0

0
0

文字

分享

0
0
0

健康與醫療資料的加值應用(五):相關議題聚焦

2012健康與醫療資料加值應用論壇_96
・2012/07/14 ・1382字 ・閱讀時間約 2 分鐘 ・SR值 586 ・九年級

三、資訊安全

情境問題

現在電腦科技這麼發達,高中生都可以駭入外交部網站,我的健康資料在協作中心的使用過程中安全嗎?
是不是任何一個人都可以申請?
會不會很容易申請而導致資料外流呢?

依照目前政府所推行之計劃指出,協作中心所提供的資料,是已受到加密保護且去連結的數據;而協作中心也會要求所有相關研究成員簽定保密切結書並保守秘密,並在資料申請許可後,確認刪除可辨識個人之重要欄位像是姓名、身分證號、護照號碼、電話、住址細節、各種日期、傳真號碼、電子信箱、照片等,並去連結、將資料模糊化等措施。

目前協作中心的資料申請者除學術界研究外,若為非學術界的申請不僅在申請資格上有所限制(應為登記立案之公司機構),申請資料須填妥之表格資料也須經過委員會審核才能予以通過。

-----廣告,請繼續往下閱讀-----

而協作中心也會依據申請資料者的申請報告,截取特定部分項目轉換而成的「群組資料」或「類別資料」,這裡的群組、類別資料是指可能在年齡、地區或是性別等變項將其分類,例如年齡資料改為 0-14 歲、15-24 歲、25-44 歲、45-64 歲、和 65 以上等五個類別;而性別資料分為 A 或 B 兩類;診斷資料分為五群;出院結果又可分為三群等,再經過交叉聯合列表提供個案數,達到無法辨識個人資料的目的。因此政府說明申請者所獲得之資料是為統計數據,而非原始資料檔,且也無法對攜出之資料進行還原。

這個小節所指涉的資料安全,主要是指防止資料在未經授權的情況下,被使用、竊取或是破壞的情形,而非上個小節所說的,身分是否容易被識別的隱私安全疑慮。資訊安全問題最常發生的即為駭客,有專家學者指出,目前世界在於開放資料的結合,於牽涉到敏感個人資訊之病歷等健康資料範圍上,所持態度相對保守謹慎,而隨著科技技術之先進,資料傳輸與登錄方面是否會產生被駭客破解的也難免有所疑慮。臺灣人權促進會在它們的網站上也指出:「目前我們沒有辦法確保,任何的資料上傳到雲端,或是透過資料庫販賣、分享給其他廠商、研究單位,即使是身分欄等經過加密,目前的技術就可以完全保障國人的資料不會遭到駭客入侵或是外洩。」

目前世界上對於資訊安全,有些國家有訂定相關的標準,最常被提及的是英國的 BS7799/ISO17799,我國則是有「行政院所屬各機關資訊安全管理實施基準/要點」、「財政部暨所屬機關資訊安全管理基準」、「金融機構辦理電子銀行業務安全控管作業基準」等,而法規上則有銀行法、營業秘密法、個資法、刑法電腦犯罪等。

當筆數為數不少的資料被集中在同一個儲存空間後,很自然會成為資訊安全的疑慮,因為當越多的資訊處於不穩定的環境下,當遭到心存不善者攻擊時,造成的損失可能會越大。常見的資安問題,包括資料在處理、傳輸和儲存的情況下,可能被攻擊、攔截或資料庫被入侵,使資料被盜用的情況。

-----廣告,請繼續往下閱讀-----

回到臺灣的健康資料庫加值計畫,當如此大筆(甚至是好幾個大型資料庫串連)的資料在開放給外界使用時,相形下資訊安全的疑慮也會增加。健康資料庫加值應用協作中心在其網站下提供閱覽的「作業須知」與「獨立區使用人員注意事項」等,皆在協作中心的行政人員與申請使用者上進行資安措施的規範,例如禁止攜帶可儲存資料的設備進入協作中心、簽訂保密協議書、禁止使用自備的文具紙張等,以防止資料被不當地攜出協作中心;但是由於沒有明確立法,目前這些作業須知及注意事項,並不具有法律上的強制效力。

