回顧自己投入資安工作的這些年，FIRST.org 一直是我心中非常重要的一個國際組織，它不只是年度會議、不只是增長的會員名單，也不只是資安事件應變團隊之間的交流平台，對我而言，FIRST 代表的是一種全球資安社群之間的信任關係，也是一條讓台灣資安能量被世界看見的重要道路，如同目前持續參與的 The Honeynet Project、Cloud Security Alliance (CSA)、Open Worldwide Application Security Project (OWASP) 以及 Center for Strategic Cyberspace + International Studies (CSCIS)，讓台灣有機會成為國際組織的參與者。

The Honeynet Project Annual Workshop

OWASP AppSec USA

我第一次參加 FIRST Conference，是 2009 年在日本京都舉辦的第 21 屆 FIRST 年會，那一年會議的主題聚焦在資安事件發生後的復原、經驗學習與應變能力強化，對當時的我正在負責建立國網中心的資安維運中心 (SOC) 來說，這是一場非常重要的啟發，過去我們談資安，往往強調防禦、監控、阻擋攻擊，但在 FIRST 的會議中，我看到更多國際團隊關心的是：事件發生後，組織如何有效應變？如何與其他單位合作？如何在跨國環境中建立信任？如何把一次事件的經驗，轉化為未來更成熟的防禦能力？也成為後續在規劃 SOC 的維運重要的參考依據。

FIRST Conference 2009 @ Kyoto

這次京都年會參加的人數大約只有現在的三分之一，但讓我很清楚地感受到，資安事件應變並不是單一組織可以獨自完成的工作，攻擊者不會被國界限制，惡意基礎設施可能散落在不同國家，漏洞影響的產品與服務也可能遍布全球。當事件真的發生時，能不能找到可信任的聯絡窗口、能不能快速交換正確資訊、能不能在最短時間內完成協調，往往比單純擁有技術工具更重要。

從京都開始，我接著陸續參加超過十次以上的 FIRST 年會，每年在不同的地方舉辦，而每一次參加，我都把它視為觀察全球資安趨勢的重要機會，有別於在舊金山的 RSA Confernce 更接近於事件應變的實務分享，FIRST 年會的主軸每年不同，但核心精神始終圍繞在信任、協作與事件應變能力，早期的討論比較集中在 CSIRT 的建立、事件處理流程、跨組織通報、惡意程式分析、數位鑑識與資安團隊營運。那是一個全球逐步建立事件應變制度的階段，各國與各產業都在思考，如何把資安事件處理從臨場反應，提升為組織化、制度化、可持續改善的專業能力。

隨著時間推進，我也看到 FIRST 年會的主軸逐漸擴大，從傳統入侵事件處理，延伸到威脅情資交換、漏洞協調揭露、供應鏈攻擊、雲端安全、產品安全、金融資安、關鍵基礎設施防護、AI 安全與跨國聯防，這些議題的變化，也反映了全球資安環境的變化，許多後來成為各國政策、產業標準或企業實務重點的議題，其實都能在 FIRST 社群中提早看到討論的雛形，這也是我長期參加 FIRST 的重要原因之一，透過 FIRST，可以優先掌握全球資安發展趨勢，再把這些觀察帶回台灣，作為台灣在資安政策、產業發展、人才培育、社群經營與國際合作上的參考，對台灣而言，參與這樣的國際社群，不只是「出去看看世界」，更重要的是理解世界正在往哪裡走，然後思考台灣應該如何準備、如何對接、如何貢獻。

在 FIRST 的交流中，我也深刻體會到情資平台合作的重要性，現代資安防禦不可能只靠單一組織內部的資料。有效的威脅情資，需要能夠被驗證、被分享、被理解，也需要在適當的信任基礎上流動。透過 FIRST 社群，我接觸到許多國際團隊在威脅情資交換、漏洞資訊分享、事件經驗傳遞、TLP、IEP、MISP、EPSS、Passive DNS 等機制上的實務經驗，這些觀察，對於台灣推動情資平台、產業聯防、SOC 營運、CSIRT 成熟度與跨組織事件通報，都有非常重要的參考價值。

FIRST 的另一個價值，是它提供了國際組織之間實質交流的平台，每一次年會，不只是坐在會議室裡聽簡報，更重要的是與各國 CERT、CSIRT、PSIRT、金融資安團隊、網路治理組織、標準組織、研究團隊與大型企業安全團隊建立連結，很多合作在平時看起來只是交流；但當真正的跨境資安事件發生時，就會成為非常關鍵的合作管道，例如 MyCERT、NTT CERT、APNIC 等單位。

參與 FIRST 多年後，我開始思考一個問題：台灣如何不只是參加國際會議，而是成為國際資安信任網路的一部分？台灣的 CSIRT、PSIRT 與資安研究團隊，如何被國際社群看見、信任，並在需要時成為全球協作中的可靠節點？這樣的想法，後來成為我推動多個台灣團隊加入 FIRST 的重要動力。

其中，TWCSIRT 是非常重要的一個起點。當時我服務於國家高速網路與計算中心 (國網中心)，這個扮演科技研發重要的單位，也負責了大大小小、許許多多的資安關鍵計畫，在推動 TWCSIRT 在建立對於資安事件的應變能力，當時的計畫涵蓋了台灣學術網路的資安維運中心，以及來自國科會的前瞻研究計畫，在作為台灣學術與研究網路相關的資安事件應變團隊，TWCSIRT 的成立與加入 FIRST，代表台灣在學術研究網路場域建立了國際化的事件通報窗口，後來也參與了國內在資通安全管理上的 ISAC、CERT 以及 SOC 運作框架的推動，對我來說，這一步的意義不只是取得一個會員身份，而是讓台灣學研網路的資安應變能力，正式進入全球資安事件應變社群的視野，其中一個服務所有科學園區情資服務的 SP-ISAC 平台，也期待能夠協助園區內的關鍵產業能夠提昇資安的防禦能量。

後來，隨著產品安全與供應鏈風險成為全球資安重點，在離開國網中心創辦微智安聯股份有限公司 (Shield eXtreme Co., Ltd.) 後，就著手推動 ShieldX PSIRT 加入 FIRST 組織，而 PSIRT 與傳統 CSIRT 不同，它更關注所發展的 Cyber Range 產品安全事件的處理，涵括漏洞接收、影響評估、修補協調、責任揭露與客戶溝通，ShieldX PSIRT 加入 FIRST，對我而言代表一個重要訊號：台灣資安產業不只是提供產品與服務，也願意依循國際社群對產品安全、漏洞處理與信任協作的要求，承擔更成熟的安全責任，後來也看到國內許多的資安同業也分別以 PSIRT 的角色加入，對於產品的安全更盡一分心力，也是對於使用者與客戶的信任保證。

從 2025 年初起，我開始服務於來毅數位科技 (Lydsec Keypasco Digital Technology Co., Ltd.) ，推動以 Keypasco CSC 加入 FIRST ， Keypasco CSC 的定位與金融科技、身分安全、跨境服務與關鍵基礎設施防護有密切關聯，在推動 Keypasco CSC 加入 FIRST，讓台灣在國際事件應變網絡中增加一個新的金融與身分安全節點，以數位安全邊界的概念來發展自身的產品，對提供身分驗證與信任服務的團隊而言，加入 FIRST 不只是建立事件通報窗口，也是一種對國際社群承諾：我們願意以更高標準面對資安事件、漏洞處理與跨國協作。

除了 TWCSIRT、ShieldX PSIRT、Keypasco CSC 這三個我負責推動成立加入的正式會員之外，過去十幾年的期間，也協助推薦 DTTW-CSIRT、INX-CSIRT、MSS CSIRT、TWNIC-CSC、ZUSO Advanced Research Team 等台灣團隊加入 FIRST，這些團隊來自不同領域，有的屬於專業服務業，有的來自資安公司，有的聚焦網路基礎設施，有的投入漏洞研究與進階威脅分析，看到這些團隊陸續進入 FIRST，對我而言是一件非常有意義的事，因為這代表台灣的資安能量不再只是分散於個別組織，而是逐漸形成能與國際接軌的多元應變生態系。

