農業部臺中區農業改良場
機密維護常識彙編(9712)
機密維護常識彙編(97年12月份)
✻
密碼戰爭
暢銷書「達文西密碼」改編的電影上映後,雖然引起許多爭議,然而從全球票房熱賣的氣勢,更顯示一般大眾對隱藏訊息的好奇,無論是「聖經密碼」到「達文西密碼」的窺探熱潮,甚至是國防上的秘密通訊需求,以及推動數位式密碼到量子密碼的精進發展,其實都在我們生活中扮演重要角色。
在「達文西密碼」一書中,有一段這樣的文字:「你可能也知道…警方會利用螢光燈去搜尋犯罪現場的血跡和其他鑑識證據。所以你就可以想像我們的驚訝…」忽然間,他把那盞燈指向屍體…鑲木地板上潦草的紫色字…寫著:「
13-9-2
-21-1-1-8-5 啊,嚴峻的魔鬼! 啊,跛足的聖人!」
國防大學中正理工學院電算中心婁得權主任表示,類似「達文西密碼」這種將資訊以不同形式隱藏的藏密技術,最早刊載在西元前五世紀古希臘學者希羅多德的歷史著作,當時為將波斯即將入侵希臘的情報通知斯巴達,又擔心半路被到處巡邏的波斯警衛攔截,曾把秘密訊息刻寫在木頭上,表面再用蠟質掩蓋,以躲過搜查。
同一時期,米利部的統治者希斯提艾奧斯被圍困時,為了聯絡女婿,將一名奴隸的頭髮全部剪掉,在頭皮上以刺青方式寫下訊息,等到奴隸頭髮長出來完全掩蓋訊息後,再派奴隸外出聯絡,對方就是捉住奴隸,如果不知道要剃掉奴隸的頭髮,可能就不會發現他頭髮下暗藏的訊息了。
除了上述案例之外,在二次世界大戰時,德國人在普通文件的「句點」中暗藏微縮照片,由於手法精細,被美國聯邦調查局局長胡佛譽為「敵人最傑出的諜報作品」。雖然最後還是被美國人發現,德國人早就藉此手法,成功傳送過好多情報了。
「達文西密碼」的開頭,法國羅浮宮館長利用夜光筆在地上留下訊息,而這是隱形墨水的應用,二戰中的隱形墨水成分,從果汁、牛奶、醋,甚至是尿液都有,只要對信紙加熱就可以顯影。更專業的則是使用光學顯影劑,必須在化學實驗室中進行解密。
這些傳統的藏密方式,面對前衛發達的現代數位科技,就顯得粗糙又老套了,取而代之的是電子資訊隱藏技術。例如幾年前流傳的「愛機程式(Love Machine)」,可利用軟體將色情圖片附加在正常的影片後,來躲避系統對色情圖片的檢查與攔截。而要破解高段的「資訊隱藏技術」,宛如大海撈針一樣困難,把機密資訊加密後,再隱藏於多媒體資訊中傳達,就像生物保護色般多了一層安全機制,例如用軟體將一張敵方機場照片,和一張不相干的美國航艦照片合成在一起,別說對方根本想不到裡面藏有情報,就算知道,如果沒有正確的解密金鑰,也只能盯著這張航艦照片猛搖頭,猜不透這張「有圖」天書。
自九一一事件後,美國國安當局曾經委託民間研究機構,企圖從網路世界中找出恐怖組織互通訊息的蛛絲馬跡,經偵查了數百萬張多媒體圖片後,毫無所獲。顯然,要從浩瀚難測的密碼世界中順利解碼,真的比大海撈針還難。
密碼戰爭自古至今一直是「絞盡腦汁的編碼者」和「嘔心瀝血的解碼人」的拔河較勁,有時影響了政權,有時左右了戰爭成敗,例如十六世紀蘇格蘭瑪莉女王,因企圖暗殺英格蘭伊莉莎白女王的信件密碼被破解,而走上斷頭台;兩次世界大戰時,情報密碼更攸關戰局。
在情報戰上,最傳統、最常用的解密方式有三種:第一種是「窮舉法」推估該密碼內的所有可能性,然後逐一輸入密文去比對,直到大意浮現;不過,這也是耗時最久的方法。
「統計攻擊法」則是利用「字母或是符號」出現的頻率,依最高頻率逐一代入密文之中,直至該密文的大意浮現,再進行解密分析,例如根據統計,英文字母「E」的出現機率為一成三,是英文字母中出現頻率最高者,再以出現機率接近一成的「T」代入,找出有意義的組合。
「字典攻擊法」則是運用「常用的關鍵字」,例如古今中外較著名,或是普及性較高的人名(約翰、麥可)、地名(巴黎、華盛頓)、或是日期(九一一)逐一代入密文之中,找出加密的邏輯。
資訊時代的密碼大多靠著數學運算的複雜程度來維持它的安全性,例如RSA加密法用來加密訊息的金鑰,可能是由幾百位數的質數相乘所組成,要破解金鑰需要用因數分解回推,即使是用超級電腦運算,算出答案的時間可能遠超過你我壽命了。
如果遵循量子力學原理的「量子電腦」真能問世,就能輕易打破這種密碼法的防護罩,因為依照理論推估,傳統超級電腦需要一百億年才能計算出的因數分解問題,量子電腦可能只要30秒就能解決。然而,世間萬物都有相生相剋之道,能夠與「量子電腦」相抗衡的正是「量子密碼」。其原理是運用微觀量子奇妙的「測不準」特性,以一長串的量子狀態作為資訊加密與解密的密鑰,任何非法測量竊取量子密鑰的動作,都會改變量子狀態,竊取者因此只能得到一長串無意義的資訊,發訊者和合法接受者則能察覺密鑰是否曾被竊取過。
