壹、 前言
資訊系統在今日已成為人們熟耳能詳的概念,隨著網路的興起,使得人們在資訊應用上更為迅速、方便,然「方便」卻也造就每個人的「隨便」,資訊安全等議題不免浮之檯面,原因在於保護個人或組織的資料及隱私權,每當資訊系統受入侵,「網路駭客(Hacker)」這個名詞,就如同洪水般氾濫於各個媒體上,McEwen et al(1999)研究指出,美國境內的電腦駭客、電腦竊盜等電腦犯罪行為每年約造成14億5千萬美元至50億美元的損失,對資訊化社會帶來相當大的衝擊。資訊系統管理師及檢調單位無不費盡心思,強化資訊系統及嚇阻非法入侵。資訊社會時至今日,也唯有提出適當的作法,以杜絕入侵行為,免於資料外洩及個人隱私受侵犯。本文將討論入侵行模式、並歸納出三種資訊系統偵防基本作法,以提供資訊安全人員及產、經、學界進一步思考及研究方向。
一、 入侵行為模式本文「入侵」意指資訊系統的入侵者(Intruder)或是破壞者(Cracker)亦或是惡客(Abuser),非指上述所提及的駭客(Hacker),意謂著專門從事資訊系統的破壞,也可以稱之為「資訊恐佈份子」,Intruder在狹義定義下指的是「外賊」,攻擊手法變化多,技術性較高;Cracker是指專門嘗試破解他人的密碼的網路玩家等惡作劇行為;Abuser是指因失業或怨而故意利用先前的權力破壞或刪改電腦電磁紀錄的「內賊」。是故,其動機乃因人而異,而「人」的思考模式往往與入侵行為相密切,就社會來說,Kluckhohn and Strodtbeck(1961)研究指出,不同文化背景下成長的個人,對於文化思維皆呈現不同的觀點,不同文化思維又與決策之間有密切的關係,說明文化差異會對行為造成差異。另外,「認知風險」對入侵行為是否形成,亦是息息相關,認知風險愈高,其入侵意圖愈薄弱,反之亦然,Wright(1984)認為即使在同一文化,亦存在著個別的顯著差異。認知風險會影響行為。就目的而論,系統入侵者會因目的的不同而對資訊系統造成不同的傷害,舉凡好奇心、成就感、竊取機密資料、盜用系統資源、惡意攻擊等,其最根本的目的還是入侵。換言之,入侵者的行為模式皆非固定公式所能解決,以下三節說明基本資訊系統偵防的一些作法,期使資訊危害減至最低。
二、 成也資訊、敗也資訊隨著資訊及網路科技的不斷演進,電腦犯罪事件層出不窮,電腦系統本身存在許多弱點與漏洞,導致於電腦系統的安全有所堪慮。1995年某銀行被俄羅斯一名程式高手利用網路盜領,雖然美國當費了一番功夫才將盜領者逮捕,但銀行的損失已經難以挽回。相信,諸如此類的問題未來亦不會終止。政府機關及系統管理員應加強其本身的資訊科技能力,以防止入侵事件的危害。評估資訊安全的重要性,選定適宜的資訊防護機制,是現今資訊安全重要的課題,任何一個安全機制是不可能百分百來達成,是故,在評估其單位或個人的資訊時,避免其安全建制成本高於資訊的成本。目前,仿間出現許多利用資訊科技來達到資訊安全的一些產品,如「防火牆」、「防毒軟體」、「入侵偵測系統」、「弱點檢查評估」及「滲透測試」等或者是使用一些加解密演算法。其意涵旨在提出一些利用資訊科技的方法來達成資訊系統安全的基本措施。
三、 資訊政策由上而下制定資訊政策,諸如定期備份、更新程式及病毒碼、刪除不必要的網路服務、重要資料的離線處理、檔案及人員的管理、辦理相關研習等安全管理規定。上游由政府訂定資訊政策,下游則由各單位或組織內部制定相關管理辦法,如此一來,更能降低入侵事件的損害。
四、 資訊倫理教育與法律資訊科技所衍生的各種犯罪事件,常是變化莫測且不易破案,其主要原因在於電腦犯罪與一般犯罪行為有所差異。電腦犯罪被定義為使用電腦、對抗資訊系統的非法行為,電腦與電腦系統成為犯罪標的、犯罪工具(Laudon and Laudon, 2000)。蕭愛貞(民88)提到電腦犯罪有五個特性:專業性、行為持續性、行為時與結果分離、偵查與蒐證困難及高犯罪黑數。緣此,資訊入侵者的行為常與內在控制力(倫理教育)的薄弱及外在控制力(法律)的缺陷息息相關。任文瑗等人(民92)研究報告提出資訊倫理教育應由家庭教育、學校教育及社會教育去著手,以加強內在控制力,同時亦以該外在控制力的觀點,強調法律的重要性。是故,內在控制力強,外在控制力強,將更有效遏止入侵事件的發生。
五、 結論資訊系統的入侵,攸關單位或個人資料的安全,沒有任何一種的系統安全措施可以保證免於所有的入侵,更因為資訊犯罪比一般犯罪的特性有所不同,是故,應從入侵的行為模式去探討,然而入侵行為的模式,並不是固定的,以致於在偵防過程裡倍受困難。本文擬以入侵行為模式的觀點提出三個基本偵防作法,其一,以物制物,以資訊科技反制資訊科技所帶來的負面效果,加強檢調單位及系統管理師的偵防能力與資訊技術;其二,制定適宜的資訊安全政策,由政府單位擴及企業或組織,形成緊密相連的安全管理辦法;其三,從資訊倫理教育培養倫理道德觀,以強化個人內在的控制力,另一方面,制定合宜的法律,以加強外在的控制力,使入侵者能有所顧忌,進而達到資訊系統安全的目的。
貳、 參考文獻
1.任文瑗等合著(民 92) :資訊倫理教育與侵權行為意圖之探討。資訊與教育,
94期,37~50頁。
2.宋振華等合著(民 90) :資訊安全與資訊基礎措施防護的趨勢。資訊安全通訊,
第七卷第二期,91~97頁。
3.高大宇,王旭正·資訊密碼暨建構實驗室著,資訊安全,台北:博碩文化,民
國92年6月。