回頭看這段歷程，個人覺得最重要的，並不是「我參加了幾次會議」，也不是「推薦了多少團隊加入」，真正重要的是，台灣是否能透過長期參與，建立被國際信任的專業形象，FIRST 會員資格背後，包含清楚的服務對象、事件處理流程、聯絡窗口、通報能力、加密通訊、信任背書與持續維護，每一個團隊成功加入，都代表台灣在全球資安事件應變網路中，多了一個可被尋找、可被聯繫、可被信任，也能參與協作的節點。

FIRST Conference 2026 @ Denver

從 2009 年京都年會到現在，我對 FIRST 的理解也不斷改變，最初，我把它視為一個學習國際經驗的平台，後來我把它看成台灣資安社群走向世界的重要橋梁，到了現在，我更認為 FIRST 是一個全球資安信任網路，而台灣必須在這個網絡中持續扮演積極角色，今天的資安威脅，比 2009 年更加複雜，勒索軟體、供應鏈攻擊、雲端濫用、AI 生成攻擊、身分竊取、漏洞利用與關鍵基礎設施攻擊，都不會因為國界而停止，而攻擊者早已跨國協作，防禦者更需要跨國聯防，當事件發生時，能否快速找到正確窗口、交換可信資訊、啟動協調處理，已經成為現代資安治理的關鍵能力。

因此，這段參與 FIRST.org 的回憶，對我而言不只是一段個人紀錄，也是一段台灣資安社群走向國際信任體系的歷程，從京都的啟發，到十餘次年會的持續參與；從 TWCSIRT、ShieldX PSIRT、Keypasco CSC 的推動，到協助推薦更多台灣團隊加入 FIRST，這一路累積的，不只是會員名單上的增加，更是台灣在全球資安應變版圖中逐漸清晰的位置。

台灣在 FIRST.org 中會員 (https://www.first.org/members/map#country:TW)

FIRST 的「第一」，對我來說一直有一種特別的意義，資安事件應變需要第一時間的信任、第一線的專業，以及第一步走向國際的行動，未來我仍希望能持續協助更多台灣資安團隊與國際社群建立連結，讓台灣不只是資安事件中的受影響者或觀察者，而能成為國際聯防中值得信任、能夠貢獻、也願意承擔責任的重要夥伴。

進入 AI 世代之後，我對資安事件應變的理解又有了新的轉變，過去我們談 CSIRT、PSIRT 或 SOC，核心多半圍繞在事件通報、日誌分析、惡意程式鑑識、漏洞處理、橫向通報與復原改善；這些能力到今天仍然非常重要，甚至更不可或缺，但 AI 的出現，讓我開始思考：傳統資安應變能不能從「人力密集」走向「智慧輔助」？能不能從「事後分析」走向「即時關聯」？能不能從「各自防守」走向「共同學習」？在我看來，AI 並不是要取代傳統的資安事件應變，而是讓事件應變的每一個環節變得更快、更準、更有組織，當大量 Log、IOC、漏洞資訊、暗網訊號、honeypot 資料、DNS 紀錄、端點告警與雲端事件同時湧入時，人類分析師很難在第一時間完成所有關聯判斷，透過 AI 可以協助進行事件初步分類、異常行為歸納、攻擊路徑推測、威脅摘要產生、相似事件比對與處置建議，讓資安團隊把時間花在更重要的判斷、協調與決策上。

我開始思考台灣是否需要一個更具開放性、社群性與智慧化的情資共享平台，這個想法後來與幾位國際組織的好友閒聊，彼此分享想法後，逐漸帶出 「ISAC.tw」 的成立，對我而言，「ISAC.tw」 不只是另一個網站或平台名稱，而是一個希望把台灣資安社群、產業團隊、研究能量、事件應變經驗與國際情資合作串接起來的嘗試，它的核心精神，是建立一個可信任的台灣資安資訊分享與分析節點，讓不同組織之間能在適當的信任基礎上交換情資、分享觀察、累積案例，並透過 AI 技術協助整理、關聯、分析與轉化為可行動的防禦建議。

資安的道路無止盡，只有不斷的往前走，才能引領時代的發展。

編號	書 名	出 版 社	出版日期	ISBN國際書碼
38	資訊安全概論與實務 第五版	碁峯資訊股份有限公司	2026年5月	978-626-425-328-4
37	資訊安全概論與實務 第四版	碁峯資訊股份有限公司	2024年6月	978-626-324-826-7
36	軟體測試實務：業界成功案例與高效實踐(II)	博碩文化股份有限公司	2023年6月	978-626-3334861
35	5G大奇航	財團法人國家實驗研究院國家高速網路與計算中心	2017年8月	978-986-85228-1-7
34	資訊安全	國立空中大學	2014年1月	978-957-661-954-0
33	Linux網管技術-流量統計與效能監控	上奇科技出版事業處	2006年12月	986-7199-98-7
32	舞動Linux伺服器架設與管理	知城數位資訊股份有限公司	2005年4月	986-7489-93-4
31	Windows Server 2003技術手冊系統管理篇	秀威資訊科技股份有限公司	2004年6月	986-7614-26-7
30	Windows Server 2003技術手冊伺服器建置篇	秀威資訊科技股份有限公司	2004年6月	986-7614-27-5
29	Linux網管技術	上奇科技股份有限公司	2003年3月	986-7944-67-4
28	無線網路架設DIY	學貫行銷股份有限公司	2003年2月	986-7961-97-8
27	多重作業系統建置實戰	學貫行銷股份有限公司	2002年7月	986-7961-59-5
26	網路架設DIY-完全活用輕鬆上手	學貫行銷股份有限公司	2002年7月	986-7961-57-9
25	電腦組裝與選購2002	學貫行銷股份有限公司	2002年3月	986-7961-37-4
24	駭客聖戰-防禦完全手冊	學貫行銷股份有限公司	2002年1月	986-7961-22-6
23	駭客聖戰-攻擊教戰手冊	學貫行銷股份有限公司	2001年12月	986-7961-21-8
22	Windows XP徹底體驗	學貫行銷股份有限公司	2001年11月	986-7961-12-9
21	Office XP徹底學習	學貫行銷股份有限公司	2001年8月	957-0321-89-X
20	儲存設備與資料備份	學貫行銷股份有限公司	2001年7月	957-0321-79-2
19	網路架設DIY-寬頻嘛也通	學貫行銷股份有限公司	2001年7月	957-0321-85-7
18	電腦組裝與選購	學貫行銷股份有限公司	2001年6月	957-0321-72-5
17	全方位網頁設計	儒林圖書有限公司	2001年5月	957-499-264-0
16	影像魔法師PhotoImpact 6中文版	儒林圖書有限公司	2001年3月	957-499-410-4
15	音樂007：MP3&Napster	文魁資訊股份有限公司	2001年1月	957-466-122-9
14	多重作業系統規劃與建置	學貫行銷股份有限公司	2001年1月	957-0321-52-0
13	Word 2000文書處理經典	立威出版股份有限公司	2001年1月	957-0466-25-1
12	電腦DIY-記憶體安裝與管理	文魁資訊股份有限公司	2000年10月	957-466-012-5
11	Windows Me徹底學習	實書堂文化事業有限公司	2000年9月	957-0321-37-7
10	網頁製作DIY	文魁資訊股份有限公司	2000年9月	957-0462-96-5
9	Excel 2000試算表經典	立威出版股份有限公司	2000年8月	957-0466-17-0
8	精通Picture It! 2000	文魁資訊股份有限公司	2000年6月	957-0462-66-3
7	精通Excel 2000函數與VBA	文魁資訊股份有限公司	2000年5月	957-0462-26-4
6	Windows 2000 Server網路技術與架構管理	實書堂文化事業有限公司	2000年4月	957-0321-15-6
5	Windows 2000 Professional功能操作與實務應用	實書堂文化事業有限公司	2000年4月	957-0321-14-8
4	影像魔法師PhotoImpact 5中文版	儒林圖書有限公司	2000年3月	957-499-288-8
3	全方位網頁設計	儒林圖書有限公司	1999年12月	957-499-264-0
2	顛覆影像PhotoImpact 4.2進階篇	儒林圖書有限公司	1999年7月	957-499-210-1
1	顛覆影像PhotoImpact 4.x	儒林圖書有限公司	1999年3月	957-499-171-7

