原發表日期:6月17日, 2014
天下沒有洩露不出去的機密,更沒有攻不破的資訊系統。如果真有那麼重大的國家機密,是否適合儲存在連外的電腦上,甚至是透過e-mail來溝通?如果這機密重大到連Google都不可信,那麼這資訊是否可以走公開的Internet來傳送?或者還有什麼其他方法可確保他的安全?
近來似乎科技部部長張善政樹大招風被鎖定了,而Google的Gmail也遭受池魚之殃。
先是有人在背後放話說張善政在Google的頭銜「膨風」,明明英文頭銜「只有」Director,只是「協理」卻騙人說是「總監」………不過,據我的了解,在科技產業裡總監好像幾乎就是Director的標準翻譯了,或者至少也是相當普遍的。倒是把Director翻譯成「協理」或是「主任」我是很少見到。
反倒是頭銜把「亞太區硬體營運總監」省略成「亞太營運總監」,其實是有些誤導或誤會之嫌就是了,反而這一點爆料者和報導者沒提出。但根據翟神的現身說法,Google的企業文化原本就是頭銜可依自己對於自己工作內容的認識還有業務推動的考量而自行選擇的,所以似乎根本就沒有什麼膨不膨風的問題。
現在又有人爆料,言下之意是說張善政根本就是Google派給政府的金牌臥底推銷員,所以政府機構現在開始轉而使用了Google App,信箱服務因此也改用Gmail了。而且美商Gmail會有洩露國家機密的問題[如果我們還有國家機密的話]。
先是有人在背後放話說張善政在Google的頭銜「膨風」,明明英文頭銜「只有」Director,只是「協理」卻騙人說是「總監」………不過,據我的了解,在科技產業裡總監好像幾乎就是Director的標準翻譯了,或者至少也是相當普遍的。倒是把Director翻譯成「協理」或是「主任」我是很少見到。
反倒是頭銜把「亞太區硬體營運總監」省略成「亞太營運總監」,其實是有些誤導或誤會之嫌就是了,反而這一點爆料者和報導者沒提出。但根據翟神的現身說法,Google的企業文化原本就是頭銜可依自己對於自己工作內容的認識還有業務推動的考量而自行選擇的,所以似乎根本就沒有什麼膨不膨風的問題。
現在又有人爆料,言下之意是說張善政根本就是Google派給政府的金牌臥底推銷員,所以政府機構現在開始轉而使用了Google App,信箱服務因此也改用Gmail了。而且美商Gmail會有洩露國家機密的問題[如果我們還有國家機密的話]。
我在想,如果張善政是臥底推銷員,現在才幫Google賣出1500個Google app帳號拉個兩三百萬新台幣業務,這個業績是不是太慘了一些?
自由時報報導還引用了大學教授的說法說,政府機關不自行開發自己的信箱,反而改用Gmail,一定有洩露國家機密之虞。另有教授說「如此單純」的服務,為何要委外?還有引述史諾登事件而說美國不可信的論調。
這裡我們先別討論技術問題,先單單談論「信任」問題好了。我想提出一些可能的選項,不知大家認為以下那些服務供應商是較為可靠而可信賴的?
這裡我們先別討論技術問題,先單單談論「信任」問題好了。我想提出一些可能的選項,不知大家認為以下那些服務供應商是較為可靠而可信賴的?
- Gmail和微軟Office 365
- 台廠提供的信箱服務(像是Openfind)
- 教授說的:政府機關自己開發
- 其他沒聽過的……
不知看倌對於以上選項,覺得那一些比較讓你有信心而覺得可信賴呢?就憑直覺就好,不用想太多。
這或許有點主觀,但我個人比較信賴Google,其次是微軟。至少這兩家全球性的軟體及雲端大廠,為取得全球企業及政府的信賴,一向遵循了比較透明化的做法:他們不斷公布許多的政府透明化報告及措施說明。不管你相不相信,或者你說他只是做個表面樣子好了,但試問:那些連表面樣子都不做的會比較可信嗎?
