經濟新潮社EcoTrend官方部落格

【《脆弱系統》導讀】資訊安全的歷史， 隱藏著當前資安發展困境的解方

文︱鄧惟中 （亞洲．矽谷計畫人資長）

首先，很感謝經濟新潮社邀請撰寫本書導讀並讓我有機會得以先一睹本書。雖然《脆弱系統》的英文副標顯示了這是一本歷史書，然而綜觀全文，我認為作者是用了萬言書的規模來懇切的呼籲社會各界，目前資訊安全領域的三大弊端（作者稱為聖痕，用來暗示其不可動搖性）其實是過去科技發展路徑選擇造成的流弊，而我們應該從根本開始重頭檢視我們對於電腦系統資安問題的態度。

三大聖痕的前兩者「資訊洩漏」與「民族國家的駭客行為」是目前危害全世界社群的兩大資安問題，而第三個聖痕認識論的閉合則限制了我們只能用治標不治本的方式來對不斷產生的系統弱點見招拆招，修修補補。

本書分為九章，前三章從電腦系統的硬體與作業系統的開發歷史開始介紹，接著提及網際網路的發展歷史，以及在這個歷史軌跡中資訊安全是如何被當時的電腦研究人員、政府機構以及業界人士看待與嘗試解決。早期的電腦系統因為尚未連網，還可以系統性的驗證安全與否，只是這樣的驗證工作過於耗時而無法趕上軟體開發者改版的速度，而網際網路的誕生改變了整個資安問題的大環境。

第四章開始，整個鏡頭就轉向了資安問題的發展，包含層出不窮的病毒、蠕蟲與系統弱點。由於此時網際網路已經發展至全球規模，惡意軟體可能造成的影響開始產生相當的吸引力。喜歡研究弱點的駭客可以透過揭露弱點來顯示自身的技術力，或是透過販賣弱點來盈利。

作者統稱的民族國家也發現，可以透過弱點來滲透敵對國家的電腦網路、竊取機密或是破壞關鍵基礎設施，因此政府本身雇用了許多駭客來系統性的集中火力進行網路攻擊。在防守方面，密碼學以及如安全性開發生命週期（Security Development Lifecycle）的軟體開發模式確實拉高了駭客找到弱點的難度，然而這也讓攻擊者把目標轉向另外一個可能的資安破口：使用者。

第六章介紹了軟體的易用性、行為經濟學和心理學如何影響了使用者在協防資訊安全時的成效，同時也以垃圾郵件以及之後發展的釣魚郵件為例，來解釋為何這些問題遲遲無法根治。

第七章再次從行為經濟學和心理學的角度分析了系統弱點如何被包裝成零時差弱點（zero-day vulnerability）並變成一門好生意。最後，第八章重新開始檢視三個聖痕的本質，在第九章作者則建議我們可以透過面對系統的複雜性、強調集體努力的重要性與省視攻守平衡的三招，來重新盤點我們應該如何面對電腦網路的資訊安全。

整體而言，這是一本以資安議題發展歷史出發，並以主觀論述結尾的大著。作者極為用功，整本書旁徵博引了超過一千五百處的文獻與紀錄，另外作為一個資安發展的歷史書，書中也不可免的必須介紹非常多的專業術語，因此本書並非輕鬆的看歷史說故事，而主要的讀者群應該會如作者一樣求知慾旺盛吧。如果是像我一樣已有資訊專業背景知識的讀者，相信在閱讀本書的過程中會得到一些啟發，有些長期隱藏在腦中的疑問，透過學習歷史而豁然開朗。

我在資訊工程系任教超過二十年，偶而也會感嘆科技的發展脈絡其實跟技術本身有同等的重要性，卻常常被各學科的教科書忽略或輕描淡寫帶過。資訊專業的工程師不停的在追趕學習使用新的技術、新的軟體，卻不易窺見整個技術典範轉移時背後的前因後果。本書不但可以彌補資安方面歷史軌跡的素養，文末提供大量的文獻與紀錄出處以供讀者查閱，也是極有價值的知識庫了。

資訊安全必須基於資通訊系統之上，因此仍是一門資歷尚淺的領域，相信未來仍會有更多的理論基礎加入。然而，在資通訊科技發展速度不斷加速之下，資安問題的面貌也日新月異，讓維護安全的管理人員疲於奔命，因此容易傾向於保守、姑息的尋找快速卻治標的解決方案。決策者以及研究人員相對的應有更多的餘裕，來學習與思考如何結合行為經濟學、心理學、管理學與資通訊技術來改善現有的資安生態系（ecosystem）。

