科技.人文聯合講座/企業政府都應有真正懂資安的人
最近世界上發生了兩件很嚴重的資安問題,第一件事是AT&T公司承認幾千萬筆客戶資料外泄。第二件事是微軟作業系統當機,造成很多航空公司的航班大亂,損失慘重,已經有航空公司表示將提出控告,要求賠償。
先談第一件資料外泄的事。大多數人都會認爲資料外泄是因爲有駭客入侵,將資料偷走。我們應該要知道,大公司資訊系統內的資料都是存在資料庫管理系統。資料庫管理系統是一個軟體,要進入這個系統,必須通過層層關卡。這些關卡都是由這個機構的人管理那些密碼的,駭客如果不和公司內部的管理人員有合作,根本不可能進入資料庫管理系統。
資料庫裡面的資料都有格式的,比方說,第一欄是姓名,第二欄是出生年月日等等。每一個機構的資料格式當然都不會一樣,如果不知道格式,即使能夠進入資料庫,所拿到的資料只是O與1的亂碼,是沒有意義的。這又顯示要偷走資料庫內的資料,一定要有內賊的協助。更嚴重的是,幾千萬筆資料被下載,管理人員都沒有提高警惕嗎?
因此,我希望大家知道,談資安不要成天談駭客入侵問題,而應該注意內賊問題。沒有內賊,絕不可能有大筆資料外泄。
至於微軟作業系統當機問題,我們又要知道有一家公司發展了維護資料安全的軟體,很多大公司都採用了這個軟體。這個軟體隨時可以更新程式,微軟的作業系統卻因爲這個軟體的程式更新而受到破壞,以至於當機,也就造成大批伺服器當機。
伺服器不一定要用微軟的作業系統,有很多企業用的是Linux,他們也採用了那一家維護資料安全的軟體,但是沒有受到影響。這就牽涉到一個問題,微軟的作業系統爲何如此脆弱?我們學資訊工程的人都知道,作業系統和應用程式應該是分開的,也就是說,作業系統可以准許應用程式的執行,但不能允許應用程式危及作業系統。這有一點像一座大樓可以讓住戶使用各種電器,但不能允許住戶的電器造成大樓電力系統出問題。
微軟的作業系統是相當有友善的,這是它的優點,當然也是它的缺點。對於個人電腦而言,使用微軟作業系統非常方便。但是我們都有過電腦當機的經驗,只是我們的電腦當機沒什麼了不起,大公司的電腦當機是相當嚴重的。
從這兩件資安事件可以看出,很多負責資安的工程師並不真正瞭解如何管理資料以及選擇哪一種安全的作業系統。就以我國而言,政府常常規定軟體一定要採用微軟的作業系統,而且我國也發生過戶政資料外泄事件,但是到目前爲止,政府卻始終沒有說明戶政資料外泄是如何發生的。(作者爲清大榮譽教授、博幼社會福利基金會榮譽董事長)