這或許有點主觀,但我個人比較信賴Google,其次是微軟。至少這兩家全球性的軟體及雲端大廠,為取得全球企業及政府的信賴,一向遵循了比較透明化的做法:他們不斷公布許多的政府透明化報告及措施說明。不管你相不相信,或者你說他只是做個表面樣子好了,但試問:那些連表面樣子都不做的會比較可信嗎?
而這裡還有些客觀證據來證明Google和微軟還是頗為可信的。
當然的,如果你以Openfind為國產的知名品牌而支持他,我也沒意見,這也不錯。而如果你覺得政府機構自行開發較可信賴,那我要誇你是好國民。無論如何,這的確是一個主觀問題。
再試問一個問題,Openfind或是其他沒聽過的小廠較容易被收買還是Google與微軟?
收買有兩種方式,一是指私下收買這些公司的員工,甚至是高層主管當間諜,二是光明正大的把整間公司買下,例如未來服貿或其他開放措施越來越多之後,某提供政府機構ICT服務的小廠是否會突然變成中資:不管是直接持有還是間接持有。
收買有兩種方式,一是指私下收買這些公司的員工,甚至是高層主管當間諜,二是光明正大的把整間公司買下,例如未來服貿或其他開放措施越來越多之後,某提供政府機構ICT服務的小廠是否會突然變成中資:不管是直接持有還是間接持有。
這個問題當然沒有標準答案,但你能夠證明Google和微軟比較容易被收買嗎?這個我是不相信的。但若就「整間公司被買下來」的難度與可能性來看,理應是本地的小廠較容易被買下來的。
再來我們來隨意想想技術問題。以下的信箱服務中,你認為那個的技術能力最好?選項和以上問題相同:
- Gmail和微軟Office 365
- 台廠提供的信箱服務(像是Openfind)
- 教授說的:政府機關自己開發……
- 其他沒聽過的……
我認為Google的最好,其次是微軟的,兩個都是很不錯的選擇。關於這方面,有興趣的人可自行去研究一下更多的科技報導。
就技術層面來看,信箱服務我並不贊同台大電機系教授林宗男說的「如此單純的資訊服務」的說法,言下之意是說這是非常簡單而容易開發的服務,簡單一句話,把Gmail和Outlook.com的存在價值全都打翻了,好像世界上不存在信箱服務的技術競爭與門檻似的。
或許是技術知識能力太差,我這外行人就覺得Mail Server的技術問題相當複雜,特別是安全方面。所以我一直覺得只有諸如Google和微軟這樣的全球性大廠能夠處理到最好,甚至像Yahoo這樣的公司都已經讓我覺得過時而可能難負重任了。不過政府是不是能夠開發出什麼頂尖的Mail 服務平台我真的不知道,如果有的話或可提出來給大家做個參考,也給科技部做個參考。
打個比方吧,在資訊的全程加密這件事情上,不知全球有多少業者能夠做到?政府自己開發的平台是否能做到?需花費多少經費?
還有像抵擋或過濾spammer垃圾蟲這種事。目前為止,我不知有誰敢說他們比Google還有微軟處理得還好的?雅虎或許敢說,但不知你敢不敢信就是了,我是完全不相信的。
最後還有一些惡意程式或是社交攻擊等等的資安問題,這道資安防線失守的話我看也不需收買什麼間諜,或是買下整間公司的,一條自來水管直通對岸,所有情報源源不絕。這方面若不找Google,或可再找第三方安全業者補強,不過問題還是得又回到找誰做,又得在那一國公司可靠這件事上爭論不完了。
至於成本問題就非我所長了,我不知以上方案估算下來,那一個會比較便宜。但至少Google App每個帳號每年50美元(每個月是5美元),相當於新台幣1500元看來相當合理,而且成本計算起來簡單而透明──不過最大缺點也是價格太透明而毫無「誠意空間」。
或許要自己架個簡單可運作的mail server服務就成本來看可能低很多,技術門檻也不是太高(可能我就架得起來),但人與設備的維運成本若再算進來,一年兩、三百萬可以做到什麼地步?再加上還要整合其他雲端服務,如行事曆,雲端儲存等,那兩三百萬開發得出什麼?再來,若要能夠達到像Gmail或是Outlook.com的安全及穩定可靠等級,我就不知能不能夠達成了,若能夠的話,是否又要升高等級成為國家級計畫,花個幾個億或幾十幾百個億的?或者是花個幾個億幾十億或幾百億之後又一直繼續億上加億還遲遲不能結案?顯然這個方案的最大優點就是「誠意空間」非常大,若再把「國家安全」的無限上綱加進來的話,「誠意空間」要多大就有多大了。
至於有教授說「美方不可信」,我又有個疑問了:所以中方可信?還是日方可信?或者國民黨比較可信?或者政客最誠實可靠?還是無祖國的商人可信? 還有,我們的假想敵到底是誰?中國?美國?還是商人?
