〈時評〉堅固國家網界安全

圖片擷取自portal gdad 的Flirck網站。

2012年史諾登將美國國家安全局的資料公諸於世,引發全球震撼。去年美國大選,蘇俄和維基解密被質疑駭入電腦竊取資訊以干預選舉,美國國會和FBI仍持續進行調查。近日勒索軟體「想哭」WannaCry的橫行,造成混亂與財物或名譽的損失(台灣為重大受害國家之一)。全球各類媒體皆廣泛報導,甚受世人關注,這也促使先進國家更加重視網界安全(cybersecurity)或資訊安全的重要性,並加快強化其國家的資安防範體系。

林全於六月九日出席「產官學資通信安全高峰論壇」時表示,「資通安全不僅是台灣面臨的議題,也是全球的挑戰。…要發展資安產業,首先要從法規與制度著手。…需具備良好的研發能力。」的確如此。政府也把資安列在「前瞻基礎建設計畫」的數位建設裡。

網界安全是最實務的專業,所有的技術都要在網界(cyber space)裡展現真工夫。網路連結數百億個設備,黑帽駭客時時在尋找防禦能力薄弱的設備或個人,使用各種技術進行攻擊,以竊取財錢或重要資料,或者控制其設備以做為攻擊其他設備之工具,一個高強度的資安防範系統必須同時全面性地涵蓋技術、管理、和實體三面向。為堅固國家資安的防範體系和增強研發能量,下列數項任務可考慮將包含於國家資安的發展策略裡。

技術面:可思考設立一個國家層級的「網界災害防治中心」。其任務可包括開發或引入先進防範架構和技術,協助政府部會訂定其資安政策,訂定資安防範的標準和政府單位採購設備或服務時所需之基本資安需求,協調及凝聚全國所有的CERTs (Computer Emergence Response Teams),公告最新的網界災害狀況,收集資安事故的資訊,並深入分析。

管理面:人是資安最脆弱的一環,由於多數民眾欠缺資安的基本知識,網路釣魚及惡意檔度的下載是資安攻擊最常用的手法。政府可指定某單位製作簡單易懂的資安影片和文章向大眾做宣導,以增強全民的資安常識,如此即可大量減少資安事故的發生。更進一層,可對各機構的高階主管做特別的宣導,使其認知資安防範的重要性,而能在其治理的機構投入適當的資源、人力、和財力以保護其資產。其機構若能訂定所需的資安政策及管理制度,藉由資安設備的佈署、資料的收集和分析、與嚴謹的稽核等多重的防範,有嚇阻黑帽駭客攻擊的功效,或及時產生預警而阻止事故的發生,也要擬定合宜的資料備份、緊急應變和災難復原等機制以降低事故的傷害。而各機構的首長亦應全權承擔其機構的資安防範責任。

實體面:台灣地小人稠,實體安全實難完善。政府宜全面檢討國家重要機構的實體安全,例如,總統府及行政院的周邊環境就存在很大的實體安全漏洞。並且規劃長期方案以強化這些重要機構的安全度,在必要時,可遷移至更恰當的地區,不可因小失大。

研發環境與人才培育:研發資安新技術或產品必須有個適宜的實驗環境供研發者嘗試不同技巧的情境,優質的資安專業人員也需有個接近實境的大尺度培訓環境供其發揮技能。這若在實驗室為之,有規模太少且不夠實際的困境,若在實體的網界為之,則可能造成意外破壞或被誤會為黑帽駭客而遭偵訊。政府可善用國家高速網路與計算中心新建置之100Gbps光網路,以一個波長建置一大型資安實驗及培訓環境,以作為資安的研發、實驗、測試、培訓、教學、和攻防演練的重要基礎設施。

線上交易:這已為多數機構所採用,也為民眾所接受。然而,有些行業(如銀行)的線上交易需要最嚴格的存取控制,政府可思考訂定法規,要求相關的機構必須採用二階式(2-step)或多因子(multi-factor)高安全強度的登入系統,以阻止黑帽駭客假冒正規使用者而行騙的惡意企圖。

 

作者為台灣產業智庫成員

葉俊雄:退休旅美,曾任國家高速網路與計算中心主任、開南大學教授兼資訊科技中心主任

黃光彩:太世科網路行銷公司董事長,曾任IBM電子商務全球副總、台灣師範大學校長。