蔡一郎的部落格

Yilang's Blogger

人生的第一場簽書會

Published by Yi-Lang Tsai under , , on 7/28/2024 11:14:00 下午

話說寫了許多的資訊圖書,這次終於配合 InfoSec Taiwan 2024 國際資安組織大會的機會,辦了人生的第一場簽書會,在會場 30 分鐘左右的時間限量 100 本銷售一空,感謝碁峰 Sonala 多年來的支持,基本上她到那家出版社,我就跟到那出書,這也是一個 20 幾年的奇妙緣份,回想起大一的時候,跟當時的女朋友,現在的老婆 Sunny 26 年前為了隔天的一早九點半在出版社的會議,前一天晚上我們倆個半夜三點去搭統聯的夜車北上,一大早我們就出現在承德路的街頭,當時還是一個手機不普及的時代,也很感謝當時的儒林出版社,願意給了難得的機會,也開啟了我的作家之旅。

踏入寫作的領域成了資訊圖書的作家,在大學修課之餘最常看到我的地方,就是成大的圖書館,在大四畢業那年,看了這四年來的借書紀錄,超過 1,200 本,當然各種類型的圖書都有,但是資訊相關的書籍還是佔了大宗,畢竟資訊圖書的更迭速度很快,在當時的年代要學習新的知識,看書是最主要的管道。

圖. 成功大學圖書館

以軟體而言有的一年就會推出一個新的版本,經常拿到軟體公司提供的上市前的 Alpha 或是 Beta 測試版,就得趕快安裝,準備配合軟體的上市推出新的圖書,不過也受惠於作者的特權,我們可以在軟體上市前,就能夠拿到接近發行的版本,多年下來這也就練就了如何快速的規劃出一本圖書的大綱、各章節的分佈以及如何讓讀者容易學習圖書的內容,是個相當難得的經驗。

圖. 簽書會

這一次的簽書會,配合 InfoSec Taiwan 2024 國際資安組織大會一起舉辦,就在會議第一天的中午辦理,許多的好友相挺,一本不算少,十本不算多,一下子就把準備的書買完了,還有會眾自己在外面的書店帶來讓我簽名的,雖然整個活動只有 20 分鐘,但心中卻有許多的感謝與感動。這本「資訊安全概論與實務」的第四版,我深深被第一版到第三版的作者-潘天佑老師這段話所吸引與感動:「我寫的資訊安全教科書,前後出了三版,賣了十五年,謝謝老師和同學們的支持!兩年前碁峰出版社跟我討論出第四版,我實在沒有時間,就建議能不能下市算了。碁峰的專案經理對我曉以大義,說現在要找人寫一本適用的教科書很不容易,希望我能為台灣學生繼續奮鬥。於是我做了一個決定,就是無償轉讓版權,讓出版社找適合的人來更新、補充這本書。我不再是作者,也不分版稅。今天看到第四版出來了,心中甚感欣慰。成功不必在我,恭喜新作者,希望老師和同學們能繼續支持這本資訊安全教科書。謝謝大家(下台一鞠躬)!」,感恩潘老師的無私與付出,我們才能夠一同完成了知識的傳承。

以下是這本書的主軸:
  • 第一篇 資安認知與風險識別 
資安威脅來自於系統平台、應用程式的弱點,以及使用者對於資訊安全的認知不足,對於資料的保護、資安事件的處理、惡意程式的發展、社交工程與網路攻擊等事件的威脅,掌握資安風險的來源,以及識別可能帶來的影響與衝擊,都是面對資安的議題時,必須考量的關鍵項目。
  • 第二篇 信任與安全架構 
建立使用者的身份認證、授權使用的權限以及建立存取控制的機制,以對應資訊安全架構與設計的原則,從國際標準管理系統到建立安全等級與評估準則,透過密碼學來建立資通訊系統基礎的架構,在網路模型各個不同的階層建立對應的資安防護措施,以提供安全的運作架構。
  • 第三篇 數位邊界與防禦部署
面對強化的駭客與網路攻擊威脅,強化數位邊界與防禦部署的能力,以確保在資安威脅的衝擊下仍能持續運作,熟悉資安設備的角色與能力,將有助於將正確的防禦機制部署在正確的位置,強化多層次的防禦機制,建立網路、系統、端點等防禦的能量,以資安威脅情資建立防禦機制。
  • 第四篇 資安管理與未來挑戰 
面對資安的威脅,透過營運管理機制以及資通安全相關的法規,可以建立有效的管理制度,並且參考國際資訊安全組織的發展趨勢,掌握最新的駭侵威脅,對於新型態的攻擊手法,必須涵蓋雲端應用服務、物聯網安全與管理等面向,才能夠面對未來的挑戰。

以下是當天活動的部份照片,再次謝謝支持!

