【大纪元2016年02月13日讯】(大纪元记者陈懿胜台湾台北报导)脸书创办人祖克柏(Mark Zuckerberg)打算在全球推广免费上网服务,并指出免费的网路连线已经是民众天赋人权之一,因为民众可以透过网路,上网找寻工作、教育、医疗与通讯,甚至可以借此脱离贫困状态,因此预计在2016年在全球100个国家推动Free Basics的免费上网服务。
面对免费连网服务,在2016年1月2日举办的总统辩论议题中,3党总统候选人都认同,更要缩短数位落差,让偏乡、弱势族群获得公平教育机会。蔡英文就指出,网路是基本人权,资讯、数位能力更要成为国民基本素养,打造网路创新生态系;宋楚瑜则表示,除了免费上网外,网路保密安全也必须重视;朱立伦说,免费上网需要扩及到全国中低收入户免费,台湾所有重要角落都有免费上网热点。
不过当连网成为基本需求时,安全议题也随之而来。以Taipei Free为例,使用者都必须先注册申请相关连网服务,当有人滥用免费的网路资源时,有关单位就能找到滥用的人或者是被冒用的受骇者。
除此之外,现在许多行动装置处理器的运算能力都很强,当行动装置被骇客掌控时,就有机会成为发动DDoS(分散式阻断式攻击)的傀儡网路或攻击跳板。因此,只要有连网,资讯安全将成为众人必须重视的部分。
物联网时代来临 资安不可轻忽
“资讯安全已经变成等同于呼吸一样的重要”,数位资安系统有限公司董事长苏堤表示,现在已经是物联网时代,过去很多产品或物件没有跟网路连结,现在则是什么都要跟网路结合,网路上的问题,已经变成实体生活上的问题。不过网路上资安问题并没有做得很好,问题一堆,当与实体生活连结之后,会出现一连串难以想像的灾害。
苏堤举例说,3、4年前,德国一家炼钢厂的炼铁高炉被骇客入侵并停机,没办法运作,使铁水凝结不能再使用,造成几亿美金的损失。这些并非只是骇客入侵后,格式化硬碟,问题就截止了,而是一个属于生命财产,甚至到国家级,或是全人类灾害的问题。
苏堤说,当连上物联网之后,很多事情都用大数据、人工智慧来判断,美国去年就发生骇客远端入侵车子,可以停住刹车、能够旋转方向盘,若未来进入了车子全自动化的时代,将会是难以想像的危险。
苏堤进一步指出,对骇客来说,企业拥有的技术,等同于是小孩对大人的角度,要防御大人的攻击,“小孩”怎么有办法应付,这是一个完全不对等的战争。对企业来说,企业手上工具不够,情资不够,敌手也不了解;骇客端来说,当要攻击企业的时候,他已经做了各方面研究,甚至知道企业用的是什么防毒软体,在经过测试后,骇客就会把攻击工具放进来。
苏堤说,骇客对企业可说是了若指掌,又有非常高的技术,是专业等级,另一边是业余,还是蒙着眼睛在打,企业要怎么打这场不对等的战争,因此建议企业一定需要找寻专业的团队给于支援,千万不要单打独斗。
“站在资安的角度来看,想到物联网,自己都会觉得害怕”,苏堤说,物联网的数据很大,难以估计,每一样物联网设备,必须有资安的防护机制,这是不可分割的部分。
苏堤表示,过去的设备是封闭的体系,只要经过一道内部认证,就可以操纵所有的系统;但是现在设备都会连上网路,以利于远端观察与监控,因此,骇客只要突破防火墙就可以通过所有的信任机制,设备就会曝光在骇客的攻击与控制之下。
苏堤指出,就如同免费网路一样,免费网路很便利,但便利的后面有一个安全的问题,政府立意良善,但是在这背后,有着资安的安全问题,建议政府的免费网路安全等级必须提高,这才是对人民的保护。
“未来家庭所有的设备都会连上网路,资安的层面一定会拉高,更应该要注意,不然就会发生隔壁的微波炉在攻击家里的电冰箱!”苏堤说,在这个时代,思维必须改变。过去思考时,第一步想的是这个设备有什么功能,可以做什么事情;现在则是,这个设备有多安全,它可以提供多少的安全防护等级。◇
