公布日期：2024-03-01 發布單位： 資訊科  
隨著科技的迅速發展，資訊安全的議題愈發凸顯，不論是企業、政府或個人，都面臨著日益複雜的資安危機。蔡英文總統更提出「資安即國安」之口號，以喚醒國人應對資訊安全之重視。為了應對數位世界中的複雜挑戰，且為符合「資通安全管理法－資通安全責任等級分級辦法」，其中有關資安專職人員之資通安全職能訓練時數每年需達12小時之要求及取得相關證書，本局屬B級公務機關，依法規須派至少2名資安專職人員參訓，因此參加此次於文化大學舉辦為期兩天之資安職能訓練課程。此課程不僅擴展了我的知識面，更讓我對於資訊安全的核心原則有了更深刻的認識。在這篇文章中，我將分享我在資訊安全課程中的學習心得，包括對於基本概念、技術應用、實戰經驗、評量過程以及未來展望的思考。
基本概念的奠基
資訊安全課程一開始，首先引導進入了資訊安全的核心概念與原則。資安說白由三種原則所構成分別為「機密性」、「完整性」、「可用性」。「機密性」Confidentially是為防止非授權人員存取資訊，確保資訊秘密性；「完整性」Integrity是為防止非授權人員竄改資訊，確保資訊正確性；「可用性」Availability是為防止系統故障或人為惡意阻斷服務，確保資訊與資訊處理的可獲得性，其餘進階技術或設備操作便是基於前述三種原則所應用。然而講師特別強調學習資訊安全並非僅僅是習得技術，更需要建立起堅實的基礎。安全意識的培養成為課程的第一步，因為無論再先進的技術，最終仍取決於使用者的正確行為。透過講師分析近年重大資安事件，如第一銀行盜領案、Deepfake換臉詐騙、勒贖軟體入侵電腦，我看到了各種資安事件的教訓，深深體會到安全意識的建立是每一位資訊使用者的義務。在課程中，我先認識了資通安全基本觀念與資通安全相關法規、評估資通安全風險管理與業務持續運作管理、了解日常作業中資通安全維護之工作與責任、認識身分鑑別與存取控制方法、認識加解密與數位簽章之概念與應用、了解網路安全與實體安全防護方法、了解應用程式開發生命週期安全、了解資通安全健診、熟悉資通安全事件通報及應變流程。這些基本概念成為我理解更高階資安技術的基石。課程中的專業講師透過生動的實例解說，使這些看似抽象的概念變得具體而實用，透過個案學習，我深刻了解在數位時代，每一位使用者都應當成為資訊安全的守護者。
技術應用的深度探討
隨著基本概念的奠基，課程進入了資訊安全技術的深入介紹。我們學習了如何規劃機關資通安全管理制度、各種加密算法、防火牆技術、入侵偵測與防禦系統、建立虛擬私有網路(VPN,Virtual Private Network)、防毒軟體、垃圾郵件過濾系統、端點偵測及會應系統(EDR, Endpoint Detection and Response)，這些技術成為保護系統和資料的堅實屏障。學習這些技術不僅讓我了解如何應對潛在的威脅，更讓我對現代資訊系統的運作原理有了更全面的認識。課程中我們實際操作，透過模擬演習應對各種真實的攻擊場景。這樣的實踐機會使我更加熟悉應對危機的方法和步驟，也讓我對於實際應用資訊安全知識有了更深刻的體會。這些實戰演習不僅提升了我的技能，更培養我在壓力下冷靜應對的能力。這種實用性的學習方式使我對於資訊安全技術有了更深一層次的理解，不過更深層次的反思，進階技術的應用，除了仰賴資訊安全專業人才對於資安事件的敏銳與解決問題之反應力，更需依靠專業設備的協助，才不會有巧婦難為無米之炊之窘境，因此建議本局可朝培養資訊安全專業人才及強化資訊安全軟硬體設備之方向努力。
實戰經驗的積累
課程中，講師們不僅僅是資訊安全領域的專家，更是激發學員思考的良師。他們以豐富的實戰經驗分享各種實際案例，讓我們能夠從中學到寶貴的經驗教訓。這些案例不僅僅是技術層面的挑戰，更涉及人的因素，使我們能夠從全方位理解資訊安全的複雜性。透過講師的啟發，我們被引導思考未來資訊安全的趨勢，例如人工智慧的應用、物聯網的風險等。講師的啟發不僅激發了我對資訊安全的熱情，更讓我開始思考如何在這個變動不拘的數位時代中保持敏銳性，隨時應對新興威脅。在課程的最後階段，我們進行小組項目，以實際情境應用所學。這個項目不僅讓我們將知識轉化為實際技能，還培養了團隊協作的能力。通過和同學們的密切合作，我們成功地完成了一個資訊安全方面的實際應用項目，豐富了兩天縝密的課程所學，參加資訊安全課程是一次極富意義的學習體驗。
資訊安全職能評量¬—資訊安全之終極期末考
能利用公假參加資訊安全職能教育訓練提升資訊安全之能量是一次難能可貴的經驗，可是最終的資訊安全職能評量卻不是這麼一回事，評量測驗舉辦於課程結束後的下個月底，考試的內容要求考生具備廣泛的知識和技能，內容艱深刁鑽，涉及網路安全、系統漏洞分析、密碼學等多項領域，單選複選混合出題，講師更明言歷年通過率不到三成，意味著必須得在一個月內熟度課本多達五百頁的知識。因此在備考的一個月內除了利用下班時間加緊研讀，更得利用週末時間複習應考內容，堪比從前準備國家考試所付出之心力。考試當天，甚至還出現情境模擬攻擊和防禦試題，需要將理論知識轉化為實際應對的能力，這類題型不僅考驗技術，更需要我們具備靈活應變和解決問題的能力，藉由測驗，深刻體會到只有在實際操作中，我們才能真正理解資訊安全的本質，而不僅僅是停留在理論層面。在解題的過程中，我發現資訊安全測驗更注重的是解決問題的方法和思維過程，而非單一的正確答案。每一題都是一個複雜的情境，需要綜合運用多方面的知識。這種跨學科的思考方式讓我更全面地看待資訊安全，並學會從不同角度思考問題。另外，資訊安全測驗也提醒我們風險評估和持續監控的重要性。在測驗中，我們需要不斷評估系統的安全性，找出潛在的弱點，並及時進行修復。這種風險意識不僅僅在測驗中有用，更是在現實生活和職業中不可或缺的技能。透過測驗，更深刻對風險管理的理解。最後，重複檢查了試題兩遍之後我按下了送出答案的按鈕，緊張懸疑的心所幸在當下得到了釋放，如願通過測驗，並取得了資通安全職能評量證書。資訊安全測驗讓我深刻體會到學習永無止境。在資訊科技快速發展的時代，資訊安全的挑戰也在不斷演進。參加這場測驗不僅是一次知識的檢驗，更是一個引導我不斷學習、追求進步的契機。我將把這次測驗視為一個起點，繼續深耕資訊安全領域，不斷提升自己的專業水平。
結語
引用一句此次資通安全職能教育訓練之旅講師所講的一句話：「資訊安全人人有責，在場的每一位學員彷若一顆種子，期盼各位返回服務機關後，能傳播、種下、發芽、長成一棵棵厚實的大樹做為各機關堅強的堡壘」，現在是數位資訊的時代，科技的力量是雙面刃，可以成為解決日常生活問題的助力，亦可成為運作崩潰、資料洩漏、犯罪氾濫的阻力。願我們都能成為一棵棵大樹，為機關的資訊安全做堅實的後盾。