從虛擬的角度來看，真的能夠以法律有效地打擊不斷成長的資料竊取問題及越來越密複雜的電腦犯罪問題嗎？

無庸置疑的，法律是打擊電腦犯罪最重要的工具，尤其是，當今的法律已經是淺顯易懂，足以讓大眾隨時應用。同時，法律也會被隨時更新以確保其因應時勢。

但是法律工具和手段，足以應付不停歇的電腦犯罪嗎？「就算是最完善的法律和政策，也無法抑止人們濫用電腦。你必須要讓他們看到會出現什麼樣的結果與必須承受的後果，才能改變那些人的想法。」攻擊、侵害和網路詐騙之會所以發生，是由於在電腦後面進行犯罪活動的藏鏡人，有其特定的動機和目的。簡單來說，這些人類的行為是建構在罪行之下。瞭解為什麼人們會從事具傷害性的行為，必須在特定的「犯罪現場」中，因應與掌控犯罪行為。這個犯罪現場比我們所想像的還大的多。

防制與嚇阻犯罪有兩大方向，第一，將犯罪會發生的流程難度加以複雜化，可降低犯罪發生的機會；第二，讓有犯罪意圖的人知道若犯下罪行，其刑責吃重，可減少犯罪的誘因（好比說坐牢或解聘）。

但是司法的工具是有限的。強制筆記型電腦加密政策，是無法去除內部濫用的弊病，或補救已經發生的問題。但是，當員工會去做壞事的時候，我們會學到一件事情就是要去問「為什麼」。如果他是對工作不開心，那麼瞭解了員工因為工作沮喪而造成電腦濫用，是對於防範工作有益的。瞭解到「為什麼」一名員工會有意圖去犯下罪行，可以突顯出我們該如何有效的分配我們的安全資源。瞭解到「為什麼」一名駭客會意圖攻擊或侵入系統—其動機可能包括了經濟、政治，甚至可能是虛榮心作祟—都可以幫助我們確認哪些防禦系統是脆弱的或是難以攻破的。

將動機納入安全管理策略工作的一環，我們可以察覺到犯罪的先兆。至於員工可能會從事犯行的線索，可以經由以下方式進行明查暗訪而得知：

●做好妥當的經歷背景查核，以及過濾員工工作經歷，瞭解其可能有需要公司加以警示的，例如，和前任雇主有法律訴訟問題，有任何跡證指向暴力或強制管束者。

●由人力資源部門或該名員工所屬部門的主管經理，將其工作表現上出現問題的部分，以資料化系統加以存檔管理。

●在上班時間內，瀏覽與工作無關的網路資源之跡證，例如，在搜尋引擎的調查中，出現有問題可能即將發生的警示，或者大量使用非公司所有的外界郵箱發送信件。

動機對於防範網路犯罪的實際價值在於，如果一個公司組織部門與部門之間，持續地缺乏有效的內部溝通，這些非顯而易見的警示威脅會因為被忽略而頓時無蹤。司法工具同時也會為有效打擊電腦犯罪帶來希望。

但是，除非我們瞭解為什麼人們會「人如其行」，這些威脅恐懼還是會繼續存在這個「小小世界」中。

Julie Tower-Pierce是一名律師，網路犯罪和網路法專家。

多達五百個軟硬體廠商，所提供的1,700種安全產品或服務中，有些產品充分發揮了抵禦外侮的功效，但也有些產品，連拿來當機房的門擋都嫌占空間。

要隨時留意這些產品的動態並不容易，而且，人人都想知道這些產品是否對企業資安防禦產生效果。

有前瞻性的採購單位希望獲得下列答案：

●這項產品是否能對付某項特定的安全威脅？

●佈署起來會不會很困難？

●和其他安全產品配合起來效果如何？

●佈署時會遭遇哪些問題？

●廠商是否能提供充分的支援？

知道這些答案的，多是那些實際操作過這些產品的管理或技術人員，但是採購單位卻未必擁有這些管理人員的經驗。為了協助這些採購人員，超過100個企業將他們佈署資安產品的經驗分享出來。經過SANS深入的調查探訪，他們將描述這些產品的優缺點及遭遇到的問題，他們如何評估這些產品、如何佈署、是否有良好的技術支援等。

採購大調查

為了決定哪些產品會放在此篇專訪中，約66,000餘位SANS訓練機構的畢業校友參與調查，深入了解他們未來12月中，會將資金投入哪些安全領域中，以及在他們目前已採購的產品設備中，未來12月會再繼續擴增哪些部份。

在經過這些校友彼此間的資訊交流與經驗分享後，我們發現有很多使用、佈署經驗並不像廠商原本所說的那樣。藉由本篇的介紹，將來採購單位不會再對高層過度渲染這些資安產品，採購人員也能更了解一些隱藏在這些產品背後的問題，最後，就是能讓採購單位知道哪些才是真正work的產品。

