I'n Blog 之萬象真藏

軍方爆發文件洩密案，再次突顯資訊控管慎防漏洞的重要性，資安專家說。

根據媒體報導，因國防部小兵違反規定，將未能切碎的機密文件賤賣給民間回收業者，導致軍事機密被一一拼湊出。令平時強調保密防諜、且投入巨資購買設備的軍方資訊外洩，最後敗在看似不起眼的疏漏。

值得注意的是，這已不是第一次軍方資訊外洩的新聞。專家指出，資訊安全工作繁複，科技、人、流程都是可能的資訊漏洞所在。

整體而言，軍方具有資訊安全觀念，「不然他們不會一直講保密防諜，」曾任PwC資訊安全顧問，現任NII資訊風險管理組協理魯君禮指出，「只是這些觀念碰到不熟悉的科技就可能出現漏洞。」

事實上，今年就傳出多起經由IT設備外洩軍機的事件。今年稍早爆發若干軍事資訊被人發現可利用地下P2P軟體Foxy找到。此外還有數宗軍中人員將機密資料利用USB拇指碟或整台電腦攜出，造成有意或無意間外流的案件。

除了紙張、USB、電腦之外，電腦、磁帶被竊造成資訊外洩在美也時有所聞。此外，CA資深技術顧問林宏嘉指出，老舊硬碟、儲存設備汰換之前未經適當處理，也可能如同紙張被一一調出資料。

林宏嘉並指出，包括今天在內的事件，都是資訊安全上的「邏輯漏洞」。所謂邏輯漏洞，泛指不是出在應用系統本身，而是資訊流通的過程中發生人為或設計上的疏失，像是沒有做到資訊的身分認證、授權與稽核。

以授權切割而言，「像是本例中，如果負責銷燬資料，以及稽核銷燬作業的是不同人，就不會發生這樣的事，」他說，一個嚴格的紙本文件銷燬，應該要先碎紙，然後焚燬，焚燬還要重複進行，等確認完全成灰燼。全程必須錄影存證並列檔稽核。

防範之道，在於有良好的資訊控管政策，專家指出。而資訊安全國際標準ISO 27001或BS7799就是希望透過制度來達到確保廣義資訊安全（或單純地防範洩密）的目的，目前政府單位及軍方都已漸次導入這些制度。

魯君禮認為，ISO 27001畢竟要劃定特定領域(scope)，軍事上保密防諜的觀念如何落實在每一位成員上更是一大關鍵。他指出，和許多民間單位一樣，除了非IT本科系的使用者(士兵)是可能的漏洞，資安控管政策往往無法及於高層主管(軍官)，一旦電腦被植入惡意程式，也會引發重大資訊外洩情事。

「對不懂IT的使用者你說要關掉IIS(Windows內建的Web server)，對他們根本沒有意義」他說，「每位成員的位階及教育背景的不同，唯有透過適當的宣導策略，使良好的資訊安全觀念由上而下普及，才能減少資訊外洩的風險。」。

而為了防止「邏輯」漏洞造成的資訊外洩，「除了層層把關相互稽核外，別無他法，」林宏嘉說，這也是一些重視資訊控管的企業在敏感資訊上強調授權切割、重覆驗證，甚至重覆稽核，以防止人為疏失。

「多一個人把關，你就少一分資訊外流的危險。」他說。

記者鍾翠玲報導
2/10/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20124403,00.htm