【上一頁:資訊隱私權和資訊自主權】 【下一頁:利益回饋】

文章難易度
2012健康與醫療資料加值應用論壇_96
15 篇文章 ・ 0 位粉絲
舉辦公眾論壇,促成社會公眾對「健康及醫療資料運用及加值」進行理性、知情的討論,形成公共意見以作為決策的參考。 一、提出公眾論壇的討論成果:結論報告。 二、統整各界對健康及醫療資料運用及加值」之爭議意見及政策建議。 三、建構論壇準備期間為促成對話的重要程序和原則。

0

8
2

文字

分享

0
8
2
快!還要更快!讓國家級地震警報更好用的「都會區強震預警精進計畫」
鳥苷三磷酸 (PanSci Promo)_96
・2024/01/21 ・2584字 ・閱讀時間約 5 分鐘

本文由 交通部中央氣象署 委託,泛科學企劃執行。

  • 文/陳儀珈

從地震儀感應到地震的震動,到我們的手機響起國家級警報,大約需要多少時間?

臺灣從 1991 年開始大量增建地震測站;1999 年臺灣爆發了 921 大地震,當時的地震速報系統約在震後 102 秒完成地震定位;2014 年正式對公眾推播強震即時警報;到了 2020 年 4 月,隨著技術不斷革新,當時交通部中央氣象局地震測報中心(以下簡稱為地震中心)僅需 10 秒,就可以發出地震預警訊息!

然而,地震中心並未因此而自滿,而是持續擴建地震觀測網,開發新技術。近年來,地震中心執行前瞻基礎建設 2.0「都會區強震預警精進計畫」,預計讓臺灣的地震預警系統邁入下一個新紀元!

-----廣告,請繼續往下閱讀-----

連上網路吧!用建設與技術,換取獲得地震資料的時間

「都會區強震預警精進計畫」起源於「民生公共物聯網數據應用及產業開展計畫」,該計畫致力於跨部會、跨單位合作,由 11 個執行單位共同策畫,致力於優化我國環境與防災治理,並建置資料開放平台。

看到這裡,或許你還沒反應過來地震預警系統跟物聯網(Internet of Things,IoT)有什麼關係,嘿嘿,那可大有關係啦!

當我們將各種實體物品透過網路連結起來,建立彼此與裝置的通訊後,成為了所謂的物聯網。在我國的地震預警系統中,即是透過將地震儀的資料即時傳輸到聯網系統,並進行運算,實現了對地震活動的即時監測和預警。

地震中心在臺灣架設了 700 多個強震監測站,但能夠和地震中心即時連線的,只有其中 500 個,藉由這項計畫,地震中心將致力增加可連線的強震監測站數量,並優化原有強震監測站的聯網品質。

-----廣告,請繼續往下閱讀-----

在地震中心的評估中,可以連線的強震監測站大約可在 113 年時,從原有的 500 個增加至 600 個,並且更新現有監測站的軟體與硬體設備,藉此提升地震預警系統的效能。

由此可知,倘若地震儀沒有了聯網的功能,我們也形同完全失去了地震預警系統的一切。

把地震儀放到井下後,有什麼好處?

除了加強地震儀的聯網功能外,把地震儀「放到地下」,也是提升地震預警系統效能的關鍵做法。

為什麼要把地震儀放到地底下?用日常生活來比喻的話,就像是買屋子時,要選擇鬧中取靜的社區,才不會讓吵雜的環境影響自己在房間聆聽優美的音樂;看星星時,要選擇光害比較不嚴重的山區,才能看清楚一閃又一閃的美麗星空。

-----廣告,請繼續往下閱讀-----

地表有太多、太多的環境雜訊了,因此當地震儀被安裝在地表時,想要從混亂的「噪音」之中找出關鍵的地震波,就像是在搖滾演唱會裡聽電話一樣困難,無論是電腦或研究人員,都需要花費比較多的時間,才能判讀來自地震的波形。

這些環境雜訊都是從哪裡來的?基本上,只要是你想得到的人為震動,對地震儀來說,都有可能是「噪音」!