正因有許多製造技術待克服,2001年底IBM宣佈建造出的量子電腦雛型機,還只能分解「15=3×5」而已;相形之下量子密碼的發展腳步較快,根據美國科學人雜誌的報導,瑞士、美國和日本都已有傳輸量子密鑰的產品,只是還不到廣泛運用的階段。
總而言之,進步的資訊科技雖然便利了你我的日常生活,但是稍不謹慎,小則洩漏個人資料,大則影響國家安全。因此,我們平時不論在處理公務上或是個人言行上,均要無時無刻注意並養成習慣。畢竟,再精密的儀器最後使用的還是人。
✻
情報戰之運用與安全作為
情報戰是一種精細微妙的用間方式,講策略、講思想、講心理、講社會、講外交、又講方法,是各種政治作戰之基礎。依政治作戰與軍事作戰之全般部署與指導,不斷施展情報活動,積極打擊敵方,其著眼點,在掌握敵之謀略與動態,積極支援軍事作戰。簡言之,情報戰的目標,是蒐集敵情,掌握其動態,發揮主動與先制,以達全軍破敵之功效。
就過程而言,首先提出攸關國家安全之特定資訊的需求、蒐集、分析,及分發給決策者,且對於一些類型之秘密行動加以構思及執行,及經由反情報活動對這些過程與資訊加以保護。情報之本質是與決策和國家政策設計密切相關的。而不論是在決策或是國家政策設計之廣深範圍過程中,攸關國家政權穩定與否及國家安全之保障,相當程度均是依賴於危機管理作為之良窳而定,而此又需要情報之積極投入,否則是不會成功的。
在全民國防的理念下,適切運用反情報作為,防治目標對象對我實施危害活動;對於保密工作要做到滴水不漏,強化安全工作效能,全民保密的觀念尤其重要,重視保密是每個人都該做的,關於保密的相關規定,只要我們每個人都能夠去遵守,相信敵人對我們情報的蒐集一定會變的格外困難,首先我們不應隨意向他人談論國家機敏的事務,例如國家軍隊演習或執行重要任務時,所有人都不應談論,不論是目的地、相關的參數及情報,都應該保密,這樣不但能確保任務的執行,敵人也無法對我們進行各種滲透活動。然而,就情報的蒐集方法則是包羅萬象的,舉例來說:
一、蘇聯「國徽案」
博物館也陳列了美國在情報戰的重大挫敗,最有名的是「國徽案」。話說1945年,美國駐蘇聯大使哈里曼接待一群莫斯科小學生,並接受小學生致送的木雕美國國徽,將之掛在官邸大廳。這位聲望極高的政治人物萬萬沒有想到,精緻的木雕國徽大有玄機,因為其中挖空了一小塊,嵌入了一個竊聽器。這個竊聽器是「被動式」的,也就是說,它基本上處於靜止狀態,所以一般的反情報設備無法偵測出來。至於何時啟動以發揮作用,完全由官邸附近的蘇聯情報人員主控。這些情報人員往往守在汽車上,看到美國大使進入官邸,才啟動竊聽器。這個竊聽器工作了長達六年多,直至的1952年才被美國發現。
二、日本敗於「中途島之役」
在太平洋戰爭初期,日本以觀光客搭乘飛機在夏威夷拍下不少照片,日軍因此把大部分的美國珍珠港戰艦擊沉,中途島戰爭之前,日本海軍無線電密碼遭到美國情報單位譯破,其龐大的作戰計劃被美軍知悉透徹,美軍因此打贏中途島之戰,之後日軍行動遭美軍掌控,使得日軍在太平洋連番失利,甚至導致聯合艦隊司令官山本五十六座機遭美軍擊落。
最後,我們不應該認為保密是只有間諜和部分人士才該有的作為,國家就如同一個人,任何的想法都能夠在行為上去推斷,所謂牽一髮而動全身,一旦所有可能的想法和可能的做法被知悉之後,一場戰爭尚未開始就已經先輸一半了。孫子兵法說:「多算勝,少算不勝」,又說「知己知彼者,百戰百勝」,因此情報的重要,可說是戰爭勝利的關鍵之一。隨著科技的進步,情報的蒐集方法似乎變的防不勝防,然而,只要人人都重視保密的必要性,強化全民保防的重要理念,我國便能立於不敗之地,繼而達到「勿恃敵之不來,恃吾有以待之;勿恃敵之不攻,恃吾有所不可攻也」的理想境界,以確保國家整體安全。
✻
保防工作從個人做起
知名作家劉鏞在短篇小品集「螢窗小語」中的一篇文章裡,作了一個相當好的比喻,這個比喻的主題是砂紙,砂紙是由三個部分所構成的,首先是一粒粒的沙子,沙子非常細小,只要風輕輕一吹,很容易就散掉了;其次是紙,紙也是相當脆弱,輕輕一撕就破了;最後則是讓沙子膠結在紙上面的膠水,膠水雖然具有黏結物品的能力,單獨存在時,一碰到水卻很容易便糊掉了。然而,沙子、紙、膠水這三者一旦結合在一起,便成為足以磨鐵挫鋼的砂紙,可以廣泛運用於金屬工業、木工等方面。時常使用砂紙會發現,砂紙上若有一粒沙子脫落,周圍的沙子也會連帶受到影響,漸漸的隨著周圍的沙子一起脫落,最後這張砂紙便無法再發揮原有功用,砂紙上沒了沙子,成了廢紙一張,只能被人丟棄。
將砂紙比喻在保防工作上,人民就好比那一粒粒的沙子,那麼國家就像紙一般,而將人民和國家之間膠結起來的力量便是一份熱誠的愛國心。然而這份愛國心若受到個人私慾、貪念所影響、侵蝕,膠結人民與國家之間的力量逐漸消退,就像砂紙上的一粒沙子脫落,即使只是最小的一份子產生罅隙,都可能影響到整個國家,甚至造成了無法挽救的態勢。這個比喻闡明了保防工作為何如此重要!隨著敵人蒐情日益頻繁、科學技術不斷進步,似乎任何一個小漏洞都可能造成洩密違規,貫徹保防工作較以往來得困難。但是我認為保防工作並不是要把身旁每個人都當作假想敵,處處提防著別人,反而應該從強化教育自我保防觀念、隨時養成保防工作習慣、確實遵守資訊保密規定這幾個重點著手:
