臺灣資訊安全的第一道防線─TWCERT/CC

為了防止電腦犯罪與資訊安全危機發生，每個國家都有獨立的CERT組織，目的是希望能加速順利處理危害網路安全的相關事件，並提高該國對資訊安全的重視度，也能確保能即時排除資訊安全等議題，例如德國（DFN-CERT）和韓國（CERT-kr）等都有相關CERT應變單位，臺灣也不例外，TWCERT/CC（Taiwan Computer Emergency Response Team/ Coordination Center）就是臺灣統籌管理協調資安相關資源，並協助處理安全事件的組織，蔡更達則是技術服務組組長，除了協調及研究資訊安全議題外，也是TCSE（TWCERT/CC Certified Security Engineer）課程老師。

學術研究的安全處理單位
TWCERT/CC原名台灣電腦網路危機處理暨協調中心，成立於87年7月，是中山大學旗下研究發展中心的組織成員之一，提供國內外資安組織協調、訂閱資安電子郵件及資訊安全通報等服務，約在三年前更首創臺灣資訊安全認證課程，目前共有TCIS（TWCERT/CC Certified Internet Safe-user）、TCSE、TCSM（TWCERT/CC Certified Security Manager）及TCCF（TWCERT/CC Certified Computer Forensics）等4種，都以線上學習課程為主，蔡更達則是臺北辦事處的駐點人員，一手包辦技術服務、業務推廣與研究發展等事宜。

成立之初，TWCERT/CC由國家經費補助，具官方色彩，現在則是學術研究與民間單位，經費來源大多從認證課程提供，只是目前無論是民間或政府單位都有資訊相關教學單位，單純從資訊安全出發，會不會朝小眾化發展呢？蔡更達覺得，雖然一般企業資訊部門大多是協助的角色，但是電腦網路已經成為企業發展過程中必備的基礎建設，雖然資訊安全議題更狹窄，特別是在臺灣中小企業只有1人的資訊部門中，資安議題的優先權可能更低的情況下，老闆可能根本不願意花費處理，MIS也無心力顧及，但是資訊安全也已經單純從資訊部門的職責，延伸至各部門人員都必須觀注的議題，因此，學習處理資安問題不再只是資訊部門，而是一般大眾都必須了解，TCIS則是基礎入門課程，也是希望能延伸資安到各種層面。

以他自己為例，原本攻讀企管，興趣使然轉向網路與資料庫發展，雖然不管資料庫版本如何變化，基本的概念都相同，是一條可以長久發展的道路，不過一般人只能接觸到較低階的資料庫，沒有機會觸碰高階核心資料庫。蔡更達在無意中，發現資訊安全越來越重要，而且還觸及各層面，才轉向網路及安全方面發展，而且這是一條每天都在變化的路途，每個人都能參與，知識不會只存在某些人腦海中。

一路走來，步步艱辛
TWCERT/CC也有提供弱點掃描委外服務，不過外界質疑他們是找研究生負責，造成企業不敢委外給TWCERT/CC處理，蔡更達則認為，TWCERT/CC原本就是以研究為導向的組織，提供的是服務、並不是產品，也是希望帶領學生在學習過程中，了解問題發生的原因，讓他們將來出社會都能獨當一面，就算沒有企業願意委外給TWCERT/CC處理，他們還是會研究資安相關議題，而且臺灣不能沒有CERT組織，因為當國外組織有任何資訊安全的問題，都會先找當地的CERT統一協助處理。

例如2004年3、5月間，菲律賓CERT發現有個網頁模仿當地某家銀行的網路系統，類似網路釣魚的手法，讓消費者在不知不覺情況下，洩漏個人資料，最後追查主機來源在臺灣，第一時間就通知TWCERT/CC，再由他們通報網路服務供應商，查詢可能被入侵的主機，並做適當處理。或許在資訊安全議題上，追查問題來源太困難，特別像國際間的問題，但是至少必須即時處理問題主機及網路，減少帶來的影響。

分析遭入侵的系統，了解網路系統的問題
當企業主機遭入侵時，一般人可能為了馬上提供服務，就清除系統記錄，重新啟動服務，蔡更達建議，首先要先卸下主機並移除硬體，用另一臺電腦分析此硬體的作業系統、應用程式、服務記錄等資料，並找出企業中與此遭入侵主機類似的設備，觀察是否也被影響，也能提供將來預防安全問題的測試主機，尋找攻擊來源沒有什麼用處，而且耗費大量時間，網管人員則必須了解入侵手法與應對之道，並且時常注意每天發布的安全問題。而且透過分析入侵手法，也能了解企業網路主機的安全漏洞，進而增強資訊系統的防護。

此外，蔡更達認為臺灣企業最常發生的問題是沒有更新作業系統與應用程式、系統密碼太薄弱與資訊人員的筆記型電腦被入侵，以第3種最嚴重，一般認為資訊部門是安全防護的第一道關卡，但是他們的行動式設備卻是最大的漏洞，因為資訊部門的電腦通常是在資安政策以外的漏網之魚，當在外面被植入木馬程式，再拿回公司使用，很容易略過防禦線，造成資安更多的問題。

大家都知道安全漏洞，只是做與不做的問題
更新作業系統是最基本防護的方法，或許更新完成後，反而讓應用程式無法運行而不更新，但在這種情況下，也可透過雙層防火牆的方式處理，將應用系統放置在防火牆中間（非軍事區），以避免應用程式產生問題，雙層防火牆的設備則必須定期更新修補程式，確保防火牆系統不會產生漏洞，以上的描述是大家都知道的觀念，但是也許經費考量，很多時候無法盡善盡美，但是至少網管人員必須有相關的認知，才能減少問題發生，而且每個人都必須從習慣著手，杜絕漏洞來源。

此外，像IPv6、VoIP等基於IP位址的應用，將來都會有共通的漏洞問題，而Rootkit也很容易植入各種應用系統，因為許多應用系統的預設值為了方便操作，常拋棄安全性考量。無論是上課或進修，更要讓安全概念深入每個員工的習慣中，網管人員必須隨時補充這方面的知識。

與國外組織合作
TWCERT/CC也有與FIRES合作，協調各國CERT的合作，一旦發生問題，也能快速通報。不過，TWCERT/CC也開始與韓國KISA（Korea Information Security Agency），交流資訊安全相關觀念外，更極積開發Anti-Spam，除了交流各國家處理垃圾郵件的方法外，也希望能實作產品，雖然國內某家學校已經實作Anti-Spam硬體設備，但是大多是自己研發，少與其他國際性組織合作，蔡更達覺得，Anti-Spam必須提升有效阻擋率與減少誤擋率發生，必須與國際性組織合作，才能了解各國家如何處理垃圾郵件，以確保產品符合國際標準。文⊙蘇碩鈞

IT人物－蔡更達
TWCERT/CC技術服務組組長
●工作內容：發布安全通報、出刊與編輯電子月刊、處理群組會員服務、處理安全事件回報、提供諮詢窗口服務、辦理遠端掃描服務等事項，也負責研究新興入侵手法，目前為TCSE網路安全攻防實戰班教師。

公司檔案－TWCERT/CC
●成立時間：1998年。
●營業項目：防止電腦網路安全等危機，積極協助臺灣電腦網路安全相關事件、協助系統管理者診斷電腦網路安全漏洞、建置網站，並提供電腦網路安全資源、舉辦網路安全宣導等。

>>專家推薦IT 好書︰
在資訊安全方面，蔡更達最推薦Hacking Exposed一系列的叢書，從駭客的角度思考網路系統上的問題，而且裡面也會介紹一些實用工具，分析系統主機漏洞，臺灣已經有推出中文版。