 

教育類

• 講師證書, Academic Teaching Rank Accreditation Certificate Lecturer

資安類

• CEH, Certified Ethical Hacker, 駭客技術專家認證
• CHFI, Computer Hacking Forensic Investigator, 電腦駭客鑑識偵查員
• CCSK, Certificate of Cloud Security Knowledge, 雲端安全知識認證

系統與軟體類

• RHCE, Red Hat Certified Engineer, 紅帽認證技術專家
• ACAI, ArcSight Certified Integrator/Administrator

網路類

• CCNA, Cisco Certified Network Associate
• CCAI, Cisco Certified Academy Instructor

管理類

• CSM, Certified ScrumMaster, 敏捷 ScrumMaster 認證
• CSPO, Certified Scrum Product Owner, 敏捷產品經理認證
• ISO 42001 LAC, ISO 42001 Lead Auditor Training Course
• ISO 27001 LAC, ISO 27001 Lead Auditor Training Course
• ISO 20000 LAC, ISO 20000 Lead Auditor Training Course
• BS 10012 LAC, BS 10012 Lead Auditor Training Course
• CSA STAR Auditing, Advancer Cloud Security Auditing For CSA STAR Certification
• ITIL Foundation

打從投入資安領域超過30年以來，2025年是一個相當特別的年，長久以來我一直有個願望：希望資安的意識能夠深耕人心，能夠讓新一代的年青人願意學習資安的技術、資安的管理，不論早期在國家高速網路與計算中心擔任研究員負責資安的業務，每天看著網路上數以億次的攻擊，執行著國家重要的資安旗艦計畫、前瞻計畫等，期待透過新的技術研發改變這個世界，創辦微智安聯時，規劃了三大資安服務平台，期待打造台灣自主的資安服務平台，擔任來毅數位科技全球資安長，看著國際資安需求的快速轉變，不論在身份識別、零信任架構以及各式各樣雲端應用的發展，資安成為關鍵的環節，一路走來讓我不禁省思，到底「資訊安全」可以為我們帶來什麼？真實的世界與網路的世界已經緊密的結合，加上近年來 AI 應用的快速發展，資訊安全成為不可或缺的一環，但我們真的有足夠的能力去因應這個數位世界的快速發展嗎？這些都是在資安領域走了這麼久以來，不斷的出現在我腦海中的問題。

什麼是「Y10K」呢？我希望號召一群有熱忱、有資源以及有心為台灣資安萌芽的同好，一起在 2030 年前為台灣培養出 10,000名資安生力軍，共同保護台灣的數位邊界安全，國際世界的動盪，網路世界帶來的不安全感與日俱增，如何打造下一代具備適應未來數位世代的能力，將資安的風險降到最低，而且具備資訊安全的素養，這些都是相當關鍵的議題，現今的由上到下的資安教育政策，並無法落實資安普惠教育，反而成為學子們進入資安領域的絆腳石，從近年來興起的資安特殊選才資格就不難看出一二，缺乏國際觀以及世界觀的人才，終究讓我們失去了國際舞台的競爭力，長久投入資訊安全國際組織，看著不同的國際組織發展著足以影響未來發展的計畫，但台灣長久缺少國際視野的結果總是後知後覺，早已失去了國際間的競爭力，如何重新打造新一代的資安人才，成為全方位的資安人才是國家競爭力的一環，幾年過去了，政府的政策已跟不上世界巨輪的成長速度，產業需要的資安人才極度短缺，需要重新思考台灣的資安人才到底在那裏，這個對於我們因應未來世界的發展而言，是個關鍵的課題。

想成為資安圈的資安人，最重要的就是對於資安的熱情，學習資安的方式百百種，如何有系統化、有目標的學習資安技術、資安管理以及資安風險的掌握，這些取決於不同的技術，希望透過這次發展的「台灣資安領航 Y10K」願景工程，號召政府關注、企業資源投入以及願意一起參與的夥伴，一起成就這個影響台灣未來數十年的願景工程。

「2030 台灣資安領航 Y10K」願景工程希望為青少年打造一個系統化、實戰化以及社群化的資安學習資源，建立正確的資安倫理觀念，輔以線上資安學苑平台，提供可實際操作、實際演練以及強化學習效果的環境，在 2030 年前為台灣培養出 10,000 名以上的新世代資安守衛者，資安從來就不應該是少數人的競技場，空有技術在手，無法用在正確的地方，就如同雙面刃般的將為這個世界帶來危害，此次期待從青少年出發，配合學習課綱、運用平台以及專業且熱心的導師群，將這股能量化為資安實力，成為可實戰、懂法治的資安人，成為台灣一股新的影響力。

台灣數位安全聯盟，協助三個國際資安組織台灣分會的在地推動已十餘年，成立以來致力於推動數位安全專業技術、跨界產學研合作與國際接軌，定期舉辦 InfoSec Taiwan 等專業活動，串聯國內外資安組織資源並推動人才培育與政策對話。

2025年第四季是我們願景工程啟動的第一季，目前有幾項重點的核心目標，就是尋找一群有共同理想的夥伴，成為台灣資安領航員，一起為培育新一代對於資安有興趣的青少年，成為台灣新世代的資安守衛者！願景工程需要更多「有心人士」的參與，希望找到以下的夥伴！

• 有意願一起「共編教材」，成為史上留名者 (文情並茂的資安寫手)
• 有意願一起「傳承知識」，成為領航導師者 (資安師父，所以傳道、授業、解惑也)
• 有意願一起「共襄勝舉」，成為願景贊助者 (邀請個人、企業、基金會支持)
• 有意願一起「合作共創」，成為參與學校者 (歡迎高中職、教網中心、大專校院、區網中心等)
• 有意願一起「打造平台」，成為平台推動者 (網站開發、維護與內容製作等)
• 有意願一起「傳播知識」，成為資安五四三者 (想成為資安 Youtuber 者)

期待您的參與！

請來信 y10k@twcsa.org 

台灣數位安全聯盟 service@twcsa.org

每年的四月三日是全球雲端安全日 (World Cloud Security Day)，回想到 2011 年在台灣成立了雲端安全聯盟台灣分會 (Cloud Security Alliance Taiwan Chapter)，開始接觸與進入了雲端安全的世界，在當時的年代對於雲端安全是相當陌生的，想要推廣雲端安全的認知，許多的人並不覺得雲端跟自己有什麼關係，有許多的企業也認為怎麼可能把企業營運資料，放到遠在天邊不知處的雲端服務中，一個看似天方夜譚的世界，假以時日卻已經成為我們生活的日常，在現在的時代中，已有數不清的應用透過雲端的平台來完成，有更多的服務更連結了行動的裝置，提供使用者更便捷的方式來使用資訊服務，萬物聯網的世界，更是利用雲端的架構，鏈結了所有的物聯網裝置，從智慧家庭、智慧工廠、智慧應用到整個智慧城市、智慧國家，都可以看到雲端服務平台的影子。

想要深入雲端安全的各個面向，可以由雲端安全聯盟 (Cloud Security Alliance) 的全球工作小組(Working Group) 談起，目前分成了 11 種類型共計 41 個主題，每個工作小組都由產業專家與領域專業人士領導與組成，並且深入各個議題的研究與討論，在全球雲端安全日的這天，除了提醒我們要留意使用雲端服務時的資訊安全議題，也可以從這些工作小組的發展，提早掌握未來全球的發展趨勢，掌握先行者的優勢，其中以威脅情資 (Threat Intellignece)、資安服務 (Security Services)、評估與審計 (Assessments and Audits)、人工智慧 (Artificial Intelligence)以及新興技術 (Emerging Technologies)所啟動的工作小組最多，可見這些類型在雲端安全議題上的重要性。

