全 球 互 聯 網 業 者 而 言 , 二 零 零 零 年 二 月 七 日 不 過 是 假 期 後 的 第 一 個 工 作 天 , 但 大 型 入 門 網 站 Yahoo! 的 技 術 人 員 , 卻 萬 料 不 到 他 們 的 系 統 會 在 員 工 還 未 恢 復 工 作 心 情 的 時 候 , 經 歷 有 史 以 來 最 嚴 峻 的 考 驗 。 在 這 驚 濤 駭 浪 的 一 天 , Yahoo! 的 系 統 受 到 來 自 網 上 四 面 八 方 的 分 散 式 拒 絕 服 務 襲 擊 (Distributed Denial of Service 或 簡 稱 DDOS ) , 令 網 站 服 務 中 斷 數 小 時 , 影 響 數 以 十 萬 計 的 用 戶 。 第 二 天 , 傳 媒 網 站 CNN Interactive, 以 及 Amazon.com,eBay 等 大 型 網 站 也 難 逃 劫 數 , 遭 受 同 樣 攻 擊 , 其 中 CNN 網 站 癱 瘓 近 兩 小 時 。

五 月 初 , 「 I LOVE YOU」 電 郵 病 毒 爆 發 , 迅 速 橫 掃 全 球 。 正 如 一 年 前 的 MelissaCIH 病 毒 一 樣 , 問 題 殃 及 普 羅 用 戶 , 電 腦 網 絡 恐 慌 加 劇 。 其 後 接 踵 而 來 幾 個 不 同 電 郵 病 毒 的 消 息 , 更 令 用 戶 和 網 絡 業 者 成 為 驚 弓 之 鳥 。

有 關 二 月 發 生 的 大 型 網 站 受 襲 事 件 , 不 少 人 原 先 以 為 是 涉 及 多 名 黑 客 經 過 精 心 安 排 的 有 組 織 罪 行 。 令 人 驚 訝 的 是 涉 嫌 攻 擊 CNN 網 站 化 名 Mafiaboy 的 黑 客 只 得 十 五 歲 , 被 協 助 緝 捕 他 的 電 腦 保 安 專 家 形 容 為 道 行 不 高 , 絕 對 稱 不 上 專 業 。 他 的 「 知 識 」 只 是 來 自 網 上 其 他 人 士 和 坊 間 隨 手 可 得 的 資 料 和 軟 件 , 破 壞 網 上 電 腦 系 統 並 不 再 是 深 奧 技 術 。

值 得 擔 憂 的 是 純 粹 惡 作 劇 的 小 黑 客 , 也 足 以 對 資 源 雄 厚 的 集 團 產 生 威 脅 。 面 對 看 來 危 機 四 伏 的 互 聯 網 , 一 向 強 調 信 息 服 務 無 間 的 傳 媒 業 不 禁 產 生 連 串 疑 問 : 網 絡 保 安 的 問 題 是 否 無 藥 可 救 ? 利 用 互 聯 網 作 為 大 眾 傳 播 管 道 的 時 刻 是 否 仍 未 到 臨 ? 過 份 依 賴 互 聯 網 發 放 信 息 會 否 弄 巧 成 拙 ?

 

 忽 視 保 安 監 督 不 足

互 聯 網 所 採 用 的 網 絡 規 程 TCP/IP, 原 先 發 展 的 目 標 並 非 著 眼 於 安 全 度 高 的 通 訊 和 商 業 應 用 , 因 而 缺 乏 嚴 謹 的 保 安 功 能 , 固 然 是 問 題 的 一 個 根 源 。 但 不 少 從 事 網 上 事 業 的 機 構 , 忽 視 保 安 工 作 的 重 要 性 , 卻 也 是 責 無 旁 貸 的 。 這 個 疏 忽 由 以 下 幾 個 原 因 造 成 :

( 一 ) 網 絡 事 業 發 展 顧 此 失 彼 : 由 於 網 業 發 展 急 速 , 管 理 人 員 只 著 眼 於 盡 快 把 概 念 落 實 , 令 投 資 得 到 回 報 , 但 卻 忽 略 了 系 統 保 安 和 提 供 合 理 的 後 備 設 施 。 此 外 , 資 訊 科 技 業 內 人 手 短 缺 , 員 工 流 動 性 大 , 主 管 寧 可 集 中 力 量 開 發 應 用 系 統 , 將 保 安 問 題 無 限 期 擱 置 。

( 二 ) 企 業 缺 乏 資 訊 保 安 認 識 : 不 少 管 理 人 員 以 為 系 統 、 網 絡 和 應 用 程 式 的 保 安 是 高 度 技 術 性 的 工 作 , 因 而 只 交 由 技 術 人 員 處 理 , 自 己 從 不 過 問 。 在 遇 上 突 發 情 況 時 , 便 將 責 任 完 全 推 到 技 術 人 員 身 上 。 事 實 上 , 完 整 的 資 訊 保 安 工 作 並 不 止 於 萬 維 網 站 的 互 聯 網 出 口 , 還 須 企 業 全 體 員 工 的 配 合 , 很 多 肩 負 保 安 責 任 的 資 訊 技 術 人 員 在 推 動 安 全 守 則 時 均 感 到 力 不 從 心 。

( 三 ) 管 理 監 督 保 安 力 度 不 足 : 相 比 維 繫 投 資 者 和 客 戶 關 係 、 開 拓 商 務 模 式 , 和 提 高 企 業 知 名 度 等 , 加 強 資 訊 保 安 管 理 通 常 只 屬 次 要 目 標 。 無 論 從 投 放 的 資 源 和 管 理 層 的 支 持 力 度 而 言 , 保 安 工 作 明 顯 未 受 到 應 有 的 重 視 。 大 部 分 企 業 不 但 缺 乏 一 套 內 部 資 訊 保 安 守 則 , 也 未 有 制 訂 當 一 旦 系 統 遭 受 破 壞 時 的 緊 急 應 變 措 施 。

 

 針 對 傳 媒 的 網 上 襲 擊

大 眾 傳 媒 無 不 期 望 互 聯 網 能 讓 它 們 接 觸 更 多 的 受 眾 , 並 將 兩 者 間 距 離 進 一 步 縮 短 。 不 少 敢 於 創 新 的 媒 體 , 更 完 全 擺 脫 傳 統 的 傳 播 形 式 , 將 整 個 業 務 在 互 聯 網 上 運 作 , 紛 紛 作 網 上 報 刊 和 網 上 電 台 等 新 嘗 試 。 但 愈 是 依 賴 資 訊 科 技 的 媒 體 , 便 愈 有 必 要 把 資 訊 保 安 工 作 和 有 關 的 風 險 管 理 意 識 提 上 企 業 的 管 理 層 。

將 傳 播 服 務 連 入 互 聯 網 , 便 等 同 於 把 媒 體 的 聲 譽 和 公 信 力 押 在 不 可 預 知 的 環 境 。 這 當 中 充 斥 著 喜 歡 惡 作 劇 的 黑 客 、 希 望 測 試 自 己 技 術 的 電 腦 愛 好 者 、 滿 懷 敵 意 的 持 不 同 意 見 人 士 和 團 體 、 不 幸 沾 上 的 電 腦 病 毒 , 以 至 本 身 員 工 有 意 和 無 意 的 錯 誤 。 而 更 令 業 者 感 到 兩 難 的 是 愈 強 調 網 站 的 保 安 功 能 強 大 , 愈 有 機 會 變 成 「 眾 矢 之 的 」 , 惹 來 各 方 欲 挑 戰 高 難 度 的 黑 客 入 侵 。

針 對 大 眾 傳 媒 的 網 上 襲 擊 , 從 破 壞 手 法 上 , 可 分 為 下 列 幾 個 類 別 :

─ 主 系 統 未 被 入 侵 的 網 上 攻 擊 : 由 於 目 標 網 站 保 安 嚴 密 , 破 壞 者 並 不 向 它 直 接 入 侵 , 而 改 為 通 過 網 上 其 他 系 統 配 合 攻 擊 。 二 月 的 DDOS即 屬 此 類 , 黑 客 同 時 發 動 大 批 已 被 非 法 入 侵 的 電 腦 , 並 以 虛 假 的 來 源 地 址 , 向 目 標 網 站 發 出 大 量 信 息 , 令 網 站 服 務 器 應 接 不 暇 。 在 無 法 進 行 堵 截 的 情 況 下 , 正 常 訪 問 大 受 影 響 。 另 外 , 襲 擊 個 別 受 眾 的 網 域 名 字 服 務 器 (domain name server) , 也 可 將 受 眾 從 知 名 網 站 誤 導 (IP spoofing) 至 預 先 佈 置 的 系 統 , 發 放 虛 假 的 消 息 。 大 型 網 絡 服 務 商 用 戶 眾 多 , 網 域 名 字 服 務 器 的 保 安 工 作 尤 為 重 要 。

