2019科創講堂

資安人的崛起

講者/台灣科技大學資訊管理系特聘教授 吳宗成

撰文/整理/科學人
2019/06/11

2019科創講堂

資安人的崛起

講者/台灣科技大學資訊管理系特聘教授 吳宗成

撰文/整理/科學人
2019/06/11


隨著電腦和網路的發展,我們的生活更方便了,但也更依賴電腦和網路,一旦電腦和網路上的資料被竊取,就可能損失慘重,凸顯了資訊安全的重要性。台科大資訊管理系特聘教授吳宗成說:「研究系統的人,是在創造價值;研究資安系統的人,則是在保護創造出來的價值。」


代資安人


吳宗成提到,在還沒有電腦以前,就已經有密碼學,當時是為了保護資料。以圖像隱碼術(Steganography)為例,你可以把訊息藏在圖或文章裡,藏頭文就是一種。共濟會員密碼(Freemason’s cipher)則是用一種格子式的符號來取代英文字母。


計算科學出現以後,開啟了近代密碼學的研究,圖靈(Alan Turing)和夏農(Claude E. Shannon)是重要的先驅者。密碼學(Cryptography)這個字第一次就出現在圖靈的文章裡;夏農主要是研究通訊的編碼技術,編碼就是一種資訊隱藏技術。


接下來還有很多前輩為資訊安全做出許多重大貢獻,因而獲得了圖靈獎。布盧姆(M. Blum)將計算複雜度應用在密碼學上,複雜度越高,解碼就越難。姚期智院士研究亂數的產生,用不確定性來保護資訊。李維斯特(R.L. Rivest)、薩莫爾(A. Shamir)和阿德曼(L.M. Adleman)提出了RSA加密演算法,RSA至今仍被廣泛應用。


米立卡(S. Micali)和戈德瓦塞爾(S. Goldwasser)提出了零資訊安全證明理論(zero-knowledge proofs),即一個人無須揭露機密,也可以證明自己確實知道這個秘密,例如一群人在房子裡,不必揭露每一個人的所得,就能算出所有人的所得總和。迪菲(W. Diffie)和赫爾曼(M.E. Hellman)則是公開金鑰密碼系統的先驅者。


歷代的資安問題


每個年代都面臨不同的資安問題。1970年代以保護資料為主。1980年代,電腦科學在工商業產生許多自動化應用,因此以保護自動化系統為主。到了1990年代,網路爆炸,企業或個人開始小心網路資料被竊取,要求網際網路的安全。2000年,行動裝置普及,資料不再單純,涵蓋了影像、聲音等多媒體資料,要求的是3G及無線網路安全。2010~2015年間,發展出4G和雲端系統,資料都存在無所不在的雲端,雲端和4G安全成了首要之務。


未來,除了5G的安全,還面臨其他資安問題。例如量子電腦強大的計算能力,可能會使傳統的加密法無用武之地。機器透過學習而有了智慧,機器又要如何對抗機器?我們要面對的到底是機器還是機器背後的人?物聯網使得虛擬世界和實體萬物全部連結在一起,形成一個龐大的網絡系統(cyber system),這個系統的資安必須涵蓋資料的安全、通信的安全、應用的安全、人的安全,因此必須建立一個資安生態系統。


資安系統的價值定位


吳宗成認為,建構資安系統是為了創造價值,而研究資安的人則是為了保護創造價值。他將保護系統價值的資安人分成四類,例如在遇到資安技術議題,就得善用技術型、應用型的資安人,前者是站在第一線,具備攻擊及防禦能力的資安技術專家,後者則是能善用既有的資安技術能量,強化與建構安全的應用場景,或是降低應用領域會面臨到的資安風險。另外一類是如何使你保護的技術能夠去落實,就需要管理型資安人;而最後一類是屬於政治型資安人,須具備能夠預知未來資安風險,引領政府、企業制定資安政策與戰略部署。


科技始終從善意出發,以便讓人生活更方便,但資安剛好相反,因為要防範惡意。因此吳宗成指出,資安人應該「要有攻擊者的思維,要有保護者的善心」,才能做好資安工作。