昨天我的科技部計劃接受審查,有一個審查委員問了個有趣的問題:既然關鍵基礎設施這麼重要,要如何防止內部人的攻擊?
這個問題既是技術性的問題,也是管理上面的問題,在技術上把內外的網路分開,嚴密監看從外面來的異常流量之外,也要觀察是否內網的機器有異常的動作。至於操作機器的人,我之前寫了一篇資訊安全忠誠考核,要做到這樣嚴謹的管理態度,除了國安單位以外,恐怕一般都很難,甚至國安單位也可能有很多盲點。但從公務人員服務法,與包商簽訂的資訊安全合約,有嚇阻的罰則,可能會有一些作用,但這樣保護的措施還是相當的薄弱。
將國家的關鍵基礎設施資訊系統分級已經明定在法律之內,但什麼人來做資訊安全忠誠考核,分成多少個階級,誰可以接觸到什麼樣等級機敏和重要的資訊系統?沒有什麼嚴格的法律規定。
本來資訊安全忠誠考核好像一開始想要由某個法人的大官來做,結果這個人也是像林君一樣的渣男,自己人格的忠誠考核基本上就有問題,想要由他來執行執行安全忠誠考核的工作,想來也真是一個諷刺的笑話,現實的世界比電影情節更誇張。
從表面上是沒有辦法了解一個人真正的樣子,因此某人的前科,包括暴力對待女性友人和家人的資訊就相當重要,可是關於人權和隱私又是民主國家重要的價值,這中間的拿捏並不是件簡單的事情。
想想林君的事件受害者是立法委員,連立法委員都會受到這樣的對待,其他一般女性的遭遇恐怕就更加可憐困難。家庭暴力事件全世界包括德國最近都大幅上揚,打是情罵是愛,有感情糾葛的暴力更是令人迷惘。一個人應該要養成一貫的人格特質,面對事情的態度也應該要有斷然的決心。
太好的事情通常都不是真的,對什麼人都一樣,一個人的言行舉止並不是無法判斷,但需要觀察和資訊。資安專家遠比駭客難當,只要找到一個弱點加以應用就可以成為有名的駭客,但要能夠防衛整個資訊或工業控制系統才能夠成為資安專家。
忠誠、孝順、專情這些事想想也是一模一樣,一輩子都顧得好好的才能真正完成這些使命,利用這種形象來單點突破,就會變成垃圾人渣。
問題是為什麼我們要成為資安專家,而不是可以撈到各種好處的駭客?這才是關鍵的所在!
原文出處 李忠憲