公務機密宣導─你用的雲端安全嗎

:::


雲端是近年的顯學,企業沒有用雲端、個人不知道雲端,好像就落伍了;很多企業為了顯示自己跟得上時代的潮流,不但號稱資料放在雲端,甚至連資訊系統都在雲端運作。
就在雲端概念風起雲湧之際,據報載某水果牌手機推出的雲端服務iCloud遭到駭客入侵,大量好萊塢女明星儲存在iCloud的私密照被盜,甚至一些已經刪除的照片都被駭客盜取,並在網路上流傳。
看到這則新聞,在科技公司任職的小潘,馬上想到自己公司所用的企業資源規劃(Enterprise Resource Planning, ERP)系統,也是一個放在雲端上的系統,這樣做到底安不安全呢?在這個月的師生下午茶約會中,小潘決定把雲端的安全問題拿出來跟司馬特老師討論。

在充滿焦糖瑪琪朵咖啡香的週末下午,小潘一見到司馬特老師,就迫不急待地提出他的疑問:水果公司當初在建置iCloud系統時,難道沒有考慮到資訊安全的問題嗎?
司馬特老師喝口咖啡娓娓道來,不要認為有了防火牆就可以解決所有問題,我們應該認知:沒有一個資訊系統是絕對安全的,所以要養成一個習慣,不要把重要的資料放在自己無法控制的地方。
iCloud的安全機制怎麼運作?到底有多安全?我們都不知道,甚至於像這次的事件是怎麼發生的?系統的漏洞在哪裏?我們也不知道,相信他們也不會告訴我們。所有的使用者都只能從他們的官網上獲得安全相關訊息。

從官方網站公布的資料來看,使用者上傳過程跟儲存在iCloud的文件,都是以128bit的金鑰用AES方式加密;官方的APP也有身分驗證機制,會確認用戶的帳號和密碼,而發送給第三方服務的訊息也是用SSL處理。至於使用者所用的帳號密碼,系統也要求要包含數字、大小寫字母,且至少要8位字元。至於在系統的使用上也有雙重認證的機制,以降低用戶因帳號資訊被盜而遺失資料的風險。當用戶首次使用手機和平板電腦登入iCloud時,系統會發出一個4位數的驗證碼至用戶的手機,驗證成功後授權該裝置可以登入用戶的帳戶,並在其他曾使用該帳戶的裝置彈出通知,告知用戶該帳號在何時何地登錄iCloud。

小潘聽到這裏,直覺的反應是:既然iCloud有這麼完善的安全機制,為什麼又會造成照片外洩呢?司馬特老師喝口咖啡後笑著說,系統的漏洞很多時候是人為因素造成的。以這次事件來說,危安的系統因素還不明朗,但雲端資料的安全議題可分為幾類:第一類是個人密碼的問題,使用者設定的密碼若安全性不夠,就容易遭到駭客的暴力破解;其次,很多人為了方便,所有系統都用同一個密碼,只要一個密碼被破解,就全部淪陷了,所以比較重要的密碼,還是要另外設定,不要跟e-mail信箱用同一個。第二類則是系統資訊安全的問題,iOS一向給人的感覺就是資安問題沒有Windows這麼多,所以很多iOS使用者的戒心就降低很多。一般資訊系統雖然都裝了防毒軟體,然而資訊安全不可能做到百分之百的安全,偶而還是防不勝防,像木馬程式可能會把存在電腦中的帳號密碼,在你不知不覺中傳了出去;還有一些釣魚程式會偽裝在郵件中,使用者不知情地打開,帳號密碼就有可能被竊走。

小潘聽到這裡,想著如果不用雲端運算,是不是就比較安全呢?司馬特老師似乎看出小潘的心思,接著表示:我們生活在科技時代是不能當駝鳥的,以為把頭埋在土裡就安全了,事實上資訊科技是用來幫助企業做管理,給我們更方便的生活,我們不必因噎廢食,畢竟任何事情都有風險,端賴我們事前縝密的風險管理;在追求效率與便利的需求下,雲端運算應是一條無可避免的不歸路,然而,面對不斷推陳出新的危安事件,我們應該要有風險意識,要隨時檢討各種危安因子,並採取有效的阻攔措施,以降低其發生的機率;而這些措施不能是一成不變的,當敵人越來越厲害的時候,我們的防禦工事也要相對地與日俱進,才能有效防止危安事件的發生。
瀏覽人次:2662 最後更新日期:2017-10-25