信任是安全的基礎,一個人活在龐大的系統當中,沒有辦法完全了解任何運作的細節,因此需要依賴別人,依賴值得信任的關係,同時也需要依賴工具,依賴獲取訊息和知識的軟硬體平台,例如手機、通訊系統或電子郵件系統。
當年我在成大計網中心服務的時候,儘管有許多學校都跟商用的公司達成有效率的協議,把學校電子郵件的系統托管營運,可以節省非常多成本,但是我們堅持不走這條路,每年需要另外多負擔一兩百萬的維運成本,也花了一兩千萬更新的電子郵件伺服器和儲存網路的設備。尤其 openwebmail 跟成大有很多的淵源,更讓我們捨不得放棄,想不到因為它的漏洞,造成了中山大學政治系教授長期被監控甚至釣魚的資安事件。
信任很重要,如果沒有信任,我們沒有辦法與他人建立關係,無法依靠他人,無法尋求建議或幫助的管道,當然更找不到任何的愛。
同時信任也非常危險,因為對信任產生的懷疑,讓人要違背以往的信念,打破先前建立的習慣,不相信自己的判斷力,因而影響自己對事情的看法和自尊心。信任的困難在於這不是單方面,可能遭受到背叛,因而承受巨大的風險。所有人都知道,被信任的人背叛所產生的傷害,遠遠超過站在自己對面的敵人。
因為信任是有風險的,所以需要保證,由時間上的行為來觀察,這是所謂歷史的保證,由他人或權威的認證,這是所謂公正第三方的保證,由於人類行為的複雜情況,沒有一種信任是可以完全確保,因此所有的信任都有風險,人的信任有風險,就沒有所謂真正安全的系統,這就是資訊安全最大的困境,當然這個信任難題不只在資訊安全發生,對於機構的信任和對政府的信任,都有同樣的情況。
除了信任的風險以外,人們還可以問,信任的環境條件是否合理,在某些特定的情況之下根本無法保證信任,例如同時保證妻子和女兒安全的丈夫面臨只能拯救一人的危機,或信任保證者遭受被信任者的背叛。在合理的意義上,信任是否值得保證?由於在特定情況下,可能無法保證信任,因為它根本不合理,只有當信任需要的條件存在時,才是合理的。
在台灣談資訊安全很難。因為沒有多少人真正了解信任的意義,跟自殺是唯一有意義的哲學問題一樣,「信任是資訊安全唯一有意義的問題」。
我們在台灣從小到大所受到的教育,很少有機會深刻思考去了解自己,更不用說跟周圍環境之間的關係。
問一個簡單的問題:「你信任自己嗎?」
我想在台灣並不是每個人都有辦法回答出這個問題。
原文出自 留德華教授的臉書筆記 臉書,芋傳媒經授權轉載。
評論被關閉。