在计算机时代来临之初，很少人会想到远在另外一端的计算机会对自己的工作产生怎样的影响，然而，在 1988 年时，美国某大学生在 Internet 上启 了第一只 Internet Worm，造成许多计算机瘫痪之后，此事件也因此提醒了许多人，除了感到对 Internet 的方便 外，亦重新评估其所带来的风险与安全 。而 1999 年两岸黑客对打及 2000 年 2 月，美国知名网站如 Yahoo、eBay 及 Amazon 等遭受黑客攻击事件及 2001 年陆续发生的网络银行盗领件、黑客入侵券商网络下单系统事件、美中撞机引发中美黑客大战事件等则把酝酿已久的信息安全隐忧问题推上台面。

信息安全概述

1.信息安全的范围

在信息安全（ Information Security ）的领域 ，有三大议题常被探讨，见（图一），一个是「网络安全」( Network Security )，乃指企业或组织实际运作的信息系统与网络的安全防护，其所诉求的重点是实际运作的信息系统本身的安全防护，如访问控制、入侵检测等议题。

《图一 信息安全的范围》

另一个是「应用安全」( Application Security )，乃指合法客户在授权范围内的数据加密与身份验证等机制，其所诉求的重点是数据本身的加密机制与身份验证，透过CA ( Certificate Authority，认证中心)，做为统一标准的认证单位，在应用上包含网络传输的 SSL 及 VPN 加密信道及 PKI 等安全机制。

第三个则是管理系统的安全( Information Security Management Systems )，其乃指企业全方位观念的信息安全推 ，包括如信息安全政策、人员、实体与环境的安全、计算机与网络管理、系统访问控制、系统开发与维护、业务永续运作规划、政策法规遵行等。

2.信息安全事件的威胁与影响

根据美国 CERT 组织的统计，见（图二）美国经报导的网络安全事件件数新几年来呈现快速的上升趋势，2001 第一季及第二季的件数即己超过 15,000 件，预估全年将会达到 40,000 件。

《图二 美国经报导的网络安全事件成长图》

另外根据美国 BUGTRAQ 网络安全网站的统计，从 1998 年到现在，被发现的信息系统漏洞之数量大约增加了 6 倍，约从每个月 20 件到 2001 年一个月 120 件。

到底信息安全的问题，对企业将造成多大影响，我们可参考 2001 年美国 CSI/FBI计算机犯罪与计算机安全调查报告的数字。

85% 的受访公司（主要是大企业或政府单位）在过去 12 个月曾侦测到计算机安全事件。

64% 的受访公司坦承在计算机安全事件攻击中有实际的财务损失。根据 35% 愿意告造知并可数量化其财务损的受访公司之数据统计，平均每家的损失为 203 万美元（ 2000 年为 106 万美元）。

透过 Internet 联机做为网络事件攻击点的比率从 2000 年的 59%，上升至 2001 年的70%。

91% 的受访公司发现员工滥用 Internet 访问权限，如下载色情或盗版软件、或滥用 e-mail 系统（ 2000 年为 79% ）。

94% 的受访公司发现计算机病毒（ 2000 年为 85% ）。

综观信息安全事件黑客的 机，从恶作剧、好奇心、金钱利益、不满报复到经济及政治的利益均有可能。企业重视信息安全，不但可保护企业本身自己也可保护别人，避免自己的网站成为别人发 攻击的中继站，成为黑客的帮凶，未能建置安全防护设施的企业对企业所造成的伤害，小则网页被窜改，使企业的形象受损，大则导致企业利益上的重大损失，甚至倒闭或歇业。

另外对一个国家而言，Internetz 虚空间已经变成了新的战场，成为许多团体或国家的攻防角力场所，许多国家正在秘密推 破坏他国计算机系统的计划，美国国防部就曾指出敌人如今不必侵入美国本土，就可以对美国造成重大的破坏。可见信息安全的维护将攸关全民、企业、甚至国家之生存发展，企业信息安全意识、警觉 及专业能力的 乏，亦为目前信息安全工作的主要挑战之一。

信息安全需求类别

企业对信息安全的需求主要可分为「产品」及「服务」两个区隔。

信息安全产品区隔

企业或组织的信息安全，需要靠信息安全产品来达成，在目前环境中，这些产品是企业执行安全策略所不可或 的，企业安全政策决策者则是选择如何在成本及可得支持产品中配置资源。这些产品主要可分为八类，以下是这些产品的说明：

1.防毒( Anti-Virus )

病毒为 IT 系统的一大威胁，一般而言病毒的传播乃透过 e-mail、执行程序、宏及附件等。病毒侦测产品则扫描讯息串中是否有已知病毒，亦可用来补救受感染的档案。

2.加密( Encryption )

