經濟新潮社EcoTrend官方部落格

【《脆弱系統》導讀】資訊安全的歷史， 隱藏著當前資安發展困境的解方

文︱鄧惟中 （亞洲．矽谷計畫人資長）

首先，很感謝經濟新潮社邀請撰寫本書導讀並讓我有機會得以先一睹本書。雖然《脆弱系統》的英文副標顯示了這是一本歷史書，然而綜觀全文，我認為作者是用了萬言書的規模來懇切的呼籲社會各界，目前資訊安全領域的三大弊端（作者稱為聖痕，用來暗示其不可動搖性）其實是過去科技發展路徑選擇造成的流弊，而我們應該從根本開始重頭檢視我們對於電腦系統資安問題的態度。

三大聖痕的前兩者「資訊洩漏」與「民族國家的駭客行為」是目前危害全世界社群的兩大資安問題，而第三個聖痕認識論的閉合則限制了我們只能用治標不治本的方式來對不斷產生的系統弱點見招拆招，修修補補。

本書分為九章，前三章從電腦系統的硬體與作業系統的開發歷史開始介紹，接著提及網際網路的發展歷史，以及在這個歷史軌跡中資訊安全是如何被當時的電腦研究人員、政府機構以及業界人士看待與嘗試解決。早期的電腦系統因為尚未連網，還可以系統性的驗證安全與否，只是這樣的驗證工作過於耗時而無法趕上軟體開發者改版的速度，而網際網路的誕生改變了整個資安問題的大環境。

第四章開始，整個鏡頭就轉向了資安問題的發展，包含層出不窮的病毒、蠕蟲與系統弱點。由於此時網際網路已經發展至全球規模，惡意軟體可能造成的影響開始產生相當的吸引力。喜歡研究弱點的駭客可以透過揭露弱點來顯示自身的技術力，或是透過販賣弱點來盈利。

作者統稱的民族國家也發現，可以透過弱點來滲透敵對國家的電腦網路、竊取機密或是破壞關鍵基礎設施，因此政府本身雇用了許多駭客來系統性的集中火力進行網路攻擊。在防守方面，密碼學以及如安全性開發生命週期（Security Development Lifecycle）的軟體開發模式確實拉高了駭客找到弱點的難度，然而這也讓攻擊者把目標轉向另外一個可能的資安破口：使用者。

【《脆弱系統》推薦序】認識資訊安全的脆弱本質

文︱顧家祈 （斜槓創業家／AI學習專家）

《脆弱系統》是一本深入講述資訊安全歷史的傑出著作，作者不僅展現了淵博的專業知識，更從商業、人性、國家利益等不同角度，告訴大家資訊安全不僅僅是「技術問題」，更是社會複雜系統演變的縮影。

本書從電腦科技萌芽的早期階段開始，細緻記錄了資訊安全領域中各種「道高一尺，魔高一丈」的演變過程，一直追溯到當今錯綜複雜的網絡環境。看著會發現，資訊安全的本質並不像大家想像的「牢靠」，相對其實非常地脆弱。

作者巧妙地解釋了，為什麼資訊安全問題會持續存在，且難以根除。主要原因在於，許多開發者和企業在設計和推出系統時，往往受到市場競爭和利潤驅動，優先考慮產品的潛在實用功能和商業價值，而不會投入足夠的資源全面評估和應對可能存在的安全風險。

這種「先行動，後補救」的策略，導致了許多系統在推出後，才發現存在嚴重的安全漏洞，不僅為後續的修補和維護帶來了巨大挑戰，更為潛在的攻擊者提供了可乘之機。

近期就有現實的例子，佐證了作者的觀點：二○二四年 七月十九日，知名的科技巨頭微軟公司（Microsoft），遭遇了一次嚴重的系統故障，使全世界各個國家電腦「同時當機」，全球多個機場的航班調度系統癱瘓，大量航班無法正常起飛；電影院無法線上定位、速食店點餐機無法正常運作，甚至許多地區的緊急救援系統也受到了影響。

