在電腦時代來臨之初，很少人會想到遠在另外一端的電腦會對自己的工作產生怎樣的影響，然而，在 1988 年時，美國某大學生在 Internet 上啟 了第一隻 Internet Worm，造成許多電腦癱瘓之後，此事件也因此提醒了許多人，除了感到對 Internet 的方便 外，亦重新評估其所帶來的風險與安全 。而 1999 年兩岸駭客對打及 2000 年 2 月，美國知名網站如 Yahoo、eBay 及 Amazon 等遭受駭客攻擊事件及 2001 年陸續發生的網路銀行盜領件、駭客入侵券商網路下單系統事件、美中撞機引發中美駭客大戰事件等則把醞釀已久的資訊安全隱憂問題推上檯面。

資訊安全概述

1.資訊安全的範圍

在資訊安全（ Information Security ）的領域 ，有三大議題常被探討，見（圖一），一個是「網路安全」( Network Security )，乃指企業或組織實際運作的資訊系統與網路的安全防護，其所訴求的重點是實際運作的資訊系統本身的安全防護，如存取控制、入侵偵測等議題。

《圖一 資訊安全的範圍》

另一個是「應用安全」( Application Security )，乃指合法客戶在授權範圍內的資料加密與身份驗證等機制，其所訴求的重點是資料本身的加密機制與身份驗證，透過CA ( Certificate Authority，認證中心)，做為統一標準的認證單位，在應用上包含網路傳輸的 SSL 及 VPN 加密通道及 PKI 等安全機制。

第三個則是管理系統的安全( Information Security Management Systems )，其乃指企業全方位觀念的資訊安全推 ，包括如資訊安全政策、人員、實體與環境的安全、電腦與網路管理、系統存取控制、系統開發與維護、業務永續運作規劃、政策法規遵行等。

2.資訊安全事件的威脅與影響

根據美國 CERT 組織的統計，見（圖二）美國經報導的網路安全事件件數新幾年來呈現快速的上升趨勢，2001 第一季及第二季的件數即己超過 15,000 件，預估全年將會達到 40,000 件。

《圖二 美國經報導的網路安全事件成長圖》

另外根據美國 BUGTRAQ 網路安全網站的統計，從 1998 年到現在，被發現的資訊系統漏洞之數量大約增加了 6 倍，約從每個月 20 件到 2001 年一個月 120 件。

到底資訊安全的問題，對企業將造成多大影響，我們可參考 2001 年美國 CSI/FBI電腦犯罪與電腦安全調查報告的數字。

85% 的受訪公司（主要是大企業或政府單位）在過去 12 個月曾偵測到電腦安全事件。

64% 的受訪公司坦承在電腦安全事件攻擊中有實際的財務損失。根據 35% 願意告造知並可數量化其財務損的受訪公司之資料統計，平均每家的損失為 203 萬美元（ 2000 年為 106 萬美元）。

透過 Internet 連線做為網路事件攻擊點的比率從 2000 年的 59%，上升至 2001 年的70%。

91% 的受訪公司發現員工濫用 Internet 存取權限，如下載色情或盜版軟體、或濫用 e-mail 系統（ 2000 年為 79% ）。

94% 的受訪公司發現電腦病毒（ 2000 年為 85% ）。

綜觀資訊安全事件駭客的 機，從惡作劇、好奇心、金錢利益、不滿報復到經濟及政治的利益均有可能。企業重視資訊安全，不但可保護企業本身自己也可保護別人，避免自己的網站成為別人發 攻擊的中繼站，成為駭客的幫凶，未能建置安全防護設施的企業對企業所造成的傷害，小則網頁被竄改，使企業的形象受損，大則導致企業利益上的重大損失，甚至倒閉或歇業。

另外對一個國家而言，Internetz 虛擬空間已經變成了新的戰場，成為許多團體或國家的攻防角力場所，許多國家正在祕密推 破壞他國電腦系統的計畫，美國國防部就曾指出敵人如今不必侵入美國本土，就可以對美國造成重大的破壞。可見資訊安全的維護將攸關全民、企業、甚至國家之生存發展，企業資訊安全意識、警覺 及專業能力的 乏，亦為目前資訊安全工作的主要挑戰之一。

資訊安全需求類別

企業對資訊安全的需求主要可分為「產品」及「服務」兩個區隔。

資訊安全產品區隔

企業或組織的資訊安全，需要靠資訊安全產品來達成，在目前環境中，這些產品是企業執行安全策略所不可或 的，企業安全政策決策者則是選擇如何在成本及可得支援產品中配置資源。這些產品主要可分為八類，以下是這些產品的說明：

1.防毒( Anti-Virus )

病毒為 IT 系統的一大威脅，一般而言病毒的傳播乃透過 e-mail、執行程式、巨集及附件等。病毒偵測產品則掃描訊息串中是否有已知病毒，亦可用來補救受感染的檔案。

