台大被駭 準碩士資格飛了

　近日，台大碩士班正取生報到系統遭駭事件，事件主角陳生，歷經多年準備、順利錄取夢想中的研究所，卻在未察覺的情況下，被不明人士入侵系統並竄改為「放棄錄取」，導致學籍被取消，引起社會一片譁然。

　這並非單一個人的悲劇，更凸顯出我國高等教育機構在資訊安全政策與系統管理上的重大缺陷。尤其當大學招生、行政管理逐步全面數位化，若缺乏足夠的資安設計與防範機制，不僅學生權益受到侵害，整體教育體系的信任也將逐步瓦解。此事件理應成為教育部與各大學系統性檢討的起點，重新建立一套防護縝密的資訊安全政策體系。

　首先，從技術層面來看，本次事件凸顯出即使是頂尖學府，其資訊系統在使用者驗證與異常行為偵測方面仍有極大缺口。駭客僅透過證號等簡單資料，即能於短短17秒內完成冒名操作，並成功取消一名正取生的錄取，顯示出系統未落實如雙重認證、多因子驗證等最基本的資安控管機制。

　現代資訊系統面對的風險已遠超過傳統的資料存取，任何操作行為皆需設有異常偵測與警示機制，例如：當系統偵測到異常地點或裝置登入時，應立即啟動多重身分驗證程序並通知當事人。此外，所有重大異動行為（如取消報到、刪除資料等）應設有追蹤紀錄與事前確認機制，避免單一登入行為即可執行不可逆的操作。

　再從制度層面分析，大學在處理此類資訊安全爭議時的應變機制亦顯得薄弱。陳生在第一時間內提出疑義並提供不在場證據，學校卻以系統已顯示「取消報到」為由，不願協助恢復其資格。這種「系統說了算」的態度，不僅失去對學生權益的基本保障，也暴露出高等教育單位對數位化治理責任的漠視。校方應設置「資訊異常審議機制」，當學生對系統操作結果提出質疑時，能迅速啟動調查、凍結相關程序，並由具備技術專業與法律背景的第三方單位進行評估與處理，而非讓當事人求助無門、奔波無助。

　最後，就政策層面而言，政府近年大力推動數位轉型，公部門、大專院校、醫療機構、金融體系紛紛導入網路化作業流程，但資安預算編列、人才培訓與防護標準仍不足。教育部應制定「關鍵資訊系統資安管理基準」，明訂每一項招生、註冊、學籍異動等高風險操作，需具備怎樣的安全機制，並定期進行資安稽核與滲透測試。此外，政府也應強化《資通安全管理法》的實施範圍，將大學納入「重要基礎設施」單位，避免類似悲劇一再重演。（作者為科技集團法務）