當地震儀靠近工地或馬路時,一輛輛大卡車框啷、框啷地經過測站,是噪音;大稻埕夏日節放起絢麗的煙火,隨著煙花在天空上一個一個的炸開,也是噪音;台北捷運行經軌道的摩擦與震動,那也是噪音;有好奇的路人經過測站,推了推踢了下測站時,那也是不可忽視的噪音。

因此,井下地震儀(Borehole seismometer)的主要目的,就是盡量讓地震儀「遠離塵囂」,記錄到更清楚、雜訊更少的地震波!​無論是微震、強震,還是來自遠方的地震,井下地震儀都能提供遠比地表地震儀更高品質的訊號。

-----廣告,請繼續往下閱讀-----

地震中心於 2008 年展開建置井下地震儀觀測站的行動,根據不同測站底下的地質條件,​將井下地震儀放置在深達 30~500 公尺的乾井深處。​除了地震儀外,站房內也會備有資料收錄器、網路傳輸設備、不斷電設備與電池,讓測站可以儲存、傳送資料。

既然井下地震儀這麼強大,為什麼無法大規模建造測站呢?簡單來說,這一切可以歸咎於技術和成本問題。

安裝井下地震儀需要鑽井,然而鑽井的深度、難度均會提高時間、技術與金錢成本,因此,即使井下地震儀的訊號再好,若非有國家建設計畫的支援,也難以大量建置。

人口聚集,震災好嚴重?建立「客製化」的地震預警系統!

臺灣人口主要聚集於西半部,然而此區的震源深度較淺,再加上密集的人口與建築,容易造成相當重大的災害。

-----廣告,請繼續往下閱讀-----

許多都會區的建築老舊且密集,當屋齡超過 50 歲時,它很有可能是在沒有耐震規範的背景下建造而成的的,若是超過 25 年左右的房屋,也有可能不符合最新的耐震規範,並未具備現今標準下足夠的耐震能力。 

延伸閱讀:

在地震界有句名言「地震不會殺人,但建築物會」,因此,若建築物的結構不符合地震規範,地震發生時,在同一面積下越密集的老屋,有可能造成越多的傷亡。

因此,對於發生在都會區的直下型地震,預警時間的要求更高,需求也更迫切。

-----廣告,請繼續往下閱讀-----

地震中心著手於人口密集之都會區開發「客製化」的強震預警系統,目標針對都會區直下型淺層地震,可以在「震後 7 秒內」發布地震警報,將地震預警盲區縮小為 25 公里。

111 年起,地震中心已先後完成大臺北地區、桃園市客製化作業模組,並開始上線測試,當前正致力於臺南市的模組,未來的目標為高雄市與臺中市。

永不停歇的防災宣導行動、地震預警技術研發

地震預警系統僅能在地震來臨時警示民眾避難,無法主動保護民眾的生命安全,若人民沒有搭配正確的防震防災觀念,即使地震警報再快,也無法達到有效的防災效果。

因此除了不斷革新地震預警系統的技術,地震中心也積極投入於地震的宣導活動和教育管道,經營 Facebook 粉絲專頁「報地震 – 中央氣象署」、跨部會舉辦《地震島大冒險》特展、《震守家園 — 民生公共物聯網主題展》,讓民眾了解正確的避難行為與應變作為,充分發揮地震警報的效果。

-----廣告,請繼續往下閱讀-----

此外,雖然地震中心預計於 114 年將都會區的預警費時縮減為 7 秒,研發新技術的腳步不會停止;未來,他們將應用 AI 技術,持續強化地震預警系統的效能,降低地震對臺灣人民的威脅程度,保障你我生命財產安全。

文章難易度

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
196 篇文章 ・ 300 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

2

4
0

文字

分享

2
4
0
AI 戰警出動——抓出惡意程式,資訊安全有保障!
科技大觀園_96
・2022/02/27 ・3145字 ・閱讀時間約 6 分鐘

數位戰警網路掃黑。圖/fatcat11 繪

網路數位世界黑影幢幢,美國有線電視新聞網 CNN 曾報導,全世界每天產生超過 100 萬個惡意程式;臺灣軟體聯盟也曾發布調查報告,全球企業因惡意程式攻擊,每年損失超過 10 兆新臺幣,相當於我國 109 年度政府總預算的 5 倍。駭客散播惡意程式橫行網路,不僅企業深受其害,各國政府也防不勝防。

行政院資通安全處偵測統計,我國各政府單位每月被攻擊次數高達 2,000 萬到 4,000 萬次。近期最受矚目的就是,總統府在蔡英文總統 520 連任就職前夕,驚傳遭駭客入侵電腦竊取資料;接著 5 月底美國資安公司「Cyble Inc」揭露駭客在暗網[1]兜售「臺灣全國戶政登記資料庫」超過 2,000 萬筆臺灣民眾個資,接連引發輿論譁然。

面對駭客無窮盡的闇黑攻擊,臺灣大學電機工程學系教授林宗男從 2018 年開始,帶領團隊利用資料科學處理分析,建立網路異常與攻擊預測模式,發展「AI Cyber Security」(人工智慧網路安全)系統,從偵測藏身於 Windows 與 Android 系統的惡意程式、暗網流量分類與網路惡意流量偵測等「四管齊下」,全面展開網路掃黑行動,防堵駭客散播惡意程式搞破壞。 

國立臺灣大學電機工程學系教授林宗男。圖/李宗祐攝

抓出惡意程式的 AI 網路安全系統

這項研究計畫今年邁進第 3 年,「我們做出來的技術,都是可以馬上用的真槍實彈!」林宗男透露,相關前瞻技術初步成果陸續發表後,「國家安全局就找上門,要跟我們技術合作。」隨著世界各國競相重點投資,引領 AI 成為國力象徵,研究團隊除了以建置臺灣國家級網路防禦系統為目標,更希望這套系統能夠推廣成為捍衛各國企業或組織的數位戰警。

-----廣告,請繼續往下閱讀-----

就如同 CNN 報導,全世界每天產生超過 100 萬個惡意程式,網路數位世界危機四伏;但值得注意的是,這個數據還是 2015 年的統計,現在恐怕有增無減。研究團隊以先發制人策略,杜絕惡意程式伸出魔爪,利用 CNN(Convolutional Neural Networks,卷積神經網路)模型[2]訓練 AI ,偵測是否有惡意程式潛伏在使用者電腦 Windows 或手機 Android 系統蠢蠢欲動。

Windows 與 Android 的惡意程式偵測

「我們的目標是在他還沒有執行之前,阻止惡意程式啟動。」面對五花八門的應用程式,研究團隊指出,使用者在下載執行前,「把程式的 exe 執行檔轉換成圖片檔,放進我們建立的模型,AI 就會告訴你這個程式是惡意程式的機率是多少。如果很高,就不要執行,避免系統被惡意程式感染。」林宗男強調,能夠辨認程式碼到底是惡意或者是正常,是確保網路安全最重要的基本功。

偵測惡意程式效率明顯提升 7.2%。把執行檔圖形化的方法更為安全,只看圖的結構,不會啟動執行檔,可以避免在偵測過程被感染。圖/林宗男實驗室提供

經過測試驗證,Windows 偵惡系統成功率與準確率達 88.9%,超越全球圖形處理器領導廠商 NVIDIA 發表的 AI 偵惡技術 7.2%。林宗男指出,很多軟體公司都競相投入研究,就過去已公開發表的研究論文,NVIDIA 抓駭效率暫時領先群雄;臺大團隊與擁有雄厚資源的 NVIDIA 研究團隊相較,就像是小蝦米與大鯨魚,能夠超越他們很不容易。「但這僅是初步研究結果,我們還在持續精進中。」 

相對於 Windows 偵惡系統獨立開發,Android 偵惡系統則是與日本 NICT(情報通信研究機構)合作研發,利用臺大團隊提出的新演算法,把 NICT 研發的 AI 偵惡系統抓駭效率從 92% 提升到 96.2%,青出於藍而勝於藍,讓日本團隊印象深刻。 

-----廣告,請繼續往下閱讀-----
Android 惡意程式偵測:研究團隊透過取出已知惡意程式的可執行檔特徵,並利用反混淆技術加入新的特徵,再透過 AI 演算法處理特徵,判斷是否為惡意 Android 程式。圖/林宗男實驗室提供

透過機器學習,分析暗網流量

雖然無法做到百分之百滴水不漏,但為了知已知彼,研究團隊更直搗黃龍,「潛水」暗網蒐集情資,分析駭客行為特徵。林宗男表示,駭客為了躲避追蹤,都在暗網活動,因為透過 TOR 瀏覽器加密,網管人員無法辨識使用者到底是在上網聊天、傳資料、發送 Email,還是看 YouTube 聽音樂或追劇等。對追蹤技術研究者而言,到暗網觀察駭客「水面下」的活動,是很重要的情資來源。 

研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,再側錄蒐集暗網不同使用者上傳流量與行為模式,找出「壞人經常走的路徑」,把暗網流量做善惡分類,研判哪些是正常上網行為,哪些是惡意程式發動攻擊。林宗男舉例,就像防疫期間每個人都戴著口罩,但年紀大的和年紀輕的行為就是不一樣,「我們就是利用 AI 從行為特徵分辨使用者上網行為是否正常。」 

研究成果經與美國 IBM 和中華電信合作驗證測試,辨識率高達 99.6%,遠超過加拿大研究團隊的 81.6%。對 ISP(網路服務供應商)而言,若能明確辨識暗網流量分類,就不必把看影片或聽音樂等受到惡意攻擊可能性極低的影音串流,全部導入 IDS(入侵檢測系統)資安偵測,大幅節省資源。

暗網流量類型分類:臺大研究團隊利用 AI 演算法分析網路流量特徵,把經過匿名加密的流量分門別類,協助網管人員有效而安全的管理網路。圖/林宗男實驗室提供

惡意流量偵測,鞏固第 2 道防線

研究團隊也利用最近 3 年眾所周知的 10 種惡意程式,包括 2017 年肆虐全球的勒索軟體 WannaCry(想哭)進行惡意流量偵測「實兵演練」。畢竟惡意程式偵測不可能做到百分之百,漏網之魚在所難免。根據資安調查顯示,惡意程式滲透入侵電腦系統之後,平均長達 56 天才會被發現。 

-----廣告,請繼續往下閱讀-----

「惡意流量偵測其實是第 2 道防線!發生惡意流量代表電腦已經中毒了,我們的目標是在最短時間偵測出惡意流量。」林宗男透露,跨國網路科技公司 CISCO 現有商用偵測系統精確度已達 97.7%,「我們做得再好,也僅能微幅提升到 98.2%。」研究團隊再發揮 3 個臭皮匠勝過 1 個諸葛亮的精神,把 2 套系統截長補短,將精確度再向上提升 0.3%,堅持沒有最好、只有更好的信念,鍥而不捨地挑戰不可能的任務。

