因為前陣子幾篇有關華為資安貼文的關係，有一些人會來問我一些資安的問題。

這樣的情況是不是中毒？這是屬於技術性的資安問題。

公司這樣的規定合不合理？有沒有用？這是關於管理性的資安問題。

某某公司一直以來跟中國有很多的良好的關係，這樣會不會危害國家安全，應不應該排除這個公司參與政府系統建置的標案？這是屬於政策性的資安問題。

資安的問題基本上有三個面相，政策面、管理面和技術面。任何問題只要是跟人有關的都是非常複雜的問題，罷工是這樣，那資安更是這樣，哲學型的資安人沒有辦法提供這三個面向問題的詳細解答，讓很多朋友失望。

我曾經試圖解釋資訊安全到底是什麼？

資訊安全操作型的定義就是風險評估、資源配置，管理與技術並重。

如果不能夠評估風險的高低，做地圖炮的全面性攻擊，你要有大規模毁滅性武器那樣無限的資源，否則只是刻意為某些高風險的因素護航，混淆資源配置的方法，先要確定風險的來源，才有防禦和達到資訊安全的可能。世界上沒有絕對的安全，所以也不會有絕對的資訊安全，風險評估之後投注資源由最高風險往下做，這樣才是解決資訊安全問題的辦法。

那麼資訊安全核心的哲學問題是什麼？我認為是倫理（Ethnics)和信任(Trust)的問題，許多資訊安全技術的課程，教導駭客攻擊和防禦，上課第一章的內容常常是駭客倫理，倫理到底是什麼意思，倫理就是道德哲學，講到這個很多理工科的同學頭就非常大，道德不就是硬生生的教條嗎？還是理性思考之下對善惡的判斷標準？

學了一堆駭客攻擊的技術，想要拿來實際運用本來就是人之常情，可以遠端控制很多人的機器、偷看很多人的行為，這不是人潛意識、最底層的願望嗎？不然為什麼八卦腥羶媒體和假訊息新聞到處流傳？更何況發動一次小規模的駭客攻擊，跟用槍殺死一個人，或發射一顆飛彈造成的傷害是微不足道，高明的駭客發動攻擊之後，可以抹去所有的痕跡，事情就像沒有發生一樣，對實體世界到底真的有造成任何的傷害嗎？

你永遠也無法判斷一個人投票給韓國瑜或是陳其邁真正的原因或理由是什麼，訊息的作用是在於它能夠觸發某些人的開關，無論真或假。

倫理是一件非常有趣的事情，在大學裡面教書有些學生祖母會過世好幾次，尤其在考試、交報告期限的時候，學校的壓力常常會引發大規模祖父母的死亡。說個小謊是道德的瑕疵嗎？攻擊別人的機器偷看別人的隱私，不是類似的倫理問題嗎？

倫理或道德的問題是要面臨很多現實社會的考量，對於生死的看法，價值的選擇，還有受壓迫的創傷。遇到一個技術性科學的問題，往往會讓人感到想睡覺，當面對倫理的問題，常常是矛盾、紊亂、或互相衝突，跟個人的信仰有關。而個人的信仰主要來自成長背景，家庭和學校的教育，尤其父母的影響。人沒有自己想像的那麼理性，倫理的基礎也因此不會有這麼理性被加以看待。

倫理最簡單的定義是有權做什麼和應該做什麼之間的差別，從這個道理延伸出來駭客倫理最簡單的定義就是有能力做什麼和應該做什麼之間的差別。學到了這麼多駭客攻擊的技術，不可以把它用到實際的生活上，有老師會告訴你這是法律的問題，可是我認為這樣的說法不太好，這是道德的問題，因為法律上很難捉到小規模的駭客攻擊，所以這個課程的綱要才叫做駭客倫理，而不是資安法律。

昨天收到院長秘書從國際處傳來的一封電子郵件，土耳其某個大學要找資訊安全的老師，提供住宿、月薪5000美金可談，感覺還不錯頗為心動。全世界都在重視資訊安全的問題，資訊安全是跟技術和人的生活有關的問題，跟人有關的問題都是複雜的問題，跟人有關的問題也都是哲學的問題，所以永遠沒有解決的一天。

我對兩件事情一直充滿更多的欽佩和敬畏，經常和持久不斷地思考它們：頭上的星空以及我的倫理法則。
～伊曼紐爾．康德

#資安因為複雜難以解決所以有前途