雲端服務對於個人來說，便利性是最大的優點，我們可以透電腦、平台、手機等聯網裝置，快速的與雲端平台進行連線，並且享用由雲端運算所帶來的強大運算力，透過應用程式所提供的服務平台，取得各式各樣所需要的應用服務，平均一隻手機上面所安裝的 App 可能超過 250 個的現實情況下，資訊安全就應該成為每一個人所應該留意的，因為與我們個人相關的數位資產，已有向雲端遷移的趨勢，包括了我們外出旅旅時拍攝的照片、工作上所需要使用的檔案、控制家中智慧家電的服務等，涵蓋了各種食衣住行育樂的應用，都可以快速的利用手機上的應用程式，透過建置在雲端平台上的應用服務快速取得所需要的服務。而便利性與安全性往往是互相拉扯的，越方便的使用者方式，就有可能帶來對於資安上的疑慮，不過所幸目前已有越來越多的資安防護機制，例如：多重因素驗證 (Multi-Factor Authentication, MFA)、無密碼登入 (Passwordless)等，這些都是對於傳統與典型的資安防護機制進行改善的作法。

對於企業而言，透過雲端服務的導入可以進行企業本身的數位轉型，並且縮短完成的時間以及提供營運的效率，目前使用雲端服務平台的企業，多數以平台即服務 (PaaS) 以及 軟體即服務 (SaaS) 的型式最多，前者可以提供企業自建所需要的應用程式環境，但是可以減少自行管理作業平台的複雜問題，只需要專注在應用程式的開發以及運作環境的準備，而後者則是目前最多被採用的型態，例如：Microsoft Office 365、Google Workspace、Jira、ClickUp等，這些大多被應用於企業的環境中，做為支持企業持續營運的重要基礎。而其中的資安問題可以從資料流動 (Data Flow) 的角度進行思考，透過應用程式介面 (Application Programming Interface, API) 進行各式各樣的資料交易，都可能因為一個不小心，就讓企業賴以生存的關鍵資料，因為資安的威脅、駭客的攻擊，容易對於企業帶來重大的營運考驗，近年來駭客的攻擊行動，已經從攻擊個人到政府，發展出針對企業發動攻擊的手法與模式，而且多數的駭客攻擊與資安事件都與勒索軟體有關，一旦企業發生資安事件所帶來的營運損失往往是不可計數的。

對於國家整體來說，利用雲端服務平台可以增加國家層級的數位韌性 (Digital Resilience)，對於台灣目前在國際上的局勢而言，善用雲端服務平台的建置，可以減緩因為關鍵基礎設施以及重要的應用服務遭受網路攻擊時所帶來的影響，目前在全球主要的雲端服務平台供應商，包括了 Google Cloud Platform、Amazon AWS 以及 Microsoft Azure 等，都已經在國內設有雲端資料中心，主要也是因應國內對於雲端服務上的需求，政府可以透過自行建立的雲端服務平台，整合主要的雲端服務供應商提供的資源，配合全球化的數位發展，將重要的數位資料與資產，應用雲端服務所帶來的優點，避免因為遭受網路攻擊而影響到應用服務正常運作的可能性。

在人工智慧的浪潮下，雲端與人工智慧 (Artificial Intelligence, AI) 的運作已經無縫的接軌，從雲端安全聯盟的角度來看，已經不是過往透過單一具備高速運算的計算中心，就能夠滿足與達成 AI 運算的需求，所有的 AI 運算，從前幾年流行的機器學習 (Machine Learning)、深度學習 (Deep Learning)，發展到現在的大語言模型 (Large Language Model, LLM)，而 LLM 作為 AI 技術的一個重要應用，其發展與 AI 的推動進步直接相關，現在已有許多的應用服務基於大語言模型進行研發與推出服務，像我們所熟悉的 ChatGTP 就是 OpenAI 基於所發展的模式，例如：GPT-4o 可適合大部分問題，GPT-4.5 則適合研究預覽與適合寫作與探索靈感，o1 可使用進階推理，而 o3-mini 則可以應用於快速進階推理的需求。可惜的是目前在國內重視建置資料中心的硬實力，而忽視應用服務軟體的軟實力所帶來的強大效益，還是不乏看到許多的政府大型計劃，仍然還是停留在自主建置資料中心的思維，並無法發展出具有影響全球的應用服務，從國際的發展趨勢而言，雲端化才是未來的決勝點，但其中的資訊安全議題就成為最重要的關鍵。

歷年的 InfoSec Taiwan 國際資安大會 (https://www.infosec.org.tw/)，雲端安全的議題逐年增加，受到的關注的程度也持續成長，從 2024 年起台灣數位安全聯盟 (TaiWan Cyber Security Alliance, TWCSA) 與國內幾個公協會共同成立「台灣資安大聯盟 (Taiwan Digital Defense Consortium, TWDDC)」以及連結了八個國際組織台灣分會一同主辦，可見資訊安全的議題已成為各個領域都必須關切的重要議題，其中每年雲端安全聯盟所發佈的產業報告、白皮書或是即將成為全球一致性標準的指引，都是會議上受到高度重視與討論的項目。

雲端安全不是透過資安方案或是一次性的建置就可以達成的，而是一個持續監控與精進的過程，因應雲端架構與環境的複雜化，透過關注雲端安全聯盟的最新發展趨勢，也不失為一個好的方法，呼應一下本文最前面所提到的全球工作小組，這些都是在當下最受到關注，也是急需建立全球共識與產業發展趨勢的重要議題，建議對於雲端安全有興趣與需求的人，可以隨時回訪雲端安全聯盟的網站，或是直接參與各工作小組的運作，以掌握最新的資訊。

最後，在全球雲端安全日 (World Cloud Security Daya) 的這天，除了提醒自己本身對於使用雲端服務平台須要留意的資安風險外，也歡迎想要參與與更瞭解雲端安全發展趨勢的各行各業，一同加入雲端安全聯盟國內與國際會員，細節可以向台灣數位安全聯盟洽詢相關事宜。

台灣數位安全聯盟 https://www.twcsa.org/

服務信箱 service@twcsa.org

PS: 本文中有部份圖案由 ChatGPT 生成。

日期	講題	地點	主辦單位/活動
2025/5/27	雲端應用下的零信任架構	芬恩特創新聚落	金融研訓院
2025/5/13	雲端安全應用安全	芬恩特創新聚落	金融研訓院
2025/4/24	網路封包分析實務進階	Virtual	精誠軟體股份有限公司
2025/4/10	網路封包分析實務初階	Virtual	精誠軟體股份有限公司
2025/3/6	資安日誌分析實務	Virtual	精誠軟體股份有限公司

【113學年第二學期】

* 國立高雄科技大學電子工程學系 鐵道資訊安全概論與實務

學歷

• 國立成功大學電腦與通訊研究所 雲端與網路安全實驗室 博士候選人
• 國立成功大學電機工程研究所 密碼與網路安全實驗室 碩士
• 國立成功大學 EMBA 碩士班
• 國立成功大學水利及海洋工程學系 學士