加密为最早的信息安全技术，现代加密方式乃是利用公开的演算规则，并完全依赖私钥来维护信息的机密 。

3.授权工具( Authorisation )

控制用户身份( Who )、使用时间( When )、使用地点( Where )及使用内容( What )，其工具可为软件（如密码）、硬件（如 Smart Card ）或生物辨识方式（如脸部辨识或指纹辨识）。

4.公共密钥基础架构( PKI ; Public Key Infrastructure )

PKI 为一认证的基本架构，使用公钥加密法，并透过一个值得双方信赖的第三者来颁发电子证书以达确认之目的。

5.防火墙( Firewalls )

防火墙提供对于服务存取的控制( Access Control )，但需注意的是，防火墙只负责管制服务埠( Service Port )的开启与否，至于流向服务器的 包内容，防火墙并不提供安全分析。

6.VPN ( Virtual Private Network )

VPN 是利用最新的 Internet IP 加密的技术，可以在 Internet 上建立虚拟的私有信道( Tunneling )，使中小企业能够在公众网络上架构虚拟且安全的企业内部网络。VPN 结合了加密( Encryption )、认证( Authentication )、密钥管理( Key Management )、电子证书( Digital Certification )等安全标准，来安全地传递企业信息。

7.安全评估( Security assessment )

安全评估产品主要是针对系统本身，检查并稽核系统上的安全状态，找出系统中现有的安全问题，并提出修复建议。

8.入侵检测( Intrusion detection )

入侵检测产品 视记录网络上可能攻击系统的行为事件，当违反安全政策之存取或入侵行为发生时，能提供实时的处理与反应机制。例如用户多次利用不同密码试图进入系统行为、扫描系统管理者改变系统参数或重新装配防火墙的行为、扫描从恶名昭彰的 IP 地址或 URLs 来的讯息。

信息安全服务区隔

光有产品是不够的，由于企业或组织的系统管理者 乏对信息安全建置及整合的能力，或无法有效执行信息安全相关产品，因此也产生了对服务市场的需求。

服务市场主要可分为三类，分别为专业服务（ Professional Services ）、系统整合（ System Integration ）及认证服务（ Certification Services ）。

1.专业服务

主要是提供教育训练、风险评估、系统设计、技术管理及设定访问权限等服务。

2.系统整合

主要是提供实体的安装及执行服务。

3.认证服务

提供如身份认证、交易认证及企业信任标章认证等服务。

企业信息安全管理策略规划

防黑客并不等于信息安全，企业信息安全工作要从管理准则全方位观念永续推 ，1995 年英国即订定「信息安全管理实务准则」之国家标准 BS7799，2001 年此信息安全管理认证正式成为 ISO 17799 国际标准，该准则共分十大项，见（图三），包括信息安全政策、信息安全组织、信息资源的分类与控管、人员安全、实体与环境安全、计算机与网络管理、系统取存控制、系统发展与维护、业务永续运作规划、政策法规遵行。

《图三 信息安全管理准则》

制定完善的「安全政策」，应该包含三个阶段，即政策阶段、运行时间与产品阶段，企业应先评估其内部状况与需求，定出一个适合可行的政策，配合防火墙与入侵检测等安全系统的配置，再加上良好而持之以恒的系统管理制度及确实的执行，方能有效解决骇所带来的困扰与威胁。

根据 BS7799 对信息安全要求的定义，信息安全仍保护信息免于大范围的威胁以确保业务永续、商业损失极小化及投资报酬与商业机会极大化。可见再好的信息安全建置、再完密的企业，一样面临黑客入侵的威胁。一般而言，企业应追求的是适质适 的信息安全，若能维持 95% 的安全 ，让黑客知难而退，或让企业在遭到入侵时所受的损失，控制在可以预期及忍受的范围之下，这对于一般企业而言或许已经足够。

企业信息安全的评估需要同时考虑机密 ( Confidentiality )、完整 ( Integrity )及可用 ( Availability )，企业并依组织安全管理目的重要 选择工具以解决问题。举例而言，见（图四）。

《图四 企业信息安全产品建置》

1.对提供Internet上电子型录公司

公司安全机制以防止网页被窜改及防止系统被安装后门程序为目的，因此防火墙、防病毒软件及安全评估等安全产品，应是公司建置的重点。

2.对提供 Internet 上数据查询的公司

一般而言，由于数据查询已经具备某些数据库链接的机制，因此就必须防止数据的外流及系统的入侵行为，公司除了防火墙、防病毒软件及安全评估等安全产品的建置外，加密及入侵检测等安全产品亦为公司考虑的重点。

