跳到主要內容

參與 APRICOT 2018 心得 (1)


去年是我第一次參與 APNIC(註1) 會議,由於在台中,占了地利之便,很輕鬆的可以參與,同時與許多亞太地區的人有所交流。其他國家的參與者們除了讚嘆台中是個很棒的地方、台上的致詞者出現蛇肉湯讓與會者摸不著頭緒外,也有一位中國的參與廠商告訴我:「其實我是因為參與 APRICOT(2017) 所以才來台灣參與 APNIC44…有機會的話,妳要參與 APRICOT (Asia Pacific Regional Internet on Operational Technologies )。APRICOT 比 APNIC 更盛大,妳會遇到更多人,對妳的研究會更有協助。」同時,在 APNIC 認識的好朋友 Adli Wahid 也鼓勵我再參與 APRICOT ,可以認識更多不同的業者及觀察到更多與 APNIC 不同的面貌。
基於去年在 APNIC44 的經驗當我知道 APRICOT 2018 辦在尼泊爾時,我想,我一定要去。幾經波折,我終於成功到達加德滿都,也擁有了令我難忘的經驗。

在寫自己的心得前,先翻譯一下關於 APRICOT 2018 報告中的相關數字:
  1. 報名人數:1,020人
  2. 經濟體系代表:64個
  3. APNIC 成員組織代表:247個
  4. 現場參與:752人(已扣除APNIC 職員)
  5. 透過 Adobe Connect遠端參與者:71人(依據Adobe Connect 提供的數據,計算不重覆的 IP 並已排除現場參與者、 APNIC 職員)
  6. 透過 YouTube 遠端參與者:1,589 個觀看數;共被瀏覽了 12,998 分鐘
  7. #APRICOT2018 的tweets數:931筆(談論數)

參與 FIRST TC Plenary

在24日的早上,我參與了「FIRST TC Plenary」,最吸引我的是上午的「CSIRT PLAYBOOK — Scaling your Security Monitoring to Protect large enterprises.」
Elements inside the CSIRT Playbook

台灣有 TWCERTTWNCERT 也有 TWCSIRT ,規模不同。這個場次則是與大家分享關於 CSIRT (註2) 如何協助大型企業規劃、制定和監督資訊安全緊急事件回應的Playbook (直譯為遊戲書可能無法引起共鳴,但也不是操作規範,所以保留原字)。

我認為不同規模的公司應該都要有自己的「資訊安全因應事件」程序手冊,並且透過演練、教育訓練等方式讓公司的人員建立並強化資訊安全保護及如何處理資安事件的意識。

台灣與其他國家不同的地方在於台灣的 CSIRT 或是 CERT (註3) 似乎變成了單向訊息發送的單位,也許是因為平時都參與商業意味較濃厚的資安年會,所以大多會注意到防毒軟體公司或是網路服務的相關業者所提供的年報或攻擊事件報導,台灣的 CSIRT 和 CERT 在國際上並不是沒有貢獻,他們也會分享資料並與其他國際單位交流,只是相對於亞洲其他國家的 CSIRT / CERT ,我所聽到的音量反而較為微弱。

從政策擬定之初就參與討論的業者們

我參與的場次大多都是政策討論為主,這次討論的提案有 4 個,延續去年在台中 APNIC44 的提案
  1. 提案-123:修改 103/8 IPv4 轉移政策
  2. 提案-120:最後/8 位址池耗竭計劃
  3. 提案-119:臨時轉讓
  4. 提案-118:APNIC 區域自由(轉讓)政策
這些提案也不是在當下就在討論的,而是透過SIGs (Special Interests Groups) 群組討論,然後在 APRICOT / APNIC 的政策會議上提案。在討論這些政策時,就不是政策制定者關起門來討論了。由於 APNIC 的網路政策只要一達到共識就會實施,所以相關的利害關係人一定會參與討論,不論是透過現場或是線上參與,大家都會遵循議事規則來討論,而且因為本身就是在產業,這些政策的實施都會影響到收益,所以對於討論政策的脈絡都相當清晰,提出數據與估算影響層面,不會讓政策含糊過關,或是講出「因為它很重要,所以它是關鍵基礎設施」這樣的話語。

