【資管所】資安防護之道:技術、程序、人鐵三角構築 缺一不可

資管系陳嘉玫教授(左)、徐士傑教授頒發感謝狀及禮物予財團法人電信技術中心許博堯經理

根據報導,一名白帽駭客日前測出財政部「電子發票整合服務平台」登入系統出現資安缺失,他實測以平台發給公司的帳戶及密碼登入,可登入到許多公司帳號中,瀏覽其會員資料,估計超過130家上市上櫃公司受到影響。

「資安是由技術、程序、人三者相互構築。」財團法人電信技術中心的許博堯經理,由資管系陳嘉玫教授、徐士傑教授共同邀請,來到中山資訊管理專題研討課程演講,他首先就這次財政部電子發票平台資安漏洞事件為例,即使在技術程序上做的滴水不漏,但卻因為人為疏失,將提供給公司行號的初始帳密設定為相同的「弱密碼」,造成有心人士可輕鬆獲取公司行號等敏感交易資訊。

然而,要在每個構面都做到毫無破綻是相當困難的,許經理指出資安風險可分等級,可用「風險的角度看待資安」。根據目標的重要程度劃分不同的風險層級,再採取相對應且符合成本效益的保護措施,而非盲目追求百分百的完全防禦。

財團法人電信技術中心許博堯經理演講:IoT資安防護之道&韌性強化與職涯分享,全體合照

許經理也指出,資安其實可在有強健防護下,權衡各面向資安力道。他比喻,在Covid-19疫情燃燒之際,政府在有疫苗(即配套措施)的情況適當的放寬管制;而目前電腦的Windows作業系統都有內建防毒軟體,以及基本的防護功能,讓防禦成本、風險成本進行適當的平衡,也可以視為成功的防衛。

接著,許經理以技術的角度,帶大家了解常見的駭客攻擊手段,以及資安檢測方法。駭客主要會透過專業工具測試硬體電路接腳,以建立入侵通道;或是從韌體中的程式碼漏洞進行攻擊;甚至是用側錄器竊取晶片及訊號中的敏感資訊。

為應對上述這些攻擊手段,技術人員常使用源碼檢測、弱點掃描、模糊測試等方式提早發現資安漏洞,以降低被駭客攻擊的風險。更進一步地,企業也會委任資安公司以駭客的身分嘗試入侵,驗證任何可能發生的漏洞,來增加安全可信度。

最後,許經理分享了自己的職涯觀點。在技術職上,他鼓勵大家全力以赴,即使是小事也要認真處理。遇到沒有解答的難題,要不斷試行錯誤並調整策略,即使沒有明確的方向也要持續學習並將所學應用在職場上。在管理職上,則需要擁有更全面的思維,能夠快速適應變化並跟上潮流,善於運籌帷幄並根據情況協助組織進行強化,以促使組織持續成長。

此次演講,許經理利用自身的實務經驗,分享許多珍貴的知識和觀點,使他們更深入的了解資訊安全。此外,他也提供了面對職涯的方法,並期許同學們能夠付諸行動。

(資管所朱博雍撰稿 / 管院媒體編修)