一、強化教育自我保防觀念:平時加強全民保防教育宣導,強調保防工作對國家安全的重要性,就如同砂紙的比喻一般,國家安全需要每一份子共同經營,社會每一份子也需具備「保防工作人人有責」的觀念,從教育的方式,使全民經由潛移默化的方式,培養「保防工作就在你我」的觀念。
二、隨時養成保防工作習慣:貫徹保防工作的最佳方法,是將保防觀念落實在生活,進而成為「習慣」。養成保防工作習慣可以從許多方面著手,例如離開營區不談公事、離開辦公桌時公文應放置於公文櫃內並加鎖、休假前辦公室應確實上鎖等。
三、確實遵守資訊保密規定:根據統計,資訊洩密違規事件肇生原因有20%是因為軟、硬體遭敵方突破等;而約80%大多數的原因是由人為因為所造成,其中大部分又是由於違反資訊保密規定所造成的洩密違規事件。
因此杜絕資訊洩密違規事件最好的方法便是從每一位資訊系統操作者著手,例如平時養成使用資訊設備、電腦的良好習慣,個人電腦帳號密碼依規定設定,帳號密碼確實保密並定期更換,資料檔案依規定加密壓縮後才可使用電子郵件或伺服器傳送,並嚴禁使用隨身碟、燒錄器、讀卡機等個人資訊存取裝置。倘若每一位資訊系統操作者能從本身做好資訊保密工作,依規定操作資訊設備,便能減少資訊洩密違規事件發生的機率,確保資訊保密安全。
「保防工作從個人做起」並不只是個口號,而是需要每一份子共同努力及遵守的目標。倘若全國民眾能將砂紙上每一粒沙子的角色扮演好,並懷有一顆熱誠的愛國心,平時養成保防習慣、確立自我保防觀念、國家安全必能確實獲得保障。
✻
落實全民保防
伴隨兩岸開放交流,相關活動熱絡頻繁,加上國內民主開放、社會日益多元的環境,以及國人安全警覺日趨鬆懈等主、客觀因素的影響,間接給與了敵諜滲透的機會。根據入出境管理局統計,去(94)年大陸人民來臺人數高達十八萬六千多人次,與前年相較之下增加三成,呈現大幅度成長;而近年來大陸地區人民非法進入臺灣地區從事重大犯罪活動之案件時有所聞,嚴重危害國家安全與社會安定;另由該局統計得知,約2.7%的大陸人民因提不出正當理由而遭到遣返。此外,根據相關資料顯示,中共正有計畫的縱容漁船進行海上滲透及走私槍械、毒品,透過偷渡、滲透、潛臺或依親人員已近萬人,其中不乏諜報人員,對我實施滲透、破壞、情蒐等特務活動。
日前我情治單位破獲了大陸人士以人頭集團掩護中共特工人員來臺蒐集情資案件,中共利用人蛇集團以假結婚、假探親等方式潛入我國,這種以「合法掩護非法」的手段正是中共在解嚴後慣用的伎倆。日前國防部曾陸續會同國安局、法務部偵破數起敵諜案,具體印證中共始終將國軍高司幕僚、科研、軍備、情偵等機敏單位,列為首要的攻堅目標,對我軍中各項機密資訊之蒐整,也在積極進行。
保密防諜是國家安全的基礎,政府對保防工作未曾懈怠,並且建立嚴密的保防機制與偵防能力,近年來亦破獲多起敵諜案,已展現保防工作的成效。固然,破獲敵諜案是保防工作的績效,但仍有利令智昏為敵人所誘者,不顧國家安全外洩機密,顯示保防工作仍須再接再厲,要防一萬,也要力防萬一。實則,保防工作首重人人保密、處處防諜,若有人不能謹守機密,甚至外洩販售,更賴人人警覺、勇於檢舉。全民保防反滲透是國家安全的基礎,而保護國家機密安全,人人有責,毋庸置疑。
從美伊戰爭中我們不難發現,現代的戰爭,其實就是情報與保密的拉鋸戰。美國在起先的斬首與震懾行動中,未能蒐集到更完整、精確的情報,便貿然發動攻擊,失去了獲取勝利的最佳契機;而反觀伊拉克對於攻擊聯軍的計畫與行動能確切保密,拉長戰爭時程,配以心理戰與小部隊襲擾之特種作戰,打擊聯軍士氣,充分發揮其不對稱戰法,對聯軍造成重大威脅。由此,可看出保防工作在戰場上的重要性,而作戰勝負與保防工作的良窳,更是息息相關。
就軍事的觀點,中共的軍機竊密是一種「低強度衝突」。也就是一場不流血或不帶硝煙的戰爭,其主要手段是情報的竊取、鬥志的軟化。面對這種看不到流血廝殺的戰場情境,在軍中首要之務即在強化三軍官兵的認知,防範無處不在的可能入侵敵人,才是務本崇實之道。就此而言,便須回歸到雖是老生常談,但卻非常受用的保防意識的建立,尤其是當中共擅用軍事與外交手段多方竊取軍事情報之際,我們更應提高警覺、防患未然。所謂「不讓敵人有見縫插針、遇洞灌水的機會」,也就是要靠全面強化保密工作,才能真正確保國家安全與社會安定。
落實全民保防,也是全民國防具體實踐。蓋全民國防所代表的意涵,是全體國民都能體認國家安全的重要性;而「保密防諜人人有責」,國人雖耳熟能詳,但絕不能將之視為口號,這是攸關國家安全以及全體國人安危禍福的大事,更是全體國人必須身體力行的要務,因此,維護國家機密的責任並非只有國軍獨自承擔,必須建立軍中保防、機關保防與社會保防的三管齊下「全民保防」配合協調機制,才能展現更嚴密的聯防效果。尤其中共不放棄武力犯臺,且藉各種管道對我滲透的現況觀之,唯有全民建立各項保防安全的警覺與認知,反制敵人滲透、竊密、破壞、分化及一切危安活動,「屬於機密的事不能說」、「危害安全的事不能寫」、「觸犯法規的事不能做」,確實做到「隨時自我惕厲,杜絕不當利誘」、「掌握危安預警,及時反映妥處」、「強化保密機制,賡續貫徹執行」等要求,務期人人保持高度的戒心,才能有效防杜共諜滲透,確保國家安全與全民福祉。
✻
教師介聘電腦駭客案件實例研析
一、前言
現今科技的發明,使得人們藉由無遠弗界的網路在瞬間即可跨越距離的界限,輕易到達世界上的任何一個地方,也正因如此,掌握資訊的流通及作好訊息的防護已成為本世紀資訊戰中最要的一個課題。正因為網路的特性,使得防制滲透及機密維護扮演著國家安全、機關安定中最重要的角色。近來,有些公務機關發生遭駭客入侵滲透竊取機密或竄改資料甚至癱患系統之情形,例如單純的教師介聘作業亦遭有心人士入侵竄改,顯示對於防制滲透與機密維護之觀念有待加強,因此本文僅就該案例作一探討,由實務中加強正確觀念,以求電腦駭客案件能有所減少。
二、案例介紹
(一)緣由:教育部自民國90年起為辦理臺閩地區公立國中小學暨幼稚園教師申請介聘他縣市服務之作業,依「90年臺閩地區公立國民中小學暨幼稚園教師申請介聘他縣市服務作業要點」實施相關聯合介聘作業,並以電腦作業方式行之,由教育部委託高雄縣電子資料中心(址設:高雄縣鳳山市五甲二路424號,五甲
國小內)負責辦理相關流程。欲申請調動外縣市介聘之教師則於填寫介聘申請表後,上網至該中心所架設之「教師外縣市介聘網站」(http://exc.ks.edu.tw/)登錄資料。
(二)案情概述:本案係94年5月間某國小沈姓資訊組長因其甲教師友人欲請調回臺北縣服務,不諳電腦網路操作而將其個人電腦帳號、身分證字號等資料交由沈某,由沈代為操作網路程序向電子資料中心提出介聘調動申請,沈遂於
5月31日
利用學校IP透過某大學的代理伺服器連結,進入介聘作業系統,沈先隨意試著更改不認識的某國小乙
老師的積分,以及丙老師的志願,沒想到都更改成功,便更改甲姓友人和認識的丁
老師兩人積分。沈自行模擬調動兩次,發現甲與丁師無法如願調成,遂將兩人資料還原,但因已忘記乙、丙老師的資料,所以無法還原,導致兩名老師,一個積分由131分被竄改為101分,另一個的第一志願則被更改。由於乙老師一心一意想調回住家所在的臺北縣,因此對於介聘分發十分留意,時常上網查看自己積分,經發現積分由131分被竄改為101分,被介聘到其他國小,經向彰化縣教育局反映,並確認並非鍵入錯誤,轉向高縣教育局通報,才發現分發作業系統遭駭客入侵,另一名丙老師則因原本績分不足,無法調動,故不受影響。
(三)適用法條:本案係適用《刑法》新增之第36章妨害電腦使用罪,其中第359條「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」以及361條「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一」,由於沈○○犯後即向服務學校校長坦承,透過校長向花蓮縣教育局報告,並告知高雄縣電子資料中心,表示願主動投案,全案後由高雄縣調查站及高雄警察局調查了解,因沈某屬自首行為,且犯後坦承不諱全力配合調查,經高雄縣調查站偵訊後依違反個人資料保護法移送高雄地檢署,由檢察官諭令五萬元交保,並宣告緩起訴處分。
三、缺失檢討與應有正確觀念
(一)缺失檢討:本案係沈某利用介聘系統網站的網頁漏洞,於進入介聘系統網站之系統管理者目錄網頁後,取得系統管理者權限入侵竄改資料之權限,係因本案與防火牆的防護機制不足有關,因辨識身分之設計無法確實把關,導致遭人入侵滲透,而高雄縣電子資料中心亦表示本案係為求方便在主辦單位新竹縣教育局的遠端連線,於作業期間取消「最高管理員程式區」的IP限制,造成漏洞而使有心者滲透入侵而產生,因此已要求電子資料中心在事發後緊急更改入口程式,加強阻擋駭客的入侵。因此缺乏必要的防護機制及因貪求一時之快而開方便之門都可能給予駭客入侵的最佳機會。
(二)正確的資訊維護觀念:正確的資訊維護觀念是對付駭客入侵的重要關鍵,除了透過防毒軟體、防火牆系統等防護機制外,重要資料最好不要存放於電腦裡,並做好使用程式及瀏覽器、WORD等應用程式和防毒軟體定期、隨時更新,以避免漏洞,並養成不隨便讀取來路不明電子郵件習慣,免得「開後門」讓駭客有可乘之機,都是正確且必要的資訊維護觀念。
四、結論
93年大學聯考分發時,因電腦程式未把特殊條件限制寫入,造成沒通過軍事聯招智力測驗及口試的考生,考取資格不符的國防大學,該錯誤代價使得220名考生必須重新分發;94年4月爆發了大考中心和國中基測電腦系統連續三年遭19歲的電腦駭客蘇○○入侵,竊取一百多萬筆考生資料,燒錄成光碟,轉賣給補習班;如今教師介聘系統也出狀況,駭客入侵公務系統及教育部相關網站已呈現其嚴重性,本次的教師介聘電腦系統案,雖僅有一位老師權益受影響,並於事後予以彌補,但其中所顯現的機制漏洞有關單位實應妥慎檢視省思,畢竟未來「電子政府」已是趨勢所在,如讓前述的駭客入侵案件一再發生,將嚴重損及我國家安全及機關安定。(以上資料摘自於清流月刊)
情報戰是一種精細微妙的用間方式,講策略、講思想、講心理、講社會、講外交、又講方法,是各種政治作戰之基礎。依政治作戰與軍事作戰之全般部署與指導,不斷施展情報活動,積極打擊敵方,其著眼點,在掌握敵之謀略與動態,積極支援軍事作戰。簡言之,情報戰的目標,是蒐集敵情,掌握其動態,發揮主動與先制,以達全軍破敵之功效。
就過程而言,首先提出攸關國家安全之特定資訊的需求、蒐集、分析,及分發給決策者,且對於一些類型之秘密行動加以構思及執行,及經由反情報活動對這些過程與資訊加以保護。情報之本質是與決策和國家政策設計密切相關的。而不論是在決策或是國家政策設計之廣深範圍過程中,攸關國家政權穩定與否及國家安全之保障,相當程度均是依賴於危機管理作為之良窳而定,而此又需要情報之積極投入,否則是不會成功的。
在全民國防的理念下,適切運用反情報作為,防治目標對象對我實施危害活動;對於保密工作要做到滴水不漏,強化安全工作效能,全民保密的觀念尤其重要,重視保密是每個人都該做的,關於保密的相關規定,只要我們每個人都能夠去遵守,相信敵人對我們情報的蒐集一定會變的格外困難,首先我們不應隨意向他人談論國家機敏的事務,例如國家軍隊演習或執行重要任務時,所有人都不應談論,不論是目的地、相關的參數及情報,都應該保密,這樣不但能確保任務的執行,敵人也無法對我們進行各種滲透活動。然而,就情報的蒐集方法則是包羅萬象的,舉例來說:
一、蘇聯「國徽案」
博物館也陳列了美國在情報戰的重大挫敗,最有名的是「國徽案」。話說1945年,美國駐蘇聯大使哈里曼接待一群莫斯科小學生,並接受小學生致送的木雕美國國徽,將之掛在官邸大廳。這位聲望極高的政治人物萬萬沒有想到,精緻的木雕國徽大有玄機,因為其中挖空了一小塊,嵌入了一個竊聽器。這個竊聽器是「被動式」的,也就是說,它基本上處於靜止狀態,所以一般的反情報設備無法偵測出來。至於何時啟動以發揮作用,完全由官邸附近的蘇聯情報人員主控。這些情報人員往往守在汽車上,看到美國大使進入官邸,才啟動竊聽器。這個竊聽器工作了長達六年多,直至的1952年才被美國發現。
二、日本敗於「中途島之役」
在太平洋戰爭初期,日本以觀光客搭乘飛機在夏威夷拍下不少照片,日軍因此把大部分的美國珍珠港戰艦擊沉,中途島戰爭之前,日本海軍無線電密碼遭到美國情報單位譯破,其龐大的作戰計劃被美軍知悉透徹,美軍因此打贏中途島之戰,之後日軍行動遭美軍掌控,使得日軍在太平洋連番失利,甚至導致聯合艦隊司令官山本五十六座機遭美軍擊落。
最後,我們不應該認為保密是只有間諜和部分人士才該有的作為,國家就如同一個人,任何的想法都能夠在行為上去推斷,所謂牽一髮而動全身,一旦所有可能的想法和可能的做法被知悉之後,一場戰爭尚未開始就已經先輸一半了。孫子兵法說:「多算勝,少算不勝」,又說「知己知彼者,百戰百勝」,因此情報的重要,可說是戰爭勝利的關鍵之一。隨著科技的進步,情報的蒐集方法似乎變的防不勝防,然而,只要人人都重視保密的必要性,強化全民保防的重要理念,我國便能立於不敗之地,繼而達到「勿恃敵之不來,恃吾有以待之;勿恃敵之不攻,恃吾有所不可攻也」的理想境界,以確保國家整體安全。
✻
保防工作從個人做起
知名作家劉鏞在短篇小品集「螢窗小語」中的一篇文章裡,作了一個相當好的比喻,這個比喻的主題是砂紙,砂紙是由三個部分所構成的,首先是一粒粒的沙子,沙子非常細小,只要風輕輕一吹,很容易就散掉了;其次是紙,紙也是相當脆弱,輕輕一撕就破了;最後則是讓沙子膠結在紙上面的膠水,膠水雖然具有黏結物品的能力,單獨存在時,一碰到水卻很容易便糊掉了。然而,沙子、紙、膠水這三者一旦結合在一起,便成為足以磨鐵挫鋼的砂紙,可以廣泛運用於金屬工業、木工等方面。時常使用砂紙會發現,砂紙上若有一粒沙子脫落,周圍的沙子也會連帶受到影響,漸漸的隨著周圍的沙子一起脫落,最後這張砂紙便無法再發揮原有功用,砂紙上沒了沙子,成了廢紙一張,只能被人丟棄。
