2011重要IT事件No.61~70

 61  硬碟廠商推伺服器I/O加速技術

儲存廠商EMC和NetApp在2011年都分別推出伺服器端的快取技術。EMC稱為「Project Lightning」 計畫，而NetApp則稱為「Mercury」 計畫。

「Project Lightning」 計畫即為在資料中心前端伺服器安裝Flash PCIe介面卡，先為後端儲存設備作快照與儲存動作。此外「Project Lightning」還具備分散式快取一致性（Distributed Cache Coherency，DCC）技術，可讓安裝在多臺伺服器中的Flash快取，整合成後端儲存設備的單一快去，各伺服器Flash快取資料可共享，回應各臺伺服器的讀取要求，達成存取效率的最佳化，以加速儲存整體的反應時間。

「Mercury」技術計畫則立基於虛擬化平臺運作，在Linux KVM虛擬化平臺之下，虛擬機器內裝的SSD儲存空間一樣可先作為後端儲存設備的快取記憶體功能。

NetApp表示，「Mercury」伺服器前端的快取技術，可減少近40%的平均I/O服務時間，且能減少近50%的伺服器存取底層磁碟需求。伺服器不需大量存取底層磁碟，存取動作即可完成，寫入儲存設備的延遲時間也可大幅減少。文⊙曾筱媛

 62  硬碟廠商整併大搬風

2011年多家硬碟廠商相互併購戰局開打，威騰電子（Western Digital，WD）率先於3月宣布以43億美元收購日立環球儲存科技（Hitachi Global Storage Technologies），此併購案將於2012年3月完成，待合併案確立後雙方勢必展開產品線整併。

另外希捷（Seagate）與三星（Samsung）於2011年12月共同宣布合併案的確立，未來三星所產個人電腦、筆記型電腦等產品將會採希捷硬碟產品。文⊙曾筱媛

 63  硬碟磁區全面採用4K先進格式

從2011年起硬碟容量磁區配置格式將由512位元組大幅進展到4096位元組的先進格式（Advanced Format），眾多硬碟廠商包括Seagate、WD、Intel、Microsoft、Dell、HP、Lenovo等都已宣布支援此計畫。新磁碟規格將衝擊舊式不支援新規格作業系統的用戶，例如Windows XP等作業系統因不相容於先進格式磁區配置，而可能發生系統讀取檔案錯誤等情況。希捷、WD等廠商都有推出相關技術因應轉換過渡期。⊙曾筱媛

 64  Thunderbolt磁碟陣列問市

世界首款採Thunderbolt傳輸介面的儲存產品Pegasus在2011年由喬鼎資訊首度推出。Thunderbolt傳輸介面為英特爾開發的新傳輸技術，傳輸速度較以往快速，可相容於現有USB、SCSI、SATA、PCI Express等匯流排裝置。

此次由喬鼎科技開發的Pegasus磁碟陣列產品具備4槽和6槽的儲存規格，喬鼎科技表示，Thunderbolt新傳輸介面效能比起過去Firewire傳輸介面效能高出8倍。Pegasus產品主要目標客群為有高速資料傳輸需求的使用者。

此外蘋果電腦2011年在新款MacBook Air、MacBook Pro、iMac上配備Thunderbolt傳輸介面，提供更快速的I/O傳輸效能。蘋果表示傳輸速度上看10Gb，比USB 2.0快20倍，供使用者選擇。文⊙曾筱媛

 65  新版個資法實行細則草案出爐

新版個人資料保護法（簡稱個資法）施行細則自從2011年10月27日至11月9日進行草案預告後，法務部在彙整各方意見後，預計在12月底前送交行政院進行審查。不過，時值選舉期間，法務部就算將個資法施行細則草案送交行政院，政院也無法處理後續作業。

至於新版個資法通過的時間，法務部法律事務司科長黃荷婷表示，根據新版個資法第27條第3項規定，各目的事業主管機關則要針對非公務機關訂定「個人資料檔案安全維護計畫」或「業務終止後個人資料處理方法」等相關規範。她指出，由於各目的事業主管機關目前都還在制定相關辦法中，新版個資法正式施行的時間，至少會在2012年6月過後。

