2003資訊安全技術發展與應用研討會

當前企業IT應用環境最重要的議題是什麼？非資訊安全議題莫屬，iThome電腦報周刊邀請產、官、學界和產業代表，剖析2003年資訊安全技術發展與應用趨勢。

早上的專題演說邀請到研考會資訊管理處副處長何全德（簡稱何）、國泰人壽資訊長張家生（簡稱張）和臺灣科技大學資管系教授吳宗成（簡稱吳），下午的分組討論分成防火牆和防毒、入侵偵測、安全評估等三大議題，由中華電信、友冠、世達先進、所羅門、桓基科技、組合國際、敦新科技、賽門鐵克、騰蒙科技（按照公司名稱筆劃）主講。

首先，聽聽研考會資訊管理處副處長何全德怎麼看2003年的資訊安全發展趨勢。

何：21世紀面臨的經營挑戰，是如何提高政府、企業甚至個人的競爭力，ｅ化則是不得不然的全球趨勢，數位化具備和農業、工業時代不一樣的環境特性，臺灣的競爭優勢，在於是否能成為高科技服務島，如何提升國家、企業、個人將面對的24小時開放競爭壓力。

去年8月，我到印度參與研討會，當地官員說，目前印度正積極推動軟體工業，三年之內培養一千多萬的工程師，對他們來說，只是百分之一的人口。臺灣擁有的專業，提升速度可以創造價值，是未來成敗的關鍵。知識經濟是創新性經濟，e化是政府和企業不可避免的道路。面對大陸的磁吸效應、大陸製造工廠概念，臺灣如何找到方向是重要課題。

目前面臨的挑戰，不是我們有多少高科技，也不是生產力的問題，從管理大師彼得杜拉克的說法，未來要提升競爭力、社會要進步，只是一個管理的問題。今天談的資訊安全也是管理的問題，過去的經驗告訴我們，擁有良好管理制度的公司，資安也必然有制度、管理化的原則。

全球化、分權化、數位公民等掀起的狂潮，讓政府受到很大的衝擊，未來可能是城市和城市之間的競爭。加入WTO後，必須遵循國際共同的標準，資訊安全也有國際規範和標準如17799等，安全是運籌體系運作必要的要求和條件，科技的進步亦改變政府的角色，例如，過去政府蓋燈塔是公共服務，現在都是以GPS進行衛星定位。

值得注意的趨勢是數位公民的興起，這些數位公民有什麼特性？臺灣要何去何從？為什麼e化理由為何？我認為有三大要項：永續經營、提高效能和服務品質、公平正義的社會。政府e化打破資訊不對等關係，過去業者進行投標曠日費時，現在所有公告或標書從網路下載，省去許多等待的時間。

天下雜誌從月刊變成半月刊，證明環境變化的速度縮短，政府要怎麼樣支援現代化的孔明？日前我在約旦參訪遇到一位臺商，每年賺進1.7億美元的外匯，我心裡想，政府資源要如何支援在海外奮鬥的現代化成吉思汗？能支援到什麼程度？未來要做到臺商在哪裡，政府的服務就要到哪裡的地步。透過網路技術已經可以做到遠距服務，但夠不夠安全？值不值得信任？這才是最急需解決的問題。

沒有人，技術就沒有辦法升級，人才是向上提升的原動力。網路引爆改革的力量，過去人類科技沒有辦法趕得上的，現在都做得到。韓國因為寬頻網路和數位內容的結合，突然竄紅國際社會，過去我們說，日本能，我們為什麼不能，現在要說韓國能，我們為什麼不能。臺灣也可以變成學習島（e-Learning），提升整體數位知識，走出不一樣的道路。

扁政府看到臺灣需要改變，改變和改進才能創造未來，電子化政府提供具體的目標。目前寬頻上網人口有220萬，佔總上網人口的40％，數位公民興起，未來決策關鍵多數。不過，我相信未來5年，看電視和用電話還是最多數，數位落差已經逐漸消弭，6年有360億的經費要投入市場，興建網路新臺灣是改變臺灣命運的重大工程。

如果上網人口達600萬，數位內容產業就有可能形成。政府未來會提供很多創新服務，讓網路變成互動的媒介，政府變成超商，從B2B2C到G2B2C，提供專業服務，都是改造方向。

Services on Demand要有2個I和2個T，2個I是Information 、interaction，2個T是transaction和transformation。e化政府是整合跨機關的加值服務，電子化政府入口網站要作政府的奇摩，未來有一千多張表單、兩百多服務，政府開始和民間學習，網路報稅、IC卡放數位簽章等，建構可信賴的網路服務環境，才能讓民眾用得放心。