將砂紙比喻在保防工作上,人民就好比那一粒粒的沙子,那麼國家就像紙一般,而將人民和國家之間膠結起來的力量便是一份熱誠的愛國心。然而這份愛國心若受到個人私慾、貪念所影響、侵蝕,膠結人民與國家之間的力量逐漸消退,就像砂紙上的一粒沙子脫落,即使只是最小的一份子產生罅隙,都可能影響到整個國家,甚至造成了無法挽救的態勢。這個比喻闡明了保防工作為何如此重要!隨著敵人蒐情日益頻繁、科學技術不斷進步,似乎任何一個小漏洞都可能造成洩密違規,貫徹保防工作較以往來得困難。但是我認為保防工作並不是要把身旁每個人都當作假想敵,處處提防著別人,反而應該從強化教育自我保防觀念、隨時養成保防工作習慣、確實遵守資訊保密規定這幾個重點著手:
一、強化教育自我保防觀念:平時加強全民保防教育宣導,強調保防工作對國家安全的重要性,就如同砂紙的比喻一般,國家安全需要每一份子共同經營,社會每一份子也需具備「保防工作人人有責」的觀念,從教育的方式,使全民經由潛移默化的方式,培養「保防工作就在你我」的觀念。
二、隨時養成保防工作習慣:貫徹保防工作的最佳方法,是將保防觀念落實在生活,進而成為「習慣」。養成保防工作習慣可以從許多方面著手,例如離開營區不談公事、離開辦公桌時公文應放置於公文櫃內並加鎖、休假前辦公室應確實上鎖等。
三、確實遵守資訊保密規定:根據統計,資訊洩密違規事件肇生原因有20%是因為軟、硬體遭敵方突破等;而約80%大多數的原因是由人為因為所造成,其中大部分又是由於違反資訊保密規定所造成的洩密違規事件。
因此杜絕資訊洩密違規事件最好的方法便是從每一位資訊系統操作者著手,例如平時養成使用資訊設備、電腦的良好習慣,個人電腦帳號密碼依規定設定,帳號密碼確實保密並定期更換,資料檔案依規定加密壓縮後才可使用電子郵件或伺服器傳送,並嚴禁使用隨身碟、燒錄器、讀卡機等個人資訊存取裝置。倘若每一位資訊系統操作者能從本身做好資訊保密工作,依規定操作資訊設備,便能減少資訊洩密違規事件發生的機率,確保資訊保密安全。
「保防工作從個人做起」並不只是個口號,而是需要每一份子共同努力及遵守的目標。倘若全國民眾能將砂紙上每一粒沙子的角色扮演好,並懷有一顆熱誠的愛國心,平時養成保防習慣、確立自我保防觀念、國家安全必能確實獲得保障。
✻
落實全民保防
伴隨兩岸開放交流,相關活動熱絡頻繁,加上國內民主開放、社會日益多元的環境,以及國人安全警覺日趨鬆懈等主、客觀因素的影響,間接給與了敵諜滲透的機會。根據入出境管理局統計,去(94)年大陸人民來臺人數高達十八萬六千多人次,與前年相較之下增加三成,呈現大幅度成長;而近年來大陸地區人民非法進入臺灣地區從事重大犯罪活動之案件時有所聞,嚴重危害國家安全與社會安定;另由該局統計得知,約2.7%的大陸人民因提不出正當理由而遭到遣返。此外,根據相關資料顯示,中共正有計畫的縱容漁船進行海上滲透及走私槍械、毒品,透過偷渡、滲透、潛臺或依親人員已近萬人,其中不乏諜報人員,對我實施滲透、破壞、情蒐等特務活動。
日前我情治單位破獲了大陸人士以人頭集團掩護中共特工人員來臺蒐集情資案件,中共利用人蛇集團以假結婚、假探親等方式潛入我國,這種以「合法掩護非法」的手段正是中共在解嚴後慣用的伎倆。日前國防部曾陸續會同國安局、法務部偵破數起敵諜案,具體印證中共始終將國軍高司幕僚、科研、軍備、情偵等機敏單位,列為首要的攻堅目標,對我軍中各項機密資訊之蒐整,也在積極進行。
保密防諜是國家安全的基礎,政府對保防工作未曾懈怠,並且建立嚴密的保防機制與偵防能力,近年來亦破獲多起敵諜案,已展現保防工作的成效。固然,破獲敵諜案是保防工作的績效,但仍有利令智昏為敵人所誘者,不顧國家安全外洩機密,顯示保防工作仍須再接再厲,要防一萬,也要力防萬一。實則,保防工作首重人人保密、處處防諜,若有人不能謹守機密,甚至外洩販售,更賴人人警覺、勇於檢舉。全民保防反滲透是國家安全的基礎,而保護國家機密安全,人人有責,毋庸置疑。
從美伊戰爭中我們不難發現,現代的戰爭,其實就是情報與保密的拉鋸戰。美國在起先的斬首與震懾行動中,未能蒐集到更完整、精確的情報,便貿然發動攻擊,失去了獲取勝利的最佳契機;而反觀伊拉克對於攻擊聯軍的計畫與行動能確切保密,拉長戰爭時程,配以心理戰與小部隊襲擾之特種作戰,打擊聯軍士氣,充分發揮其不對稱戰法,對聯軍造成重大威脅。由此,可看出保防工作在戰場上的重要性,而作戰勝負與保防工作的良窳,更是息息相關。
就軍事的觀點,中共的軍機竊密是一種「低強度衝突」。也就是一場不流血或不帶硝煙的戰爭,其主要手段是情報的竊取、鬥志的軟化。面對這種看不到流血廝殺的戰場情境,在軍中首要之務即在強化三軍官兵的認知,防範無處不在的可能入侵敵人,才是務本崇實之道。就此而言,便須回歸到雖是老生常談,但卻非常受用的保防意識的建立,尤其是當中共擅用軍事與外交手段多方竊取軍事情報之際,我們更應提高警覺、防患未然。所謂「不讓敵人有見縫插針、遇洞灌水的機會」,也就是要靠全面強化保密工作,才能真正確保國家安全與社會安定。
