原标题:资安周报第24期:借镜韩国资安人才培育经验
韩国资讯科技研究中心(KITRI)总裁Yoo Joon-sang(柳晙相)(左二)和国会议员Lee Un-Ryong(李云龙)(左一)来台,和台湾科技大学校长廖庆荣(右二)签订资安人才培育合作备忘录。
图片来源:iThome
韩流窜起,形成亚洲甚至是全球引领潮流的风潮,很多台湾民众只看到关于文创演艺事业蓬勃,当然,也看到韩国大型企业如何左右韩国的经济发展,从各种韩流的经验可以发现,政府往往扮演政策引领和推动方向的舵手,方向对了、政策定了,政府会扮演率先投入资源、壮大发展风潮,之后,各种民间资源就会跟着投入,也会造成百花齐放的景象。韩国政府的各种政策推动都是採用这样的策略,包含资安人才的培育也是如此。
许多资安圈的人,都曾经耳闻过,韩国有一个资安人才培育计画(Best of the Best,简称BoB)是由政府部门带头,以资源无上限的方式,开始培养韩国高中生和大学生对于资安领域的兴趣与专长。这个BoB专案,从2010年开始执行,2012年正式招募,到2015年培养的资安人才,顺利在全球骇客攻防殿堂DEFCON CTF夺下冠军,人才培养成果丰硕。
让这样培育计画得以超光速展开的幕后推手,其实就是曾经担任过4任反对党国会议员、在2010年担任韩国特别公部门:韩国资讯科技研究中心(KITRI)第九任总裁的柳晙相(Yoo Joon-sang)。柳晙相日前也趁着代表韩国政府来台湾参加第十四任正副总统就职典礼之际,抽空和台湾科技大学签订资安人才合作交流的备忘录(MOU),未来台湾资安人才培育计画的师生们,都有机会进一步和韩国BoB专案的成员有进一步交流往来的机会。这对于台湾资安人才的培育上,则是第一次有机会,能够进一步观摩韩国如何培育并落实资安人才培育,藉由参考其他国家的经验,优化台湾的作法。
资安攻击已经对韩国带来实质损失,韩国决议培养资安人才
不过,韩国政府在2010年将BoB专案指派给柳晙相的KITRI负责,在2012年才正式对外召开徵选活动,迄今已经完成四届人才的招募与培训,培训人数也逐年增加,也即将在今年6月招募第五届BoB人才。
柳晙相表示,韩国资讯相关的产业非常发达,而资讯安全是多数产业的共识,所以在推动相关的资安人才培育计画时,才能获得大家一致的支持。不过,韩国队资安产业的共识是曾经经历过惨痛的教训得到的经验,像是在2009年,包括韩国总统府青瓦台、韩国国会在内的政府网站,都被植入恶意程式,当机好几天;而在2011年,就有银行的电脑系统遭到骇客入侵而当机,数万台电脑受到恶意病毒感染并遭到永久性的损害。
面对这样网路攻击究竟带来多少实质损失其实不得而知,但是,根据韩国现代研究机构(Hyundai Research Institutes)的研究,光是2009年网路攻击对韩国带来的经济损失就高达3,370万~5,050万美金之间。而韩国网路安全中心(KISA)也曾经指出,光是来自韩国本土及国外的网路攻击已经逐渐增加,网路攻击的比例2011年比2008年则增加37%,成长幅度惊人。
根据统计,韩国大约有36万间企业,对资安有意识的企业不到4万间,而BoB计画希望最终可以培养至少1万名优秀的资安人才,真正巩固到韩国网际网路的安全性。
韩国BoB引进产官学资源,并建立辅导人才的导师制度
因为韩国陆续遭到严重的资安事件,提升韩国的资安实力已经是当务之急。所以,在2012年开始第一届BoB计画,当年只招募、培训60人;但是,第二届正好是2013年,该年3月20日正好爆发黑暗首尔(Dark Seoul)的网路攻击事件,造成韩国银行和电视台总计48,700台电脑被植入恶意程式,且这些受骇同时间执行该恶意程式后,也同时将电脑硬碟中的所有的系统和资料删除,造成电视台中断报导、银行无法提款等资安事件,而在同年六月则又有类似的攻击手法出现。
因此,在招募第二届BoB资安人才时,柳晙相立马决定,将BoB甄选名额增加一倍,有480名韩国的白帽骇客争取120人名额的BoB资安人才培训计画。到2014年的第三届则招募130人,2015年的第四届则有140人之多,目前即将展开第五届的人才培训计画。
有机会进一步了解韩国对于资安人才培育计画会发现,除了政府资源的大力投入之外,更重要的是,BoB也直接和各种资安与IT相关产官学结合,像是包括韩国赛门铁克、BlueCoat等跨国资安公司签订合作的备忘录外,也和韩国在地的资安业者、IT业者、政府与政府投资的企业、创业支援中心以及相关的大学等,全部都签有合作备忘录,让BoB的资安人才培育,永远可以和最顶尖的技术发展与研究做整合。
除了引进产业界和学术界的资源外,BoB人才培训的另外一项特色就是,建立所谓的「导师」(Mentor)制度,从第一届开始,就会聘请资安业界中优秀的资安研究员,可能是学生,也可能是已经有很好绩效表现的资安研究员,一起协助辅导这些甄选上的资安人才,除了提供技术上面的指导外,还包含未来职涯发展的协助。
