2014年6月18日 星期三

資安自己救 學者建議自建伺服器

〔自由時報記者湯佳玲、陳炳宏/綜合報導〕政府單位用Google信箱會有較大資安疑慮?台大資工系副教授洪士灝表示,政府機關的電子郵件最好建置自己的伺服器管理,與由Google代管的差別在於「自己的資安自己救!」

但也有資安專家表示,大雲端廠商防駭能力絕對會比政府個別部門有優勢,因為在人才與資源上絕非政府單一部門所能比擬。

美國防單位自建伺服器 保護機密
洪士灝比喻,信箱代管與自建,就好比是要請國外軍隊還是自組軍隊來保衛;代管也能制訂出規則保護資安,像是至少機房應留在台灣,確定資料沒有被外移出去;另一個就是使用上的限制機制,以防即使資料外移,別人也看不見內容。

他說,政府機關需要思考「代價」問題,例如與國防相關就須務必三思。美國國防單位的電子郵件、行事曆等,寧願花大錢建置完全屬於自己內部的伺服器,就是為了保護軍事最高機密。

可採用Gmail的HTTPS加密功能
中研院資訊科學所一位陳姓學者表示,政府機關的公務郵件由Google代管當然會有國安疑慮,因為過去Google就曾經發生過蒐集用戶資料軌跡,以發展新的程式,或許不是故意,但確實有洩密之虞。若要使用,建議最好採用Gmail服務的加密功能HTTPS,取代一般的HTTP網頁,可多一層防護。

國內資安專家黃先生則表示,像Google這樣大的雲端廠商,如果系統被發現有漏洞,定會馬上被公開,且極短時間內修復,而一般機關即使有漏洞,也可能不自知。

但Google過去曾迫於中國壓力,在中國市場做過關鍵字篩檢,一度引發爭議;一旦美國政府提出索取資料的要求,Google是否會配合?黃先生認為,Google等許多科技大廠,一直努力降低受美國政府影響,甚至希望一旦提供政府要求,也要公開需求內容。

Gmail無伺服器整個被駭紀錄
過去Gmail也曾經發生帳號被盜以及攻擊事件,不過前者是因為用戶被安裝鍵盤側錄程式,後者則是駭客透過網路釣魚,針對性的攻擊特定人士,竊取密碼。至於Gmail伺服器整個被駭,目前似乎還無相關紀錄。

沒有留言: