資訊系統的安全早在電腦運用一開始即已存在,如RSA的安全標準在1970年時就己制定出來了,但網路安全或資訊安全成為一個獨立而重要的課題,卻是在網際網路興起之後。上期本刊特別企劃的熱門話題-「網路攻防戰」中,已有多位專家針對網站安全提出了防禦作戰之道,但如何從全觀的角度來認識網路安全呢?本期專訪了國內在此領域具有專精技術的三家廠商高層主管,即台華科技協理陳炳富、宏瞻資訊副總經理陸朝中及新波科技副總裁谷振國,分別提出了他們長期來的觀察與建言。
資訊安全產業成形
台華科技為國內第一家以自有防火牆品牌通過國際ICSA安全認證的本土性公司,該公司的訴求即是要將技術紮根在台灣,並以台灣品牌打入國際市場。目前該公司正極力推動台灣資訊安全產業的成形。陳炳富表示,資訊安全的技術市場,若以產業的角度來區分,則可以劃分為三個大類,那就是加解密、週邊設備和系統安全的三大產業。
他強調加解密的產業在國內應受到更大的重視,因為在美國是把它視為武器之一,進出口都受到嚴密的管制,而國內則多屬於學術研究的工作,產品化的程度太低。其內容則包括安全協定,如SSL、SET的研究、應用和授權認證等。
資訊安全的週邊設備是大家較熟悉的產業,其內容包括防火牆、VPN和Access Control等。系統安全則包括作業系統安全(OSS)的強化、入侵偵測監控和安全管理(Security Management)等,陳炳富預期安全管理會是未來愈來愈受重視的一項服務。因為企業導入資訊安全措施,必須制定安全政策,但為確保做的和說的是同一回事,有必要透過如同ISO標準中的稽核程序來監督達成。
宏瞻陸朝中也提出了相同的看法,他認為網路或資訊安全的管理其實和過去的品質管理沒有兩樣,都必須獲得高層的承諾和全力支持,才能由上而下的推動;也同樣永遠存在著改善的空間,但必須透過外部專家的稽核、診斷、改善報告與輔導等措施來不斷提昇水準。因為資訊安全已是企業競爭力的重要一環,所以嚴謹的態度會是值得而必要的。
宏瞻資訊是由資策會、IBM和員工所共同集資成立,陸朝中相當自豪的指出,該公司員工中有95%以上是公司的股東。而該公司除了在系統整合上具有相當的專業,更強調研發和自有產品的推出,其中電子資訊安全、保全是他們極專注的重點,目前的產品包括了電子文件保鏢、檔案保鏢、網路保全系統、網路安全診斷服務及IC卡讀卡機等。
智財權應受保障
陸朝中指出這些產品的發展是因應他們對於資訊安全議題的觀察,他分析資訊安全的議題可以分為三點,即防止駭客入侵、竄改、中斷等網路實體的安全;和網路交易的安全,如SSL及SET的安全措施;以及資料及智慧財產權的保全。
他認為在網路交易的安全上,很多人以為採用了SSL就已足夠,但其實它只能做到網站對網站(Site to Site)的安全,卻無法做到個人身份的辨識。而真正資訊安全的目的是要能做到資料的保密性、不可否認性和一致性。另外,在資料及智慧財產權的保全上,則是目前不太被提及的議題,但他認為和前兩者具有相同重要的地位,而此議題中要達成的重要內容,包括檔案資料保密,即放在資料庫中不會遭人更動;會員資料的保全;另外則是傳送檔案的保護,舉例來說,電子薪資單用在公鑰加密的狀況下傳送,只有特定人可以打開,或是限制網頁或傳送資料的性質,如只能看不能印,或只能印幾次。
關於應如何考量導入安全的作法,陳炳富認為這和企業使用網路的目的是否為營利性質,在作法上會有很大差異。若僅是加值的應用,如電子郵件、WWW、FTP等,那採購防火牆等週邊設備或許就已足夠,但若是電子商務網站,那就應該考慮導入完整的安全措施,包括加解密技術、CA Server等。
對於目前國人在資訊安全的觀念上,陳炳富和陸朝中都提到了正確觀念、習慣的缺乏,極需要透過教育和輔導來導正這些錯誤。陳炳富指出,目前很多企業採購資訊安全產品都抱持著崇洋媚外的心態,以為只要買到最知名品牌的產品,就能保障安全,而即使真要出了事,也可以向企業主推卸掉責任,因為若第一品牌都會出事,那也真的沒有辦法了。結果這只是花了一堆冤枉錢,對於安全一點幫助都沒有。他認為最好的方式是認真去了解安全產品的功能特性,因為其實國內外產品的差異性已不大,重要的是要讓它真正能發揮功效。
(網際先鋒2000.4月號71期)