以下便是2006年，資訊安全人員們花費最多的項目資安重點產品，他們分別是：稽核記錄分析管理系統(Log Management)與安全資訊管理平台(SIM, Security InformationManagement)、筆記型電腦與行動裝置加密產品、應用程式安全檢查產品與安全程式碼訓練課程。藉由這些重點項目，資安人員在這一年獲得的經驗談，可以讓你對將來採購資安產品更能得心應手。

LOG MANAGEMENT與SIMs

第一代的SIM安全資訊管理平台很少達到當初推動者的預期，從各種設備吐出來的資料產生大量的資訊，但是僅有少數資訊有用，也只有藉由專家的判讀才能顯示這些資訊的價值。在2006年，由於管理面的需求，讓人們對採購稽核記錄分析管理設備的意願大增，SIM廠商和稽核記錄分析管理系統廠商便合作打算吃下這塊市場。

去年七月，在SANS的Log Management Summit中，27個具有採用稽核記錄分析管理系統或SIM經驗的企業向其他180個公司分享他們佈署稽核記錄分析管理系統方案的經驗。以下是一些重點：

●那些使用SIM每天產生制式化報表的企業，基本上對安全根本毫無助益，也無法有效地和其他安全人員、維運人員建立良好的合作關係。

●稽核記錄分析管理系統產品最大的價值在於每日異常事件的告警。尤其是惡意軟體或是間諜軟體的偵測，進而可以針對此異常警告，著手檢查是否監控範圍內是否真的存有問題。

●當使用者的網路異常或是無法使用某應用程式時，管理人員或是安全人員通常得找出究竟是設備問題或是安全問題。一個聰明的稽核記錄分析管理系統可以很快地鑑別出問題所在，如此一來可以避免管理人員與安全人員之間的摩擦。

●稽核記錄分析管理系統可以避免內部人員舞弊或管理人員的毀屍滅跡行為，當開啟稽核記錄分析管理系統且權限有效地控管時，這些內賊們將很難掩蓋某些惡意行為。

●目前最大的問題是在於如何在企業中廣佈這些監控sensor並有效地將資訊統一送到稽核記錄分析管理設備上分析。最好的解決方式是讓每個企業在稽核記錄分析管理系統上管理自己所送出的資訊。

●另外一個問題是稽核記錄分析管理系統和SIM的容量，多數中小型產品很容易空間不足。而僅有大型或昂貴的產品提供令人無後顧之憂的大容量。

●稽核記錄分析管理系統通常也能協助辨識是否有感染病毒或是惡意軟體。

●當有問題的系統嘗試感染其他機器時，防火牆會產生記錄，初步可以獲知是否有可疑流量，而進階的檢查可以辨識出究竟是哪些系統感染了病毒或是惡意軟體。

●稽核記錄分析管理系統可以協助執法機關。美國加州的Fresno市藉由稽核記錄分析管理系統的記錄中逮捕了兩名盜用公款罪犯、一名毒品犯、一名偽造票券的犯人。另外也藉此解雇了15名未遵守電腦使用政策的員工。

其他有趣的應用像是：找出不適當的網頁瀏覽行為、不適當的電腦使用行為、找出某銀行被當作是釣魚網站目標的證據等。

筆記型電腦與行動裝置資料加密產品

有超過6,000個企業的CIO與其所屬員工目前會將其筆記型電腦加密，就算目前沒有這樣的規劃，也正在擬定相關計畫，因為他們的主管告知要嚴格保障重要資料或是營運資料的安全性，不可因筆記型電腦遺失或是失竊而外洩重大資訊。他們並不僅僅擔心資料外洩，而是CEO擔心公司的名聲會因此受到損害。

去年九月SANS的Laptop Encryption Summit，18個企業分享自身在企業內實行筆記型電腦內容加密的經驗，給220個即將打算仿傚與正在評估相關筆電內容加密產品的企業做為參考，以下便是重點：

●欲採行筆記型電腦加密方案的企業，發現廠商其實給了兩個不太正確的方向，其一是所謂的「花小錢是不未來12個月中計畫採購的項目會有好東西。」

●企業人員發現在Windows中，採用各種不同版本的工具，會造成加密的資料無法讀出或是無法復原。像是Symantec Ghost、Windows的Safe Boot。

●因為使用者常常貪圖方便，資料遺失也是採行資料加密方案時會常碰到的問題。有些使用者加密前並未先備份資料、而有些使用者則是未先做清除磁碟的動作。多數的廠商會建議使用者在加密前先做清除磁碟的動作。

●大多數的企業採用整顆磁碟加密的方式，而不是使用檔案加密方式。若是使用者未將整顆磁碟加密，企業是無法保證遺失的筆電內的資料安全。這種因為使用者未依政策有效執行的問題，讓企業仍無法避免資料遺失的風險。