這幾年因為離開法人出來創業,還有相當多需要學習的地方,也少了許多可以寫書的時間,不過秉持了知識傳承的志願,在空閒之餘還是願意將個人所學、所知的知識與見聞,轉換成文字留存在人類的歷史中。

參考資料:

AI Ops 到 AI Sec 下的資安思維

Published by Yi-Lang Tsai under , on 7/26/2024 12:00:00 上午
從 AI Ops 議題成為下一世代大家期待的境界,到最近熱門的 DevSecOps 思維,當雲端服務平台盛行,各式各樣的雲端服務供應商出現,對於企業而言需要面對的 IT 架構除了傳統的資訊服務架構外,還衍生了許多需要與雲端服務融合的需求,也讓許多的企業開始思考,是否需要有更好的 IT 管理與維運的方法,利用目前所熱門的人工智慧,創造一個期待能夠發生的自動化營運管理境界,能源管理是早期大家都會想到的應用,從部署的感測器收集數據,做為分析與應變的參考,隨著 AI 算力的需求,可以想像的是接下來這幾年都會許多以 AI 算力平台為訴求的建置,這些都是吃電的怪物,從以前在法人工作的經驗,所能夠衍生的效益,經常是無法達標的。 

以使用者的角度出發,網路的品質好壞,遠不及應用程式效能帶來的體驗,雖然說應用程式效能的問題,可能來自於網路品質不佳所造成,但由於目前資訊服務的架構相形之更顯得複雜化,大量採用虛擬化、雲端化以及整合式的分散式運作平台的趨勢下,更顯示整體而言的應用程式回應效能,較單純從網路品質的角度來更為重要,若無法由資料流或是應用系統架構進行偵測點的部署,往往會出現網管人員與應用程式開發人員各說各話的情況。

圖.資料來源-2021 Gartner Magic Quadrant for APM

圖.資料來源-2022 Gartner Magic Quadrant for APM and Observability

近年來興起的 DevSecOps 的概念,希望打造一個以資安為基礎的開發與維運環境,今年在 InfoSec Taiwan 2024 跟 Ray 一起開了一門「組織資安願景設計與雲端安全指引實作」的 Workshop 課程,從管理面到技術面的實作,帶著學員打造企業的願景工程,參與的學員不乏部門主管或是資深的工程師等,在面對這個時代的轉變,都意識到了資訊安全對於企業的發展以及工作流程上的影響是越來越大了。

圖. InfoSec Taiwan 2024 實作課程

現在已進入了企業風險管理的時代,許多的企業面對駭侵的威脅時,都直接與能否持續營運有關,像前幾天的 CrowdStrike 出包以及微軟大當機,讓許多的企業感受到無法持續營運時,所帶來的巨大損失,一個資安軟體更新的出錯,導致了全球超過 850 萬台的 Windows 電腦當機,影響的產業更是涵蓋了各行各業,如果我們所依賴的資安防護是如此的脆弱,保護我們避免駭客攻擊的軟體,居然成了災難的源頭,以航空業為例,因為地勤用的電腦大當機,只能再次使用手寫機票來做為替代方案,增加了許多人工作業的時間,這也意味著資訊科技有著它脆弱的一面,當風暴來得又急又快,而且是原本要保護電腦的軟體變成始作俑者時,企業的業務持續運作該如此進行呢?這個問題是值得所有的人省思。

圖. 手寫機票

在電腦應用上,2038年問題可能會導致某些軟體在2038年1月19日3時14分07秒之後無法正常工作,所有使用POSIX時間表示時間的程式都將受其影響,因為它們以自1970年1月1日經過的秒數來表示時間,如同之前的千禧年問題,都是因為電腦系統在發展初期,受限於當時的軟硬體環境,設想不夠週全所致,這個也許是下一個需要關注的問題。

目前是一個什麼都要跟 AI 扯上關係的時代,但 AI 實質能夠為人類帶來的效益,以及可能帶來的風險,都還是一個未知數,但是隨之而來的是大量資源的使用,如同電影情節般的,未來是否 AI 會為了讓自己可以有足夠的資源運作下去,而做出了影響人類生活空間的事呢?只能期待這一天永遠不會發生,雖然許多的國家、組織都對於 AI 可能帶來的影響,制定了許多的法則,但可別忘了法律永遠是限制守法的人,不願意遵守的,就算制定再嚴格的法則都是空談。


