发信人: kftseng@Lion (衿羯□), 信区: BudaFeeling
标  题: 苍穷之子散文集06：网路安全第三责任险即将开办？
发信站: 狮子吼站 (Thu May 30 12:16:22 2002)
转信站: Lion

　　自从我们公司架设起防火墙後，到现在不到一个月的时间，已经先後抓到
两次利用网路後门（木马）的原理进行网路资料窃取的活动。因为我在设定防
火墙上比较「变态」一点，采用接近於最严格的管理方式，任何没有经过我允
许的网路活动，一律 block （遏阻）住，所以才能够抓到。

　　不过还要配合一些相当程度的网管经验，才能够一看 log 就知道是那边的
问题，把这些问题解决。（这样说起来好像有点骄傲的样子？呵呵～）

　　Anyway，MIS 不应该只是「打杂」的，我觉得，公司如果不是哪麽支持的
话，只想找个人来当排除问题的杂工，这样的 MIS 其实会作得很没有成就感，
而且对於公司应该会有的帮助也会太低了一些。之前晃伯在语博的时候，也就
有这种问题，上面不信任，不愿意授权，什麽都要抓得死死的，然後还反过来
责备晃伯没担当，我是觉得这样的主管稍微有点那个夸张了一点。

　　至於某些公司，我就不说是谁的公司了（毕竟现在很多公司都是这样），
没有个真才实料的 MIS 当纲，不过就是找个 Junior MIS 来撑场面，打打杂工，
等到出事了以後再说，事情不能这样搞的吧。我的公司，其实如果不是我最近
把这部分也整个抓过来管理的话（但我的编制上可不是 MIS 人员，MIS 的工作
正常来说是与我无关的），其实，我是觉得，应该也是差不多凄惨的。

　　每个公司都谈 E 化，但是真的 E 化的有多少？大部分只是做作网页就以
为真的 E 化了，我还不知道原来这样就叫作 E 化啊！算了，反正真得搞得清
楚什麽是 E 化或者是 MIS 的公司，说真的，除了极少数从事 IT 产业的公司
以外，大概都是完全不了解吧！就算真的是 IT 产业的公司，也未必真的了解
这些。

　　最近看到一个法律草案条文，只是草案（表示还有得吵的），当中提到：
被破解的公司若被当成跳板去攻击下一间公司，那这个被当成跳板的公司要负
责下一间被破解的公司的赔偿。我想了很久，这个条文若真的通过，大概会是
一个吃人的法律条文吧！不知道立法院ㄓㄨ公的脑袋在想什麽？每年拿一大笔
的法律研究费用又是在作些什麽？怎麽会搞这种吃人不吐骨头的烂草案出来？
或许，真的通过之後，那些卖防火墙、防毒程式等等的公司会大卖，还有就是
保险公司可能也会开始承办「网路被破第三责任险」也说不一定～

--------------------------------------------------------------------

专题报导

防护安全人才相对稀少，系统整合难度越来越高

电脑报记者/ 左宛玉

　　iThome电脑报周刊与赛门铁克合办的「资讯安全高峰会」在五月二十日登
场，参与讨论的有赛门铁克董事会主席暨执行长John W. Thompson、资策会董
事长黄河明、研考会资讯管理处副处长何全德、中国信托助理副总经理、也是
银行公会金融业务电子化委员会电子银行组的洪启煌、元大京华证券副总经理
林武田等。现场来宾大多来自金融银行、证券等业界人士，由资策会董事长黄
河明担任该会的主持人。

　　首先由赛门铁克全球董事会主席暨执行长汤普森（John W. Thompson）进
行「The Future of Internet Security」的专题演讲。他在演说中强调，网路
安全并非只是用单一防毒软体来解决单一问题，现在的网路环境已面临混合式
病毒的威胁，IT业者关心的不再只是病毒码、骇客入侵等问题，提供即时的回
应解决立即的危机才是目前的首要课题。