落實全民保防,也是全民國防具體實踐。蓋全民國防所代表的意涵,是全體國民都能體認國家安全的重要性;而「保密防諜人人有責」,國人雖耳熟能詳,但絕不能將之視為口號,這是攸關國家安全以及全體國人安危禍福的大事,更是全體國人必須身體力行的要務,因此,維護國家機密的責任並非只有國軍獨自承擔,必須建立軍中保防、機關保防與社會保防的三管齊下「全民保防」配合協調機制,才能展現更嚴密的聯防效果。尤其中共不放棄武力犯臺,且藉各種管道對我滲透的現況觀之,唯有全民建立各項保防安全的警覺與認知,反制敵人滲透、竊密、破壞、分化及一切危安活動,「屬於機密的事不能說」、「危害安全的事不能寫」、「觸犯法規的事不能做」,確實做到「隨時自我惕厲,杜絕不當利誘」、「掌握危安預警,及時反映妥處」、「強化保密機制,賡續貫徹執行」等要求,務期人人保持高度的戒心,才能有效防杜共諜滲透,確保國家安全與全民福祉。
✻
教師介聘電腦駭客案件實例研析
一、前言
現今科技的發明,使得人們藉由無遠弗界的網路在瞬間即可跨越距離的界限,輕易到達世界上的任何一個地方,也正因如此,掌握資訊的流通及作好訊息的防護已成為本世紀資訊戰中最要的一個課題。正因為網路的特性,使得防制滲透及機密維護扮演著國家安全、機關安定中最重要的角色。近來,有些公務機關發生遭駭客入侵滲透竊取機密或竄改資料甚至癱患系統之情形,例如單純的教師介聘作業亦遭有心人士入侵竄改,顯示對於防制滲透與機密維護之觀念有待加強,因此本文僅就該案例作一探討,由實務中加強正確觀念,以求電腦駭客案件能有所減少。
二、案例介紹
(一)緣由:教育部自民國90年起為辦理臺閩地區公立國中小學暨幼稚園教師申請介聘他縣市服務之作業,依「90年臺閩地區公立國民中小學暨幼稚園教師申請介聘他縣市服務作業要點」實施相關聯合介聘作業,並以電腦作業方式行之,由教育部委託高雄縣電子資料中心(址設:高雄縣鳳山市五甲二路424號,五甲
國小內)負責辦理相關流程。欲申請調動外縣市介聘之教師則於填寫介聘申請表後,上網至該中心所架設之「教師外縣市介聘網站」(http://exc.ks.edu.tw/)登錄資料。
(二)案情概述:本案係94年5月間某國小沈姓資訊組長因其甲教師友人欲請調回臺北縣服務,不諳電腦網路操作而將其個人電腦帳號、身分證字號等資料交由沈某,由沈代為操作網路程序向電子資料中心提出介聘調動申請,沈遂於
5月31日
利用學校IP透過某大學的代理伺服器連結,進入介聘作業系統,沈先隨意試著更改不認識的某國小乙
老師的積分,以及丙老師的志願,沒想到都更改成功,便更改甲姓友人和認識的丁
老師兩人積分。沈自行模擬調動兩次,發現甲與丁師無法如願調成,遂將兩人資料還原,但因已忘記乙、丙老師的資料,所以無法還原,導致兩名老師,一個積分由131分被竄改為101分,另一個的第一志願則被更改。由於乙老師一心一意想調回住家所在的臺北縣,因此對於介聘分發十分留意,時常上網查看自己積分,經發現積分由131分被竄改為101分,被介聘到其他國小,經向彰化縣教育局反映,並確認並非鍵入錯誤,轉向高縣教育局通報,才發現分發作業系統遭駭客入侵,另一名丙老師則因原本績分不足,無法調動,故不受影響。
(三)適用法條:本案係適用《刑法》新增之第36章妨害電腦使用罪,其中第359條「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」以及361條「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一」,由於沈○○犯後即向服務學校校長坦承,透過校長向花蓮縣教育局報告,並告知高雄縣電子資料中心,表示願主動投案,全案後由高雄縣調查站及高雄警察局調查了解,因沈某屬自首行為,且犯後坦承不諱全力配合調查,經高雄縣調查站偵訊後依違反個人資料保護法移送高雄地檢署,由檢察官諭令五萬元交保,並宣告緩起訴處分。
三、缺失檢討與應有正確觀念
(一)缺失檢討:本案係沈某利用介聘系統網站的網頁漏洞,於進入介聘系統網站之系統管理者目錄網頁後,取得系統管理者權限入侵竄改資料之權限,係因本案與防火牆的防護機制不足有關,因辨識身分之設計無法確實把關,導致遭人入侵滲透,而高雄縣電子資料中心亦表示本案係為求方便在主辦單位新竹縣教育局的遠端連線,於作業期間取消「最高管理員程式區」的IP限制,造成漏洞而使有心者滲透入侵而產生,因此已要求電子資料中心在事發後緊急更改入口程式,加強阻擋駭客的入侵。因此缺乏必要的防護機制及因貪求一時之快而開方便之門都可能給予駭客入侵的最佳機會。