許多廠商看到電子公文的商機。政府公文系統已經建構3年，以XML作為交換介面的電子公文使用率已經高達60％，九千個政府機關從地方基層到國小的公文交換，未來將延伸到企業。不能只看到網路好的一面，資安非技術問題，不能由資訊人員承擔所有責任。網路安全人人有則，資安是如何評估風險管理的問題，沒有人敢保證網路百分之百安全，讓民眾覺得安全可信賴才是最終理想。

從這幾年大型的安全事件來看，內部人員才是安全最大因素，作業系統遭破壞不一定是駭客所為，可能是操作的錯誤，如自然災害等，都是潛藏的威脅，讓消費者失去信心。系統越複雜，漏洞可能越多，有78％的資訊人員擔心病毒駭客入侵，不安全的使用環境，如何發展經濟活動？臺灣的捷運花了1000億搭建，卻也花100億修繕，日前財金公司資料外洩事件，暴露嚴重的資安問題，槍口要開始對內。

低科技打敗高科技，政府網站遭高中生侵入，沒有什麼事情是不可能發生的。異地備援的距離，三十公里不夠，要異島備援或建立緊急通訊系統，緊急事情都是在星期六日和晚上發生，未來的世界不可預測，要作最壞的打算，最好的準備。

美國檢討為什麼911事件沒有辦法預警，原因是情治單位之間沒有分享資訊，雖然有高科技監聽內容，但是不懂阿富汗語，恐怖份子以網咖作秘密通訊地點，如何管理ISP問題，是否要留三個月通聯紀錄再度引起討論。911讓我們認清現今世界的不可預測性。

資訊資產的清單中，人也要考慮進去，防止網路攻擊，減少弱點，一旦發生事故，盡量把傷害降到最低，建立緊急反應系統，減少國家網路弱點和威脅。人是最脆弱的一環，40億元的投資，要有6億元的保護，建立安全文化，國民卡是重要的里程碑，引起各界對於安全和隱私的辯論，培養數位公民對於公共政策辯論的意識。

主持人：金融產業依賴IT技術非常的深，資訊安全更是其中最重要的領域，國泰金控去年建置了臺灣第一座距離最遠的異地備援中心，位於高雄的資料中心成功接管了臺北的業務，請國泰金控資訊長張家生分享他的經驗。

張家生：企業要怎麼提高競爭力？在提升競爭力的同時，企業會面臨什麼樣的資訊安全問題？根據統計，Fortune 500大企業中，1970年到1980年之間，有32％消失，1980年到1990年有47％消失，1990年到1998年間消失的企業有54％。如果沒有因應環境變動，體質再好、再大型的企業都有被經濟浪潮吞沒的時候。

在變動的情況下，我們不能根據過去的經驗來臆測未來活動，必須要用不同的方法達到目標。我先舉個小故事，1992年時，美國剛剛打完波斯灣戰爭，當時唐飛先生請美國空軍參謀總長來臺灣演講，其中讓我印象最深刻的部分，這些負責美國國防安全的高科技團對，前一場仗才剛打完，就開始想下一個戰爭要怎麼打。

最近熱門事件莫過於美國和伊拉克的戰爭。前幾天最大的新聞是海珊被炸死，海珊原來在一棟建築物開會，美國透過衛星得到情報，12分鐘後開始轟炸，這樣的場景看似簡單，背後的科技是非常複雜和困難的，這就是速度，美國之所以成為全球獨強，就是因為他的競爭力。

全球新科技幾乎來自美國軍方，如網路、通訊科技等。1996年有機會參觀美國一個空軍基地，看到高科技背後龐大的資料庫和精準的分析技術，飛機展開後有非常多零件，F51有5萬多顆零件，F16有20多萬項零件，連同物理材料規格、特性都有建立，所有資料都有，整合成龐大的資料庫。

美國掌握資訊的能力非常強。我們陸軍擁有的夜視鏡，美國比我們都還清楚。921時，位於南投的軍方倉儲中心被震垮，為了應付李前總統去視察，把倉儲管理時程壓縮，過去的倉儲秩序全部亂掉，夜視鏡找不到，計畫跟美國買，他們能精準地說出臺灣過去購買的時間和數量。國家或企業要有競爭力，核心優勢在哪裡？

從上述例子來看，美國軍方運用高科技，在情報資訊整合做得相當精準，靠資訊流掌握速度。資訊流快、暢通時，才可以談速度。如果以這次美伊戰爭為例，為什麼美國軍方能精準地轟炸地面建築物？因為軍方已經把重要的建築物圖形檔存入資料庫，指揮中心一下令，指定攻擊標地，透過衛星傳播，短時間內就能把地面物摧毀，這是所謂的「精準接戰」。

