2002資訊安全教育總動員

2002年將是臺灣資訊安全市場快速成長的一年。在知識經濟時代，利用網路資訊系統保存和累積資訊，成為企業提升競爭力普遍採用的解決方案。iThome電腦報周刊和臺灣微軟特別舉辦「預約資訊安全新世紀」研討會，邀請產官代表針對資安的管理、技術、市場和商機主題進行對話。

座談會來賓包括微軟技術支援暨顧問服務處副總經理蔡恩全、趨勢總經理丘立全、EMC總經理江金龍、元大京華證券執行副總經理林武田、行政院研考會資訊管理處副處長何全德。

2001年是充滿危機和轉機的一年。五月的中美駭客大戰、七月的券商網路下單系統遭入侵和Code Red的全球攻擊、九月美國911事件，造成有形無形的損失和恐慌外，也讓企業意識到資訊安全的重要性，「如何保護資訊的安全」也成為全球關心的議題。

2000年7月合併三家券商、規模號稱華人第一大的元大京華證券，為確保投資大眾的交易安全，讓服務永不停止，其資訊部門整合後端龐大的資訊系統，繼而規畫內外部安全策略、架設備援系統，作為企業體內外部安全的防護罩，最終目的是保障投資會員的權益。

微軟的IIS在今年的「全球病蟲害」中成為主要攻擊標的。由於多數企業都是採用微軟的網路軟體IIS，病蟲冷不防的破壞造成不小的損失。為了提供客戶更有效率的支援，微軟推出策略性技術保護計畫（STPP），提供免費的安全工具、全球性的客戶支援組織，來協助企業維護資訊安全。

提供儲存解決方案的廠商，也因為911事件而名氣大噪。EMC進入臺灣的時間雖然晚，但正是時候。防毒軟體廠商趨勢因為變種病毒Code Red的衝擊，也將大幅提升技術研發方向，未來的產品將集防毒與防蟲於一身。

電子簽章法2001年10月底通過，未來網路任何交易終可受到法律的保護，除了確保B2B或B2C之間的傳輸安全，政府也將推動電子化政府，增進E2B和E2C，甚至E2E之間的工作效率。260億元的大餅即將在2002年分食。

根據CSI/FBI「電腦犯罪與安全調查」報告顯示，過去有半數以上的企業以為，資訊系統的攻擊和破壞主要來自內部，隨著網際網路應用的普及，有70％的企業認為，網際網路是威脅資訊安全的主要來源。因此採用入侵偵測系統的比例，也從1998年的35％，提升到2001年的61％。未來企業對於網路的依賴日深，面對的威脅卻也日益增加。

資訊安全概念自古有之，只是於今尤烈。企業將要如何面對未來資安的挑戰？以下為座談會內容摘要：微軟蔡恩全：從高層主管開始推動資訊安全策略

前些日子Code Red和Nimda病毒肆虐，造成許多企業網路癱瘓，臺灣的受災情形也相當慘重。許多客戶打電話來微軟辦公室抱怨，說微軟一直在出Patch，每裝一次就要重開機一次，造成許多困擾。

微軟全球副總裁9月就跳出來，推動全球STPP計畫，內容可分為兩個部分，近程叫「Get Secure」，微軟每個分公司都會開放專線，提供企業資訊安全相關諮詢服務，另外12月中旬會推出資訊安全訓練課程，以及安全工具集。另外長程計畫「Stay Secure」中，原本企業要從微軟網站下載更新程式，現在企業可以利用Windows Update自行選擇更新內容。

徒法不足以自行，我覺得最大的問題還是在於，企業如何看待資訊安全。要從高層主管向下推動資訊安全策略，就以微軟員工進入資訊安全系統的密碼設定為例，字數和限制方面都有非常嚴格的要求。所有資訊安全有關的政策都要徹底實行。趨勢丘立全：駭客無所不在，資訊家電不例外

根據Mongan Stanly的報告指出，經過911之後，企業在資訊安全方面的投資不減反增。入侵技術不斷更新，多種類、多管道並行，已經不是原有的防毒軟體架構能預防的。現在的病毒破壞力不可同日而語，但最危險的還是來自人性，駭客喜歡攻擊使用者多的族群如Windows平臺，而不是Linux或其他行動設備平臺。

根據KPMG的報告，跨國企業的網路安全普遍不足，其中有85％的受訪者認為他們投注相當多的心力，也有災難應變計畫，但仍有4成擔心資訊系統遭到入侵。另外有三分之一主管將駭客視為首要敵人，但實際上有8成的攻擊事件是出自於公司內部網路的破壞。

未來資訊家電用品會走入每個家庭，成為網路上的IP設備端。這些可程式化、可設定的設備，都有可能是駭客入侵的目標。針對家庭ADSL寬頻用戶數量逐漸增加，目前趨勢要將寬頻防火牆「GateLock」燒成晶片放在ADSL中，提供家庭用戶更方便的安全防護。

有些公司忽視資訊安全的重要性，認為只要花20％的投資，就能得到80％的安心程度，但結果可能是相反的。如果企業改變投資比例，放80％的心血在災害的預防和災情控制，就可能只要花20％的力氣來進行災後清理或復原重建。EMC江金龍：天災人禍不斷，備援中心至少要有2個

我們進入臺灣市場比較晚。天災人禍不斷，某種程度上對EMC來說是利多消息。資料對於企業來說就像用電用水一樣，沒有任何企業或現代人能脫離資訊而生存。根據調查顯示，近兩年數位資料量的成長，比過去四十萬年資料量的總合還要大。