　　汤普森认为：「网路安全要有整合（integrated）的概念。」他一再强调
回应的重要性。「加强网路环境整体的管控与建置，将所有的资讯整合起来，
并且当问题发生时，能提供最即时、最迅速的解决方式，这就是『回应』的意
义。」

　　汤普森演说之後，接著进行金控安全议题的讨论。资策会董事长黄河明在
开场时提到，网际网路原是一个以自由、资讯共享起家的概念，并没有提供安
全的准则。随著网路服务的增加扩大，世界各国的政府部门与企业体才开始重
视网路的安全问题，并逐步成立相关的资讯安全部门，并设定相关法令来规□
民众的网路行为。

　　研考会资讯管理处副处长何全德说，e 化是企业共同的语言，网路安全问
题不再仅仅是「科技」层面的问题，已经列入「政治」考量领域内。「企业在
进入 e化转换的阶段当中，政府有责任提供安全且可信任的环境，让民众和企
业上网无後顾之忧。」

　　以下为黄河明（简称黄）、汤普森（简称John）、何全德（简称何）、洪
启煌（简称洪）、林武田（简称林）对谈的内容摘要：

黄：根据资策会统计，台湾上网人口达 780万人次，在亚洲可以排到前几名。
　　随著企业依赖网路的程度日益加深，暴露在开放环境中隐藏的安全问题也
　　逐渐受到关心，也就是说，金融服务的安全问题从Internet普及就已经存
　　在了。由於银行盗领、资料被窃等问题层出不穷，政府特别组成「国家资
　　讯通讯安全会报」，设置「国家资通安全应变中心」，是国家级防□电脑
　　犯罪和危机应变的常设单位。

何：政府要如何建立一个既安全有可信赖的环境，我认为有以下四个面向：

　　第一、检视不安全的环境，寻找安全的技术工程。这也呼应赛门铁克全球
　　　　　董事会主席暨执行长汤普森前面所提到的「整合」（integrated）
　　　　　概念，现在的安全解决方案并不只针对单一问题，是通盘环境维护。

　　第二、建立自动的防护措施。将人力介入的部分减到最少，研发自动防护
　　　　　的机制，当遇到突发状况时，该系统可产生自动预警的功能。

　　第三、政府应制定安全检测的标准。透过各界不断的研讨商议，订定相关
　　　　　产品技术或环境评估条件，利用监测机制迫使个人或企业注意安全
　　　　　议题。

　　第四、网路安全科技人才的培育。这个部分包括两方面，一是透过教育训
　　　　　练建立安全的观念，其二是产官学应积极培养防护安全专业人才。
　　　　　根据汤普森的说法，全球网路安全领域人才至少缺三万五千人。

　　第五、建立下一代网路安全「道德观」（ethic）。根据骇客入侵的情况来
　　　　　看，其实被外来入侵者的比例并不若内部入侵者的多，有70％的破
　　　　　坏是来自内部。因此，教育IT从业人员该有的职业道德有其必要性。

　　期望将来透过e-Taiwan建立全面性安全的网路环境，并可变成对外输出的
　　资讯产业。

洪：传统金融领域原本就相当重视资讯安全，如财政部、中央银行和证期会等
　　政府相关单位会有不定期的稽核。过去曾发生的银行盗领事件，多半是个
　　人资料被他人以社交工程（social engineering）取得。我认为安全的管
　　理比技术更重要，包括IT部门人员的道德与使用者的知识不足等问题。

　　另外，台湾企业在资讯安全的投资不足，也是不安全的原因之一。欧美先
　　进国家每家企业平均投资在资讯安全的预算比例为10％到12％，随著软体
　　技术推陈出新，和网路安全整合的研发工作日益重要，可惜因为人才不足，
　　累积的技术资源有限。欧美企业的安全观念成熟，产业已经培养不少安全
　　人才。台湾起步比较晚，安全意识近几年兴起，人才相对稀少。未来最大
　　的挑战在於经济规模，规模过小专业分工不明，无法形成培养人力资源的
　　环境。真正懂资讯安全的高阶主管不多、企业内部资安人员本身也都大嘴
　　巴、业者倾向卖产品而非解决方案，都是推动资安环境的阻力。有人说过
　　：「安全是过程，而不是产品。」（Security is process，not product）
　　要常检讨资讯安全政策是否适合当下环境，不是只买产品就好。