有沒有可能誤擊呢？有可能的。會導致精準接戰失誤的原因，可能是GPS瞄準錯誤，可能是資料庫的問題，也可能是原始檔有誤差。第二次世紀大戰時，美軍打越戰還允許誤差值為100公尺，現在規定不能有閃失，這是為什麼伊拉克不堪一擊的主因，美國對目標信息掌握得非常清楚，因為後端很大很完整的資料庫，提供的訊息能充分支援前端，讓指揮者快速作決策，下達並命。我們也有資料庫，但是要什麼找不到什麼。

高科技和資訊流兩項因素是美國國防主要競爭力。金融業或高科技產業都一樣，製造業要達到98％訂單要在三天內出貨的目標，首先要將資訊整合，把後面的基礎建設搭建起來。過去三軍各不相屬，現在強調聯合作戰，現在很多企業也會面臨相同的問題，營業員是營業員，後面的生產製造者是生產，技術是技術，資源沒有相乘效益，應該配合起來才有很強的戰力。

要如何讓大家團結起來？要做到整合或是兼併，目標有幾個，就是要掌握顧客。金控整合主要目的是降低成本，我們要想，交叉銷售怎麼創造商機？怎麼有效地服務客戶？怎麼降低成本？怎麼讓新產品快速上線？金控公司應該思考這些事情。

金控整合多樣化的金融業務，銀行體系會接到外匯，來自不同通路的訊息，後端不同主機接收不同來源的訊息，複雜度高，整合度相對也提高。而且多數銀行環境是專屬系統上線慢，資料庫整合面也複雜，要解決資訊整合的問題，就是把所有資訊整合在同一處，單純化、標準化，國泰集團2002年就開始整合計畫。

國泰人壽有850萬保戶，加上世華銀行用戶共有1200萬戶，除了電信局或戶政事務所，資料最豐富齊全應該是國泰人壽。這麼多資料，如何知道顧客要什麼？建置資料倉儲做資料彙整、分析，對客戶的行為模式有更多的了解。這就是要作到精準接戰。

第二，部隊打前鋒，要有龐大的後勤支援系統，客戶關係管理或資料倉儲放上網路，壽險業務員可以直接上網查詢客戶資料，分析過的資料會告訴你客戶需要什麼，能精準地知道目標，公司也能隨時提供彈藥作戰。

第三，要有好的網路建設，國泰重新調整寬頻花1億多元，全省四百多個點構成VPN投資一億多元，資料倉儲一億多元，異地備援在高雄，為了更有效的監控，更在內湖建置企業控管中心，投資金額約1.8億元。這幾個簡單的數據，是想要告訴大家，要增加競爭力，就要捨得投資，投資不是浪費。

國壽兩萬五千多個業務員，外出前都要上網了解產品，提升個人競爭力。但是水能載舟亦能覆舟，贏得便利但也要顧及安全。過去安全就很重要，精神沒有變，只是使用方式改變而已，無線傳輸家解密、資料庫保護等，但家賊難防，透過技術只是消極的防止，但是道高一呎，魔高一丈，要使用更便利，可能就要投資更多的技術來防範。

國泰有兩萬五千多個員工，員工每天接到許多信件，其中有挖角的、有病毒的信件，公司要不要過濾，這又是另外一個問題。我們也有請顧問公司協助導入國家標準17799設定內部安全管理規範，包括內稽內控、員工離職、命令發布等，都有詳細的規定。我們花很多時間在內部監控，當系統和環境遭到破壞，就能很快恢復。

台北高雄同步更新的異地備援系統，每個租金每個月一千多萬，兩邊資料量都很大，租用的頻寬也要大，萬一這邊有狀況，那邊可以馬上運作，很多工作要同步進行，過去的網路架設如一層層星狀圖，如果臺北垮掉，所有連線都遭殃，現在用VPN，一個地點資訊系統當機，不會影響整體營運。

吳：所謂資訊安全包括技術面和管理面，是為了達成機密性、完整性和可取用性的目標，技術面除了市面上提供的安全產品，要做到完整的資安環境，實體環境的稽核和安全控管不可缺乏。

由於網路傳輸的便利，對網路的依賴性日深，開放的環境也讓使用者暴露在不可知的風險中。前年立法機構通過電子簽章法，確定數位簽章的合法性，許多廠商以為看到龐大商機，實際上建置CA真的會賺錢嗎？使用公開金鑰一定需要憑證嗎？答案都是不一定。

建置CA或作憑證的生意是不會賺錢的，因為牽涉到憑證的管理和推動，光建置環境就所費不貲，國外通常是非民間單位發放和管理憑證。

有關資訊安全技術的應用和爭議，如對稱密碼系統與非對稱密碼系統，何者比較安全？兩種都有人使用，但是討論非對稱密碼系統的人比較多，對稱密碼系統比較容易遭破解。另外，開放式系統和嵌入式系統相比較，因為開放式系統可以讓開發人員看到程式碼，清楚程式的漏洞，並可向開發社群尋求解決方法。