惡意流量偵測:研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,加速偵測發現網路異常流量,並揪出潛伏在網海裡面興風作浪的惡意程式。圖/林宗男實驗室提供

eID 的潛在風險

然而,林宗男也深知,資安不可能做到百分之百的絕對安全。當內政部決定在明年全面換發 new eID 數位身分證,建置 T-Road(政府資料傳輸平臺),打造跨政府機關資料通道網路,推動「一卡多用」串聯戶籍資料、健保資料庫、汽機車駕照交通監理資料、國民年金與勞保勞退年金等,同時政府也將讓 new eID 擁有線上交易完整性與不可否認性,做為電子商務交易憑證。林宗男對此呼籲政府應正視 new eID 缺乏法源依據的問題,更要從資訊安全的角度,重新審慎評估全面換發數位身分證的必要性。 

「透過 new eID 建置 T-Road 聽起來好像很方便、很進步,但對駭客而言,要偷取全國 2,300 萬人的資料,也非常方便。一旦出現資安破口,整個系統就會因單點失效而全面瓦解。」林宗男說,「new eID 把國人從出生到死亡所有資料全部放在 T-Road,我們都知道網路沒有絕對安全,還要把所有的東西全部放在一個籃子裡面嗎?」政府應該要有分散風險的危機意識,數位身分證絕對不能「一卡多用」。  

註解

  1. 利用 TOR(The Onion Router 洋蔥路由器)瀏覽器遮蔽使用者真實位址,避開網管系統追蹤的匿名網路。
  2. 參考人類大腦視覺組織建立的深度學習模型。
所有討論 2
科技大觀園_96
82 篇文章 ・ 1124 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

1

20
4

文字

分享

1
20
4
大資訊時代也是大駭客時代!——你該認識的駭客新興手法
科技大觀園_96
・2022/01/21 ・2496字 ・閱讀時間約 5 分鐘

正在瀏覽這篇文章的你,很可能正被看不見的腥風血雨所籠罩——這不是危言聳聽,因為第三次世界大戰的戰場,極有可能就發生在網路上。網路與數位化的浪潮勢不可擋,面對資安環境高速變遷帶來的新興風險,我們又該如何自保防身?來聽聽資安專家——中山大學資訊管理系陳嘉玫教授怎麽說!

方便與安全,兩者不可兼得也

註冊或登入會員、設定和輸入密碼、提供各種個資如網頁瀏覽記錄,來換取和生活大小事離不了關係的線上服務,已經是數位原住民的日常。而在高度依賴網路、講求高效率的今日,我們都希望電腦軟體和手機 APP 的使用能越方便越好,但一味追求便捷,卻可能讓自己露出資安破綻,叫不法分子有機可乘。

陳嘉玫
陳嘉玫教授。圖/中山大學管理學系

「越安全的東西,越不方便使用。」陳嘉玫教授指出,安全與方便自古兩難全,如何找到兩者之間的平衡就是關鍵。

資工系出身、喜歡寫程式的陳教授,曾在美國花旗銀行全球資訊網路研究總部擔任要職。該企業内部一切開發需求重視安全遠勝於方便的嚴謹文化,成為她日後投身資安領域的契機。

客制化誘餌與駭客聯盟,讓威脅更升級

科技的進步,也見證駭客攻擊手法的進化錄。研究網路安全多年的陳教授指出,每個時期的使用者都有不同的使用習慣,從早期的電子郵件,到現在的臉書和 Line 群組,都是心懷不軌者潛伏之處。他們長期觀察和收集目標攻擊對象相關資訊、和刺探目標網路,利用人性的弱點,客製化各種引人上鈎的「誘餌」,來獲得他們想要的機密資訊。這就是網路犯罪最常見的社交工程(Social engineering)攻擊和釣魚式攻擊。

-----廣告,請繼續往下閱讀-----
社交軟體
駭客會利用社交軟體散播許多客製化的釣魚攻擊。圖/pixabay

過去駭客都單打獨鬥,但現在也出現分工明確、系統化的「駭客聯盟」。目前的攻擊趨勢,也演變成更危險的進階持續性威脅攻擊(Advanced Persistent Threats,簡稱 APT)。APT 是針對一個特定組織,長期滲透、客製化且多階段的網路攻擊。為了全方面瞭解目標攻擊對象、擬定有效戰略,駭客除了進行技術面的研究,會對目標組織做身家調查,包括員工名單、財務狀況、社交活動、社群網路留言。APT 棘手之處在於,如果一個戰術行不通,駭客會持之以恆,不斷嘗試直到找出破口。

