美國資訊安全分析新挑戰:巨量資料(Big Data)之應用
在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。
資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。
不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。
由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。
美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。
「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。
不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
為瞭解兒童及青少年透過行動裝置接取網路不當內容(inappropriate content)之情形,以及父母或監護人如何限制孩子使用網路設備等議題,英國通訊管理局(Office of Communications, Ofcom)委託英國第二大研究機構Ipsos MORI於2009年3-4月間,與797組7-16歲的兒童及青少年進行面對面的親子訪談,並於2009年9月公布該調查之研究結果。 根據該份兒童及青少年接取網路內容訪談的研究報告(Children’s and young people’s access to online content on mobile devices, games consoles and portable media players)顯示,分別有90%及74%的兒童及青少年透過遊戲裝置及行動電話使用接取網路,利用其他多媒體影音裝置上網的則占13%。另外有三分之二透過行動電話上網的使用者,可自由瀏覽及接取網路內容,而無任何內容分級或不當內容接取上的限制。該研究報告同時亦指出,對於使用行動電話上網的兒童及青少年,僅有10%的父母及監護人「非常關心」(major concerns)其瀏覽或接取不當網頁內容的問題;而使用遊戲裝置上網的兒童及青少年中,僅有11%的父母或監護人「非常關心」其對於接取或瀏覽不當內容之問題。對於兒童及青少年利用行動電話上網的管制議題上,父母及監護人多半透過通話及簡訊的使用量來限制兒童及青少年使用行動電話,而非直接要求兒童及青少年禁止其上網瀏覽不當的內容或教導其如何安全的使用網路。此外,就兒童及青少年本身使用網路所遇到的安全性問題上,介於11-16歲的青少年有54%表示,其需要有關如何維護隱私權及個人資料的建議與協助;而28%的青少年則提及,其需要資訊安全的建議,尤其是如何強化密碼及個人識別碼(personal identification numbers, PINs);至於7-11歲的兒童則多以「不知道」來回答調查問卷上的問題。 藉由該份研究報告數據的公開,英國政府開始針對兒童及青少年透過行動裝置使用網路之安全性問題進行研議,期望透過更多的宣導與教育,使父母及監護人更為關心兒童及青少年網路內容帶來的身心健康影響,並提昇父母、監護人、兒童及青少年對於網路使用的安全意識,以建立兒童及青少年對於網路安全的正確觀念。
Golan v. Holder: 美國高等法院確認公共領域之外國著作可取得著作權保護美國高等法院於2012年1月18日對Golan v. Holder案做出裁定,確認維持將目前在公共領域的外國著作納入著作權保護的聯邦法。Golan v. Holder案之主要爭點為,美國國會於1994年為符合伯恩公約及WTO「與貿易有關智慧財產權協定(TRIPS)」的規定,決議通過讓之前無法在美國取得著作權保護的外國著作可以回溯取得美國著作權,一夕之間近上百萬件於1923年至1989年之間在國外發表的著作在美國不再屬於公共領域,包括了許多經典的電影,名畫及交響樂等,這個法案引起了許多樂團指揮家、表演者、老師、電影檔案保管者及電影發行商等人士的不滿,因為他們將無法像之前一樣無限制的使用這些著作。 美國聯邦地區法院於2009年曾判定認為恢復屬於公共領域的外國著作的著作權違反了保障言論自由的美國憲法增修條文第一條,但高等法院以6:2的多數意見認為,恢復公共領域的外國著作的著作權保護並不違反憲法修文第一條及憲法下的著作權條款。身為著作權擁有者,這個裁定對電影與音樂業者可以說是場勝戰,但對Google建立電子圖書館的計畫則將是個挑戰,Google表示這將使他們無法把近一千五百萬冊書籍的內容公開在網路上提供,並且也會影響到他們已完成電子化的上百萬冊書籍的使用。