2.加密( Encryption )

加密為最早的資訊安全技術，現代加密方式乃是利用公開的演算規則，並完全依賴私鑰來維護資訊的機密 。

3.授權工具( Authorisation )

控制使用者身份( Who )、使用時間( When )、使用地點( Where )及使用內容( What )，其工具可為軟體（如密碼）、硬體（如 Smart Card ）或生物辨識方式（如臉部辨識或指紋辨識）。

4.公共金鑰基礎架構( PKI ; Public Key Infrastructure )

PKI 為一認證的基本架構，使用公鑰加密法，並透過一個值得雙方信賴的第三者來頒發電子證書以達確認之目的。

5.防火牆( Firewalls )

防火牆提供對於服務存取的控制( Access Control )，但需注意的是，防火牆只負責管制服務埠( Service Port )的開啟與否，至於流向伺服器的 包內容，防火牆並不提供安全分析。

6.VPN ( Virtual Private Network )

VPN 是利用最新的 Internet IP 加密的技術，可以在 Internet 上建立虛擬的私有通道( Tunneling )，使中小企業能夠在公眾網路上架構虛擬且安全的企業內部網路。VPN 結合了加密( Encryption )、認證( Authentication )、密鑰管理( Key Management )、電子證書( Digital Certification )等安全標準，來安全地傳遞企業資訊。

7.安全評估( Security assessment )

安全評估產品主要是針對系統本身，檢查並稽核系統上的安全狀態，找出系統中現有的安全問題，並提出修復建議。

8.入侵偵測( Intrusion detection )

入侵偵測產品 視記錄網路上可能攻擊系統的行為事件，當違反安全政策之存取或入侵行為發生時，能提供即時的處理與反應機制。例如使用者多次利用不同密碼試圖進入系統行為、掃描系統管理者改變系統參數或重新裝配防火牆的行為、掃描從惡名昭彰的 IP 地址或 URLs 來的訊息。

資訊安全服務區隔

光有產品是不夠的，由於企業或組織的系統管理者 乏對資訊安全建置及整合的能力，或無法有效執行資訊安全相關產品，因此也產生了對服務市場的需求。

服務市場主要可分為三類，分別為專業服務（ Professional Services ）、系統整合（ System Integration ）及認證服務（ Certification Services ）。

1.專業服務

主要是提供教育訓練、風險評估、系統設計、技術管理及設定存取權限等服務。

2.系統整合

主要是提供實體的安裝及執行服務。

3.認證服務

提供如身份認證、交易認證及企業信任標章認證等服務。

企業資訊安全管理策略規劃

防駭客並不等於資訊安全，企業資訊安全工作要從管理準則全方位觀念永續推 ，1995 年英國即訂定「資訊安全管理實務準則」之國家標準 BS7799，2001 年此資訊安全管理認證正式成為 ISO 17799 國際標準，該準則共分十大項，見（圖三），包括資訊安全政策、資訊安全組織、資訊資源的分類與控管、人員安全、實體與環境安全、電腦與網路管理、系統取存控制、系統發展與維護、業務永續運作規劃、政策法規遵行。

《圖三 資訊安全管理準則》

制定完善的「安全政策」，應該包含三個階段，即政策階段、執行階段與產品階段，企業應先評估其內部狀況與需求，定出一個適合可行的政策，配合防火牆與入侵偵測等安全系統的配置，再加上良好而持之以恆的系統管理制度及確實的執行，方能有效解決駭所帶來的困擾與威脅。

根據 BS7799 對資訊安全要求的定義，資訊安全仍保護資訊免於大範圍的威脅以確保業務永續、商業損失極小化及投資報酬與商業機會極大化。可見再好的資訊安全建置、再完密的企業，一樣面臨駭客入侵的威脅。一般而言，企業應追求的是適質適 的資訊安全，若能維持 95% 的安全 ，讓駭客知難而退，或讓企業在遭到入侵時所受的損失，控制在可以預期及忍受的範圍之下，這對於一般企業而言或許已經足夠。

企業資訊安全的評估需要同時考量機密 ( Confidentiality )、完整 ( Integrity )及可用 ( Availability )，企業並依組織安全管理目的重要 選擇工具以解決問題。舉例而言，見（圖四）。

《圖四 企業資訊安全產品建置》

1.對提供Internet上電子型錄公司

公司安全機制以防止網頁被竄改及防止系統被安裝後門程式為目的，因此防火牆、防毒軟體及安全評估等安全產品，應是公司建置的重點。

2.對提供 Internet 上資料查詢的公司

一般而言，由於資料查詢已經具備某些資料庫連結的機制，因此就必須防止資料的外流及系統的入侵行為，公司除了防火牆、防毒軟體及安全評估等安全產品的建置外，加密及入侵偵測等安全產品亦為公司考量的重點。