或許正如作者在結語中所說的：「當下是過往的產物，所以想要跨越資訊安全在今日所面對的挑戰，好好了解過去，就是我們繞不過去的一關。」

個資外洩、網路詐騙、駭客勒索猖獗，受害者卻求償無門。

一本書，分析資訊安全的歷史，以及網路系統如此脆弱的原因。

　　你常常這樣做嗎？
　　●定期更換各種網路密碼
　　●連網設備用畢之後，隨手登出、關機
　　●對於來路不明的電郵、網址心存懷疑，不會因為好奇而點開
　　●時常關心資訊安全新聞，例如：網路詐騙、駭客入侵、個資外洩事件等

　　網路科技急速發展，資訊安全卻有很多漏洞，導致個資外洩、詐騙頻傳，甚至遭到駭客和勒索軟體的攻擊。
　　事實上，資訊安全的本質其實很脆弱，並不像大家想像的「牢靠」。資安問題持續存在且難以根除的原因在於，許多開發者和企業在設計和推出系統時，往往採取「先行動，後補救」策略，導致許多系統在推出後，才發現存在嚴重的安全漏洞，不僅為後續的修補和維護帶來了巨大挑戰，更為潛在的攻擊者提供了可乘之機。　
　　安德魯‧史都華（Andrew J. Stewart）在書中詳述資訊安全從發展初期至今的歷史，其實是連續失敗的過程，即使到了現在，嚴密的資安依然無法杜絕個資外洩、網路勒索的發生，從個人到企業的傷害，仍然持續擴大。
　　史都華介紹網路發展初期至今的資訊安全史，並從攻擊者、防禦者的角度分析過去的資安事件，也從政策層面探討人們在不同年代如何填補資安漏洞。
　　然而，造成資安破口的根源，不只是系統出現漏洞，往往人性的脆弱也是原因之一，例如因為好奇、貪圖方便而落入網路詐騙、個資外洩的陷阱。史都華認為，說不定我們可以藉由心理學和行為經濟學對人類行為得出新的見解，進而讓資訊安全問題獲得解決。
　　現在是過去的產物，想要面對當今的問題，就必須從了解歷史開始。一本書，詳述從電腦發明到駭客入侵的資訊安全史，以及人類如何展開橫跨半個世紀的資安攻防戰。讓活在虛偽又真實時代的我們，重新認識資訊安全的全貌。

｜專業推薦｜
李忠憲（成功大學資訊安全研究與教育中心主任）
林宜敬（數位發展部政務次長）
鄧惟中（亞洲・矽谷計畫人資長）
顧家祈（斜槓創業家╱AI學習專家）

｜作者｜安德魯‧史都華（Andrew J. Stewart）
任職於投資銀行，英國倫敦大學皇家哈洛威學院 （Royal Holloway, University of London）資訊安全課程碩士，目前以兼職學生的身分在倫敦國王學院（King's College London）安全研究院戰爭所（Department of War Studies, School of Security Studies）攻讀博士學位，研究主題是銀行內線交易。《脆弱系統》（繁體中文版由經濟新潮社出版）是他的第一本書。作者網站：https://andrewinfosec.com/
 

｜譯者｜鄭煥昇
與文字朝朝暮暮，在書本中進進出出的譯者，近期譯作為《脆弱系統》、《多巴胺國度》（經濟新潮社出版）等；賜教信箱：huansheng.cheng@gmail.com。

｜目次｜
引言　三道聖痕
第一章　資訊安全的「新維度」
第二章　早期研究者的許諾、成功與失敗
第三章　網際網路暨全球資訊網的創建，與一個黑暗的先兆
第四章　網路泡沫，與有利可圖之反饋迴圈的起源
第五章　軟體安全與「痛苦的倉鼠滾輪」
第六章　易用的安全性、經濟學與心理學
第七章　弱點的揭露、獎勵與市場
第八章　資料外洩、民族國家的駭客行為，以及認識論的閉合
第九章　資訊安全的頑劣本質
結語　過去、現在與可能的未來
致謝
附註
精選參考資料
譯名對照