傳統資訊安全防禦理念著重焦點在於外部攻擊的預防、攻擊的偵測及損害修補等工作,此等防禦概念均建立在一個核心理念上,那就是「威脅來自外部」。然隨著文化交流普及與國際潮流趨勢化的影響下,「外部防禦」的見解逐一遭受質疑,隨而有論者提出「全面防禦」的概念。
在全面防禦裡,威脅可以來自外部與內部,因此其認為,敵人亦可區分為絕對敵人與相對敵人,絕對敵人擁有絕對利害衝突,常屬對立國;而相對敵人則可以屬外部或內部敵人,這種人員的特徵在於可以利用外在誘因使之變節而成為相對友人。
近日發生於國內之羅少將事件便是適例,羅少將在此便屬相對敵人。然安全計畫(security planning)與安全管理(security management)乃屬不同概念,就程度上來說,安全計畫屬階段性任務,計畫依附有強烈個案特性,但安全管理屬層升的概念,可視為強度逐漸改善的持續性計畫。
職是之故,我國如有必要亦可以對羅將軍不動聲色、將計就計,引敵入甕將之策反,使之成為相對友人。就安全之宏觀角度而言,羅將軍在此戰役中僅為一名可犧牲之棋子,可在必要情況下為被兩方交戰國犧牲。然羅將軍不明此理而甘願為棋,實令人欷噓。
內部防禦有困難 忠誠如何考核?
資訊安全涉及領域非僅限於網路傳送技術或軟、硬體設施的問題,在全面防禦概念裡面,其更涉及到對內部威脅的重視與檢視法則。
換句話說,資訊安全非扁平式的議題而是多維度的立體問題。外部威脅防禦固然重要,但近年來許多國家的資訊安全例子顯示,「內部策反」的破壞威力往往可以造成國家資訊安全更嚴重的損害結果。因此,逐漸有一些不友善國家,除繼續強化網路攻擊技術外,也越來越重視內部策反的計畫。
回顧傳統資訊安全技術之發展,外部防禦具有相當的客觀性,往往可以藉由軟、硬體設施或相關技術,予以阻絕或強化系統遭受攻擊之耐受力。除被動防禦之外,更有許多國家逐漸發展IP網路追蹤技術系統(IP-tracebak systems, IPTS),企圖予以反擊惡意之網路攻擊。
故,在外部防禦上,正確安全策略與資訊技術的搭配往往具有八、九以上之的阻絕效力,例如阻絕社交工程攻擊。但是在內部防禦機制裡,卻欠缺一套有效的檢視系統。此乃因內部防禦機制往往涉及絕對主觀性而難以有效控管,尤其對高階層級之檢視更是如此。
以往內部防禦的重點在於任用人員「信任度」之評定,即是古人所謂「疑人不用,用人不疑」策略。但依據歷史史籍所載,許多上位者往往因信錯人而喪國者亦不乏其人,可見內部防禦的策略制定與實作,確有其相當程度的困難度。因此,增訂對駐外武官或人員之「忠誠」考核,固然不失為一種策略,但更應令我們思考的是「忠誠」是種抽象概念,其要如何考核不無問題。
主觀性的量化難處
因為主觀上的觀念難有一定標準,故其量化除產生公平與否問題外,最重要的是是否真的可以反映出主觀特質。如果我們嘗試將主觀問題「量化」,並在量化過程中找到一些可遵循的規則。
或許在許多時候可以找到主觀中含有客觀的部分,但絕大多數情形,仍是「客觀量化無法充分反應主觀特質」。從一般資訊安全量化觀點來看,其應付外部防禦應綽綽有餘,但要反應主觀內部威脅,恐仍有不足之處。
由此可知,「主觀的量化」是非常困難的事情,例如何謂忠誠度高或忠誠度低?是要以考試成績來區分?或以辦案績效來區分?不論以哪一種區分方式,均無法正確反應主觀的量化問題。所有的資訊安全量化幾乎都建立在客觀的基礎事實上,故而主觀量化的問題站在資訊安全歷史學的角度來看,絕對無法單憑考核解決。
強化人心 仍需透過持續教育
羅少校身為我國高階將領,又任職所涉係屬國家資訊安全領域,其對我國資訊安全之傷害未可言不大。然此為我國個案或為全人類千年共業?從歷史角度來看,國家安全問題存在已久,只是每個時代的安全議題與關懷核心並不相同,但去除時代技術背景,在內部防禦「人」的問題上,不論我國或外國均面臨相同問題,例如以前美國阿洛摩斯核武實驗室之硬碟遭竊事件,其亦為內部防禦出現漏洞問題。
美國縱使強化稽核,近年來仍不斷發生高階工程師或主管洩密賣國事件。可見,主觀之量化問題在先進的美國亦束手無策之下,在我國要以強化考核及嚴管升遷方式作為控制手段,恐怕僅能治標不治本,其效果應非常有限。
然此類問題並非無解,要解決人心的弱點先要強化人心,而強化的解決方針之一便是透過教育手段,達到強化保密防諜功能。其實前賢岳武穆(岳飛)早已點出此類作戰之最高兵法(心法),那就是「武官不怕死,文官不愛錢」,那個國家能做到此境界,那個國家便自然會是強國,那時的資訊安全內部防禦機制將會是處在固若金湯的狀態,他國要輕易策反談何容易。
本文作者為自由作家,數位多媒體暨網路安全顧問