〔推薦序〕

追求財富是否等於幸福？

謝伯讓     台灣大學心理系教授

1934年，美國經濟學家顧志耐（Simon Smith Kuznets；1971年諾貝爾經濟學獎得主）協助美國商務部，將國民生產毛額（GNP）的計算標準化。當年他向美國參議院提交報告時，明確指出GNP只能顯示出一個國家的生產和消費能力，並警告不能用此來衡量國民的社會經濟福祉。

然而，顧志耐的警告卻是一語成讖，GNP以及後來的國內生產毛額（GDP）很快就成為了大多數國家追求的至高目標。

數十年過後，人們逐漸開始發現GDP並不等同於幸福。1974年，美國經濟學家伊斯特林（Richard Easterlin）正視了這個問題，並提出了「伊斯特林悖論」：人均GDP和幸福感的相關性有限。

〔推薦序〕

民之所欲，常在我心

林明仁  台灣大學經濟系特聘教授

高齡90歲的理查．拉雅德（Richard Layard）男爵，是教育經濟學與勞動經濟學的重量級學者。他在1980年代所發展出的Layard-Nickell model，至今仍是討論福利與失業政策的重要理論基礎。後來他也對教育（特別是技職教育）對所得與不平等的影響有深刻研究，並積極涉入英國政府許多與教育及工作相關的社福政策制定。這些經驗，也讓他比一般的學院經濟學家，更能感同身受政策制定的最終審判，就是民眾對於自己生活狀況的滿意程度。因此他後來的研究，都強調政策要以人民的幸福（happiness or wellbeing）為最終考量，也就不令人意外了。

事實上，Layard於1980年在《Economic Journal》發表的〈人的滿足與公共政策〉（Human Satisfaction and Public Policy）一文，就被公認為是幸福經濟學的始祖。該文開宗明義第一句話就提到：「已經有許多證據證明，即便經濟成長了，西方人並沒有變得比較快樂（People in the West are not becoming happier, despite economic growth）。」而他給出的答案也很直接：「有錢的確會讓你快樂，前提是你比別人更有錢（Riches do bring happiness, provided you are richer than other people）。」另外，快樂也跟個人對所得或階級「實際與預期的差距」有關。幸福經濟學的研究，於焉展開，至今已40餘年，也難怪書評家要給他「幸福沙皇」（Happiness Tsar）這樣的封號了。

《幸福感》這本書即是他與尚－依曼紐．戴奈維（Jan-Emmanuel De Neve）合作，將幸福的社會科學證據與政策意涵作一總整理的百科全書。本書分為四大部分，第一部分提供了對幸福的哲學與科學考察的知識歷史，以及如何測量人的幸福。在幸福的量化研究中，「整體說來，0分（一點也不滿意）到10分（非常滿意），你對現在的生活有多滿意？」（Overall, on a scale of 0 (not at all satisfied) to 10 (very satisfied), how satisfied are you with your life nowadays）是最常被使用的問句與測量方式。問卷的結果則作為測量大眾的幸福感以及政策效果的重要基礎。