进一步分析BoB的训练课程内容,除了基础的加密学、作业系统安全、网路安全、法律以及相关的资安政策,都在课程安排之中,攻防演练只是其中的一个环节,也将安全领域分成六大领域,包括:数位鉴识、资安谘询顾问、弱点分析、行动装置安全、融合式安全(Converged Security)以及云端安全等。
甄选上的学生都会先从基础课程教起,慢慢筛选有兴趣、能力更好的学生,上更难的课程,每一届最后都会挑十个最优秀的学生,推荐他们进入资安公司或军队工作,并可以获得2千万韩圆(大约美金18,500元)的奖金。
进一步分析韩国BoB招募的人才分布比例,招收女生的比例从第一届只有6.7%是女生,第二届女生比例增加为10%,到第三届女生比例高达18%。透过鼓励与培训机制,也可以将资安这个领域的专业知识,进一步推广到女生身上。分析参加者的年龄,参与者大家是以高中生、大学生和研究生为主,超过30岁几乎都是少数,从年轻人开始培养对资安领域的专业,也让资安有机会慢慢成为韩国资讯产业中的显学。
韩国BoB的成功来自于整合行政、立法的支持力道
柳晙相从1980年代就积极参与行政体系相关的经济与科技相关的委员会,对于资讯发展和应用也相当重视,加上,曾经担任过4届反对党国会议员的身分,从行政和立法的角度来看,都具有相当的影响力。而他在韩国总统朴槿惠当选后,也担任国政顾问一职;为了让国会更支持相关的资安人才培训计画,也在国会中成立一个K-BoB论坛,让国会议员对于资讯安全有更深入的了解,当然也会更愿意支持相关的预算。
分析BoB计画的成功,柳晙相功不可没,除了政策方向的规画正确外,因为了解行政部门的运作,加上兼具国会影响力,大幅降低推动BoB计画时的阻力,需要预算大幅投入时,国会也会比较阿沙力的通过相关预算。
韩国BoB专案至少有10名专职人员,加上场地租金,不包含培训资安人才时所需要使用的经费,不设限的资源投入,就已经让人羡慕。反观台湾,在相关资安人才的培育上,即便政策方向是正确的,但是,政府相关的经费补助,从20万~一百万不等,但中间繁琐的稽核和报帐流程,光是把计画人力用在写政府报告上,就已经差不多了,几乎没有多余的心力可以用来推广资安人才培训。
从台韩的资安人才培育计画做比较,两者获得的资源更是有如天壤之别,人才培育是需要长期的、大量的资源投入,台湾小气而谨慎的资源投入,并无法让资安人才培育真正落地生根,一学期或一学年才申请到20万~最多一百万的经费,对于台湾长期的资安人才培育并没有真正的帮助。或许,新政府在规画相关的人才培育时,也应该正式各种经费和资源的投入,都应该是长期的才是。
本周(5/15~5/21)重要资安事件回顾:※勒索软体TeslaCrypt作者良心发现,免费释出解密金钥※中国政府宣传网军「五毛党」,估一年在中国社交网站有近5亿则宣传文※Google的SMTP伺服器与Gmail 6月中将停止支援RC4与SSLv3※新政府启动第一天,专访行政院科技幕僚长郭耀煌,畅谈未来台湾科技政策怎幺走※韩国打造全球DEFCON CTF冠军推手来台,与台科大签订合作备忘录※Linkedin资料外洩事件扩大, 将要求上亿用户重设密码※为防杜学生作弊,伊拉克不惜关闭全国网路,连3天早上考试都断网※Bitdefender:木马感染90万台装置,透过殭尸网路进行点击诈骗※盗版列印终结者? IBM新专利让印表机能禁止列印未授权内容※Tumblr金钥疑外洩,Yahoo将促受影响用户换密码※调查:美国民众对网路隐私及安全缺乏信心,恐累及网路交易、表达意愿※SWIFT警告:孟加拉央行遭骇并非个案※Google Chrome第4季起将预设关闭Flash,仅暂时保留十大网域※Google更新广告政策,将封锁「发薪日贷款」广告※Google修改VirusTotal病毒资料分享政策,资安业者不回馈就踢出去?
相关:
实时热点 韩国男团组合失联 N-SONIC成员信息资料曝光 论坛出处:西陆网作者: 时间:2016-05-23 我要分享 来投稿 proxy.jpg N-SONIC是由J。Heart、崔星、Black...N-SONIC(资料图)韩国男子组合N-SONIC在结束日本日程后
经销商去参加订货会需要准备什么
如何科学进行订货,是每一个参加服装订货会的品牌加盟商都需要掌握的一个命题。货订得好,我们在未来的销售和利润才会得到保障,然而对于很多加盟商来说,如何控制好订货的合
韩国N [非常娱乐]5月23日,据韩国某媒体报道N-SONIC结束了7日、8日在日本的相关行程,于9日返回韩国后,全体成员失联”。N-SONIC韩国男子组合N-SONIC在结束日本日程后全体失联,其他日程不得已被取消。23日,据
韩国政府将把今年的经济增长率从当初的3.1%下调至3%—2.5%之间,为提振经济计划将在下半年(7 ~ 12月)扩大7万亿韩元以上的财政支出。另外,与编制企业结构调整用追加预算相比,更有可能将在明年正式预算的编制过程中抓
科技中心/台北报道企业不仅营运目标,必须同时注意社会责任,才能维持品牌形象,建立良好典范;台湾微软获得Cheers杂志、远见杂志、经理人杂志,三项企业形象与社会责任奖,台湾微软总经理邵光华表示,希望为社会带