台灣政府對於通訊、網路、纜線等基礎建設的態度在管制、保護、特許的成份居多,還有各地方也有不同的法規限制,所以廠商在這方面能施力的部份較不容易。但若要談論「數位經濟」,這些都算是數位經濟的基礎,如果這部份弱化,我們所談的數位經濟都只能算在應用層上空談,沒有穩定、強而有力的基礎,是不可能有繁榮的數位經濟前景。當國內相關廠商無法參與這些基礎的網路政策時,我們談電子商務、跨境服務,還會受限於國與國之間的貿易協定、貿易法規、外交政策。而台灣的情況更特殊的一點時,當我看到國際網路服務供應商、交換中心的業者在這裡交流、參與亞太區的網路政策討論時,幾乎鮮有台灣其他的業者參與討論,當然也有可能是國外的服務商以亞太地區代表為主參與討論。

台灣在討論所謂的「網路政策」多是討論在應用層面,且過度窄化在零售的電子商務平台,而這些業者、立法人員、政策制定人員缺乏對網路政策、市場發展、國際情勢與議題前因後果的了解,又受限於政黨意識、派系區隔造成相關的立法或規範只成了他們個人職場生涯的 KPI ,更可能造成壓抑市場自由發展而非有利於市場生態多樣性的局面。

註解:
  1. APNIC:Asia-Pacific Network Information Centre,亞太網路資訊中心
  2. CSIRT:Computer Security Incident Response Team,網路(電腦)安全事變應變中心
  3. CERT: Computer Emergency Response Team,網路(電腦)危機處理中心
參與 APRICOT 2018 心得連結:(1)、(2)(3)(4)

留言

這個網誌中的熱門文章

國際合作不是只有聊天和簽署MOU

這是第三次參與台灣網路資訊中心(Taiwan Network Information Center,簡稱 TWNIC )所辦理的 IP 政策資源管理會議 ( IP Open Policy Meeting, 簡稱OPM,以下如果有再提到都會寫為 TWOPM )。第一次參加時覺得有點像研討會,第二次匆匆忙忙的在活動進行到一半就要趕往柏林參與 Freedom Online Coalition 年會,這是第三次參與會議,留下一點心得記錄。
因為自己接觸的領域也多在應用與末端消費者的使用研究或是政策治理,較少接觸到網路基礎建設端的「政策(Policy)」或是「治理(Governance)」。消費者應用端都常較容易理解,也容易獲得共鳴,以行銷與管理的角度來說,談應用端的投入成本不高,回收速度快,自然大家也都會一窩蜂往末端應用來談:網路行銷、應用⋯⋯簡而言之就是以最少成本行發大財之目的。

關於大家在討論的數位經濟

2017年三月的第三個星期,台灣的立法院裡發生了兩件事,一件是國民黨的許毓仁委員召開了第二次的「數位經濟基本法」草案公聽會,另一件事則是民進黨的余宛如委員等11人,成立了「立法院數位國家促進會」。配合了年初行政院科技會報所發布的「數位國家•創新經濟發展方案(簡稱DIGI+)」,可以感受到新政府積極想要有所作為的各種行為。
台灣各方對於「數位經濟」的定義,一直都是模糊、充滿不明確、僅提供大方向的描述,但若要立法,法律是需要明確定義的規則,模糊的方向可能會導致行政資源的浪費,在日後也可能對於整體社會發展有不利的未來。
從定義來看,先查尋維基百科:
Digital economy refers to an economy that is based on digital computing technologies. The digital economy is also sometimes called the Internet Economy, the New Economy, or Web Economy.  「數位經濟」是指基於數位運算科技的經濟體系。有時也被稱為網路經濟、新經濟或網絡經濟。 在維基百科的頁面下方則提到「數位經濟」這個詞彙最早出現於Don Tapscott在1995年出版的《The Digital Economy: Promise and Peril in the Age of Networked Intelligence》一書當中,作者認為數位經濟的基本需要以下的要素:   The digital economy requires a new kind of businessperson: one who has the curiosity and confidence to let go of old mental models and old paradigms; one who tempers the needs for business growth and profit with the requirements of employees, customers, and society for privacy, fairness, and a share in the wealth he or she creates; one wh…

關於「.io 」域名的故事

常會看到不同的頂級域名(Top-level domain,簡稱 TLD),從古老的通用頂級域名(Generic top-level domain,簡稱 gTLD)名:
.com:商業相關.edu:教育相關.gov:政府相關(但美國則沒有.gov.us 或 .com.us 哦!).net:網路相關.mil:軍事相關.org:不屬上述的組織使用 到現在還有 .cc、.io這些常見的TLD「.io 」域名會讓人聯想 Input/Output,電腦輸入/輸出會記為「 I/O」,自1997年9月16日開放註冊,所以多是資訊相關從業人員會申請的 TLD 之一。