就是資安

品質(Quality)，一個大家常常說出口的名詞。大家在面對各式各樣的產品時，常常提到的是Bugs很多，所以應該要提高產品的品質。不過，對於品質這個名詞，其代表的意義遠遠不只於Bugs一事。對於品質一詞，有很多不同的解釋，其中有一個說法是"Quality是帶給特定人士的價值"。這個說法的重點在於品質是因人而異的，所以我們必須要知道產品實際客戶的需求，透過產品滿足他們的需求，並帶給他們所需的價值。

這兩天公司內部在討論本身所開發的產品時，業務提出了客戶的一個想法，某些客戶希望在原先產品的設計上加上一個特殊的"白名單"設定，而此一設定會造成這個產品的主要功能產生一個管理上的大漏洞。當然，客戶的說法是為了提供長官及外來貴賓一道方便門。對此，我其實可以猜想到這個需求應該是管理人員自己想要偷懶或是讓自己藉此不受限制。理由很簡單，因為從我聽到的說法跟客戶所遭遇的問題，其實根本就不需要也不應該利用這樣的解法。姑且不論對管理者而言這樣的說法"絕對"是完全錯誤的心態與行為，此一解法著實讓我們的產品出現了一個很大的漏洞。老實說，產品有漏洞也不是甚麼新鮮事。但是對於安全產品來說，是否真正能夠提供足夠的保護給予客戶，甚至自己產品本身是否安全，都是最重要的議題。而這樣大開方便門的設計，不但對組織目前造成立即性的威脅，對於未來的威脅性更大。如果管理者在交接之際，忘了關閉這樣的方便門，或是忘了交接下去，這就成了系統中永遠存在且不為人知的後門(不為人知並無法確保真的沒有人知道這樣的後門存在)。

這幾年由於資料的數位化以及電子商務的成長，個人隱私資料的保護受到很大的注意。美國長久以來制訂了許多相關的法條來保護個人資訊，包含 1974 年的隱私權法（Privacy Act of 1974）、1980 年的隱私保護法（Privacy Protection Act of 1980）、1986 年電子通訊隱私權法（Electronic Communication Privacy Act of 1986）、聯邦監聽法修正案和1988 年電腦比對和隱私權保護法（Computer Matching and Privacy Protection Act of 1988）等。除此之外，各州也訂定相關的法條保護個人隱私資料的合法使用範圍。例如the California Online Privacy Protection Act就要求線上服務的提供者必須在網站提供相關的隱私權保護政策。台灣方面，除了目前已經頒布的「電腦處理個人資料保護法」外，另外就是目前仍躺在立法院的「個人資料保護法」。嚴格來說，除了你個人姓名等資料屬於個人隱私資料的保護範圍外，其他像是網路瀏覽行為，也屬於個人隱私資料保護的範圍。只是這一部分比較模糊而且有爭議的空間，所以有時候還是要看收集資料的主體如何詮釋。不過，好像法律都是這個樣子，所以才有律師生存的空間(題外話)。