 參考資料:

InfoSec Taiwan 2024 國際資安組織大會後記

Published by Yi-Lang Tsai under , , , , , on 7/12/2024 09:00:00 上午

終於 InfoSec Taiwan 2024 在眾人的分工之下,順利完成了許多不可能的任務,今年在主辦單位多方的邀約下,以及許多好友的相挺,已經聚集了十個國際組織在台分會,包括了 The Honeynet Project、Cloud Security Alliance (CSA)、Open Worldwide Application Security Project (OWASP)、Centre for Strategic Cyberspace + International Studies (CSCIS)、ISACA、FIDO Alliance、Project Management Institute(PMI)、ISC2、Regional Scrum Gathering (RSG)以及Women in HPC (WHPC),感謝這些國際組織在台分會的會長們,還有一同協助促成 MOU 簽署的 Ray,願意支持與參與今年 InfoSec Taiwan,讓我們這個國際資安大會更加強大,資訊安全已經成為各個領域共同的問題,也歡迎想要一同參與 InfoSec Taiwan 的國際組織與主辦單位聯繫,成為我們 InfoSec Taiwan 2025 的夥伴。

一場成功的大型會議,大家看到的是最後的成果,但過程中需要許多背後的推手一起努力,包括了協會的 Sunny、Yijing 兩位得力的助手,這八個多月來,包括了贊助計畫的撰寫、講師的徵求與邀集、議程與場地的規劃、文宣美編的製作,還有多位共同主席的鼎力相助,再次謝謝 PMI 高治中理事長、RSG Taipei 陳麗琇社長、ISC2 唐任威理事長、ISACA 葉奇鑫會長、FIDO 張心玲會長以及 WHPC 楊嘉麗會長,也感謝北科大魏銪志老師與林敬皇老師的學生們,以及 ISC2 志工群等夥伴們,從會場作業到演講廳中的線上直播,沒有大家透過組織無私的支援,就無法讓今年的 InfoSec Taiwan 2024 如此成功,同步線上會議與實體會場的作業,雖然複雜化了整場活動的進行,但我們將許多組織與講者所分享的新知,以及未來的趨勢,有更多的管道能夠更多的人知道,每天下午由各個組織精心規劃的議程,讓活動更聚焦於關鍵的議題上,感謝各個共同主辦組織的支持與規劃,也期待能夠一起在 InfoSec Taiwan 這個大家庭中,一起為了台灣這塊土地,也為了我們的下一代。

感謝 InfoSec Taiwan 協辦單位大力的宣傳,包話中華民國資安學會、成大資通安全研究與教學中心、GDG Taipei、台灣數位鑑識發展協會、全球網際空間管理暨產業發展協會、中華民國軟體自由協會、中華民國電腦稽核協會、數位金融交易暨資料保護協會以及中華民國開放系統協會,還有最重要的贊助商支持,感謝數位部、工研院、凱鈿、微智安聯、安創、鈊保、如梭、安華聯網、杜浦數位、Panasonic、元盾資安以及吉普司的贊助,讓我們有資源可以把會議辦得更好。會場中的資安茶成為會眾聯誼交流的角落,感謝 Tim 與 Scott 的支援以及輪班泡茶給大家品嘗的朋友們,還有網管人雜誌、說資安新聞網以及碁峰資訊等媒體的協辦。

在人生的歷程中,雖然已經寫了 37 本書,但也在 InfoSec Taiwan 2024 辦了人生的第一場簽書會,這本書的誔生,最需要感謝的是第一版到到第三版的作者潘天佑老師,我深深被這段話所吸引與感動:「我寫的資訊安全教科書,前後出了三版,賣了十五年,謝謝老師和同學們的支持!兩年前碁峰出版社跟我討論出第四版,我實在沒有時間,就建議能不能下市算了。碁峰的專案經理對我曉以大義,說現在要找人寫一本適用的教科書很不容易,希望我能為台灣學生繼續奮鬥。於是我做了一個決定,就是無償轉讓版權,讓出版社找適合的人來更新、補充這本書。我不再是作者,也不分版稅。今天看到第四版出來了,心中甚感欣慰。成功不必在我,恭喜新作者,希望老師和同學們能繼續支持這本資訊安全教科書。謝謝大家(下台一鞠躬)!」,感恩潘老師的無私與付出,我們才能夠一同完成了知識的傳承。簽書會扣除成本的所得,亦將全數捐助需要的團體。