現任

來毅數位科技股份有限公司 全球資安長暨台灣區總經理

博曄顧問股份有限公司 創辦人

台灣數位安全聯盟 第一屆 第二屆 第四屆 理事長 榮譽理事長

台灣網際空間與安全策略發展協會 第一屆 第二屆 理事長

中華民國資訊安全學會 第九屆 第十屆 監事 第十一屆 常務監事

中華民國數位金融交易暨資料保護協會 第一屆 第二屆 理事

台灣數位鑑識發展協會 第一屆 第二屆 理事

國際資訊安全人才培育與推廣協會 第一屆 理事

The Honeynet Project 台灣分會長

Cloud Security Alliance 台灣分會長

OWASP 台灣分會長

CSCIS 亞太區副總裁

國立高雄科技大學 電子工程學系 兼任教授級專業技術人員

財團法人金融研訓院 資安培訓講師

政府部會 資安稽核委員

自由作家

曾任

微智安聯股份有限公司 創辦人

財團法人國家實驗研究院國家高速網路與計算中心 研究員

中華民國資料保護協會 第一屆 監事

中華民國南部科學園區產學協會 第五屆 理事 第六屆 監事

數位經濟暨產業發展協會(原台灣科技化服務協會) 第三屆、第四屆、第五屆 理事

台灣數位安全聯盟(原台灣雲端安全聯盟) 第一屆、第二屆 理事長

台灣資訊及資安服務聯盟 第一屆 理事長

台灣資訊安全聯合發展協會 第一屆 監事

崑山科技大學資訊管理學系 兼任講師

崑山科技大學資訊工程學系 兼任講師

嘉南藥理科技大學 資訊管理系 協同教學業師

吳鳳科技大學 資訊管理系 協同教學業師

正修科技大學資訊工程學系 協同教學業師

義守大學資訊工程學系 課程諮詢委員

正修科技大學資訊工程學系 課程諮詢委員

榮耀(Honor)

• 2024 Top Global Agile CEO Awards (全球頂尖敏捷 CEO 大獎)
• 2024 第十八屆金炬獎 十大年度經理人
• 2015 CSA APAC Cloud Security Ninja Award
• 2014 CSA Ron Knode Service Award (More)

國際會議(International Conference)

• Chairman, 2025 InfoSec Taiwan, Taipei, Jul. 9-10 2025
• Chairman, 2024 InfoSec Taiwan, Taipei, Jul. 9-11 2024
• Chairman, 2023 InfoSec Taiwan, Taipei, Aug. 1-3 2023
• Chairman, 2022 InfoSec Taiwan, Taipei, Oct. 5-6 2022
• Chairman, 2021 InfoSec Taiwan, Taipei, Nov. 2-4 2021
• Chairman, 2020 InfoSec Taiwan, Taipei, Nov. 2-4 2020
• Chairman, 2019 InfoSec Taiwan (HoneyCon 2019, CSA Taiwan Summit 2019, OWASP AppSec 2019), Taipei, Jul. 9-11 2019
• Chairman, Taiwan Cyber Security Organization Conference 2018 (HoneyCon 2018, CSA Taiwan Summit 2018, OWASP Taiwan Day 2018), Taipei, Jul. 10-12 2018
• Chairman, Taiwan OWASP Taiwan Week 2017, Taipei, Tainan, Kaohsiung, Nov. 20-23 2017
• Chairman, Taiwan Information Security Organization Conference 2017 (HoneyCon 2017, CSA Taiwan Summit 2017, OWASP Taiwan Day 2017), Taipei, Jul. 11-13 2017
• Chairman, Taiwan Computer Security Incident Response Conference 2016, IRCon 2016, Taipei, Jul. 11 2016
• Chairman, The Honeynet Project Taiwan Conference, HoneyCon 2016, Taipei, Jul. 11~13 2016
• Chairman, 2015 Cloud Security Alliance Taiwan Conference, CSA Taiwan 2016, Taipei, Jul. 12~13 2016
• Programme Committee, Cloud Security Alliance APAC Congress 2015, GuangZhou, China, Dec. 1~3 2015
• Chairman, Taiwan Computer Security Incident Response Conference 2015, IRCon 2015, Taipei, Aug. 20 2015
• Chairman, The Honeynet Project Taiwan Conference, HoneyCon 2015, Taipei, Aug. 18~20 2015
• Chairman, 2015 Cloud Security Alliance Taiwan Conference, CSA Taiwan 2015, Taipei, Aug. 18 2015
• Chairman, 2014 Cloud Security Alliance APAC Congress, Taipei, Sep. 1~5 2014
• Chairman, The Honeynet Project Taiwan Conference, HoneyCon 2014, Taipei, July. 7~8 2014
• Chairman, The Honeynet Project Taiwan Conference, HoneyCon 2013, Taipei, Jun. 27~28 2013
• Programme Committee, Cloud Security Alliance APAC Congress 2013, Singapore, May 14~17 2013
• Keynote Speaker, "Cloud Security Alliance Strategy and Roadmap", Cloud Security Alliance Taiwan Congress 2012, Taipei, Taiwan, Nov. 11 2012 
• Speaker, "Cyber Security Defense: Botnet tracking and mobile security", Information Security Summit 2012 Hong Kong, Hong Kong, China, Nov. 21 2012
• Workshop Tutor, "Digital Forensics for Mobile security", Information Security Summit 2012 Hong Kong, Hong Kong, China, Nov. 20 2012
• Keynote Speaker, "Ghost is in the cloud", World Wide Security & Mobility Conference Taipei 2012, Taipei, Taiwan, Sep. 24 2012
• Chairman, 2012 Innovation Information Security Workshop in Taiwan, Jun. 28~29 2012
• Speaker, "Taiwan Chapter Status Report", The Honeynet Project Annual Workshop 2012, San Francisco, USA, Mar. 21~23 2012
• Chairman, 2011 Innovation Information Security Summit in Taiwan, Taipei, Taiwan, Dec. 19 2011

Profile (English Version)

Yi-Lang Tsai is the The Honeynet Project Taiwan Chapter Leader, Cloud Security Alliance Taiwan Chapter Founder and Leader and OWASP Taiwan Chapter Leader. His works include the research projects for the detection、the analysis and the honeypot related information security technologies and also in the cloud security technologies for industry、government and academy. He is the Director of major security projects and leader of an Information Security Incident Response Team to work for Taiwan Academic Network (TANet) to handing security incident. He is the expert in UNIX/Linux、Windows OS、communication network technology、network security、ISMS、digital forensics. He is also known as the famous IT commentator and author in Taiwan. He has published 35 books and many columns on the professional IT publications.

• Chief Information Security Officer, Lydsec Digital Technology Co., Ltd.
• Founder and CEO, Shield eXtreme Co., Ltd.
• Leader, The Honeynet Project Taiwan Chapter
• Founder and Leader , Cloud Security Alliance Taiwan Chapter
• Leader, OWASP Taiwan Chapter
• Vice Chair, CSCSS ISS TC Taiwan
• Leader, TWCSIRT (TaiWan Computer Security Incident Response Team) - FIRST Full Member
• Researcher Fellow, National Center for High-performance Computing
• Leader, Security Operation Center for NCHC (National Center for High-performance Computing)
• Manager, Network Operation Center for TWAREN (TaiWan Advanced Research & Education Network)
• Project Manager, Security Operation Center for TANet (Taiwan Academic Network)
• Leader, Information Security Incident Response Team in Taiwan academic network
• Project Manager, Taiwan Academic Network Security Operation Center
• Core Manager, Botnet detection and anti-hacker program
• Project Manager, Cloud security and research project
• Convener, TWCERT/CC Honeynet working group
• Member, TWNIC Network Security Committee
• Director and Supervisors, Academia-Industry Consortium For Southern Taiwan Science Park, AICSP
• Supervisors, Data Protection Association, CDPA
• Director, IT-enabled Services Management Association, itSMA
• Lecturer, Kun Shan University Dept. Information Management
• Member, IEEE.org and Tainan Section
• Freelance, 35 Computer books and 90+ articles 

