資訊安全的安全問題

安全 1/3
  根據國內對強暴案件的研究數據指出,約會強暴與熟識者強暴約占所有強暴案件的65%。過去一直誤導女性大眾謹防「陌生人」,其實「熟識者」才是性侵害犯案的大宗。

當大部分的公司與機關將安全重點放在防範外來攻擊者,部署防火牆、入侵防禦等安全解決方案時,根據美國統計,只有約30%的攻擊與破壞是來自於外來攻擊者,卻有70%的入侵及破壞是來自於內部網路。當企業完成『資安整體解決方案』建置時,真正避免的安全隱憂可能不到三分之ㄧ

資訊安全 VS 工業安全
  在工業社會對於工業安全是相當重視的,畢竟任何的操作失誤或疏忽導致工安意外時,輕則造成傷亡,重則廠房全毀。今年9月初發生外包清潔工在清洗水泥攪拌車時,因為沒有依規定將攪拌車熄火,而隨後到的工人沒有注意到有同伴進入攪拌桶內,誤觸開關導致在內部清洗的工人當場被絞成肉醬。資安事件或許不像工安意外會造成身體或生命的損傷,但卻相對的造成經濟及信譽的嚴重損失。在工業時代,遵守工業安全規範是絕對必要的;資訊的安全可能還需要更多的教育以及規範的遵守才能成熟

資訊安全 VS 國家安全
  資訊戰是一場『寧靜戰爭』,隨時隨地都在發生。當一個國家邁向資訊化的同時,風險也隨之而來,不論是國防、經濟都因為機密資訊竊取變得容易而使風險也變大了。所以美國設有國土安全部(DHS)蒐集情資,並監控及管理國家的資訊網路,而美國境內的資安廠商也提供國土安全部資訊顧問及警報系統的支援。甚至連被認為『不夠安全』的微軟,在 2003 年也與國土安全部簽訂一項為期五年的授權,成為國土安全部主要的技術供應商。

駭客技術 VS 駭客競賽
  駭客技術似乎成為許多技術人員炫耀與引以為傲的『專業能力』。駭客競賽則是駭客組織間的狩獵遊戲,設有遊戲計分、排行榜等,基本上沒有商業目的,純粹只是技術的炫耀(含蓄的說法:安全技術交流)。只是電玩大賽還設有獎金及媒體的採訪與轉播,相形之下的駭客競賽就得靠資安公司炒作一番才上得了媒體版面。駭客組織獲得炫耀的目的、資安公司贏得銷售的佳績。雙贏?

實戰技術 VS 技術研究
  F1車神舒馬克未必有多好的數學能力去計算各種轉彎的角度,也沒有研究數據去支持他的開車方式夠快,但從一次次的實戰成績證實,舒馬克的開車技術是毋庸置疑的。

防盜器廠商設置實驗室研究各種防盜技術,開發各種新式防盜產品來防範竊賊,不過防盜器廠商永遠不怕沒生意。不論什麼防盜器,竊賊總是能夠偷到東西。

非關技術
  詐騙集團利用刮刮樂、中獎、退稅等手法,每年騙得不少錢 (如果股票可以公開發行的話,EPS 應該非常高) 。令人驚訝的是,詐騙集團成員的學歷雖然不高,溝通合作與協調能力卻很好。雖然沒有什麼高科技或高技術的人才,照樣能夠讓各階層的人把錢一筆筆的送過去。不論是國家機密、業務機密、資訊機密等等,可能只需要利用高明的社交工程 (Social Engineering) 就可以讓全部的安全防範措施破功。

學校沒教的事
  許多的「安全管理人員」雖然受過技術訓練,卻從未受過管理道德的教育。心術不正的管理者可以輕而易舉的讀取及變更使用者的檔案(包括電子郵件),甚至將上司或同事的電子郵件複製一份以偷窺私密,竊取信用卡資料。公司機密成為管理人員對朋友及同學炫耀的資訊,造成資訊外洩。不道德的內部管理人員比木馬、病毒更可怕

安全問題
  『技術、架構、解決方案』雖然能夠治標,解決基本的安全問題,但若能夠經常的『溝通、教育、遵守規範』,才能治本。既省錢又安全。

資訊技術人員容易在『溝通』上出問題,因為習慣透過電腦來進行溝通,沒有充分的互動,導致許多不必要的問題發生。以『問路』這件事來說,技術人員會上網找電子地圖,相信電子資訊;業務人員除了在車上放地圖以外,還會向路邊的商家問路,避免因地圖繪製疏失產生的錯誤而跑錯方向。

當平時需要使用電腦的員工被教育正確的安全意識及觀念,能夠辨識可能的安全問題時,便可以避免因為「不知道」而發生的安全災害,網路防禦的強度當然會增強。

對於使用電腦及網路的工作者來說,當『資訊安全』不再是知識,而是常識。『安全規範』不是用來遵守的,而是一種習慣時,就如同司機不止要會開車,還會聽路況,遵守號誌一般的平常時,才最基本的『安全』


本文作者: 蔡銘桔
本文刊登於 資安人雜誌 13(2004 Oct)