(二)正確的資訊維護觀念:正確的資訊維護觀念是對付駭客入侵的重要關鍵,除了透過防毒軟體、防火牆系統等防護機制外,重要資料最好不要存放於電腦裡,並做好使用程式及瀏覽器、WORD等應用程式和防毒軟體定期、隨時更新,以避免漏洞,並養成不隨便讀取來路不明電子郵件習慣,免得「開後門」讓駭客有可乘之機,都是正確且必要的資訊維護觀念。
四、結論
93年大學聯考分發時,因電腦程式未把特殊條件限制寫入,造成沒通過軍事聯招智力測驗及口試的考生,考取資格不符的國防大學,該錯誤代價使得220名考生必須重新分發;94年4月爆發了大考中心和國中基測電腦系統連續三年遭19歲的電腦駭客蘇○○入侵,竊取一百多萬筆考生資料,燒錄成光碟,轉賣給補習班;如今教師介聘系統也出狀況,駭客入侵公務系統及教育部相關網站已呈現其嚴重性,本次的教師介聘電腦系統案,雖僅有一位老師權益受影響,並於事後予以彌補,但其中所顯現的機制漏洞有關單位實應妥慎檢視省思,畢竟未來「電子政府」已是趨勢所在,如讓前述的駭客入侵案件一再發生,將嚴重損及我國家安全及機關安定。(以上資料摘自於清流月刊)
伴隨兩岸開放交流,相關活動熱絡頻繁,加上國內民主開放、社會日益多元的環境,以及國人安全警覺日趨鬆懈等主、客觀因素的影響,間接給與了敵諜滲透的機會。根據入出境管理局統計,去(94)年大陸人民來臺人數高達十八萬六千多人次,與前年相較之下增加三成,呈現大幅度成長;而近年來大陸地區人民非法進入臺灣地區從事重大犯罪活動之案件時有所聞,嚴重危害國家安全與社會安定;另由該局統計得知,約2.7%的大陸人民因提不出正當理由而遭到遣返。此外,根據相關資料顯示,中共正有計畫的縱容漁船進行海上滲透及走私槍械、毒品,透過偷渡、滲透、潛臺或依親人員已近萬人,其中不乏諜報人員,對我實施滲透、破壞、情蒐等特務活動。
日前我情治單位破獲了大陸人士以人頭集團掩護中共特工人員來臺蒐集情資案件,中共利用人蛇集團以假結婚、假探親等方式潛入我國,這種以「合法掩護非法」的手段正是中共在解嚴後慣用的伎倆。日前國防部曾陸續會同國安局、法務部偵破數起敵諜案,具體印證中共始終將國軍高司幕僚、科研、軍備、情偵等機敏單位,列為首要的攻堅目標,對我軍中各項機密資訊之蒐整,也在積極進行。
保密防諜是國家安全的基礎,政府對保防工作未曾懈怠,並且建立嚴密的保防機制與偵防能力,近年來亦破獲多起敵諜案,已展現保防工作的成效。固然,破獲敵諜案是保防工作的績效,但仍有利令智昏為敵人所誘者,不顧國家安全外洩機密,顯示保防工作仍須再接再厲,要防一萬,也要力防萬一。實則,保防工作首重人人保密、處處防諜,若有人不能謹守機密,甚至外洩販售,更賴人人警覺、勇於檢舉。全民保防反滲透是國家安全的基礎,而保護國家機密安全,人人有責,毋庸置疑。
從美伊戰爭中我們不難發現,現代的戰爭,其實就是情報與保密的拉鋸戰。美國在起先的斬首與震懾行動中,未能蒐集到更完整、精確的情報,便貿然發動攻擊,失去了獲取勝利的最佳契機;而反觀伊拉克對於攻擊聯軍的計畫與行動能確切保密,拉長戰爭時程,配以心理戰與小部隊襲擾之特種作戰,打擊聯軍士氣,充分發揮其不對稱戰法,對聯軍造成重大威脅。由此,可看出保防工作在戰場上的重要性,而作戰勝負與保防工作的良窳,更是息息相關。
就軍事的觀點,中共的軍機竊密是一種「低強度衝突」。也就是一場不流血或不帶硝煙的戰爭,其主要手段是情報的竊取、鬥志的軟化。面對這種看不到流血廝殺的戰場情境,在軍中首要之務即在強化三軍官兵的認知,防範無處不在的可能入侵敵人,才是務本崇實之道。就此而言,便須回歸到雖是老生常談,但卻非常受用的保防意識的建立,尤其是當中共擅用軍事與外交手段多方竊取軍事情報之際,我們更應提高警覺、防患未然。所謂「不讓敵人有見縫插針、遇洞灌水的機會」,也就是要靠全面強化保密工作,才能真正確保國家安全與社會安定。
落實全民保防,也是全民國防具體實踐。蓋全民國防所代表的意涵,是全體國民都能體認國家安全的重要性;而「保密防諜人人有責」,國人雖耳熟能詳,但絕不能將之視為口號,這是攸關國家安全以及全體國人安危禍福的大事,更是全體國人必須身體力行的要務,因此,維護國家機密的責任並非只有國軍獨自承擔,必須建立軍中保防、機關保防與社會保防的三管齊下「全民保防」配合協調機制,才能展現更嚴密的聯防效果。尤其中共不放棄武力犯臺,且藉各種管道對我滲透的現況觀之,唯有全民建立各項保防安全的警覺與認知,反制敵人滲透、竊密、破壞、分化及一切危安活動,「屬於機密的事不能說」、「危害安全的事不能寫」、「觸犯法規的事不能做」,確實做到「隨時自我惕厲,杜絕不當利誘」、「掌握危安預警,及時反映妥處」、「強化保密機制,賡續貫徹執行」等要求,務期人人保持高度的戒心,才能有效防杜共諜滲透,確保國家安全與全民福祉。