台灣必須從價值鏈底部開始發展資安能力,而且軍方所需的人才資源,在私營企業應該也很有用。強化資安的過程會經歷好幾個不同階段,無論哪個領域的進步,最後都有助於提升整個國家實力。
美國眾議院議長裴洛西(Nancy Patricia Pelosi)8月訪台之後,中國發動攻擊威脅台灣與盟友,它發射導彈穿越台北上空,並在台灣周圍海域進行軍事演習,但這些行動在物理上都距離台灣人民的生活相當遙遠,因此,中國也同時騷擾台灣的政府網站、銀行等各種基礎建設網絡,試圖給台灣的公民社會一個下馬威。
在不久的未來,這種「灰色地帶」攻擊大概會越來越常見,而且越來越激烈。一般來說,這類騷擾都只是因為中國看台灣的政治傾向不爽而已,並非真正要進行吞併。因為要靠灰色地帶的騷擾來協助軍事吞併,主要方法就是聲東擊西,必須一邊進行騷擾,一邊準備全面入侵。但全面入侵的兵力需求實在太大,所以資源上很可能無法持久。
當然,房間裡的人可能真的在密謀什麼東西;但至少目前為止爆出的網路攻擊,都不是真的要破壞社會或軍隊,而只是要做做樣子打擊士氣,讓台灣民眾相信中國能夠進行更多攻擊。不過,如果全面入侵變得夠划算,中國就真的會動手,所以台灣不應該繼續被動應變,而是應該利用中國騷擾的機會,來解決系統安全的問題。而且在諸多有待改善的目標當中,資安是很有賺頭的領域。只是在實際發展資安之前,台灣得先決定自己要解決什麼問題。
從程式的寫法開始
當然,這說得簡單,做起來難。在網路時代,「資安」幾乎涵蓋了世界上的所有層面。一般人討論資安的時候,通常都想抄捷徑,於是把手段跟目標混為一談,談起防治網路釣魚或者保護個資等。而且資安層面真的太廣,所以要真正找出重點,也許直接扔掉這個詞,從其他地方開始,反而比較實在。
不懂程式的人談到資安,都很容易想到演算法。演算法的確是計算機科學的核心;是軟體公司徵才時要求的基本能力;而且演算法和資安,在密碼學上也有很多重疊之處。但現實中的資安破口,大概都離演算法十萬八千里。
要了解這件事,我們可以看看程式語言在歷史上究竟如何發展。在計算機科學的演進中,安全變得越來越重要。在第一隻電腦病毒出現的5年之後,Python在1991年問世。它的設計理念是「與其事先報備,不如事後道歉」(Better to ask for forgiveness than permission),試圖解決C語言這類老舊程式語言既難用又不安全的問題。當然,在Python越來越普及之後,這種設計理念的缺陷也越來越明顯,而且只要有點法律背景的人,大概都可以一眼看出問題在哪裡。