改变观念 森 重宪推欺骗式资安防护
Macnica Networks事业战略统括室室长森 重宪表示,现在的人越来越依赖网路,在网路的时间越来越多,但是网路攻击的事件却不断地发生,而且从过去个人的攻击,已经转变为策略性的长期攻击,攻击目标包含公司的资讯、个资,甚至经营的相关资讯等,这些都是需要加以保护的资产。
森 重宪进一步表示,世界上骇客攻击事件常见,但是台湾遭受到的攻击事件比美国还多,再加上台湾是一个有很多智慧财产权的国家,所以对于资安的保护与安全更加需要重视。
对于资安防护,森 重宪指出,过去的资安防备方式,不管是公司或是政府体系,大多是自己搞自己的系统,但现在骇客集团是有组织、有策略性的攻击,而且攻击者的技术越来越高,不能再以单一的系统来对抗,过去的方式明显已经无法负担现在的资安防护,台湾有必要引进全面性的资安防御机制。
森 重宪提出,所谓的防御机制,人们已经习惯于“受到攻击后,采取防卫措施,如此回圈似的资安防御”,但是,骇客攻击绝对不会只有一次,一定是持续攻击,一波接着一波的进攻,就是要摧毁资安的防御。
森 重宪说,面对持续性攻击,应该要放聪明一点,要让对方以为攻击已经成功,那么下一次攻击就会用同一种方式,也就是说,不要完全防堵,而是用技巧骗过对方。
“这样的想法,可能与大家的想法差异过大”森 重宪笑着说,当资安的防备不断地在强化的同时,骇客的技术也是在不断地进步,如果可以了解对方的能力,做出欺骗式的防备行为,同时将资料数据应用在资安防护技术的提升,就能够有效地防止对方的“攻击”,是全盘性的保护。◇
资安保护 必须从小开始扎根
台北城市科技大学校长连信仲表示,资安的保护,最重要的要先从教育着手。“没有被蛇咬,不知道痛”,其实很多人对于资安的问题一点都不重视,出事之后才会知道有多重要。对于不明网站要小心谨慎,如同碰到陌生人一样,不能随便给资讯,网路上更要小心,多一分准备,多一分安心。
“资安就是国安”,要如何建立起国人对于资安的重视,连信仲说,资安要从小扎根,政府也有必要说明,当个资、资讯泄漏后会有什么严重的问题,以条列式的方式说明,让国人知道保障自身权益的重要性。
连信仲解释,资安要从小建立、从基层做起,就如同为人处世一样,要从小学就要建立,养成习惯,等到大学才学习已经太慢了,这是一个基础的纲维;至于专业的技能,可等到高中、大学再学习。从小学规划好资安的习惯,国中端培养基础观念,高中建立职场所需的认证专业知识,大学则到企业去实习,让每个阶段循序渐进,逐步提高国人对于资安的认知。
台北城市科技大学主任秘书李尚懿表示,政策会引导办学,政府应该建立全国资安观念,藉由办学方向指引学校,让全国每个学校进行资安教育,培训资安相关师资,透过课程的对应,搭配设备的辅助,并加上资安认证的考试,让学生具有专业素养。当资安变成办学指标或是企业指标时,就能落实在每个人心中。
“为什么要建立专业的资安认证?这要从企业与个人这两个部分来解释”,连信仲指出,从企业角度来看,有资安认证,代表了这家企业是受到保护的,可以相信的,也代表客户的资讯不会外泄,有保障;没有认证的企业,就如同把东西交给一个没有受过专业训练的公司,虽然有义务与意愿维护,但是专业能力是否足够令人质疑。有认证的企业,代表他有这方面的专业水准与技术,可以保护客户资料与企业个资问题。
至于个人端,连信仲表示,当一个人拥有资安认证的时候,他就会知道他遇到的人、商家、企业,可以提供什么样的资讯,就可以避免被诈骗。有专业知识,就可以谨慎保护自己。
李尚懿说,网路发达与大数据的影响,可以给人类越来越便利的生活,但是使用性的安全,就必须从资安道德来建立。资安的培训,政府与企业要合作,让国民从小扎根,让国人了解资安的重要性,并深入每个人的“习惯”之中。◇
责任编辑:李薇