美國加州法院期透過數位方式管理證據生命週期,帶動司法效率提升2024年9月23日起,美國加州洛杉磯高等法院於康普頓(Compton)與比佛利山莊(Beverly Hills)法院試行數位證據系統,旨於簡化小額訴訟程序,使訴訟當事人透過數位證據系統平臺進行數位證據開示,節省郵寄實體證據副本所花費的時間、人力、物力。洛杉磯高等法院為全美最大之一審法院,法院轄區人數逾1千萬人,其所推動之數位證據系統具參考價值。 以下說明數位證據系統的重點: 1.數位證據系統適用的案件範圍 適用於「小額訴訟當事人於聽證會前之證據開示程序」。 關於證據開示程序,訴訟當事人應至少於訴訟聽證會前10 日完成證據開示。證據開示程序的傳統做法為當事人將證據副本「郵寄」給對造,而數位證據系統允許訴訟兩造於聽證會前,以「電子方式」交換證據。 依加州法規定,小額訴訟指原告向被告(個人、企業或政府單位)請求給付的金額在1.25萬美元以下。 2.數位證據系統可上傳的數位證據類型 訴訟當事人輸入「案號、聽證會具體日期、個人資訊(電子信箱或手機號碼)及6位數字金鑰」以驗證身分、註冊數位證據系統帳號後,可於數位證據系統分批上傳多種文件格式,包含時戳證據(Time stamp evidence)、圖片、影片、文字檔(如Word、OpenOffice)、PDF檔案、HTML檔案、簡報檔案等。並勾選上傳資料之當事人身分(原告或被告),確認上傳證據。 當事人應於確認上傳之每筆證據的註解中,簡述(briefly)該證據資訊。 經當事人確認、成功上傳至數位證據系統的每筆證據,都會擁有其唯一的(unique)證據編號(Exhibit Number)。 該系統最終會製作出一份「涵蓋該案件所有數位證據資訊的證據清單(Exhibit List)」PDF檔案,包含:案號、數位證據編號、證據縮圖及證據之簡述資訊等資訊,以便當事人依證據清單,參考(refer to)證據編號進行證據開示。 3.數位證據系統的檔案權限控管之設定 (1)上傳、編輯、刪除權限 訴訟當事人可上傳數位證據。 於系統上傳、未確認送出數位證據的階段,當事人則可編輯、刪除數位證據。 (2)線上瀏覽權限 上傳證據之當事人、司法人員擁有線上瀏覽「所有經當事人確認上傳之數位證據」的權限。 於系統確認數位證據後,上傳證據之當事人可於系統「勾選欲共享之數位證據」後,輸入對造之姓名、電子信箱,與對造共享其指定之數位證據。 (3)下載權限 訴訟期間至結案後60日內,訴訟兩造均可於數位證據系統下載數位證據。 4.證據於數位證據系統的保存期限 於小額訴訟結案後60日內,系統將自動刪除該案上傳之數位證據。 美國加州推動數位證據平臺,使當事人於平臺驗證身分、上傳時戳等數位證據,由平臺產出涵蓋案號、證據編號及證據資訊之證據清單,透過系統之權限控管加強證據管理,以數位證據開示減輕傳統證據開示程序之負擔。關於司法資料交換,參照我國由司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局於2024年4月正式啟用之「司法聯盟鏈共同驗證平台」,以「b-JADE證明標章」作為數位資料管理之標準,透過數位資料歷程管理與資料存證機制,鞏固證物保管機制。 上述之國內外趨勢之資料管理之作法可被資策會科法所發布之《重要數位資料治理暨管理制度規範(下稱EDGS)》所涵蓋,美國加州數位證據系統,透過管理證據生命週期之各階段,首先由當事人上傳、確認證物資訊及建置清單;其次設有不同程度的檔案使用權限;並訂有證據資料之保存期限,以便進行證據管理、加速司法訴訟之證據開示程序。而為方便資料管理者控管數位資料,EDGS同樣強調資料之生命週期管理,由「檔案標題或檔案的相關資訊,需要能對應特定的數位資料」,輔以建立「資料清單」有助於盤點多筆資料。並透過「控管資料權限」等保護措施,搭配「評估資料的維護期限」,以達到管理資料歷程的目標。建議企業將EDGS納入資料管理規劃,確保資料管控有方。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國重啟核電廠興建,並鼓勵小型核能反應爐創新技術研發美國雖將能源列為國家長期的能源政策目標,自1990年代後期,亦投入核能的安全性、環境建置及研發補助等,但最近因將重點放在其他替代性能源的開發,因此在核能方面的計畫稍微減少,尤其自1979年美國三哩島核電廠(Three-Miles Island Nuclear Generating Station)發生事故後,美國三十年來未再興建任何核電廠。但由於核能發電的高效率與不會排放二氧化碳的低污染,因此美國政府將之列為重點發展項目,強調美國政府的能源政策是要發展任何可能的能源,包括合核能,以提升在全球潔淨能源的競爭優勢。 美國總統歐巴馬表示,為了維持能源供需的穩定,以及避免氣候的惡劣變遷,有必要重啟美國核能產業,持續提高核能的供應量。因此於2011年12月經核子管理委員會(Nuclear Regulatory Commission)通過、2012年2月再次於投入核電廠的興建,於喬治亞洲Vogtle核電廠核准興建兩座新的核能反應爐,並透過成本分擔協議(cost-share agreement)投入2億美元,協助設計認證及許可。 此外,並於同年3月宣布投入4. 5億美元於五年內支持兩座自製的小型核能反應爐(small modular nuclear reactor,SMR)的設計、認證及核准,希望能輸出這些自製的反應爐,提升全球潔淨能源的競爭力。這些反應爐約只佔核能廠的三分之一面積,具有安全的建築設計,小型反應爐能在工廠內製造,並運輸到定點安裝,能節省成本及建造的時間。且其最理想的地方在於其體積小,能使用在小型智慧電網級一些無法容納大型反應爐的地方,其運用能更有彈性,能增加經濟效益。 國政府希望透過與私人企業的合作,帶領美國在全球核能科技及製造的領先地位。因此希望能源部希望此計畫能經核子管理委員會的許可,此一小型核能反應爐的計畫總金額為9億美元,透過與私人企業成本分擔的協議,其中50% 由國會撥款,另50%則由私人企業投資,並於2022年商業化,取得在全球潔淨能源的競爭優勢地位。