日期	講題	地點	主辦單位/活動
2024/12/26	物聯網安全與因應對策	國立台北科技大學	國立台北科技大學
2024/12/24	面對雲端世代的資安思維	Virtual	經濟部產業發展署
2024/12/17	資安事件調查與數位鑑識	Virtual	經濟部產業發展署
2024/12/13	OWASP Top 10 for Large Language Model Applications	道騰國際共享平台	OWASP Meetup
2024/12/11	AI 世代下的資訊安全	國立成功大學政治學系暨政治經濟研究所	國立成功大學政治學系暨政治經濟研究所
2024/12/10	資安威脅與趨勢分析	國立成功大學	113年產業高階人才培訓計畫
2024/12/10	物聯網安全與因應對策	國立成功大學	113年產業高階人才培訓計畫
2024/11/28	打造資安人才的試鍊場	台北南港漢來飯店	113年度全國大專校院資訊行政主管研討會
2024/11/25	資訊安全概論與法規研析	信鋐工業股份有限公司	信鋐工業股份有限公司
2024/11/19	雲端應用下的零信任架構	芬恩特創新聚落	台灣金融研訓院
2024/11/15	雲端技術與安全應用	國立彰化師範大學	國立彰化師範大學
2024/11/14	資安維運與偵測技術	Virtual	國立高雄餐飲大學
2024/11/6	穿越挑戰迎向智慧安全之路	Virtual	經濟部產業發展署
2024/11/5	雲端安全應用安全	芬恩特創新聚落	台灣金融研訓院
2024/10/23	雲端應用下的零信任架構	中華電信	中華電信學院/中華電信113年資訊安全研討會
2024/10/18	如何從弱點分析掌握資安風險	國立中興大學	國立中興大學
2024/10/18	國際資安威脅與趨勢分析	國立中興大學	國立中興大學
2024/10/17	現代人的必修資安指南	Virtual	國立臺南女子高級中學
2024/10/15	AI醫療應用與資安威脅	高雄市立聯合醫院	高雄市立聯合醫院
2024/10/1	國際雲端安全證照大解密	Virtual	數位發展部數位產業署/財團法人資訊工業策進會
2024/9/26	從西遊記學資安的危機管理	國際資訊安全人才培育與推廣協會	國際資訊安全人才培育與推廣協會
2024/9/25	資安維運與偵測技術	Virtual	國立高雄餐飲大學
2024/9/24	以數據驅動資安的世代	國立勤益科技大學	國立勤益科技大學
2024/9/18	社交工程攻擊與資料保護	Virtual	國立臺東大學
2024/9/11	網路封包與事件解析課程	中華民國資訊軟體協會	中華民國資訊軟體協會
2024/9/5	網路封包與事件解析課程	新竹恆逸資訊	中華民國資訊軟體協會
2024/8/31	從國際資安組織看AI發展趨勢	大同大學	資安與鑑識研習營
2024/8/30	應用程式開發資安實務	城智科技股份有限公司	城智科技股份有限公司
2024/8/28	我們與駭客的距離	國立竹東高級中學	國立竹東高級中學
2024/8/28	金融雲端化之資安防護及措施	Virtual	台灣金融研訓院/2024國際金融科技論壇
2024/8/27	駭侵手法與資安威脅分析	Virtual	國立臺灣科技大學
2024/8/15	駭侵手法與資安威脅分析	Virtual	國立臺灣科技大學
2024/8/8	AI潮流下的資安發展趨勢	Virtual	國立高雄科技大學/AI鐵道技術應用與實例研討
2024/8/1	雲端服務與個人資料安全	國立政治大學電算中心	國立政治大學/113年區網中心研習會
2024/7/30	物聯網設備安全評估與檢測	經濟部林口產業園區服務中心	113年跨域產業資安教材訓練
2024/7/24	網站滲透測試與漏洞修補	資安暨智慧科技研發大樓	財團法人資訊工業策進會
2024/7/23	網路封包與事件解析課程	中華民國資訊軟體協會	中華民國資訊軟體協會
2024/7/20	資訊安全概論、資安法規與規範	資展國際	財團法人資訊工業策進會
2024/7/19	資安現況與未來發展趨勢	台南市政府	台南市政府
2024/6/27	智慧工廠如何因應新型態的資安威脅	集思台中新烏日會議中心	經濟部產業發展署/生醫產業智慧化
2024/6/20	事件調查與分析實務	國立中央大學	桃園區域網路中心
2024/6/19	建構智慧製造對應資安解決方案	三重勞工中心	金屬產業智慧化通識班
2024/6/4	從駭客視角看企業資訊服務安全	巨鷗跨界智慧創新集團	巨鷗跨界智慧創新集團
2024/5/30	雲端資安人才現況與趨勢	Virtual	安碁學苑/CCSK雲端安全知識與認證講座
2024/5/28	企業在數位時代中的資安風險	Virtual	資策會/被駭後的數位韌性，快速掌握企業資安韌性SOP
2024/5/23	網站應用程式安全	台中市政府社會局	台中市政府社會局
2024/5/21	解析零信任架構與未來發展趨勢	永豐餘大樓	工業技術研究院/科專法人資安研討會
2024/5/21	建構智慧製造對應資安解決方案	財團法人金屬工業研究發展中心	金屬產業智慧化通識班
2024/5/17	從駭客視角建立資安思維	國立澎湖科技大學	國立澎湖科技大學
2024/4/30	企業面對新世代威脅下的資安思維	Virtual	資策會/多元意識課程
2024/4/10	數位轉型後的資安威脅	監察院	監察院
2024/4/2	網站應用程式安全	國家災害防救科技中心	國家災害防救科技中心
2024/3/28	如何讓 SIEM 成為企業的資安決策中心	大直典華	Fortinet VIP Event
2024/3/27	數位轉型下的醫療資訊安全	成大醫院	成大醫院
2024/3/26	從OWASP看雲端時代下的API安全	金融研訓院	F-ISAC第一季研討會
2024/3/20	建構智慧製造對應資安解決方案	財團法人金屬工業研究發展中心	金屬產業智慧化通識班
2024/3/12	雲端技術之安全措施、方法與標準	國家生技研究園區F棟	人工智慧醫療器材探究培育計畫
2024/3/7	如何成為資安數據魔法師	國立政治大學	國立政治大學資料科學系
2024/3/6	資安事件調查與分析實務	Virtual	台灣數位安全聯盟
2024/2/21	2024國際資安組織新動向	Virtual	台灣數位安全聯盟/資安五四三
2024/2/20	當IT與OT邊界消失下的資安防禦	Virtual	中華電信學院/物聯網資安系列課程
2024/1/20	從孫子兵法談資訊安全	國家文官學院菁英講堂	國家文官學院
2024/1/16	從孫子兵法談資訊安全	JRA杰人磐石學院	中華兩岸EMBA聯合會(CSU)商資E學院

今年七月完成 CSM 的培訓並順利的考取 CSM 認證，在 Scrum Alliance 認證的 Scrum 培訓師（CST）Roger 老師進行兩天的指導與授證，再通過一小時的線上測驗，通過考試後取得認證，在一路學習的過程中，深深的感受到 Roger CST 宣言中，對於培育 100 位 CEO/高階主管成為 CSM 的志業深深感動，不禁思考起企業中應該具備的「願景工程」，從超過 20 年的法人經驗，到近三年的新創公司，在不同的階段都需要面對不同的挑戰，所有的問題都需要找到解決的方法，才能夠通過所遇到的關卡，其中的重點就是如何找到這個方法，但每個人的特質對於同樣的問題，經常會有不同的解決方式，也有人開玩笑的話，經常我們是在解決提出問題的人，但真正的問題解決了嗎？還是只是假裝看不見呢？

敏捷的管理方式，對於軟體開發型態的新創公司而言是相當重要的精神，而且也應該成為企業的文化之一，經常我們面對管理的議題，思考的都是這個人好不好管理，或是這個人好不好配合等，其實在企業的運作過程，「管事」與「管人」一樣重要，前者可以達成專案目標，後者可以培育人才建立團隊，對於新創公司而言，一起創業的夥伴必須凝聚相同的願景，有相同的願景與目標才能夠一起到達目的地，過程中會有許多意見相左的情況勢必發生，要一起前進，還是自我感覺良好，而停留在原地，或是重新修正方向，這些都是可能的發展，時間將會證明一切，而結果將會是共同承擔的。