過去企業遇到天災人禍，討論的是如何以人力來作回復，現在討論的是企業如何保存資料，並讓資訊系統如何持續地運作下去。許多企業保存的資料量已經大到無法回復，或是需要好幾天和好幾個星期的時間。還有些企業資料分散在不同作業系統上。美國大型企業多數建置2到3個備份中心，一個備份中心被破壞後，還有另外一個可以預備。有些在911事件遭到破壞的企業，才能在短時間內恢復營運。

對企業來說，設立備援中心可能沒有什麼生產力，但萬一破壞攻擊事件發生，企業就可以減少可能承擔的損失。資訊安全除了從技術面角度來看，需要擬定一套作法或架構來預防災難發生。研考會何全德：電子化政府專案，260億元商機浮現

2001年10月底電子簽章法一通過，蟄伏已久的資訊安全廠商紛紛出頭，並竭盡所能介紹自己，讓大家了解資安的重要性。政府端出電子化政府或電子商業的理想，更為資安廠商注入一劑強心針。資安這塊餅不知不覺被畫大了。

電子簽章法衍生的商機還可以再開發，例如教育訓練、專業顧問、網路保全等商品。尤其是網路保全業，對於預算拮据的中小企業來說，可以節省在資安軟硬體和人才的投資。目前只有新光保全提供這類服務，韓國在這塊領域經營得不錯。

事前的防護重於事後的補救，要讓臺灣成為安全的高科技島。政府即將推動的電子化政府，影響範圍包括一般民眾和企業等，資安市場也才剛起步，正是廠商大展身手的好機會。

多用網路少用馬路，是當初規畫該案的宗旨。為了給民眾最好的服務品質，未來4年內至少會投資260億元；從硬體到應用系統間的API、中介軟體、電子商業軟體等，都需要廠商的加入。

資訊安全發展是國家建設數位經濟不可或缺的一環。安全才能給信任，甚至放心到政府所辦的電子化服務，舉凡結婚、離婚登記都可以在網路上辦完。

未來三年內，電子化政府將規畫1500項網路便民服務，後端機制包括硬、軟體和教育訓練等，廠商可以盡量發揮。尤其是從學校畢業的年輕人，可以趁這塊市場競爭者還沒有很多，快點進去卡位。元大京華林武田：錢不是問題，資訊安不安全才是問題

證券業有七大資訊安全議題，分別是網路安全管理、憑證安全管理、人員安全管理、委外業務管理、系統存取管理、機房環境管理、永續經營管理等。這些管理事項缺一不可。

對金融證券公司來說，網路下單的資訊系統絕對不能當機。會員兩天上不了網站，就會換別家了，不可能再等待的。

元大京華每年投資在資訊系統的建置經費約2～3億元，其中資訊安全的軟硬體設備約1000～2000萬元，每年要付給微軟一千多萬，對一般企業來說似乎是天文數字，但如果交易出問題了，損失可是難以計數。要老闆一下子掏出上百萬的錢，來買短時間內看不到績效的軟體和硬體設備，是非常困難的事情。說服需要花相當大的力氣，即使老闆不懂電腦，也一定要據理力爭。

元大京華在臺灣證券交易市場的佔有率約7.5％，有近十分之一強。目前全省有70個營業據點，未來合併新寶和鼎康兩家證券公司後，數量擴增到91個。和其他公司不一樣，我們這兩年資訊預算不減反增，尤其在資訊安全設備和應用的整合。因為我們的目標明顯，時常受到大陸駭客的攻擊，幸好這些攻擊都沒有成功。

本公司的資訊部門共有60名技術人員，要負責資訊系統的管理、維護和程式的開發。每個證券公司原來用的資訊系統都不一樣，有IBM、Compaq、Sun的主機，要靠我們自己開發的企業應用整合（EAI）軟體，來作為不同主機間溝通的橋樑。

記取美國911的教訓，元大京華除了將主架構的軟硬體設備放置在中華電信IDC，每個區中心至少也都放兩2臺主機，當初規畫是希望每個區中心都能成為緊急備援中心，不是只有資料備援，是整個系統的備援。目前正和IBM、Sun、EMC進行故障復原和異地備援計畫。另外宏碁集團在東方科學園區大火的危機處理模式，已經成為他們異地備援和人員應變的工作準則。

在內部人員管理政策方面，我們規定資訊作業人員就職時必須簽立保密切結書，員工離職當日，就要立即取消資訊系統進入權限。這點一定要嚴厲要求。有些公司為顧及人情，讓離職員工帶走了不少資訊，得不償失。而登錄資訊系統的密碼也不能和使用者身分有關，依照重要程度的不同，也要有不同的權限設定。

有些企業將資訊系統外包，將維修和服務工作委託外部的資訊服務公司，雙方應該簽立專案保密切結書，在開發的過程中務必製作詳盡的程式開發工作日誌。千萬不要提供遠端存取服務給參與系統測試的廠商，以免讓不軌人士有機可乘。

2001年五月一日網路下單認證機制開始實施，目前有3萬多名使用者完成數位憑證申請手續。證交所立意雖然良好，但執行時問題層出不窮。我們常常接到抱怨電話，不是客戶不會下載使用，要不就是PC等級不夠無法執行。認證中心彼此不連結，要向各家申請網路金融、交易和繳稅等不同憑證，又是未來尚待解決的問題。

總而言之，外部問題大多可以用技術來解決，做好內部管理才是資訊安全的基礎。從資訊人員的訓練、資訊系統和來自內外部資料存取的權限控管，全部都馬虎不得。