资讯系统的安全早在电脑运用一开始即已存在,如RSA的安全标准在1970年时就己制定出来了,但网路安全或资讯安全成为一个独立而重要的课题,却是在网际网路兴起之后。上期本刊特别企划的热门话题-「网路攻防战」中,已有多位专家针对网站安全提出了防御作战之道,但如何从全观的角度来认识网路安全呢?本期专访了国内在此领域具有专精技术的三家厂商高层主管,即台华科技协理陈炳富、宏瞻资讯副总经理陆朝中及新波科技副总裁谷振国,分别提出了他们长期来的观察与建言。
资讯安全产业成形
台华科技为国内第一家以自有防火墙品牌通过国际ICSA安全认证的本土性公司,该公司的诉求即是要将技术扎根在台湾,并以台湾品牌打入国际市场。目前该公司正极力推动台湾资讯安全产业的成形。陈炳富表示,资讯安全的技术市场,若以产业的角度来区分,则可以划分为三个大类,那就是加解密、周边设备和系统安全的三大产业。
他强调加解密的产业在国内应受到更大的重视,因为在美国是把它视为武器之一,进出口都受到严密的管制,而国内则多属于学术研究的工作,产品化的程度太低。其内容则包括安全协定,如SSL、SET的研究、应用和授权认证等。
资讯安全的周边设备是大家较熟悉的产业,其内容包括防火墙、VPN和Access Control等。系统安全则包括作业系统安全(OSS)的强化、入侵侦测监控和安全管理(Security Management)等,陈炳富预期安全管理会是未来愈来愈受重视的一项服务。因为企业导入资讯安全措施,必须制定安全政策,但为确保做的和说的是同一回事,有必要透过如同ISO标准中的稽核程序来监督达成。
宏瞻陆朝中也提出了相同的看法,他认为网路或资讯安全的管理其实和过去的品质管理没有两样,都必须获得高层的承诺和全力支持,才能由上而下的推动;也同样永远存在着改善的空间,但必须透过外部专家的稽核、诊断、改善报告与辅导等措施来不断提升水准。因为资讯安全已是企业竞争力的重要一环,所以严谨的态度会是值得而必要的。
宏瞻资讯是由资策会、IBM和员工所共同集资成立,陆朝中相当自豪的指出,该公司员工中有95%以上是公司的股东。而该公司除了在系统整合上具有相当的专业,更强调研发和自有产品的推出,其中电子资讯安全、保全是他们极专注的重点,目前的产品包括了电子文件保镖、档案保镖、网路保全系统、网路安全诊断服务及IC卡读卡机等。
智财权应受保障
陆朝中指出这些产品的发展是因应他们对于资讯安全议题的观察,他分析资讯安全的议题可以分为三点,即防止骇客入侵、窜改、中断等网路实体的安全;和网路交易的安全,如SSL及SET的安全措施;以及资料及智慧财产权的保全。
他认为在网路交易的安全上,很多人以为采用了SSL就已足够,但其实它只能做到网站对网站(Site to Site)的安全,却无法做到个人身份的辨识。而真正资讯安全的目的是要能做到资料的保密性、不可否认性和一致性。另外,在资料及智慧财产权的保全上,则是目前不太被提及的议题,但他认为和前两者具有相同重要的地位,而此议题中要达成的重要内容,包括档案资料保密,即放在资料库中不会遭人更动;会员资料的保全;另外则是传送档案的保护,举例来说,电子薪资单用在公钥加密的状况下传送,只有特定人可以打开,或是限制网页或传送资料的性质,如只能看不能印,或只能印几次。
关于应如何考量导入安全的作法,陈炳富认为这和企业使用网路的目的是否为营利性质,在作法上会有很大差异。若仅是加值的应用,如电子邮件、WWW、FTP等,那采购防火墙等周边设备或许就已足够,但若是电子商务网站,那就应该考虑导入完整的安全措施,包括加解密技术、CA Server等。
对于目前国人在资讯安全的观念上,陈炳富和陆朝中都提到了正确观念、习惯的缺乏,极需要透过教育和辅导来导正这些错误。陈炳富指出,目前很多企业采购资讯安全产品都抱持着崇洋媚外的心态,以为只要买到最知名品牌的产品,就能保障安全,而即使真要出了事,也可以向企业主推卸掉责任,因为若第一品牌都会出事,那也真的没有办法了。结果这只是花了一堆冤枉钱,对于安全一点帮助都没有。他认为最好的方式是认真去了解安全产品的功能特性,因为其实国内外产品的差异性已不大,重要的是要让它真正能发挥功效。
(网际先锋2000.4月号71期)