對,我們再排一下,因為時間也沒有這麼多,所以如果全部都要講進去,都記不得。
但是像專案性質填得出來。
這個不是過了嗎?
OK,OK。
那個部分的政策上,有同樣比較明確的講法。
還有一個其實政策上有個很明確的,要求大家不要辦活動的時候,直接委託承商,然後用承商的 domain 網站去作活動,像台中市政府的案例,其實有很多的案例都是這樣子。
一樣是 gov。
因為目前是針對政府機關官網的部分,我認為服務的網站也必須要納入。
第三層請教育部處理,我們面對 edu。
我比較想知道的是並不是有沒有用 HTTPS,而是這種比較誇張的,我比較想要知道的是這種。
確定是指向同一個 IP,因為我的想法是,這個對我來講,這些是比較立即處理的,如果有 list,我們今天就可以通知,應該不只這四個。
我想知道的是,是否有自動化的方式我們可以掃出來?
其實政府機關這邊是掃出來跟他講,他就會去做了,跟教育部不太一樣。
像國發會這邊給我們,也就是沒有 GCA 的申請 GCA,怎麼設定等等。
這個又回到長久在討論的議題,是不是有必要每個小學或者是國中自己來設一個網站,在之前其實教育部也有在提共用網站的概念,會不會比較快?
對。但是我覺得政府機關的部分可以要求用 GCA,這樣相對容易的,也就是把步驟寫出來,像給市議會,他們大概直接給委會廠商按照這個做,這樣就完成了。
是不是政府機關可以申請 GCA?
其實這個可以分兩塊,一個是政府機關,一個是學校,其實剛剛政委講的是偏學校這邊處理,像政府機關的部分,宗彥,是不是可以都可以申請 GCA?是不是包含到市議會都可以?
政大就讓教育部在提的時候當例子,在資安長會議拿出來直接當例子,因為我覺得這個是政大自己要處理,不能全部推給教育部,當然我也覺得教育部也不能說大學自主,就是提出來。
我們把這幾個案放在資安長看到,我覺得是很好。
以海瑞為例,我覺得有幾個要點出來。
其實我不反對。
因為現在在資安管理法,我們讓他還是對縣市政府回報,我們在縣市政府那邊都有提醒這個,所以我的意思是可以 demo 出來,他們就會知道。
其實不屬於縣府的。
我們可以用 sample,像剛才國發會或者是教育部的網址會在那邊,提醒他們要⋯⋯
那我覺得應該是在資安長會議,因為各縣市的資安長都會來,提醒他們就可以了。
我是覺得像國發會都有放在網路上,我覺得其實現在在每個場合去提醒大家來看這個連結,並不是什麼一直都在發函,我的看法是這樣。
以發函來講,也不會發到那邊⋯⋯
不用再發函吧!
上、下午的部分,因為上午是對資安長,下午是對資訊主管,但是教育部的報告是在上午,副院長也說要聽。
最主要的是 HTTPS 的部分,我們大概也會提醒個資的部分,大概是這樣。
因為我覺得 DNS 的部分其實是可以比照類似的,如果 edu 跟 tw 不是透過 GSN 的 DNS,其實回過頭來 edu.tw 的網域是教育部在管還是 TWNIC 在管?如果教育部在管的話,其實相對簡單,可以訂 GSN 一樣的規範,也就是在 TANet 有這樣的規範,如果是 TWNIC 管就要先想一下。
那個是 GSN mail 服務的使用規範當中其實是有的,如果一直在傳送垃圾郵件或者是什麼,超過幾次沒有更新的時候,其實是可以先斷線。
我覺得剛剛提的是你們現在面對的困難,但是我覺得每次都講這些,並沒有解決問題,可能要麻煩 5 月 5 日報告的時候,你們必須要把這些講清楚,昨天你們又發生一件,好不好?我的建議是這樣子,不然這個問題就永遠放在那裡。
你們剛剛提的問題,其實是長久存在的,我只是覺得大學自主是一件事,可是不能因為用大學自主,然後規範就完全不理,國發會其實也有訂定相關的網站規範,資安管理法其實也有要求做這些,如果公立的學校不 follow 這些,其實連合法的程度都沒有,怎麼樣來談大學自主?我相信大學自主也必須要合法。
所以是不是麻煩回去討論一下,5 月 5 日報告的時候,因為 5 月 5 日必須部的資安長報告,並不是只有 HTTPS,而是整個教育體系如何改善的資安的防護跟管理。
我是不是可以麻煩教育部,因為你們 5 月 5 日要報告,我覺得不是再談 HTTPS,因為從去年到現在,其實整個教育體系的個資外洩非常嚴重,以政大為例,其實政大在一、兩年前因為 mail 的問題,造成政府機密研究委託的資料外洩,您剛剛提的問題,其實在各大專院校都發生過,之前中山也同樣的情況,也就是系所的老師自己架 mail server,也不跟學校的資中來聯繫,這些其實都造成敏感資訊的外洩,以現在來講其實是沒有人對他要求賠償,每次一外洩,甚至幾萬筆以上,這樣子是很不 ok 的。
可以。
你剛剛有提到讓與會者去提,後來這個怎麼做?