林：证券业因为每一笔交易都是分秒必争，对於安全控管要求比金融银行业更
　　为严苛。以元大与京华合并为例，还牵涉到原本两个公司不同系统合并和
　　资料转换的问题，因此，系统整合也必须列入安全的考量。如何确保系统
　　在盘中的稳定性是当务之急。

　　最近金融和IT界的热门议题－金融控股公司的整合和未来，我认为一般业
　　务单位的整合比较容易，银行後端使用的主机系统整合才是往後最大的挑
　　战。有些小券商IT资源少，资讯系统结构不严谨漏洞多、不够稳定等，都
　　是整合过程中的隐忧。我认为有三件事情值得注意。

　　第一、IT人员是金控公司的心脏，必须加强团队的专业训练和管理。
　　第二、数位凭证使用率不高，民众安全意识不足，政府应该使用公权力推
　　　　　动数位认证观念。
　　第三、政府应提供减税的优惠措施，让金控公司可拨出更多的IT预算，建
　　　　　置安全的交易环境。另外，司法机构有电信警察抓骇客，法务部也
　　　　　应该建置资讯警察，彻底追查并严惩网路犯罪。

黄：去年十月底通过电子签章法，确保网路交易的合法性。因为报税问题又引
　　起社会对PKI议题的重视。一般民众的数位凭证资料是否应交给政府保管，
　　成为社会讨论的话题。PKI也属於资讯安全的一环，民众的认知和数位凭证
　　的推广之间有非常密切的关系。

John：当客户群、合作夥伴关系随业务成长而增加，透过网站交易的风险也随
　　　之升高。使用者来自四面八方，除了建置安全的认证机制进行身分控管
　　　外，网站对外的窗口也要有防火墙、VPN 等阻绝外来可能的入侵。可以
　　　做个人身分识别的PKI并非全球标准，跨区域使用还是会有问题。

　　　PKI具有资料的保密性，应用领域不限於电子商务交易。

何：资讯安全其实是生活的文化，CA只是其中一项技术，生物辨识也可以作为
　　认证技术。在美国CA的应用尚未普及，还需要加强社会教育和学习，或者
　　创造更好更方便的识别方式。

林：每个合并都会有人力的流失，不能因此放弃整合。必须建立共同平台整合
　　新旧系统，管理各式各样、复杂的交易处理系统。元大京华共有85家分公
　　司，分公司都没有IT人员，主要系统都集中在台北总公司，这边的负荷相
　　当重，远端遥控机制也显得重要。

何：既有（legacy）系统有许多宝藏，是相当有价值的，必须克服整合的难题。
　　发展API或中介软体，如Bus、Adapter、Message Broker、XML hub等，让
　　开放和封闭系统能互相沟通。

洪：在网路上花越多精神越会害怕。没有单一且简单的解决方案可以解决交易
　　的安全问题，必须有管理机制配套执行。PKI在经济部的认定属於低度管
　　理案件，金融证券业事关国家金融发展，应该被列为高度管理的产业，用
　　Single Root CA提升金融业认证的层级。


--
观■□■□■□■观■□■□■□■□■□■□■□■□■□■□■观■□■□■□■观
身  法本法无法　受  既然清净  何必有网  譬如大日  遍照不爽  心  今付无法时  法
不　无法法亦法　是  上下十方  无为自在  因陀罗手  去曼达碍  无  法法何曾法  无
净□■□■□■□苦□■□■□■□■□■□■□■□■□■□■□常□■□■□■□我
梵网经典:  http://www.iyard.org/buda             七叶窟： http://ftp.iyard.org
中华电子佛典: http://cbeta.iyard.org             [鹿苑]五明学馆: bbs.iyard.org
Ξ 狮子吼站 版面介绍:                                          cbs.ntu.edu.tw
⊙ 佛法求助哇啦啦 - 解决您学佛的疑惑                                 BudaHelp