●目前硬碟廠商都已開發出硬碟上的硬體加密晶片，也將在年中提供給各大筆電廠商來配置。使用者都覺得利用內建硬碟硬體加密方式方便了許多，但相對的價錢也比軟體加密來的昂貴。

●新推出的Windows Vista內建的加密機制比第三方產品更有優勢。但是目前Vista尚未擁有企業整體加密控管機制，因此這類的產品仍是可採購的項目之一。

在這些筆記型電腦加密產品中，最重要的特色便是使用者能否自行操作這些安全復原功能，以及加密金鑰的復原需求。

應用程式安全性檢查產品與安全程式碼訓練課程

SANS根據一些資料顯示，自從2005年以來，駭客開始針對應用程式弱點，而不再局限在攻擊系統弱點了，這項資訊給了CIO與安全主管一個警訊，他們原本都針對Windows、Unix系統問題，還有相關Service在進行防護，但現在起，也必須嚴加注意應用程式上的漏洞了。

有經驗的管理者會採行以下四種方式來保護他們的應用程式：

●針對程式開發人員進行教育訓練，規劃如何撰寫安全程式的課程，確定他們瞭解這些常見的程式漏洞，並知道如何避免寫出這樣的程式碼。

●利用一些原始碼檢查的工具來檢驗原始碼。

●利用滲透測試或是Web應用程式掃描工具來測試網站應用程式是否存有漏洞。

●佈署應用層防火牆或是AP層的IPS來偵測這些惡意攻擊行為。

目前這些防禦技術都已經成熟許多，尤其是在過去六個月內。因此你可以好好的策劃新的應用程式安全防禦機制了。

教育訓練與檢測並行

在本年度之前，撰寫安全程式碼的教育訓練並非有效的防禦手段，原因是很難去衡量它的效果。多數講師都僅是列出一般常見的撰寫錯誤，而不是讓學員實際去操作這些開發問題，也極少讓學員實際去操作如何修補錯誤的程式碼。這些學員聽完課之後沒有實際操作，他們以為他們懂了，回到辦公室還是撰寫出同樣錯誤的程式碼。

在過去六個月中，120個以上的企業建立了一套安全程式碼開發原則(四種程式語言：C/C++、Perl/PHP、Java/J2EE、.NET/ASP)，並規劃了一套安全程式碼評估測驗(Secure Programming Assessment)，得以讓程式開發人員還有僱主能夠得知在安全程式開發上的一些關鍵點。這份資料可以在www.sans.org/spa查詢到。

這套測驗將慢慢地對安全程式碼開發教育訓練產生作用。教師也開始加入操作練習，另外學員也知道上課時要更加注意，因為現在開始有測驗準則了。更重要的是，這套測驗也被大學的老師們納入程式語言課程中，他們可不想他們的學生出了社會之後被僱主質疑不會撰寫安全的程式碼。

同時，企業也會向應用程式廠商要求是否瞭解這份測驗，以便得知這些廠商或是顧問是否真的懂得程式開發問題並且知道怎麼修補這些問題。

程式原始碼分析工具

早期的原始碼分析工具由於誤判率太高，而讓市場對它失去信心。但最近幾個月以來，這樣的工具有大幅的進步，變的聰明了許多。雖然誤判率還是偏高，但是已不再像之前一樣令人卻步，這些原始碼分析工具(Source Code Analyzer)像是Fortify、Ounce，已經成為程式開發人員的好幫手，整合進他們開發流程裡了。

程式開發人員利用原始碼掃描工具，在程式上線之前先對這些程式原始碼進行檢查。目前聰明的的軟體採購人員，都會在驗收流程中加入這項，在購買程式碼之前要先經過數個程式碼分析工具檢驗過後才能通過採購，通常程式開發廠商很怕驗收不通過，因此都會先行修復這些應用程式漏洞。

Web應用程式弱點掃描工具

We b 應用程式最常發生的問題－Cross-SiteScripting和SQL Injection，這兩種程式問題不容易使用程式碼分析工具檢查出來，而Web應用程式掃描工具，像是SPI Dynamics 或AppScan (Watchfi re)，則是能遠端掃描網頁應用程式漏洞。這些工具內建龐大的檢測資料庫，可遠端模擬駭客實際的行為。雖然結果仍稱不上完美，但是仍可讓人評估一個上線系統是否安全無虞。

就像程式碼分析工具一樣，都是拿來檢驗程式開發廠商上線前的程式，確定讓廠商在上線前進行這些安全測試，並且交付相關的報表，這樣採購單位才能安心地採用。

Web應用程式防火牆

另外一種保護Web應用程式的方式，是檢查封包內是否含有像是SQL Injection或是Cross-Site-Scripting等可疑的攻擊字串。Web應用程式防火牆必須能夠經常更新其特徵資料庫，好的Web 應用程式防火牆甚至囊括了各式程式語言的特徵資料庫。這類產品亦是網路防禦環節裡重要的一部份，但卻不能將其視為唯一的依賴。