今年感謝評審委員的支持，能夠獲得全球頂尖敏捷 CEO 大獎的殊榮，心中高興獲得肯定，但反觀目前公司的營運，我真的做到敏捷管理了嗎？大多數的時候在企業中推動敏捷的專案管理遇到職場文化的挑戰，管理方式的變革會影響原本大家已經熟悉的工作型態，畢竟從員工的心態到主管的心態，兩者之間是需要找到平衡點的，對於員工而言，企業只是職涯旅程中一段紀錄，工作上的成果將做為下一段旅程的養分，因此主管必須先從「管事」開始，爾後才能夠「管人」，如果先從管人著手，勢必無法成為稱職的主管。

Scrum 的重要精神在於將做事邏輯不同的人，能夠回歸到對於「事情」本身的管理層面，其中以下三個是大家所公認的，也是用來評估是否 Scrum 的精神指標：

• 永遠彈性調整，並優先做最重要的事情
• 團隊的所有人都要能「隨時掌握情況，幫助彼此解決問題」
• 要專注在「如何在固定的時間內，產業更多的價值」

當一個專案在進行的過程，來自於客戶的回饋，而需要調整專案的內容，經常就會遇到員工對於之前投入的工作成效，以及當時沒說清楚，為什麼現在才說呢？這些就是經常發現的問題，早些年還有在開發軟體的時間，工程師最怕的就是客戶對於軟體的功能改來改去的，會需要花許多的時間去改寫已經完成的部份，但有時候也需要考量，團隊的總工作時間是有限的，如何在「要求」以及「需求」兩者之間找到平衡點，在專案執行的期間達到雙方都滿意的目標。這也是持續調整，永遠做著最重要的事，來確保專案的成功。

一路學習管理之道，從以前單純的工程師、研究員，到擔任部門的主管，到現在創立公司發展事業，每個階段都需要不斷的思考，在目前的角色上必須轉換工作心態則會是必然的結果，這也是成長過程中必經之路。

參考資料：

• 【發現新台灣】2024全球頂尖敏捷CEO大獎頒獎典禮 https://www.youtube.com/watch?v=rBdqKIZ7ebM

企業需要什麼樣的資安技術來保護自家的重要資產呢？長年在協助企業資安培訓時，這是一個經常被問到的問題，因為買了許許多多的資安產品後，為什麼對於防禦駭客的攻擊，卻是一點也沒有把握，也沒法有個量化的數據來證明投入的資安防禦是有效的，也許有人會說這些資安設備每天產生的告警資訊，就是攻擊者可能帶來的威脅，但是捫心而論，又有誰能完全確認這些告警是真的告警，而不是個誤告警呢？再加上越多的資安設備，產生的告警日誌就越多，該如何進行分析與歸納，本身就是一個大問題，傳統的做法是把這些日誌送到資安維運中心 (Security Operation Center, SOC) 進行分析，利用日誌間的關聯以及嚴重程度的判斷，來決定是否要進行事件的處理，早已是過時的做法，但是從目前資安威脅的角度來看，如果這些資安設備依賴偵測規則來觸發告警，而這些偵測規則並無法涵蓋所有的資安威脅時，那又如何收到完整的告警資訊呢？

參考了一些資料後，統整了目前企業應該要思考的十二個面向，如何進行企業所需要的資訊安全防禦，而這些不同的面向仍然會因為企業的屬性、使用的平台以及商業模式的不同，而有不同的權重比例，但應該至少都會有八個以上的防禦思維，必須在現在的架構中完整的評估與思考，畢竟資安的需求是跟著企業營運的腳步，不同的企業必須選擇與決定自己的資安防護架構。

圖. 企業防禦的12個面向

• Authentication (身份驗證)

確認使用者的身份，是許多資訊系統不可或缺的功能之一，也是資訊安全的重要環節，透過不同的身份驗證技術，例如：單純的帳號與密碼、生物特徵、綁定裝置或持有特定的物品，來加強身份的識別，以目前許多平台的設計，考量到身份驗證的嚴謹性，多數會採用多因子的身份驗證機制，除了原本的帳號與密碼外，也會加上一次性的驗證碼，透過 OTP 或是簡訊、郵件等方式來提供，也可以利用 FIDO (Fast IDentity Online) 網路身分識別標準來完成。

• Authorization (授權)

在資訊安全的領域中，我們經常提到「最小權限原則」，指的就是當使用者完成身份驗證後，能夠使用的資源或是賦予的功能，讓完成身份驗證的使用者，能夠做被授權的事，這個是保護資料與系統作業的關鍵，一般而言在設計授權的機制上，可以採用「以角色為基礎的授權」、「以屬性為基礎的授權」或是「以時間與情境為基礎的授權」，除了可以讓授權的規則以及政策容易落實外，如果需要追蹤某位使用者的行為路徑，能夠有跡可循。

• Encryption (加密)

加密的技術經常運用於保護重要的資料，對於企業而言，公司的營運資料、研發技術等資產，透過加密的方式限制存取，避免未經授權的使用者能夠看到不應取得的資料，而加密的機制經常運用於通訊過程以及資料儲存的過程，而加密的類型，大致上可以分成「對稱加密」、「非對稱加密」以及「雜湊運算加密」，不同的類型各有優缺點，也有適用的情境，必須取決於資訊服務平台對於資訊保護的訴求，以及希望達成的目標。

• Vulnerability (弱點)

對於企業而言，在系統、應用軟體或是網路架構上出現的弱點，都可能成為攻擊者運用的機會，進而對於企業的營運帶來威脅，因此從資安防護的角度來說，修補已知的弱點是必要的工作，也是降低營運風險的主要方法，一般來說，弱點包括了軟體的漏洞，例如：程式沒寫好出現的問題，衍生了緩衝區溢位、XSS (Cross-Site Scripting) 跨腳本攻擊、SQL Injection 等，也包括了人為設定的問題，造成系統在運作過程因為配置不當而造成的資安風險。

常見用來攻擊弱點的方式， 包括了針對該漏洞進行的攻擊，網路上對於已知的弱點，經常可以找到攻擊程式 (Exploit Code) 等工具，對於這些已知的漏洞直接造成影響，但攻擊者也可能運用尚未被揭露的弱點，利用這些新的發現進行的攻擊行動，也可稱之為零時差攻擊，大多數這類型的攻擊，企業並不容易防範。

至於弱點的嚴重程度，經常會使用 CVSS (Common Vulnerability Scoring System) 進行評分，因此如果有高風險的弱點，建議企業可以儘快進行修補，如果短時間無法立即修補，也應該有治標的防範規劃，避免高風險的弱點直接影響企業的營運。 

• Audit & Compliance (稽核與合規)

有人說，資安的作為來自於法規的要求，其實是滿正確的看法，因為被要求要達標後，才會開始思考如何進行這回事，透過稽核的方式來驗證企業的作業流程與程序都符合資訊安全管理上的要求，以避免資安風險的產生，而稽核作業本身是一個必須依據管理規範、獨立進行以及透過文件化的過程，讓所有需要遵循管理規範的人員，都清楚的理解與瞭解如何進行資訊安全的管理作業，並且對於營運過程產生的資安風險進行矯正預防；而稽核的類型大致上可以分成「內部稽核」、「外部稽核」以及「合規稽核」，不同的類型有各自的目的，以及需要由不同屬性的人員來實施，而稽核的範圍需要涵蓋管理規範所制定的範圍，包括了資安政策、作業流程、實施程序以及透過技術檢測的方式，驗證資訊安全管理的作業流程，被落實到企業的營運上，另外對於人員的資安培訓也是相當重要的，一般人員需要建立資安認知，而專業人員需要具備資安實務技術，以因應企業可能潛在的資安風險。

目前常見的資安法規包括了 ISO 27001、ISO 27017、ISO 27018、ISO 27701，以及針對個人資料保護的 GDPR (General Data Protection Regulation) 或是對於醫療機構或是保險公司用於保護醫療資訊隱私安全的 HIPAA (Health Insurance Portability and Accountability Act)，而對於金融的支付卡，也有 PCI DSS (The Payment Card Industry Data Security Standard) 的要求，以確保在處理資料上的安全性符合支付應用的標準。 