或許要自己架個簡單可運作的mail server服務就成本來看可能低很多,技術門檻也不是太高(可能我就架得起來),但人與設備的維運成本若再算進來,一年兩、三百萬可以做到什麼地步?再加上還要整合其他雲端服務,如行事曆,雲端儲存等,那兩三百萬開發得出什麼?再來,若要能夠達到像Gmail或是Outlook.com的安全及穩定可靠等級,我就不知能不能夠達成了,若能夠的話,是否又要升高等級成為國家級計畫,花個幾個億或幾十幾百個億的?或者是花個幾個億幾十億或幾百億之後又一直繼續億上加億還遲遲不能結案?顯然這個方案的最大優點就是「誠意空間」非常大,若再把「國家安全」的無限上綱加進來的話,「誠意空間」要多大就有多大了。
至於有教授說「美方不可信」,我又有個疑問了:所以中方可信?還是日方可信?或者國民黨比較可信?或者政客最誠實可靠?還是無祖國的商人可信? 還有,我們的假想敵到底是誰?中國?美國?還是商人?
綜合評量之後,我個人雖然覺得無祖國的商人不見得可信,但是相較之下以「不為惡」為公司哲學的Google還比較可信許多,微軟我也願意相信。
當然了,國產的Openfind在技術及「血統」上或許也可以是個不錯的選項,但我並沒有實際使用過,所以技術及成本的評比上我不敢亂說。
有道是天下沒有洩露不出去的機密,更沒有攻不破的資訊系統。
如果真有那麼重大的國家機密,是否適合儲存在連外的電腦上,甚至是透過e-mail來溝通?如果這機密重大到連Google都不可信,那麼是否還可以透過公開的Internet網路來傳送?或者還有什麼其他方法可確保他的安全呢?大概只有從頭自建一個完全封閉的系統才可行吧。
如果真有那麼重大的國家機密,是否適合儲存在連外的電腦上,甚至是透過e-mail來溝通?如果這機密重大到連Google都不可信,那麼是否還可以透過公開的Internet網路來傳送?或者還有什麼其他方法可確保他的安全呢?大概只有從頭自建一個完全封閉的系統才可行吧。
總體來說,資訊外洩的風險中,考慮到內賊、人為疏失、意惡程式或是社交工程攻擊、寄錯對象等操作不當、存取身份的控管不當、間諜活動,甚至像日本一位士官長把筆電帶回家還玩P2P導致美日海軍布署機密外流等一類烏龍問題……總體風險都計算在內,交給Google處理電子信件所增加的風險又是多少?
另外,好像政府及教育、研究機構使用微軟Office還算挺普遍的,應該也不難找到有單位使用到微軟mail服務的。我的意思是,Gmail若不能用,微軟應該一樣不能用,這個也應該要查一查。
以上只是個人的一些不專業感想,反正什麼事遇到政治都要走味的,所以關於這個mail 服務的深入技術問題,我想也不需要太過鑽研了,但若犯有技術認知上的錯誤,歡迎指正。
這問題似乎都只是你願意相信誰的問題,但思考這個問題時不該對Google或微軟或任何一種技術選項特別待遇,把諸如「絕對安全」這類不可能的無限上綱給拿進來。而如果你覺得Gmail或微軟是美商所以不宜採用,那麼也請具體說明一些更好而可行的技術方案。
沒有留言:
張貼留言