新版個資法和現行的電腦處理個人資料保護法最大的差異點在於，打破原本只有電腦處理的個資才需要受到保護以及行業別的限制，新版個資法納入紙本資料，並且每一個行業別，不分大小和種類，一體適用新版的個資法。在新版個資法中，為了保障受害者的權利，更採用舉證責任倒置的原則，一旦有個資外洩事宜，企業必須證明對於受害者的個資，已經善盡保護之責。此外，新版個資法也加入了原本在消保法中才有的團體訴訟機制，讓受害者可以透過團體訴訟的方式，保障自我的權益。

也因為新版個資法規範較現行法律嚴格，不僅民事賠償上限總額拉高到2億元，刑事責任的處罰，不只是處罰意圖販售個資營利者，連只要在個資的蒐集、處理、利用有違法之虞者，都會面臨2年以下的刑事責任。這樣嚴重的民、刑事責任，更讓企業面對新版個資法來臨，顯得戰戰兢兢。

個資法施行細則草案中，面對企業最為在意的告知義務和書面同意規定，採用較為放寬的規定。根據法務部的說法，對於企業應盡的告知義務方式，採較為寬鬆的認定。

新版個資法施行細則第13條便明訂，「告知之方式，得以書面、電話、傳真、電子文件或其他適當方式為之。」其中，做到「一對一告知」才是真正的關鍵所在，並不論其採用何者方式，包括網站的契約規範、電子郵件、簡訊、MSN，甚至使用手機App軟體告知等。只要可以滿足一對一告知當事人的規定，企業並且對於所有的告知方式都能做到自負舉證責任即可。

新版個資法規定嚴格的書面同意規範，讓許多企業擔心，取得當事人書面同意的方式，將增加企業營運的成本。根據經濟部商業司的說法，只要這些代表書面同意的電子文件內容可以完整呈現，並可於日後取出供查驗者，經相對人同意，都可以採用電子文件的方式作為書面同意所需。

而為了避免企業在取得當事人對於個資蒐集、處理、利用的同意意願，被混雜在文件的字海中，細則草案中，也特別規定，企業在提供當事書面人同意個資處理的方式時，必須是使用不同的紙張，或者是將當事人同意的區塊特別獨立標示出來，讓當事人一眼就清楚看到同意或不同意授與企業處理個資的意思表示區塊。

同時，當事人也同樣享有拒絕企業利用其個資進行行銷的權力。新版個資法第20條第2項和第3項便規定，非公務機關利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。且非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。鍾瑞蘭表示，對於非公務機關針對當事人的行銷手法，非公務機關應該要提供給當事人免費拒絕行銷的管道。文⊙黃彥棻

法務部法律事務司科長黃荷婷表示，根據目前相關配套法案的制定進度，新版個資法至少要2012年6月後，才可能正式實施

 66  商業司試辦資料隱私保護標章

隨著新版個人資料保護法的公布，在尚未正式施行前，由於該法對各行各業都造成極大的衝擊，經濟部商業司便委託資策會科技法律研究所仿效日本，制訂臺灣版的「資料隱私保護標章」（DP Mark）。不過，第一波試辦企業是臺灣10家電子商務業者。

不過，企業若要取得「個人資料隱私保護標章」，必須先導入一套針對新版個資法制訂的個人資料管理制度與規範，稱之為「臺灣個人資料保護與管理制度（TPIPAS）」。文⊙黃彥棻

 67  政府成立國家級資安單位

現在一國的國力強盛與否，除了傳統的軍事武力和經濟強弱之外，網路的力量也成為一種新興的國力評估指標。而一個國家的安全，除了實體的安全外，網路安全和網路犯罪也都包括在內。因此，政府在2011年年中成立了2個國家級的資安單位，一個是隸屬總統府國家安全會議下設一個資通安全辦公室，行政院則在負責推動國家資訊通信安全政策的國家資通安全會報下，成立「行政院資通安全辦公室」，設立網際防護及網際犯罪偵防2個組別。由於新設的2個單位層級都高，也意味著政府認同網路安全等同國家安全的前提。文⊙黃彥棻

 68  駭客攻陷數位憑證，安全性存疑

數位憑證向來是安全的象徵，但2011年陸續傳出多起數位憑證中心遭駭客入侵，導致數位憑證遭偽冒或失竊，都讓數位憑證的安全性搖搖欲墜。首先，2011年3月，美國數位憑證公司Comodo日前傳出有歐洲地區的數位憑證遭到偽冒，受害對象包括mail.google.com、www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com及global trustee等7個網域，總計9個SSL數位憑證遭到偽冒。