3.对提供 Internet 上商务交易的公司

交易 网站应最重视网站安全机制，由于电子交易系统上，必须强调用户身份辨识的不可否认 ，所以公司应在前述各项安全产品外，再加强身份辨识的产品及 PKI（ Public Key Infrastructure，公钥基础架构）的机制。

我国信息安全市场发展关键议题

企业信息安全投入的多寡是不分行业及领域的，端视使用单位对信息安全需求的程度。虽然目前国内已有许多行业陆续投入信息安全建置，开办相关业务，但截至目前电子商务交易安全之未来发展，仍有部分不足之处有待加强，列举说明如后：

1.电子文件之法效问题

世界各国为建立安全及可信赖之电子交易环境，普及电子商务之应用，莫不致力于推 与电子签章相关之立法工作，我国则早在 1997 年即由经济部即委托资策会科技法律中心进行电子签章法之研究，目的即是希望透过电子签章法，确定电子签章及电子文件之法律效力并建立凭证机构之管理制度及主管机关之权责，但至目前为此，电子签章法仍仅只通过一读的程序。

事实上，目前政府电子化公文是透过政府公文程序条例赋予法律效力，网络银行业务则是由于目前银行法并未排除用电子模式的交易方式，财政部因此扩大解释银行可执行网络银行的业务；网络券商则是由于透过证交所修正相关营业细则方能办理网络下单业务。而除去上述相关规范，目前政府对企业或是企业对企业间的电子文件效力，几乎无法可循。如此看来，目前赋予电子讯息等同于实体证据，并具有法律位阶，以至在发生纠纷时，法官判断能有所依据的电子签章法实有尽速完成立法工作之必要 ，如此方能使网络交易更加流行。

2.PKI 观念有待推广

2001 年 4 月，国内发生首宗网络银行遭人入侵盗领事件，使得 SSL 安全机制受到质疑，该事件中网络银行只设计用户账号与密码的机制，另一方面客户亦将账号与密码设的过于简单，为这次事件发生的主要原因。2001 年 7 月，刑事局亦侦破国内首宗黑客入侵券商网络下单系统取得重要客户账号及密码，再冒客户之名进行网络下单牟利的事件。

PKI 机制虽然满足了信息安全的基本要求，但其使用或申请手续之繁杂，常导致客户或业者为求便利，而宁可牺牲一些安全。目前无论个人或企业，虽然都认同安全的重要 ，但对 PKI 的使用经验仍属 乏，因此提升全民对电子商务及电子签章认知与接受与否，亦为另一重要课题。

3.交互认证问题有待解决

即使电子签章法解决了 CA 的设立与管理问题，但是试想若国内 CA 间所使用凭证无法兼容适用，对于用户将徒增许多复杂与不便，另外由于电子商务多为全球跨国界行为，因此 CA 与 CA 间及国与国之间 CA的交互认证问题亦有待解决，而这其中所涉及的问题除技术层面外，政治与经济利益等因素也是业者或国家考虑的重点。

目前国内相关专家学者已考虑三种可行方案，即 Root CA、Bridge CA 及 OCSP ( Online Certificate Status Protocol ) Responder（即凭证状态在线查询，如IDENTRUS.COM ）。无论未来国内会以介入公权力方式设立 Root CA，建立统一之国家总凭证管理中心来解决 CA 交互认证问题，还是尊重并依循市场发展机制，如identrus.com 的发展模式，提供一数据查询平台，供一般用户从在线查询数字证书合法 及有效 ，均将使得国内凭证相关业务朝更多元化发展。

4. 建立信息安全管理与稽核准则

国人目前对信息安全的投入程度，大多仅为「拥有不错」（ nice to have ）的观念，企业从此观念提升至「必须拥有」（ must have ），除了因为企业本身受到黑客入侵的切身之痛外，决策者对信息安全的警觉 及政府安控水平的建立亦为重要的因素。

在政府安控水平方面，除前述的电子签章法外，在信息安全管理与稽核准则方面，目前国际上已有由英国标准协会( BSI )所提出的 BS 7799，而这项标准的第一部分也己被 ISO 纳入，成为 ISO 17799 的信息安全实施标准草案，不过值得一提的是， BS7799 的第一部分信息安全管理实施细则，其虽可作为系统规范要求的最佳应用指南，但不能做为验证标准，而其第二部份信息安全管理系统规范，方可作为整个组织或部份单位其信息安全管理系统评估的基准，即做为一个正式验证的标准。

国内目前除应参考 I SO17799 信息安全管理准则建立相关国家标准外，针对不同行业或领域建立不同安全需求等级并落实稽核制度，协助各组织建立此信息安全管理系统并通过认证，亦为相关单位不可忽视之重要工作。

（作者任职于资策会信息市场情报中心，联络信箱为：ava@iii.org.tw ）