https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

國土安全計劃帶來的資安效應

2004 / 05 / 24
國土安全計劃帶來的資安效應

文/何珮琪


2001年9月11日,蓋達組織的成員成功劫機,剷平了紐約地標雙子星世貿大樓、重創華府五角大廈,震撼了全世界。911的陰影還沒消失,西班牙馬德里的311火車站爆炸案又再次刺激歐洲各國也積極建立其國土安全計劃的決心。


雖然美伊戰爭之後,並未在伊國發現「大規模毀滅性武器」,但911也確實喚起了全球對安全、反恐的重視與共識,跟隨著布希政府主導的國土安全計劃,而這股安全意識就像逐漸擴大的漣漪,與安全攸關的各個層面都會雨露均霑,同樣也在資訊安全的議題上發酵。
國土安全的內容與目的
在911事件中,美國的各個政府部門都警覺到,之所以導致各部門無法第一時間協調的原因在於繁瑣的官僚規定和各部門各自為政的電腦和資訊系統。例如在消防隊和警察系統之間就沒有成立互通的無線電或其他聯絡方式,當警力已經被告知大樓將傾倒而退出,消防人員卻未受到通知反而衝進建物內,造成更多人員的無謂傷亡。


尤其當事後的調查爆出聯邦調查局和中央情報局的情報也各自為政之後,成立一個超級部門來統籌國安就成為一個當然要務。2002年11月25日,美國總統布希正式推出經營了八個月、諮詢過數千位各界專家的「國土安全法案」(Homeland Security Act),並正式成立國土安全部(Department of Homeland Security,DHS)。在「國土安全國家戰略」中,對國土安全的定義是:「統合協調全國的行動,以防範美國境內之恐怖攻擊、降低美國對於恐怖攻擊之脆弱點,則盡量減輕恐怖攻擊對美國之損害、並儘速於攻擊後進行災後重建。」可以了解國土安全的任務大致有以下六項領域:


1. 情報和警戒

2. 邊境和交通運輸安全

3. 國內反恐怖主義

4. 保護關鍵性基礎設施

5. 防範災難性的恐怖主義

6. 對緊急情況的防備和應對



前三項是防止恐怖攻擊,第四、五項任務是修補反恐弱點,第六項則是針對災後重建。國土安全計劃全面運行已經兩年了,隨著許多資訊大廠的投入,在資訊與實體安全方面逐漸有一些高科技的研發出現,也已經成為全世界安全規劃的效法取經對象,尤其是在美國周邊或受美國長期關注的國家,如台灣地區。


DHS的主要任務是協調反恐怖活動的應急和防備措施,和主動預防大規模毀滅性武器。它結合了22個聯邦政府機構,17萬七千人的雇員人數,舉凡與國防和情報相關的單位,都全部或部分歸屬於HSD的管轄,匯總成一個直屬於總統府,具有內閣職等的超級部門。這個龐大的DHS,可說是自1947年美國合併戰爭部與海軍部的美國國防部成立以來,聯邦政府進行的最大重組工作。它包容了司法部、移民局、聯邦經濟情報局、聯邦緊急事務管理當局、交通安全局、海關、邊防和海防等。包山包海,無論是以什麼管道(海上、空中或陸地)進入美國的外來者,都在它的監視之下。


在預算上,美國聯邦政府2004 會計年度的國土安全預算更增列為413億美元,比2003年的381億美元預算又增加了8.5%(32億美元),而即使去年因美伊戰爭付出的軍事經費太高,2005年美國的年度財政預算刪除了很多政府計劃項目,但是國土安全預算還是要提高10%。跟國防相關的導彈防禦系統(NMD)計劃也繼續進行。

國土安全與資安的關連
國土安全是負責外來的威脅防禦,而國家安全是境內的維護,但是二者息息相關。DHS主要包含四個部門:


1. 邊防與運輸安全(Division of Border and Transportation Security, BTS)

2. 緊急情況下的準備和應對

3. 生物、化學、輻射和原子彈襲擊的對應措施

4. 情報交換所


其中,百分之六十的資源放在邊防安全,IT相關的科技只佔了小部份。最大的IT預算分布於資訊安全、通訊與知識管理三個部分。而因為國土安全計劃的拉抬,這三塊現在也都成為現今資訊領域的當紅顯學。


據估計政府和工商企業每年在國土安全相關的措施上付出的支出超過一千億美元。單單在國土安全計劃中,新科技的研發也將佔每年五到十幾億美金的預算,如2004年就有9.2億美元用於科技,其中約9800萬美元用於弱點偵測和評估,再其中又有1100萬美元是用於網路研發。今年DHS也發布了國家網路警報系統(national cyber alert system),包括每半個月用電子郵件寄送網路安全指南(cyber security tip)給相關非技術的個人或企業用戶,每半個月為技術類用戶提供網路安全公告(cyber security bulletins),內容包括新發現的網路安全漏洞、安全修補程式和一些建議。


因為這計劃的龐大和強調橫向的聯繫整合,很難在其中分析出純粹的資訊安全議題或建置,但現今的國土安全計劃中,無論是邊防、運輸、監控系統、資訊建置等,都運用到大量的資訊、網路技術,當然也離不開資訊安全的認知與法則。


許多科技大廠如Cisco、HP、IBM、微軟等都投入國土安全的科技研發。其中微軟執行的是其中龐大聯邦政府機構的軟硬體架構,IBM執行的是其中的實體安全、智慧型辨識系統(intelligent surveillance system),推廣到企業端則可以應用其中的智慧型數位影像系統(Smart Digital Surveillance)、互動式聲紋辨識系統(Voice Recognition) 與無線辨識系統(例如:RFID、GPRS)等等,HP則提出緊急通報系統、傳染病控制、政府資產管理、警察或消防體系的M化方案、及生物辨識系統等,其中所謂的M化方案就是以PDA或手機等行動通訊裝置來發布安全警報訊息的方案,這裡要注意的是行動通訊裝置的安全防護。手機波段的竊聽技術並不困難,因此隨著行動通訊的使用頻率越來越高,密碼技術的發展和應用就更加重要。


