如何遏阻電腦犯罪

雖然任何電腦系統都不可能達到百分之百的安全，我們還是可以採取一些有效的措施來防止電腦犯罪，方法之一是：就公司特殊的安全需求來評估各種安全措施，並擇優採用。
　電腦系統易遭侵犯的重要原因，往往出在即使是管理部門的高級職員，對自己公司電腦系統的作業方式，也所知極微上。他們常輕易地認定：公司既有資料處理部門，該部門的工作人員一定會妥善處理份內的事。然而，要在電腦系統中做手腳，「程式設計師」的地位真是佔盡便宜，即使是公司其他低階層的職員，只要有機會與系統接觸，也常能獲得投機取巧的足夠知識。
　造成此類犯罪的癥結是公司無知、天真的觀念，盲目的信任並缺乏警覺。例如，公司中沒有人負責系統安全，確保安全機能的正常運作。很多人常常這樣想：反正誰也搞不懂這系統是怎麼回事，何必為安全問題瞎操心呢？事實並非如此。有些人若有子女在學校唸電腦，便可能產生這樣的念頭：我懂得內部的作業程序，我的孩子懂得電腦，我們湊起來不就可以有所作為了嗎？白領階級的罪犯，在把情勢做一番分析後，多半會得到一個事後可逍遙法外的樂觀結論。

防患未然

　對電腦系統的行家而言，打電腦的主意更是易如反掌，管理者若不瞭解公司的電腦系統，往往很難理解這一點。從前一般公司認為只要在電腦房外加上大鎖就可保萬全，現在似乎再也沒有人抱這樣天真的觀念。不過，電腦罪犯還是很容易發現系統上的漏洞。
例如：很多公司電話總機房中，「資料傳輸電線」的標誌赫然在目。對一個要在線路上做手腳的人來說，這樣的總機房無異於天堂，利用這種資料傳輸線，他就可接觸到整個電腦系統。因此，身為管理者，應對包括硬體、軟體和資料傳輸在內的公司電腦系統，作相當的瞭解，才可防止不法之徒利用電腦犯罪。
　既然大家對這個問題的瞭解日增，也已發展出種類繁多、精巧複雜的保護設施，為什麼到現在還沒有一套十全的保護辦法呢？原來在電腦界有種號稱「系統殺手」（system hacker）的程式設計師，這種人腦筋靈活、喜歡冒險，碰到挑戰性的事物就見獵心喜、怦然心動。如有人告訴他們某電腦系統安全可靠，無法破解，就無異於引狼入室。為了滿足應付挑戰而產生的刺激，他們常把法律的約束和道德的規範一概拋諸腦後。

只為好玩或打賭

　在七○年代中期，美國一名軍官利用在國防部電腦中心值夜班的機會，僅花半年時間就破解了五角大廈的安全系統，其中原委僅在高級將領誇下海口說這個系統鐵不能破。這類事件的動機不一定是金錢，往往只是為了好玩或打賭而已。一個程式設計師如自感沒有升遷機會、待遇不夠理想、上司態度專橫、急需支付額外用度，或為了一大堆其他外在的理由，都可能產生從電腦系統中獲利的念領。沒人知道他們什麼時候會心血來潮，忽然萌此惡念。
　正因處理電腦系統的金額龐大，玩電腦把戲的興趣和技巧也就相對提高。舉例來說，有一種新近發展出來的精密安全系統，別名叫做「特洛伊木馬」，具有限制程式設計師接觸電腦中最機密部份的勁能。這套系統在程式中加了指令，唯有具高等級使用權的人，才能使這種指令發生作用。但如果其他人員不經意地觸發了密碼，或程式設計師自行設法偷到了密碼，他們仍然可在電腦系統中隨心所欲的調動資金、竊取資料、改變情報或破壞系統，而管理階層卻被蒙在鼓，
毫不知情，還認為電腦系統安全可靠，萬無一失。
　如此一來，豈不把管理者嚇得提心吊膽，連看來像系統殺手的人都不敢僱用了嗎？事實並非如此。由於這種「殺手」有義務解決任何難題，實際上他們是電腦工業中公認難得的人才。他們常常能在二十四小時內寫出整套程式，因此管理部門對這種性質特殊的職員總是另眼相看，禮遇有加。如果不小心開罪了程式設計師，他只要略施小技，就可使公司的營運遭受嚴重損害–把重要的資料變成垃圾，使新系統的開發或資料輸出的速度降低，或改變部份程式，使將來的系統維護工作難以實施等。