「很久以來，沒讀過寫得這麼精彩的好書，就像一座知識噴泉，令人大受鼓舞之餘，起而行動。」

――康納曼（Daniel Kahneman），諾貝爾經濟學獎得主

幸福感：最新的社會科學研究――民之所欲何在？如何創造一個人人更幸福的社會？

Wellbeing: Science and Policy

倫敦政經學院 理查．拉雅德（Richard Layard）、

學習型組織必備讀本

如果你看過《系統思考》、《第五項修練》，

千萬不要錯過這本書！

以系統思考俯瞰整體、突破框架，

進而做出決定、邁向成功！

從「猜」到「估算」的最強思考法――費米推論

文 / 經濟新潮社總編輯  林博華

我是一個喜歡「猜」的人。從以前開始，我喜歡猜「現在幾點幾分？」，然後看錶，幾乎誤差都在5分鐘或10分鐘內，不會差太多。

另個例子，我和太太去餐廳吃飯，若是一家新餐廳，我們可能吃得滿意或不滿意，但我常常會猜「這家店能不能撐超過兩年？」，之後再來驗證。

還有一種「猜」，是公司編列年度預算的時候。支出的項目大致可以有跡可循，但收入的話，未來一年產品究竟能賣多少？其本質也是「猜」，只是有人猜得準有人猜不準。

在職場上，「猜」的技術有其名稱，通常稱為「量化」。不能只是說「某某產品的市場很大」，有多大呢？是幾千萬？或幾億？或幾十億？能否算給別人看？

第1章　工匠之死

　　我的父親已是九十六歲高齡。他是赫曼米勒（Herman Miller）公司的創辦人，公司的許多價值體系與內在能量都是他的貢獻，這些珍貴遺產至今依然引領著我們。一九二○年代時的家具業，大多數工廠的機器都不是由電動馬達驅動，而是用中央傳動軸的滑輪。中央傳動軸是由蒸氣引擎帶動的。蒸氣引擎由鍋爐得到蒸氣。至於鍋爐的燃料，以我們工廠來說，則是機電室裏出來的木屑或是其他廢棄物──好美的循環。

　　工匠負責監管這個循環，整個操作活動都靠他。他是關鍵人物。

　　有一天，工匠死了。

暢銷30多年的領導聖經！

彼得．杜拉克：

「領導這個主題，坊間多的是比它冗長的著作，但是這本書的說理更明白，文字更優雅，而且更有說服力。」

山姆．華頓（沃爾瑪百貨創辦人）：

「有關領導與企業經營哲學的主題，這是我所讀過寫得最好的一本書。」

〔推薦序〕

好好學習專案管理的軟硬技能

盧鄭麟（兵法管理顧問有限公司創辦人，曾擔任HTC軟體專案經理團隊主管）

你以為只有公司的工作才叫專案嗎？其實，當你安排一個私人旅行的時候，你已經在管理一個專案了，只是此時你同時扮演著專案經理、專案團隊和客戶的角色罷了。事實上，不論在工作或私人場域，專案都無所不在，而我們也經常不知不覺地在管理著這些專案。既然專案管理和我們的日常關係這麼密切，那麼，我們理應很擅長管理專案才對。然而，實際情況並非如此。

我在科技業和管理顧問業從事專案管理相關工作已近三十年，接觸過數百個專案管理實務案例，從中我發現，專案管理一直都是很多企業管理者和專案工作者的痛，許多專案都遭遇過需求不斷變更、時程延宕、成本超支、跨部門溝通困難、最後關頭才品質瑕疵爆量，導致專案難以收拾的狀況。最後只能靠專案團隊賣肝賣腎加班，拼命修補瑕疵來勉強結案。企業和團隊都苦不堪言。

此外，由於專案經理多半也沒有團隊的績效考核權，有責無權，許多人因此而相當排斥擔任這個職務，結果，組織的專案管理知識和經驗也就變得更加難以傳承，而進入一個惡性循環。

最後期限：專案管理101個成功法則（20週年紀念版）

The Deadline: A Novel about Project Management

湯姆‧狄馬克（Tom DeMarco） 著

UMLChina翻譯組 譯

2024年5月30日出版

艾莉絲‧孟若 Alice Munro 1931.7.10~2024.5.13 

值得一看的短篇小說名家  2013年諾貝爾文學獎得主

博客來-作者-艾莉絲‧孟若 (books.com.tw)

（2024.7.11補記）

孟若的二女兒Andrea Robin Skinner在9歲時（1976年）被繼父性侵，他一生中猥褻過好幾位女童。當她25歲時向孟若說出繼父的惡行時，孟若站到了繼父的一邊。女兒害怕的除了創傷，可能更怕的是被母親拋棄……還好她說出來了，做回了她自己。

規畫人生、設定目標、執行計畫，

無論是生活或工作，各種領域都能用得到！

「不曉得該如何設定目標、擬定計畫。」

「即使有計畫，卻無法順利執行。」

可能你也遇過這種情形，這時候，你需要曼陀羅表格。

費米推論：最強的商業思考！學會估計市場規模，快速估算未知數字的思考模式

ロジカルシンキングを超える戦略思考 フェルミ推定の技術

作者：高松智史

譯者：陳嫻若

328頁，雙色

2024年3月28日出版