「韓國黑暗日」(Dark Korea),就是著名的 APT 攻擊事件之一。這場韓國史上最大駭客攻擊,推論是由北韓主導,至少歷經八個月的精心策劃。駭客偷渡惡意程式到多家電視媒體與金融服務的電腦與伺服器,進行破壞性攻擊,造成各項服務停擺多日,韓國將這次攻擊視為國家級的戰爭行為。

如今「資訊即權力」當道,國家勢力著手培養駭客已不是新聞,不少國家也紛紛成立不需要一槍一彈的「第四軍種」——資通電軍 (俗稱網軍)。比起傳統軍武,發起資訊戰,無需花費一槍一彈,卻對社會經濟產業造成極大的衝擊。

資通電軍
許多國家成立資通電軍來發起或是抵禦資訊戰。圖/pixabay

零時差漏洞,得之可得天下?

提到駭客攻擊,就不得不談談號稱可一秒癱瘓世界的零時差漏洞(zero-day vulnerability)。零時差漏洞是可謂資安界最害怕的威脅,是指當漏洞被發現,而軟體開發商尚未發布修補程式 (patch) 之前,在這段時間,任何使用該軟體的主機,都有此安全漏洞,都有可能遭受駭客攻擊。

-----廣告,請繼續往下閱讀-----

不過,要取得零時差漏洞也非易事。陳教授以武俠小説作比喻,零時差漏洞就像壓箱底的最後法寶,除非遇到最難纏的對手,否則駭客也不會輕易使出這一殺手鐧。這些高利用價值的漏洞,在黑市可是千金難換。一個小小的零時差漏可能掌握著一國民生基礎架構的命脈,是要挾國安的重要籌碼,可得也可毀滅天下。

為了避免讓自身弱點落入他人手中,很多公司重金懸賞發現該公司產品的安全漏洞的駭客。而就像江湖上同時存在邪道與正派,除了進行不法勾當、謀取利益的黑帽(Black Hat)駭客,也有著用意良善的白帽(White Hat)駭客。這個典故源自美國西部電影中,正派戴著白帽,而反派往往著黑帽的形象。

白帽駭客維護精益求精的駭客文化,以「提升安全性」為目的,挖掘程式漏洞,提供開發商漏洞資訊,以改善該系統的安全性,稱得上是駭客武林中的俠義心腸的一群。

駭客
駭客也可以區分為以不法途徑牟取利益的黑帽駭客,與幫助開發商提升安全性的白帽駭客。

守護資安,人人有責

雖然武俠故事的鎂光燈往往都聚焦在少數幾個武林高手身上,但江湖其實更大部分是由你我這樣平凡老百姓組成。陳教授坦言,很多人誤以為資安都是 IT(Information Technology)或 MI((Manager Information System)部門的責任,但守護資安,應是所有使用者的責任。

-----廣告,請繼續往下閱讀-----

「資安其實就是攻與防。知己知彼,才能百戰百勝。」

陳教授一再強調,要打造良好的資安環境,從小教育年輕一代正確使用手機、電腦等電子設備的資安知識,才是最有效的方式。根據調查,管理層級的主管越重視資安,透過資安教育訓練和宣導提高員工資安意識,才能在組織中形塑健全的資安文化。

除了管理好個人資訊和帳號密碼外,在上網時多存一份疑問,才能在第一時間發現不對勁、主動通報,越資訊化的時代,我們也越沒有隱私,駭客攻擊防不勝防。因此在江湖上行走時,常常更新資安資訊,隨時保持警惕,是避免遭受攻擊的不二法門。

參考資料

所有討論 1
科技大觀園_96
82 篇文章 ・ 1124 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。