─ 受 襲 系 統 上 信 息 被 竄 改 : 若 網 站 系 統 被 破 壞 者 攻 入 , 它 將 面 對 最 惡 劣 的 後 果 。 影 響 相 對 短 暫 但 顯 著 的 破 壞 , 是 被 黑 客 更 改 主 網 頁 的 內 容 , 插 入 不 雅 或 令 媒 體 尷 尬 的 文 字 和 圖 像 。 較 難 發 現 但 影 響 深 遠 的 , 則 可 能 是 經 過 精 心 佈 局 的 內 容 竄 改 , 如 改 動 股 票 價 格 、 更 改 評 論 文 章 的 立 場 等 , 以 達 到 個 人 的 目 的 。 此 外 , 遭 入 侵 系 統 更 可 被 操 控 成 為 下 一 階 段 攻 擊 其 他 網 上 系 統 的 傀 儡 。

─ 無 中 生 有 的 冒 名 訊 息 : 破 壞 者 也 會 冒 公 信 力 良 好 的 媒 體 之 名 , 發 出 電 郵 愚 弄 公 眾 , 或 誘 使 目 標 對 象 訪 問 預 先 佈 置 的 網 站 , 騙 取 他 們 的 賬 號 和 口 令 、 個 人 資 料 , 以 及 信 用 卡 號 碼 等 資 料 。 若 收 信 人 是 有 關 媒 體 的 登 記 用 戶 , 則 更 容 易 成 為 受 害 者 。

─ 機 密 資 料 外 洩 : 表 面 上 , 大 眾 傳 媒 沒 有 太 多 機 密 資 料 , 但 媒 體 機 構 服 務 器 往 往 儲 存 著 新 聞 摘 要 等 的 訂 閱 者 數 據 庫 。 這 些 數 據 庫 通 常 錄 有 姓 名 、 地 址 、 年 齡 、 信 用 卡 號 碼 、 喜 愛 資 訊 類 別 選 項 , 以 及 訪 問 紀 錄 等 敏 感 個 人 資 料 。 而 若 被 入 侵 的 為 內 部 系 統 , 更 可 能 將 尚 未 正 式 發 出 的 消 息 , 或 個 別 記 者 編 輯 正 在 跟 進 的 材 料 曝 光 , 令 媒 體 蒙 受 損 失 。

 

 部 署 應 戰 資 訊 硬 仗

Computer Security Institute 與 美 國 聯 邦 調 查 局 於 二 零 零 零 年 三 月 發 表 的 調 查 顯 示 , 九 成 美 國 大 企 業 和 政 府 機 關 在 過 去 十 二 個 月 內 遇 上 某 程 度 保 安 問 題 , 七 成 機 構 的 個 案 情 節 嚴 重 , 如 機 密 資 料 失 竊 、 財 務 欺 詐 、 黑 客 入 侵 、 破 壞 , 以 及 拒 絕 服 務 襲 擊 等 。 但 實 情 是 大 部 份 保 安 事 故 從 未 被 發 現 ; 而 礙 於 技 術 人 員 面 子 原 因 , 大 部 份 被 發 現 個 案 均 沒 有 向 上 級 報 告 ; 也 因 為 企 業 聲 譽 問 題 , 大 部 份 上 級 知 曉 的 事 件 , 也 沒 有 向 公 眾 透 露 。

傳 媒 事 業 要 在 互 聯 網 上 有 一 番 作 為 , 就 得 作 好 準 備 。 管 理 層 必 須 對 資 訊 保 安 加 深 了 解 、 摒 棄 一 些 錯 誤 觀 念 , 以 及 多 加 一 些 關 注 和 支 持 。 資 訊 科 技 和 其 他 崗 位 的 員 工 , 亦 必 須 同 時 加 強 保 安 的 意 識 , 做 好 危 機 應 變 和 風 險 管 理 。

一 些 超 級 大 國 政 府 已 經 部 署 應 付 新 一 代 的 資 訊 戰 爭 (information warfare) 。 儘 管 個 別 媒 體 企 業 營 運 並 不 涉 及 重 大 經 濟 利 益 , 但 基 於 大 眾 媒 介 的 重 要 價 值 , 已 註 定 它 無 法 擺 脫 成 為 資 訊 戰 爭 中 的 重 要 棋 子 。 對 網 上 傳 媒 業 者 而 言 , 一 場 結 結 實 實 的 硬 仗 看 來 是 勢 所 難 免 的 。

 

 ■ 梁 光 漢 
香 港 中 文 大 學
資 訊 科 技 服 務 處 助 理 處 長