試辦講比較實際的,試辦可大可小,我覺得那是容易處理的。而且我覺得很多東西,其實你提出一個想法,開始試著去做的時候,我覺得那就可以試。
專業會有專業的堅持,所以我認為你找第二階段技術的人,可能稍微篩選一下比較好,不要太強調技術。
如果老的手機沒有生物辨識,我相信也不太好用。
像Apple的NFC,我覺得那個相對上好解決,流程的部分我認為是scenario方式來看。
因為生物特徵原則上會有計算的方式,倒不一定要限制是哪一個,而是根據這個裝置本身可以用,我認為是這樣。
我覺得署裡面把簡報弄得滿好的,真的,我覺得滿好的,我現在的想法是,我覺得既然要試就試未來的五年會是什麼的想法,我比較是這樣(想法)。我相信願意來參加協作會議的,也願意看到未來是什麼,而不是現在的東西要變成是什麼樣,這個是我的看法。
就像以前信用卡也有照片的信用卡,後來沒有了,現在是用生物特徵去刷,並不是用照片去辨識。我是一直認為說,我們想像一下幾年後的生活,也許照片不會是必要的事,像你現在也看得到,現在很多手機是可以把你照美美的,但是跟本人不一樣,所以照片沒有特別的意義。
同樣也是虛擬卡的概念,其實從簡報的概念是把實體卡影像化,就如同為何一定要有照片,既然也是虛擬卡,為何是要有照片?因為以現在的手機來講,其實生物特徵的辨識非常快,你有照片不表示是你,但是有生物辨識就是你這個人,我不確定為何要有照片?
會這樣的感覺是因為以前我們都這樣做,所以很多服務都推不出去,因為很複雜,就會多了很多的loading出來,所以我比較建議的是,如果署跟政委都同意的話,我比較建議的是按幾個流程,像居家照護的流程,好比從開始看病到最後拿到藥,這中間包含醫療紀錄的保存,他的流程怎麼樣,然後有一個截斷點是在法規的規定,然後到醫療院所去的流程是什麼,這樣重新考量,然後把技術面處理一下,這樣會很清楚。
今天的簡報給我一個感覺是民眾配合技術,讓醫生來配合技術,讓居家照護來配合技術,如果我今天參與討論,我比較希望看到的是,居家照護的規定是什麼,帶有法規,而不能變,我們如何讓這一件事很簡單,並不是這一件事法規化,然後把它變成很複雜,這個是我的看法。
今天聽了,我覺得滿好的,如果要測試,我覺得各種情況去測,但是我只是在想在協作會議的時候,如果這個簡報是要在協作會議上講,其實是很複雜的,有很多其實是技術去處理的,那其實是技術人員要去處理掉,我覺得應該要談的是,我們現在要的流程是怎麼樣,應該是讓我們的技術來配合民眾,而不是讓民眾來配合我們的技術。
