再論數位身分證 不能沒有系統工程
by 廖宏祥



頃讀中研院何建明教授與幾位國立大學的資訊專家投書反對即將上路的數位身分證,深有同感。因為該計畫的牽涉層面極廣、技術風險非常高,本文僅以美國國防產業與聯邦政府資訊系統為鑑,建議民進黨政府就算有「雖千萬人吾往矣」的勇氣,至少也應引進系統工程的標準實踐,重新規劃如身分驗證服務、安全聲明語言(SAML)、FIFO認證、區塊鏈等數位身分證相關的基礎架構,以降低技術與資安風險。

愛沙尼亞數位身分證的基礎

贊成數位身分證的人常舉人口只有一百三十萬的愛沙尼亞成功典範為例。舉世聞名的Skype便是該國的產品。它在一九九一年蘇聯解體並宣布獨立後,就致力其數位基礎建設與軟體產業。該國政府在二○○○年宣布上網是基本人權,進而全面普及。但在二○○七年,該國遭俄羅斯大規模網路攻擊,癱瘓其基礎建設達數週之久。此後藉由北約的協助,該國開始著重資安並卓然有成,現名列世界第五,更向全球各地輸出軟體與資安科技。它同時也是世界上人均新創企業比例最高的國家。我們常以略帶貶義地說「波羅的海三小國」,其實愛沙尼亞絕對是軟體與資安產業的大國,實力遠在台灣之上。而該國的數位身分證更是建立在其軟體和資安強國的基礎上。

台灣雖然過去四十年在半導體與硬體元件產業取得了一些成就,但軟體產業卻不成氣候。然而二十一世紀是軟體的世紀,假如台灣沒有在軟體產業取得重大突破,未來可能淪為外國資訊科技的殖民地。更何況成熟的軟體產業為資訊安全的基礎,而資訊安全又是政府現在全力推動數位經濟與數位身分證的先決條件。但台灣的數據洩露紀錄在二○一七年被賽門鐵克公司評為世界倒數第五,亞洲倒數第一!因此在資訊安全沒有大幅改善之前,台灣要貿然推行數位身分證,其風險高到無法評估。

台灣缺乏系統工程觀念

為了加速台灣轉型為數位經濟,政府提出設立橫跨資訊、資安、電信、網路及傳播五大領域的數位發展部的願景。未來的數位經濟將整合各種不同的系統,進而創造提升效能的服務模式。而技術上除了需要硬體、軟體、網路外,更重要的是以系統工程為基礎,才能進行整合性的研發。這種系統整合與台灣過去三十年硬體元件生產的代工產業模式截然不同。也就是說台灣缺乏高附加價值的系統整合經驗。

舉例來說,我國在研發資訊系統的時候,多半運用軟體工程的方法,而沒有系統工程標準的實踐。軟體工程著重於開發高品質的資訊系統;而系統工程則關注用戶需求、模型模擬、不同場域介面和全部生命週期的整體管理(含資訊安全)等。據筆者觀察,台灣對系統工程普遍陌生。中科院、漢翔、太空中心等單位雖有如IEEE 15288 或NASA的標準要求,但缺乏嚴謹實踐。而需要大型軟體系統整合的政府單位與民間業者,都欠缺基本的IEEE 12207經驗。現代大型系統都需要軟體將次系統整合。也就是說,軟體是將各個次系統結合在一起的黏著劑。而其重要性在航太與國防工業可略窺端倪。例如飛機(尤其是軍機)上的軟體成本經常超過總成本的一半。前兩年波音737 Max客機接連出事,原因就在於其飛行控制系統軟體設計考慮不周延。因此這些看不到的軟體,其重要性不言可喻。如何將各個次系統整合並安全營運,系統工程正是不可或缺的規劃指導。

集合系統更需要系統工程

但在台灣,政府官員對軟體的價值似乎缺乏了解,對系統工程更加陌生。即將上路的數位身分證未來願景將提供「健保、社福、監理、稅務」等十六項服務。為了提供這些服務,數位身分證將有如一把鑰匙,可打開各種不同的資料庫。套用美國國防部的用語,這絕對是集合系統(System of Systems)的範疇。也正是如此,系統工程在這個重大的國家資訊系統應當扮演關鍵的角色。

但我們看到的是,內政部招標的硬體花了三十三億台幣,開發軟體需要六年的時間卻只占了不到九億。因為沒有系統工程與系統整合的基本觀念,軟體和硬體竟然分開招標!更有甚者,招標前應該執行的系統工程,舉凡:任務觀念、差距分析、技術路線圖、所有利益相關者的操作觀念、未來科技預測、性能要求、技術替代方案等,無不付之闕如。因此可預見的是,就算數位身分證可滿足內政部戶政司的需求,將來要連結到其他系統服務時,因為沒有全盤規劃的系統工程與管理機制,會造成縫縫補補的情況,也將直接影響資訊安全。

資訊安全的經濟誘因

一般來說,系統設計漏洞和管理體制缺陷是危害資訊安全的兩大原因。而這兩者都可歸因於沒有經濟上的誘因。事實上,絕大多數的軟體缺陷都可透過優良的設計和工程實施來避免。但軟體公司或因為必須搶奪市場佔有率,或因為合約期限,因此並沒有誘因在初始階段就設計良好的系統。因此他們通常先發布測試版,然後再修補錯誤;但修補軟體會造成電腦和網路的更多缺陷,其結果就是危害資安。

此外,因為資訊系統的安全性無法客觀衡量,廠商通常也不知道其產出的軟體安全性如何。而客戶不信任廠商的資安宣傳,所以也不願為較安全的軟體和管理體制支付更多的費用。這些原因造成資訊安全只是軟體開發過程,最後不得不考慮的一個因素而已。而在用戶的場域,假如沒有適當的管理體制,不論投入再多的資源,資安終將是徒勞。

但資訊安全並非無解的問題。以近三百萬行開源程式碼的OpenBSD作業系統為例,因為設計與實施該系統全部都以資訊安全為主要考量,因此在將近二十年全世界的使用經驗,僅被發現兩個資安漏洞。同時在系統工程的規範下,該團隊透過不斷稽核與測試來發現潛在的安全問題。因此它被公認為世界上最安全的作業系統。這個例子說明了嚴謹的系統設計和管理流程可解決現今普遍存在的資安問題,而其精神便是系統工程。

結論

系統工程不夠保證科技研發一定成功,但缺乏嚴謹的系統工程實踐卻經常是導致失敗的原因。系統工程的產出物既不是硬體,也不是軟體,而是一些分析文件。而政府主其事者可能認為文件本身沒有什麼價值,因此幾乎不曾編列相關預算。而缺乏系統工程的數位身分證在眾多政府招標案裡並不是特例。經年累月下來,也導致系統整合工作最需要的軟體產業一蹶不振。所以我們今天要談數位經濟和數位身分證,就不能忽略系統工程。而因為數位經濟以網路為基礎,資安問題假如沒有解決的話,創新服務使用的成效將極為有限。因此數位身分證的資安不能單獨看待,而應與軟、硬體及管理制度一體處理,而這就是系統工程。台灣的政府和資訊產業以全新的心態運用系統工程,實刻不容緩。

作者:廖宏祥

曾任麥道航太(現為波音公司)駐台代表

(本文原刊登於自由時報「自由共和國」,徵得作者與自由時報同意於報臺轉載。)