科技．人文聯合講座／企業政府都應有真正懂資安的人

最近世界上发生了两件很严重的资安问题，第一件事是ＡＴ＆Ｔ公司承认几千万笔客户资料外泄。第二件事是微软作业系统当机，造成很多航空公司的航班大乱，损失惨重，已经有航空公司表示将提出控告，要求赔偿。

先谈第一件资料外泄的事。大多数人都会认为资料外泄是因为有骇客入侵，将资料偷走。我们应该要知道，大公司资讯系统内的资料都是存在资料库管理系统。资料库管理系统是一个软体，要进入这个系统，必须通过层层关卡。这些关卡都是由这个机构的人管理那些密码的，骇客如果不和公司内部的管理人员有合作，根本不可能进入资料库管理系统。

资料库里面的资料都有格式的，比方说，第一栏是姓名，第二栏是出生年月日等等。每一个机构的资料格式当然都不会一样，如果不知道格式，即使能够进入资料库，所拿到的资料只是Ｏ与１的乱码，是没有意义的。这又显示要偷走资料库内的资料，一定要有内贼的协助。更严重的是，几千万笔资料被下载，管理人员都没有提高警惕吗？

因此，我希望大家知道，谈资安不要成天谈骇客入侵问题，而应该注意内贼问题。没有内贼，绝不可能有大笔资料外泄。

至于微软作业系统当机问题，我们又要知道有一家公司发展了维护资料安全的软体，很多大公司都采用了这个软体。这个软体随时可以更新程式，微软的作业系统却因为这个软体的程式更新而受到破坏，以至于当机，也就造成大批伺服器当机。

伺服器不一定要用微软的作业系统，有很多企业用的是Linux，他们也采用了那一家维护资料安全的软体，但是没有受到影响。这就牵涉到一个问题，微软的作业系统为何如此脆弱？我们学资讯工程的人都知道，作业系统和应用程式应该是分开的，也就是说，作业系统可以准许应用程式的执行，但不能允许应用程式危及作业系统。这有一点像一座大楼可以让住户使用各种电器，但不能允许住户的电器造成大楼电力系统出问题。

微软的作业系统是相当有友善的，这是它的优点，当然也是它的缺点。对于个人电脑而言，使用微软作业系统非常方便。但是我们都有过电脑当机的经验，只是我们的电脑当机没什么了不起，大公司的电脑当机是相当严重的。

从这两件资安事件可以看出，很多负责资安的工程师并不真正了解如何管理资料以及选择哪一种安全的作业系统。就以我国而言，政府常常规定软体一定要采用微软的作业系统，而且我国也发生过户政资料外泄事件，但是到目前为止，政府却始终没有说明户政资料外泄是如何发生的。（作者为清大荣誉教授、博幼社会福利基金会荣誉董事长）