發信人: kftseng@Lion (衿羯儸), 信區: BudaFeeling
標  題: 蒼窮之子散文集06：網路安全第三責任險即將開辦？
發信站: 獅子吼站 (Thu May 30 12:16:22 2002)
轉信站: Lion

　　自從我們公司架設起防火牆後，到現在不到一個月的時間，已經先後抓到
兩次利用網路後門（木馬）的原理進行網路資料竊取的活動。因為我在設定防
火牆上比較「變態」一點，採用接近於最嚴格的管理方式，任何沒有經過我允
許的網路活動，一律 block （遏阻）住，所以才能夠抓到。 
 
　　不過還要配合一些相當程度的網管經驗，才能夠一看 log 就知道是那邊的
問題，把這些問題解決。（這樣說起來好像有點驕傲的樣子？呵呵∼）
 
　　Anyway，MIS 不應該只是「打雜」的，我覺得，公司如果不是哪麼支持的
話，只想找個人來當排除問題的雜工，這樣的 MIS 其實會作得很沒有成就感，
而且對於公司應該會有的幫助也會太低了一些。之前晃伯在語博的時候，也就
有這種問題，上面不信任，不願意授權，什麼都要抓得死死的，然後還反過來
責備晃伯沒擔當，我是覺得這樣的主管稍微有點那個誇張了一點。
 
　　至於某些公司，我就不說是誰的公司了（畢竟現在很多公司都是這樣），
沒有個真才實料的 MIS 當綱，不過就是找個 Junior MIS 來撐場面，打打雜工，
等到出事了以後再說，事情不能這樣搞的吧。我的公司，其實如果不是我最近
把這部分也整個抓過來管理的話（但我的編制上可不是 MIS 人員，MIS 的工作
正常來說是與我無關的），其實，我是覺得，應該也是差不多悽慘的。
 
　　每個公司都談 E 化，但是真的 E 化的有多少？大部分只是做作網頁就以
為真的 E 化了，我還不知道原來這樣就叫作 E 化啊！算了，反正真得搞得清
楚什麼是 E 化或者是 MIS 的公司，說真的，除了極少數從事 IT 產業的公司
以外，大概都是完全不了解吧！就算真的是 IT 產業的公司，也未必真的瞭解
這些。
 
　　最近看到一個法律草案條文，只是草案（表示還有得吵的），當中提到：
被破解的公司若被當成跳板去攻擊下一間公司，那這個被當成跳板的公司要負
責下一間被破解的公司的賠償。我想了很久，這個條文若真的通過，大概會是
一個吃人的法律條文吧！不知道立法院ㄓㄨ公的腦袋在想什麼？每年拿一大筆
的法律研究費用又是在作些什麼？怎麼會搞這種吃人不吐骨頭的爛草案出來？
或許，真的通過之後，那些賣防火牆、防毒程式等等的公司會大賣，還有就是
保險公司可能也會開始承辦「網路被破第三責任險」也說不一定∼
 
--------------------------------------------------------------------

專題報導  
  
防護安全人才相對稀少，系統整合難度越來越高

電腦報記者/ 左宛玉 

　　iThome電腦報周刊與賽門鐵克合辦的「資訊安全高峰會」在五月二十日登
場，參與討論的有賽門鐵克董事會主席暨執行長John W. Thompson、資策會董
事長黃河明、研考會資訊管理處副處長何全德、中國信託助理副總經理、也是
銀行公會金融業務電子化委員會電子銀行組的洪啟煌、元大京華證券副總經理
林武田等。現場來賓大多來自金融銀行、證券等業界人士，由資策會董事長黃
河明擔任該會的主持人。 

　　首先由賽門鐵克全球董事會主席暨執行長湯普森（John W. Thompson）進
行「The Future of Internet Security」的專題演講。他在演說中強調，網路
安全並非只是用單一防毒軟體來解決單一問題，現在的網路環境已面臨混合式
病毒的威脅，IT業者關心的不再只是病毒碼、駭客入侵等問題，提供即時的回
應解決立即的危機才是目前的首要課題。 

