|
|
技術層面 |
社會層面(使用者) |
| 無心之過 |
軟體設計不良、
當機、病毒 |
忘記密碼、人為疏忽 |
| 惡意為之 |
密碼破解、病毒、
木馬 |
駭客、職員故意破壞 |
以上所有的因素都可交錯影響:駭客會利用軟體設計不良的缺失來破壞資料、粗心大意的員工讓病毒在公司的電腦上到處流竄以致毀損重要資料。即使有最不可攻克的安全措施,面對內部惡意的破壞(如銀行職員擅改資料)或是忘了密碼的粗心員工,安全措施也是枉然。
請參考「『駭』到最高點心中有網路」一文以了解什麼是駭客。另外 The Cuckoo's Egg 和 Cyberpunk 則是兩本膾炙人口、精彩絕倫的的小說,推薦您挑一本來看看,仔細想想網路安全的問題。Cyberpunk
在台灣有譯本「電腦叛客」,由天下文化出版。
網路安全的重要性
不管是腳踏車、摩托車、還是汽車,大部分的人買了之後,幾乎都還會再加買一把鎖。大部分的人寫信都會用信封,信寫完了,將信封口封住後,才會丟到郵筒裡。但是今天我們用的的電腦,不論軟、硬體,都沒有鎖,都缺乏安全性。電子郵件,除了需要密碼以便從主機取信、寄信外,我們的電子郵件幾乎和寄明信片一樣透明,只要是有心人,都可輕而易舉地看到信件的內容。我們的電腦也沒有「鎖」,大部分在公司上班的人都讓電腦開著就離開,這些電腦和電腦裡的資料就這樣擺在那兒,等這有心人士來拿。
當電腦受到病毒侵入時,大部分的人都毫無感覺,直到某一天,電腦發病了,電腦裡的資料就毀壞了。對於電腦,大部分的人都已經習慣要買防毒軟體來防毒,但防毒僅止於預防已經知道的毒而已。大部分的人也都知道電腦隨時會當(crash)掉,所有的資料都該有備份(backups)。汽車有很多種保險:竊險、車體險、零件險…等,但可曾聽過電腦也有保險?事實上,不論在哪兒(政府單位、銀行、公司行號、研究單位、家裡),電腦裡的資料都是最珍貴的,最值得保險的。
整個電腦界或是網路社會對於電腦資料之安全性都沒有辦法提出解決方案,大部分的人或公司都認為電腦和網路還不是一個很安全的地方,對於網路也還沒到完全信賴的程度。但是電腦和網路增加了資訊的傳輸,許多交易也漸漸地利用電腦及網路來完成,因而增加了陌生人破壞電腦及網路的機會。
以前只有銀行用電腦,現在幾乎所有的公司、醫院、政府單位、百貨公司、倉儲、工廠、所有的金融體系都用電腦了,甚至連電梯、電話也都用電腦來控制。電腦儲存了太多個人資料,太多工作程序,當電腦和傳輸資料的網路的安全性不足時,該怎麼辦呢?而所謂的安全性,來自各種威脅,天災人禍、停電、系統本身的錯誤...。但是這些安全顧慮並不是個人或是幾家公司可解決的問題,有些可以靠政府立法維護,有些則是社會責任與道德。
網路安全人人有則
加密 (encryption) 是目前因應網路安全的方法之一。這種方式具有相當之防禦性,可以保護資料、隱私,也可提供安全的電子交易方式。但是並不是每一個國家的政府都支持這樣的技術,因為加密技術也保護了犯罪組織。網路之跨國界性已經使恐怖主義者、煙毒販,很自由自在地做起跨國生意。經過加密的資訊使各國政府對犯罪之證據無從調查,幾乎束手無策。但是各國政府也知道,不能因為犯罪組織會使用加密技術就下令杜絕此種技術,因為沒有加密技術,網路絕對不安全,所有的資料隨時會遭人竄改及濫用。請參考「資料交換安全性的守門員----資料加密」一文。
除了加密技術之應用,電腦資料及網路安全之維護其實落在每一個人的身上。如何開始呢?當然首當其衝的是個人使用的電腦及其作業環境。直到目前為止,所有的個人電腦和作業環境對於安全之維護並未著力。不知為什麼,個人電腦的使用者對於電腦的容忍度都相當高,可以習以為常地容許當機,程式錯誤。這些不值得信賴的產品(PC
或是軟體)怎麼可能將安全性做好呢?撇開這些軟、硬體上的缺憾,目前我們能做的就是防患未然,諸如選密碼時,不要老用生日或親人的名字;用些自己喜歡的書名或歌名,這樣別人猜不著,但自己卻容易記得。當然也不要笨到處處都用同樣的密碼,或是把密碼抄在某個地方。(請參考如何選擇一個好的密碼。)
在公司方面,資料之防護除了密碼外,防火牆也不可少。防火牆是一部主機,架設在公司內部網路與 Internet
間。所有連外的網路資料,都必須經過公司所架設的防火牆,因此防火牆可以管制所有進出的連線,並記錄所有進出的連線資料。防火牆可防止公司網路遭到入侵、破壞、或被竊取重要資料。亦可管制員工送出資料或不當使用網路等。
除了防火牆的設置外,公司對重要資料存取的限制應該不止於僅有密碼之管理,在軟、硬體上對資料之保護都應有更進一步之規劃,如只有某些人能存取資料、必須要用指紋或瞳孔辨識才有權限、有完善的防毒措施、資料分散儲存同時也隨時備份…。有人曾經提出保險公司應就一個公司資料之安全性來做評估,來評比一個公司之價值,進入電子化的時代,此言的確真實。
網路交易的安全考量
除了工作上的需求外,網路上目前最如火如荼的可說是交易活動,例如網路購物、股票線上下單、網路報稅、電子轉帳、電子銀行等。從避免資料洩漏、篡改、冒用身份,到事後出現否認交易等,處處都與網路安全息息相關。
我們以「安全電子交易」(Secure
Electronic Transactions, 簡稱 SET) 為例,SET 是 VISA 與 MasterCard 兩大組織所提出的,是一種應用在網際網路上以信用卡為基礎的電子付款系統規範,希望能確保網路上持卡交易的安全性。簡單地說,SET
規格使用了公開金鑰 (public key) 所編成的密碼文件 (Cryptography),以維護在任何網路上的個人、金融資訊的隱密性。具有
SET 規格的軟體,儲存在持卡人的個人電腦及特約商場的電腦網路中;此外,收單銀行的電腦也能夠以特殊的科技解讀金融資訊密碼,以及確認
VISA 或其他認證單位所發出的數位認證 (Digital Certificate)。
以資料加密、數位簽名 (Digital Signature) 和認證中心 (Certificate
Authority) 安全認證的方式,同樣適用於網路報稅。同時隨著電子化政府的腳步,其他的政府業務如公路監理、工商登記、戶役政、地政及建築管理等,也都可上網申辦。只要先到政府憑證管理中心(這兒很重要,強烈推薦您至那兒看看)申請網路認證,取得網路上的個人身份憑證後,就可將這個憑證應用在政府所開辦的各項網路申辦業務上。您若想了解政府機關透過網路所提供的各項便民資訊與申辦服務,請至「政府便民服務電子窗口」看看。
想進一步了解資料加密、數位簽名和認證中心,請參考以下所列的技術性文章:
相關法律條文
以下一些法律條款和網路安全相關,可參考之:
另外資策會科法中心提供有很詳盡的資訊法律相關網站,請不要忘了連網看看。
|