另外,網路龍頭的Cisco系統則參與規劃所有網路和IP系統的整合。如其主導的智慧運輸系統(Intelligence Transportation, ITS),就是將機場、車站、公路、海關、校園、警察系統等各處的監視系統全部應用一套整合的網路系統聯繫,建立起全面的聯絡網。


在現實層面,國土安全部的資訊合併任務也是資安廠商的艱鉅挑戰,要將22個機構,17多萬人原本互不相容的電腦資料儲存系統整合在一起就是一項龐大的工作,這部分微軟已經主動請纓,而其他如無線電通信使用的頻率的整合,各個部門監視的恐怖分子的名單的融會,更重要的是,各個機構不同的工作文化都需要時間過渡,這都是資安管理的一環。歐亞盛行的資安管理系統(ISMS)在美國一直未被推廣開來,但未來若要在這種超大部會推行,將會是一項前所未有的超高挑戰。


值得注意的另一項資安警訊就是單一化的資訊系統。前面提到微軟積極想要為國土安全或政府部會規劃全面的資訊基礎建置,但是眾所皆知微軟的OS近年來一直都是駭客、病毒、蠕蟲攻擊的主要標的,重大弱點一再被公佈,修補程式也補不勝補。這雖不能完全歸罪於微軟,因為沒有一種OS是可以作到完美無缺的,但是其中暴露的安全議題就是操作系統的單一化是否是對資訊安全的致命危害。例如與微軟競爭,一直使用在伺服端的Linux和Unix操作系統雖然相形之下更穩定,卻也不能免於駭客攻擊,但有聲音指出,採用多樣化的操作系統理論上是可以阻擋病毒的攻擊和散佈。當然,系統單一化有其好處就是管理方便,技術整合,成本降低等等,不過針對這種多樣化操作系統的發展趨勢,推出跨平台的儲存、網管甚至安全防護的軟硬體也成為各資安廠商未來的規劃重點。

邊防中的資安
因為911中的劫機恐怖分子都不是經由邊境偷渡入境美國,反而都是大大方方用合法學生簽證進入美國,甚至還在美國學習的飛機駕駛。因此美國自此之後,簽證核發變得加倍謹慎,海關全面架設起護照辨識系統。原本外國學子要取得學生簽證就已經曠日費時(尤其是中國),一旦學生離開美國後,要重新核發簽證,更可以拖延數個月,即使進入海關後還要再次作簽證審查。


而自2003年12月31日開始,在美國機場和海港港口都開始採取對進入美國的合法「持簽證旅客」(包含觀光旅客)進行指紋檢查和盤查。這項計劃稱為「美國訪客和移民身份顯示技術」(United States Visitor and Immigrant Status Indicator Technology,簡稱US-VISIT),是DHS改善入境管理的新法令。為了掌握並分類儲存管理所有以簽證進入美國的旅客的出入境資料,這項計劃又將需要建立一套龐大的資料庫系統。


US-VISIT的做法主要是運用掃描設備收集旅客的生物辨識特徵,例如運用無墨裝置掃描指紋以及拍攝一張訪客的數位相片。在得到訪客身份和行程的例行性資訊的同時,US-VISIT也會驗證訪客的身份,看他們是否符合簽證和移民政策。所有獲得的訪客資料將被作為其旅行記錄安全地儲存起來。這些資訊僅有那些有授權的官員以及經由挑選的負責保護美國公民和外國訪客的平安和安全的專門執法機構才能得到。


雖然官方宣稱這些步驟只會讓出入境手續增加幾秒鐘的時間,但是在機場、港口海關現今都可見到長串等候指紋檢驗的人龍。


許多人批評這份強化簽證驗證的措施,並不一定能更確保國土安全,因為如此則美國境內八百萬非法移民、工作人口無法一一建立身分管理,而境外的非法移民也將會急速增加。相對應的資安方案有身分管理、資料庫管理系統等等,這些解決方案也已經逐漸被推出為產品,可以應用到企業端。

正義與邪惡之戰
越來越多證據顯示蓋達組織又是馬德里爆炸案幕後的黑手,逮捕到的五名嫌犯(三名摩洛哥人,兩名印度人)據了解是從一顆未爆彈中使用作為計時器的電話晶片卡所破獲,因為從電話晶片卡可以追蹤到使用者和其收發話的紀錄。這也顯示,資訊安全發展已經從被動的防護,開始走向積極的犯罪鑑識(computer forensics),包括從電腦硬碟到晶片等資訊技術的蒐證。


一年前西班牙艾茲納總理曾帶領西班牙全力支持美國反恐行動和攻打伊拉克的計劃,而因為這起爆炸案,執政黨旋即在之後的總統大選中改朝換代,新上任的社會勞工黨則宣稱將提出反戰的主張,並且與美國保持距離。恐怖攻擊直擊歐洲門戶後,相當程度影響了東歐如波蘭等國的對美策略。今年十一月美國總統大選在即,明年則是英國的大選,恐怖攻擊是否會影響世界的政局,兩陣營的對決演變為一場「正義與邪惡之戰」,全球都拭目以待。


在這波攻擊的陰影下,我們更該警覺的,就是未雨綢繆地加強台灣本身的安全建置,無論是從基礎資安建置、安全管理到實體安全防護、災難復原等備援計劃,台灣的政府及企業不可忘記我們可也是對岸猛烈網安攻擊的主要目標。