總體而言，透過合規的稽核，可以提供企業在風險管理以及產業合規上，能夠達成符合法規的要求，而透過稽核作業的發展，能夠將缺失或是觀察事項，納入後續的改善，最終可以降低企業營運中的資安風險，也能夠提供企業本身的營運品質。

• Network Security (網路安全)

網路安全是企業不可或缺的重要環節，透過網路層防火牆、應用層防火牆、入侵偵測(防禦)系統等網路存取控制 (Network Access Control, NAC) 的機制，進行網路的區隔與控制，其中也可以運用虛擬私有網路 (Virtual Private Network, VPN) 的方式，建立端到端的加密通道，多數應用於遠端連線且經授權驗證的管理作業，在 COVID-19 疫情期間，遠端存取的網路安全管理，是最受到企業重視的，以提供一個安全的作業方式，又能夠保有企業的營業秘密為主要目標。

經常我們可以看到來自網路上的攻擊，包括了駭客的攻擊，不斷嘗試企業資安防禦上的脆弱點，希望找到可以入侵或是破壞系統並竊取資料的管道，以目前在資安事件中常見的手法，多數會配合惡意程式進行此類的攻擊，另外透過分散式阻斷服務攻擊 (Distributed Denial-of-service Attack, DDoS) 也是經常運用於消耗受攻擊者網路與系統資源的方式，近來有親俄的駭客組織，經常發起此類的攻擊，嘗試對於他們鎖定的目標進行網路攻擊，目的是癱瘓受攻擊者對外提供服務的網站。 

• Terminal Security (終端安全)

端點裝置是使用者直接操作的設備，包括了電腦、手機、平版或是對外服務的網路應用服務伺服器，這些都與終端的資訊安全有關，而且也成為目前資安威脅中的關鍵，至於企業如何保護終端的安全，可以採取以下所列的作業，包括了防毒軟體 (Anti-Virus)、偵測回應 (Endpoint Detection and Response, EDR)、資料加密保護、裝置與設備本身的存取控制，應用軟體的使用規範、對於系統與應用軟體出現的漏洞進行修補、對於企業的重要數位資產等進行防外洩的保護 (Data Loss Prevention, DLP)、可攜式裝置的管理與授權等面向，這些都有助於企業建立起一個安全的終端設備使用環境，另外也可以配合網路安全中的隔離措施，將不同屬性或是業務內容的部門進行網路隔離，以避免企業資料的人為外洩。

目前許多的企業都導入了資訊安全管理系統 (Information Security Management System, ISMS)，因此在資安管理的規範上，可以將終端設備的管理以及使用納入規範中，要求員工遵循資安政策與規定，並且端點社交工程的演練，提昇員工的資安認知，配合定期的內部稽核與外部稽核掌握終端設備以及使用者的行為是否出現異常的狀態，即早進行風險的管理與排除，可確保資安政策能夠落實到企業的營運上。 

• Emergency Responses (緊急回應)

企業在面對駭侵威脅時，需要具備緊急回應的能力，依據預先制定的緊急回應計畫 (Incident Response Plan, IRP) 進行因應，對於發生中的資安威脅進行具體的行動，可以達到緊急回應的關鍵目標，包括了阻止威脅的持續擴大、保護企業的營運資產與重要的資料、快速回恢復受影響的服務以及掌握過程中的關鍵資料，做為後續研判發生的原因，並轉換成未來防範同類型攻擊的經驗。

 以目前而言，企業普遍遭受到惡意程式的威脅，尤其以勒索軟體所帶來的影響最大，對於緊急回應而言更是急迫，必須儘快讓感染到勒索軟體的終端裝置回復作業，因此建立起一套面對此類的資安威脅的應變計畫，就是相當重要的關鍵，定期的資料備份措施，可以讓企業遭到此類威脅時的傷害降至最低，能夠快速的從備份的資料回復，在可以接受的損失下儘快恢復營運。

• Container Security (容器安全)

採用容器化 (Container) 的技術來建構應用服務已成為未來的趨勢之一，採用輕量級的虛擬化技術，將應用程式運作的環境打包在一起，除了達成輕量化的要求外，也讓應用程式在不同的環境中能夠一致，與虛擬化最大的差別在於共用作業系統的核心程式，而採用容器化的技術，企業仍然需要留意共用核心可能產生的漏洞，例如：因為核心上的漏洞而造成跨容器的攻擊，而因為將運作需要的環境打包在一起，也可能因為打包的元件存在未被修補的漏洞或函式庫而帶來資安上的風險。

因此我們在採用容器化的技術時，仍然需要依循資安上的管理原則，採用 CI/CD (Continuous Integration / Continuous Deployment) 時也同時需要進行安全的檢查作業，確定在進行部署前都能夠符合資安上的要求，這也是實現敏捷與自動化流程時，必須納入考量的關鍵因素。

• API Security (API安全)

在 2023 年 OWASP 發佈了新一版的 API (Application Programming Interface) 前十大資安風險，也讓我們更關注意目前的時代中，在大量的使用微服務、雲端服務以及跨平台的作業環境中，應用程式介面被大量的使用，用於資料的交換傳輸以及遠端的存取應用，因此許多隨之而來的資安威脅，攻擊者轉向了對於這些應用平台所提供的 API 進行攻擊，企業對於自身所使用的 API 必須完全的掌握，才能夠確保對於數位邊界的掌握程度。

API 經常遇到的資安問題，包括了未經過授權的遠端存取、未進行保護的介面、典型的應用程式攻擊被運用到 API 的服務上、無法有效掌握 API 的監控、資料保護與加密的議題、API 的過度請求，以及人為的組態設定錯誤等，這些都可能因為駭客的攻擊，而讓原本的 API 曝露在資安的威脅之中，目前在弱點掃描與滲透測試的作業中，許多企業已將 API 納入檢測的範圍中，避免潛在的資安風險因為未經檢測而存在營運的服務中。

• 3rd-Party Management (第三方管理)

企業因應業務或營運需要，經常會建置不同的服務平台，而這些平台可能採用現有的雲端服務或是透過第三方供應商與合作夥伴共同開發，而企業也需要依賴這些協力夥伴來取得技術、服務或是相關的資源，在目前的時代中，第三方扮演著重要的角色，而從目前的資安事件不難發現，許多的資安事件因第三方的風險而造成，因此在整體評估企業的營運風險時，必須將第三方管理納入資安管理的範疇。而第三方管理主要關鍵，包括了資安政策與標準的一致性、合規的要求、可能來自供應鏈的攻擊行動、資料的保護等，這些都是在與外部進行商務與技術合作時，必須思考的關鍵問題。

• Disaster Recovery (災難復原)

災難復原主要用於發生資安事件後，如何快速恢復營運的作法與策略，在數位時代中企業大量的依賴資訊科技、雲端服務、運營科技等技術來營運重要的核心業務，在業務持續運作的規劃中，企業需要設想可能發生的營運衝擊的事件，並且提早因應可能發生的事件進行救災的規劃，而制定災難復原計畫時，必須要思考如何處理幾個關鍵的問題：

• 復原時間目標 (Recovery Time Objective, RTO) ：讓企業能夠更加快速地復原資料儲存，以及使得主機正常運行的時間。
• 資料復原目標時間 (Recovery Point Objective, RPO)：能容忍的最大資料損失，當業務恢復後，恢復得來的數據所對應時間點。
• 最大可容忍中斷時間 (Maximum Tolerable Period of Disruption, MTPD) ：核心業務流程發生中斷後不會導致業務造成無法回復的傷害之最大可容忍的時間。

從 ESG 角度思考企業資安管理已成未來的趨勢，而資訊安全不會是單純是資訊部門的責任，在參與許多資安稽核的行程中，卻不難發現經常接受稽核的是來自資訊部門的人員，雖然說技術面的問題需要由資訊技術的人員來處理，但是關係到企業或組織營運的資安管理，需要有更完整且明確的資安政策支持，才能夠讓企業或組織中的所有人，能夠瞭解資訊安全的重要。