　　湯普森認為：「網路安全要有整合（integrated）的概念。」他一再強調
回應的重要性。「加強網路環境整體的管控與建置，將所有的資訊整合起來，
並且當問題發生時，能提供最即時、最迅速的解決方式，這就是『回應』的意
義。」 

　　湯普森演說之後，接著進行金控安全議題的討論。資策會董事長黃河明在
開場時提到，網際網路原是一個以自由、資訊共享起家的概念，並沒有提供安
全的準則。隨著網路服務的增加擴大，世界各國的政府部門與企業體才開始重
視網路的安全問題，並逐步成立相關的資訊安全部門，並設定相關法令來規範
民眾的網路行為。 

　　研考會資訊管理處副處長何全德說，e 化是企業共同的語言，網路安全問
題不再僅僅是「科技」層面的問題，已經列入「政治」考量領域內。「企業在
進入 e化轉換的階段當中，政府有責任提供安全且可信任的環境，讓民眾和企
業上網無後顧之憂。」 

　　以下為黃河明（簡稱黃）、湯普森（簡稱John）、何全德（簡稱何）、洪
啟煌（簡稱洪）、林武田（簡稱林）對談的內容摘要： 

黃：根據資策會統計，臺灣上網人口達 780萬人次，在亞洲可以排到前幾名。
　　隨著企業依賴網路的程度日益加深，暴露在開放環境中隱藏的安全問題也
　　逐漸受到關心，也就是說，金融服務的安全問題從Internet普及就已經存
　　在了。由於銀行盜領、資料被竊等問題層出不窮，政府特別組成「國家資
　　訊通訊安全會報」，設置「國家資通安全應變中心」，是國家級防範電腦
　　犯罪和危機應變的常設單位。 

何：政府要如何建立一個既安全有可信賴的環境，我認為有以下四個面向： 

　　第一、檢視不安全的環境，尋找安全的技術工程。這也呼應賽門鐵克全球
　　　　　董事會主席暨執行長湯普森前面所提到的「整合」（integrated）
　　　　　概念，現在的安全解決方案並不只針對單一問題，是通盤環境維護。 

　　第二、建立自動的防護措施。將人力介入的部分減到最少，研發自動防護
　　　　　的機制，當遇到突發狀況時，該系統可產生自動預警的功能。 

　　第三、政府應制定安全檢測的標準。透過各界不斷的研討商議，訂定相關
　　　　　產品技術或環境評估條件，利用監測機制迫使個人或企業注意安全
　　　　　議題。 

　　第四、網路安全科技人才的培育。這個部分包括兩方面，一是透過教育訓
　　　　　練建立安全的觀念，其二是產官學應積極培養防護安全專業人才。
　　　　　根據湯普森的說法，全球網路安全領域人才至少缺三萬五千人。 

　　第五、建立下一代網路安全「道德觀」（ethic）。根據駭客入侵的情況來
　　　　　看，其實被外來入侵者的比例並不若內部入侵者的多，有70％的破
　　　　　壞是來自內部。因此，教育IT從業人員該有的職業道德有其必要性。 

　　期望將來透過e-Taiwan建立全面性安全的網路環境，並可變成對外輸出的
　　資訊產業。 

洪：傳統金融領域原本就相當重視資訊安全，如財政部、中央銀行和證期會等
　　政府相關單位會有不定期的稽核。過去曾發生的銀行盜領事件，多半是個
　　人資料被他人以社交工程（social engineering）取得。我認為安全的管
　　理比技術更重要，包括IT部門人員的道德與使用者的知識不足等問題。 

　　另外，臺灣企業在資訊安全的投資不足，也是不安全的原因之一。歐美先
　　進國家每家企業平均投資在資訊安全的預算比例為10％到12％，隨著軟體
　　技術推陳出新，和網路安全整合的研發工作日益重要，可惜因為人才不足，
　　累積的技術資源有限。歐美企業的安全觀念成熟，產業已經培養不少安全
　　人才。臺灣起步比較晚，安全意識近幾年興起，人才相對稀少。未來最大
　　的挑戰在於經濟規模，規模過小專業分工不明，無法形成培養人力資源的
　　環境。真正懂資訊安全的高階主管不多、企業內部資安人員本身也都大嘴
　　巴、業者傾向賣產品而非解決方案，都是推動資安環境的阻力。有人說過
　　：「安全是過程，而不是產品。」（Security is process，not product）
　　要常檢討資訊安全政策是否適合當下環境，不是只買產品就好。 