成長迅速

　這些難以捉摸的電腦程式人才雖然構成很大的潛在威脅，但根據統計，他們造成災害的發生率卻很低，而一些所謂「特殊利益集團」有計劃的陰謀破壞，反在歐洲大行其道，成長迅速。根據美國聯邦調查局最近的報告，同樣的犯罪模式也在美國發生了。
有人曾開玩笑說，誰要是能破壞美國政府一、兩個主要的電腦系統，譬如社會安全系統，美國的經濟必定垮台；若破壞美國空防預警系統，也就打垮了美國的國防系統。這已不再是笑談。美國政府在今後十年將耗用億萬美金來改進國家各大型電腦系統的安全防護，並提高其效率。
電腦系統的安全防護是一門高度專門性的學問。通常實施電腦安全的第一步就是使用密碼（Password）。
可是，由於缺乏警戒心或想像力，密碼常常在電腦犯罪的預防上毫無作用。舉例而言，一家姑名為「台灣企業公司」會計部的現金支付系統也許就拿「密碼」這個名詞或「台會現支」這四個字作為現成的密碼。有的電腦殺手曾如此誇口：「只要知道製訂密碼者的姓名、地址，他妻子、兒女或家中小狗的名字，加上他們各人的出生日期，我們就可能猜出他的密碼。如果猜不出來，也許在他女秘書的辦公桌就可翻到。」為克服這個問題，更為複雜的密碼系統就應運而生，每一密碼僅適用某一個特定系統，而且每一台終端機都加上鎖。
　在系統設計時總把易於取用（easy access ）作為一項重要的設計目標，現代的企業又都把寶貴的資料儲存在電腦，因此，為了使電腦不致成為過於誘人的目標，這種寶貴的資料必須加以偽裝。很多人就用加密（encryption）來對付電子資料的偷竊，如果資料的傳送是使用有電路或微波設備，「加密」就更有其需要。增加了加密步驟，工作速度雖會降低，電腦費用也會增加，但是工商業，尤其是金融機構，卻認為這種在時間和金錢上的額外負擔非常值得，因為他們對大規模移轉資金或資料所冒的風險有深刻的瞭解，更由於家用電腦及個人電腦的普及，偷接線路的成本已在這幾年中從美金五萬元降低至兩千元以下，金融機構正在急速改進安全措施，應付新情況。
　然而，像這種加密程序中的密碼，如果不用不規則的方式產生或不頻加更換，即使加密也並不絕對保險。更有甚者，加密也好，密碼也好，都無法防備一個有使用權的人作不當的使用。「監察軟體」於焉產生，監察軟體可即時對每一次的記錄變動與使用人做永久記錄。此外，利用生理特徵做使用管制，如根據聲音或指紋來檢查使用人身份等方式，在美國也開始日漸普遍地被人採用。
　
注重安全常識

　電腦作業上固然還有很多地方可利用精密技術來加強安全措施，但是常識往往仍無法被技術取代。保護資料處理的完整無損要同時注意以下四方面：設備、人員、軟體及資料。
　設備方正的安全是指資料處理區域的出入管制：非經授權的人員或來賓禁止出入；員工如無證明，禁止在辦公時間外進入資料中心；通往電腦部門的門戶如無必要不准任意開啟等等。關於人員方面的安全措施，職務的分割也許最為重要，也最為有效，為保護資料免受侵害，工作流程的設計應避免使同一人從領到尾包辦業務，電腦程式中應包括安全措施，使每一使用人僅能獲得有關工作範圍內的必需資料。程式師不應自行將資料輸入系統；操作員只應閱讀操作手冊，而不應閱讀全部系統說明文件。所有重要檔案均應有磁帶副本，分開儲放在安全處所，並作定期檢查。
　此外，系統安全還有很重要的一面，就是內部的管制。通盤內部管制應由最高管理階層負主要責任，但是特定電腦資料系統的內部管制，應由接受管理部門指派職責的單位，亦即資料的主要使用人來負責。在資料處理技術或系統設計被採用之前，必須先對內部管制加以考慮。在系統發展的過程中，管制目標應加以列明，並視為發展系統的必要條件之一，將適當的稽核程序（auditrails）包括其中。在考慮管制目標時，須同時考量整個管理資料系統，並由使用人、內部稽核員與系統分析師共同訂定系統管制的規則或標準。管制因素應建立在資料中，使用人得以評估及求證資料處理記錄與報告的正確性與完整性。絕對不要為了達成系統發展的目標及趕工完成系統安裝，而省略了安裝前測試與內部稽核員的安全系統評估，以及管制特點的複查。
　
長遠之計

　包含管制功能的電腦系統顯然比較費時耗錢，但從長期的利益來看，一切額外的付出並不僅僅是值回代價而已。具有人員管制或自動化管制設施的電腦系統，不僅使電腦詐欺和盜用公款造成的損失大為減少，也顯著降低因錯誤和遺漏而產生損害的可能性、執電腦業牛耳的ＩＢＭ，雖然多年來一直拒不承認電腦犯罪問題的存在，但現在也努力灌輸顧客電腦安全和系統稽核有其必要的觀念，並依此發展新的產品。
　電腦犯罪涉及的風險固然日益增加，解決問題的對策也發展迅速。對焦躁不安的公司負責人或陷身在矽晶片、線路和專門術語中的資料處理中心主任，有一句值得他們再三玩味的話：「電腦從不犯罪，犯罪的是人。」（張安平為中國嘉通資訊公司總經理）