3.對提供 Internet 上商務交易的公司

交易 網站應最重視網站安全機制，由於電子交易系統上，必須強調使用者身份辨識的不可否認 ，所以公司應在前述各項安全產品外，再加強身份辨識的產品及 PKI（ Public Key Infrastructure，公開金鑰基礎架構）的機制。

我國資訊安全市場發展關鍵議題

企業資訊安全投入的多寡是不分行業及領域的，端視使用單位對資訊安全需求的程度。雖然目前國內已有許多行業陸續投入資訊安全建置，開辦相關業務，但截至目前電子商務交易安全之未來發展，仍有部分不足之處有待加強，列舉說明如後：

1.電子文件之法效問題

世界各國為建立安全及可信賴之電子交易環境，普及電子商務之應用，莫不致力於推 與電子簽章相關之立法工作，我國則早在 1997 年即由經濟部即委託資策會科技法律中心進行電子簽章法之研究，目的即是希望透過電子簽章法，確定電子簽章及電子文件之法律效力並建立憑證機構之管理制度及主管機關之權責，但至目前為此，電子簽章法仍僅只通過一讀的程序。

事實上，目前政府電子化公文是透過政府公文程式條例賦予法律效力，網路銀行業務則是由於目前銀行法並未排除用電子模式的交易方式，財政部因此擴大解釋銀行可執行網路銀行的業務；網路券商則是由於透過證交所修正相關營業細則方能辦理網路下單業務。而除去上述相關規範，目前政府對企業或是企業對企業間的電子文件效力，幾乎無法可循。如此看來，目前賦予電子訊息等同於實體證據，並具有法律位階，以至在發生糾紛時，法官判斷能有所依據的電子簽章法實有儘速完成立法工作之必要 ，如此方能使網路交易更加流行。

2.PKI 觀念有待推廣

2001 年 4 月，國內發生首宗網路銀行遭人入侵盜領事件，使得 SSL 安全機制受到質疑，該事件中網路銀行只設計使用者帳號與密碼的機制，另一方面客戶亦將帳號與密碼設的過於簡單，為這次事件發生的主要原因。2001 年 7 月，刑事局亦偵破國內首宗駭客入侵券商網路下單系統取得重要客戶帳號及密碼，再冒客戶之名進行網路下單牟利的事件。

PKI 機制雖然滿足了資訊安全的基本要求，但其使用或申請手續之繁雜，常導致客戶或業者為求便利，而寧可犧牲一些安全。目前無論個人或企業，雖然都認同安全的重要 ，但對 PKI 的使用經驗仍屬 乏，因此提升全民對電子商務及電子簽章認知與接受與否，亦為另一重要課題。

3.交互認證問題有待解決

即使電子簽章法解決了 CA 的設立與管理問題，但是試想若國內 CA 間所使用憑證無法相容適用，對於使用者將徒增許多複雜與不便，另外由於電子商務多為全球跨國界行為，因此 CA 與 CA 間及國與國之間 CA的交互認證問題亦有待解決，而這其中所涉及的問題除技術層面外，政治與經濟利益等因素也是業者或國家考量的重點。

目前國內相關專家學者已考慮三種可行方案，即 Root CA、Bridge CA 及 OCSP ( Online Certificate Status Protocol ) Responder（即憑證狀態線上查詢，如IDENTRUS.COM ）。無論未來國內會以介入公權力方式設立 Root CA，建立統一之國家總憑證管理中心來解決 CA 交互認證問題，還是尊重並依循市場發展機制，如identrus.com 的發展模式，提供一資料查詢平台，供一般使用者從線上查詢數位憑證合法 及有效 ，均將使得國內憑證相關業務朝更多元化發展。

4. 建立資訊安全管理與稽核準則

國人目前對資訊安全的投入程度，大多僅為「擁有不錯」（ nice to have ）的觀念，企業從此觀念提升至「必須擁有」（ must have ），除了因為企業本身受到駭客入侵的切身之痛外，決策者對資訊安全的警覺 及政府安控水準的建立亦為重要的因素。

在政府安控水準方面，除前述的電子簽章法外，在資訊安全管理與稽核準則方面，目前國際上已有由英國標準協會( BSI )所提出的 BS 7799，而這項標準的第一部分也己被 ISO 納入，成為 ISO 17799 的資訊安全實施標準草案，不過值得一提的是， BS7799 的第一部分資訊安全管理實施細則，其雖可作為系統規範要求的最佳應用指南，但不能做為驗證標準，而其第二部份資訊安全管理系統規範，方可作為整個組織或部份單位其資訊安全管理系統評估的基準，即做為一個正式驗證的標準。

國內目前除應參考 I SO17799 資訊安全管理準則建立相關國家標準外，針對不同行業或領域建立不同安全需求等級並落實稽核制度，協助各組織建立此資訊安全管理系統並通過認證，亦為相關單位不可忽視之重要工作。

（作者任職於資策會資訊市場情報中心，聯絡信箱為：ava@iii.org.tw ）