有了國際組織鏈結的資源,今年更在許多協會理事長的支持下,我們一起在 InfoSec Taiwan 成立了台灣資安大聯盟,感謝大家願意為了我們這塊生活的土地未來能夠更好所付出的努力,這樣期間許多的想法與發展方向不斷的湧入,能夠凝聚台灣資安產業的能量,一同走向國際,台灣大聯盟由台灣數位安全聯盟、台灣網際空間與安全策略發展協會、台灣資訊安全協會、台灣資安產業發展協會、台灣資訊及資安服務聯盟、次世代創新數位安全協會、國際資訊安全人才培育與推廣協會、臺灣校園資訊安全推廣暨駭客培育協會以及資安應用服務聯盟的發起,目前已形成超過 100 家以上資安公司所組成的強大聯盟,致力於守護台灣的網路世界,強化全民數位韌性,也期待這樣的組今,能夠讓我們一起走出台灣,對於經常在國際組織中活動,以及因應需要所參與的國際展會,能夠讓台灣有機會成為全球資安生態系的一環。


在此也特別感謝 賴清德總統的錄影致詞以及 蕭美琴副總統親自蒞臨 InfoSec Taiwan 2024,還有數位發展部黃彥男部長、呂正華署長的出席,林楚茵委員的協助,將今年的 InfoSec Taiwan 邁向了一個新的哩程碑,讓產官學研界共同在這個平台上激盪出許多的火花,如蕭副總統說的,這也是很難得能夠同時讓總統與副總統同時參與的會議,由此可見「資訊安全」已成為國家重要的關鍵議題。資訊安全是跨界與跨域的綜合科學,只有透過跨組織的合作,將 InfoSec Taiwan 成為國際資安社群平台,才能將資訊安全的意識深耕至各個領域,透過組織間的合作以提升產官學研界對於國際間發展趨勢的掌握,並建立強固的資訊安全數位邊界。

前一天看著佈置完成的議程版,心中默默感謝著許多人的參與與努力!我們即將會有一場不一樣的資安大會!


未來我們秉持開放社群的精神,讓有志於國際組織與會議運作的年輕一代參與,預計在第三季起將辦理多場次的聚會,一起共同商議如何讓明年的 InfoSec Taiwan 2025 更加成功,你想成為資安組織的一員嗎?記得與我們聯繫,service@twcsa.org。


相關資訊:

【全程直播】

https://www.youtube.com/watch?v=J9hEZPC9ybw

【共同主辦的國際組織】

  • The Honeynet Project
  • Cloud Security Alliance (CSA)
  • Open Worldwide Application Security Project (OWASP)
  • Centre for Strategic Cyberspace + International Studies (CSCIS)
  • Information Systems Audit and Control Association (ISACA)
  • Financial Fast Identity Online (FIDO)
  • Project Management Institute (PMI)
  • International Information Systems Security Certification Consortium (ISC2)
  • Regional Scrum Gathering (RSG)
  • Women in HPC (WHPC)
【台灣資安大聯盟】

  • 台灣數位安全聯盟
  • 台灣網際空間與安全策略發展協會
  • 台灣資訊安全協會
  • 台灣資安產業發展協會
  • 台灣資訊及資安服務聯盟
  • 次世代創新數位安全協會
  • 國際資訊安全人才培育與推廣協會
  • 臺灣校園資訊安全推廣暨駭客培育協會
  • 資安應用服務聯盟

專業證照

Published by Yi-Lang Tsai under , on 7/07/2024 06:00:00 下午
教育類

  • 講師證書, Academic Teaching Rank Accreditation Certificate Lecturer

資安類
  • CEH, Certified Ethical Hacker, 駭客技術專家認證
  • CHFI, Computer Hacking Forensic Investigator, 電腦駭客鑑識偵查員
  • CCSK, Certificate of Cloud Security Knowledge, 雲端安全知識認證
系統與軟體類
  • RHCE, Red Hat Certified Engineer, 紅帽認證技術專家
  • ACAI, ArcSight Certified Integrator/Administrator
網路類
  • CCNA, Cisco Certified Network Associate
  • CCAI, Cisco Certified Academy Instructor
管理類
  • CSM, Certified ScrumMaster
  • ISO 27001 LAC, ISO 27001 Lead Auditor Training Course
  • ISO 20000 LAC, ISO 20000 Lead Auditor Training Course
  • BS 10012 LAC, BS 10012 Lead Auditor Training Course
  • CSA STAR Auditing, Advancer Cloud Security Auditing For CSA STAR Certification
  • ITIL Foundation