林：證券業因為每一筆交易都是分秒必爭，對於安全控管要求比金融銀行業更
　　為嚴苛。以元大與京華合併為例，還牽涉到原本兩個公司不同系統合併和
　　資料轉換的問題，因此，系統整合也必須列入安全的考量。如何確保系統
　　在盤中的穩定性是當務之急。 

　　最近金融和IT界的熱門議題－金融控股公司的整合和未來，我認為一般業
　　務單位的整合比較容易，銀行後端使用的主機系統整合才是往後最大的挑
　　戰。有些小券商IT資源少，資訊系統結構不嚴謹漏洞多、不夠穩定等，都
　　是整合過程中的隱憂。我認為有三件事情值得注意。

　　第一、IT人員是金控公司的心臟，必須加強團隊的專業訓練和管理。
　　第二、數位憑證使用率不高，民眾安全意識不足，政府應該使用公權力推
　　　　　動數位認證觀念。 
　　第三、政府應提供減稅的優惠措施，讓金控公司可撥出更多的IT預算，建
　　　　　置安全的交易環境。另外，司法機構有電信警察抓駭客，法務部也
　　　　　應該建置資訊警察，徹底追查並嚴懲網路犯罪。 

黃：去年十月底通過電子簽章法，確保網路交易的合法性。因為報稅問題又引
　　起社會對PKI議題的重視。一般民眾的數位憑證資料是否應交給政府保管，
　　成為社會討論的話題。PKI也屬於資訊安全的一環，民眾的認知和數位憑證
　　的推廣之間有非常密切的關係。 

John：當客戶群、合作夥伴關係隨業務成長而增加，透過網站交易的風險也隨
　　　之升高。使用者來自四面八方，除了建置安全的認證機制進行身分控管
　　　外，網站對外的窗口也要有防火牆、VPN 等阻絕外來可能的入侵。可以
　　　做個人身分識別的PKI並非全球標準，跨區域使用還是會有問題。 

　　　PKI具有資料的保密性，應用領域不限於電子商務交易。 

何：資訊安全其實是生活的文化，CA只是其中一項技術，生物辨識也可以作為
　　認證技術。在美國CA的應用尚未普及，還需要加強社會教育和學習，或者
　　創造更好更方便的識別方式。 

林：每個合併都會有人力的流失，不能因此放棄整合。必須建立共同平臺整合
　　新舊系統，管理各式各樣、複雜的交易處理系統。元大京華共有85家分公
　　司，分公司都沒有IT人員，主要系統都集中在臺北總公司，這邊的負荷相
　　當重，遠端遙控機制也顯得重要。 

何：既有（legacy）系統有許多寶藏，是相當有價值的，必須克服整合的難題。
　　發展API或中介軟體，如Bus、Adapter、Message Broker、XML hub等，讓
　　開放和封閉系統能互相溝通。 

洪：在網路上花越多精神越會害怕。沒有單一且簡單的解決方案可以解決交易
　　的安全問題，必須有管理機制配套執行。PKI在經濟部的認定屬於低度管
　　理案件，金融證券業事關國家金融發展，應該被列為高度管理的產業，用
　　Single Root CA提升金融業認證的層級。 

 
--
觀■□■□■□■觀■□■□■□■□■□■□■□■□■□■□■觀■□■□■□■觀
身  法本法無法　受  既然清淨  何必有網  譬如大日  遍照不爽  心  今付無法時  法
不　無法法亦法　是  上下十方  無為自在  因陀羅手  去曼達礙  無  法法何曾法  無
淨□■□■□■□苦□■□■□■□■□■□■□■□■□■□■□常□■□■□■□我
梵網經典:  http://www.iyard.org/buda             七葉窟： http://ftp.iyard.org
中華電子佛典: http://cbeta.iyard.org             [鹿苑]五明學館: bbs.iyard.org
Ξ 獅子吼站 版面介紹:                                          cbs.ntu.edu.tw
☉ 佛法求助哇啦啦 - 解決您學佛的疑惑                                 BudaHelp