到了7月，則傳出荷蘭數位憑證中心DigiNotar遭入侵，有200個假憑證遺失，包括Google、Yahoo和Mozilla。數位憑證雖然安全，但在管理上並不嚴謹，在11月則有資安公司發現，有馬來西亞政府發的數位憑證在惡意軟體中被發現。文⊙黃彥棻

 69  Android手機安全問題頻傳

隨著Android手機的普及，相關的安全性也引發關注。最常見的資安威脅是，駭客利用Android Market沒有嚴格審查上架App的特性，在上架App中隱藏惡意連結；另一方面，Android手機App可以獨立安裝的形式便於任意流通，讓使用者自行安裝，所以，在許多中國論壇中，提供的許多「中文化」或「破解版」免費下載的應用程式中，都隱藏了惡意程式。

除上述兩種Android手機惡意程式的感染管道外，更有外國媒體揭露，Android手機廠商HTC（宏達電）有多款手機，包括EVO 3D、EVO 4G、EVO Shift 4G、ThunderBolt及感動機等，內建新版韌體出現官方便利維修之用的後門程式。相對於封閉式的iOS手機作業系統，Android手機的資安風險則越來越高。文⊙黃彥棻

因為Android手機的App上架流程，並沒有如同蘋果App Store需要經過嚴謹的審核模式，加上可以自由安裝的特性，使得Android手機的App成為另類惡意程式的溫床。

 70  駭客竄改悠遊卡面值得逞

發行超過2,700多萬張的臺北捷運悠遊卡，在2011年9月遭臺灣駭客破解，這也引發許多人對於第一代Mifare晶片卡安全性的質疑。這起事件主要是有臺灣一名資安工程師，透過電腦和讀卡機的運算方式，破解悠遊卡金鑰的安全機制。成功破解後，該名資安工程師則將手邊的3張悠遊卡原本票面總值569元，全部竄改，並加值為9千元。

這個NXP公司推出的第一代Mifare晶片卡安全性的資安漏洞，原本已有學術理論基礎，臺灣曾經由臺灣大學電機系教授鄭振牟在臺灣駭客年會（HIT）上發表其論文中提及的破解方式。這次悠遊卡票面價值遭竄改，則是臺灣第一起駭客破解實際正在使用的第一代Mifare晶片卡安全性。

發行將近10年的臺北悠遊卡，在2011年傳出有駭客破解悠遊卡所使用的第一代Mifare晶片卡安全性，竄改票面金額、予以加值使用。不過，悠遊卡雖然是使用第一代Mifare晶片卡，除了原有記憶體內建的加解密演算法Crypto 1的安全防護外，透過基碼多樣化，每張悠遊卡的金鑰號碼都不一樣，要破解悠遊卡只能拿現成的悠遊卡來破解，無法把非悠遊卡當成悠遊卡使用。因為駭客一次只能破解一張悠遊卡，且需要花費很長的運算時間，無法大量複製已破解的卡片使用，讓悠遊卡可以維持較高的安全性。

另外，維持悠遊卡高安全性的作法還包括，透過前臺讀卡機設定檢查流程，藉此判定有問題的卡片；後臺進行每天悠遊卡的交易查核，若有異常資料則會先進行鎖卡。

由於第一代Mifare卡每個金鑰長度太短，只有48位元，相較金融相關的應用都要112位元以上，有心人士就可以購買市面上的RF讀卡機，用暴力方式解開密碼，預計從幾個月～2年左右，可以破解 Mifare金鑰。

因為臺北捷運公司所使用的悠遊卡，原本就是以交通應用為出發點，Mifare資安專家認為，第一代Mifare卡的安全性是足夠的，但是當悠遊卡也可以進行小額支付的功能時，就必須使用類似二代金融卡、晶片信用卡等內建3DES、AES或RSA先進加解密標準的晶片卡，才能提供較高的安全度。文⊙黃彥棻

目前臺北捷運公司使用的悠遊卡，是第一代NXP公司的Mifare晶片卡，若只有交通用途其安全性是足夠的，但若擴大到金融支付，現有晶片卡安全性則不足

相關報導請參考「2011大回顧：年度重要IT事件100」