣資安產業的能量,一同走向國際,台灣大聯盟由台灣數位安全聯盟、台灣網際空間與安全策略發展協會、台灣資訊安全協會、台灣資安產業發展協會、台灣資訊及資安服務聯盟、次世代創新數位安全協會、國際資訊安全人才培育與推廣協會、臺灣校園資訊安全推廣暨駭客培育協會以及資安應用服務聯盟的發起,目前已形成超過 100 家以上資安公司所組成的強大聯盟,致力於守護台灣的網路世界,強化全民數位韌性,也期待這樣的組今,能夠讓我們一起走出台灣,對於經常在國際組織中活動,以及因應需要所參與的國際展會,能夠讓台灣有機會成為全球資安生態系的一環。
在此也特別感謝 賴清德總統的錄影致詞以及 蕭美琴副總統親自蒞臨 InfoSec Taiwan 2024,還有數位發展部黃彥男部長、呂正華署長的出席,林楚茵委員的協助,將今年的 InfoSec Taiwan 邁向了一個新的哩程碑,讓產官學研界共同在這個平台上激盪出許多的火花,如蕭副總統說的,這也是很難得能夠同時讓總統與副總統同時參與的會議,由此可見「資訊安全」已成為國家重要的關鍵議題。資訊安全是跨界與跨域的綜合科學,只有透過跨組織的合作,將 InfoSec Taiwan 成為國際資安社群平台,才能將資訊安全的意識深耕至各個領域,透過組織間的合作以提升產官學研界對於國際間發展趨勢的掌握,並建立強固的資訊安全數位邊界。
前一天看著佈置完成的議程版,心中默默感謝著許多人的參與與努力!我們即將會有一場不一樣的資安大會!
未來我們秉持開放社群的精神,讓有志於國際組織與會議運作的年輕一代參與,預計在第三季起將辦理多場次的聚會,一起共同商議如何讓明年的 InfoSec Taiwan 2025 更加成功,你想成為資安組織的一員嗎?記得與我們聯繫,service@twcsa.org。
相關資訊:
【全程直播】
https://www.youtube.com/watch?v=J9hEZPC9ybw
【共同主辦的國際組織】
