談資訊安全與安全器材產業的結合-專訪網安科技市場行銷處協理竇尚志

文/王宇平
網安科技市場行銷處協理竇尚志以資訊安全的角度，提出PKI運用於門禁、遠端監控等系統的觀點，對安全器材業者來說，或許可視為一份具有異業激盪性質的參考資訊。




網安科技是一家提供安控技術與設備的科技公司，在公開金鑰基礎架構PKI的軟硬韌體研發上尤具成就，為台灣為第一家通過Microsoft
WHQL認證之PC/SC讀卡機製造廠商，也是北美以外地區，第一家送審FIPS
140-1 Level 3 安控密碼模組認證的公司，更是全球具關鍵零組件(RSA
Security Chip/Crypto Smart Card Chip)開發能力的少數廠商之一。同時，已獲得仁寶集團之菁英創投及和信集團之怡和投顧的資金挹注，在國內資訊安全業界頗具發展潛力。




由於網安科技具有研發和生產智慧卡、讀卡機及讀卡機晶片的經驗與能力，因此對資訊安全與安全器材產業的結合有務實運用面的看法，該公司市場行銷處協理竇尚志即以資訊安全的角度，提出將PKI運用於門禁、遠端監控等安全器材產業的觀點，對傳統安全業者來說，或許可視為一份具有異業激盪性質的參考資訊。 

網安科技介紹
Q:網安科技的主要研發範圍為何？




A:鑑於Internet將會不斷的蓬勃發展，終究會與人們生活產生密不可分的關係，如何防止來自Internet外部與Intranet
內部駭客入侵盜取公司或個人機密資料，光靠防火牆(Firewall)與密碼設限(Password
Control)是沒用的，所以網安自1993年前即已投入以密碼加解密方式的安控系統，1996年7月網安科技(NST)正式成立，集合了國內一流密碼學專家與專業硬體電路設計人才，主要投入研發以硬體加解密為主之安控系統，完成了國人自製第一套的RSA安控加解密設備，目前已擠身全球少數具備發展先進安控硬體能力的科技公司之列。



結合資訊安全提供傳統安全器材更佳保障
Q:以資訊業者的角度，資訊安全與傳統安全器材產業可有結合的空間？




A:隨著E化的腳步，資訊安全與傳統安全器材將會有更多融合空間，這應是時代的趨勢，只是目前資訊安全業者先把目標放在市場需求較為殷切的電子商務交易安全、防止駭客入侵、防毒軟體等方面。以PKI的加密、認證功能來說，未來運用在門禁、遠端監控等安全器材上，應是具體可行的方式，毋庸置疑地，結合實體與資訊的安全將使安全防範達到更臻完美的地步。




Q:可否舉例說明？




A:以門禁系統來說，前端通常使用密碼、磁卡、生物辨識、或語音等各種識別方式，而後端都常與配套系統（例如：人事、考勤等系統）相連結，而這些配套系統現在通常也置於企業的內部網路中，並依存取權限來設定各級主管或員工本人的讀取，或者也透過網際網路把各區域（甚至各國）間的分公司資訊加以的連結，達到即時的管理效率。而為了確保資料的安全，除非是單機型的門禁系統，通常我們只把Reader建在門外，而用來判讀或進一步計算的人事、會計等系統則多半設於建物內部，以Server型態存在。




但是，不能掉以輕心的是，系統一旦與網路相連，（不一定是指網際網路或內部網路，也可以是獨立的網路或其他各種網路），無論前端的辨識方式為何？其所讀取的各種辨識資訊都有可能遭到有心人士的截取，這不僅指在Server上所貯存的資訊可能會遭到駭客的入侵，甚至可能在傳輸的過程中（或線路上）就遭到截取。

舉例來說，有心人士可以在傳輸的過程中，截取權限最高者的特徵質（無論密碼、指紋或其他各種辨識方式），而不令人發覺，事後運用這個合法的特徵質，在內部網路通行無阻，任意取得或竄改資料，或者，因內神通外鬼的運作，讓宵小進入竊取有形的財物。同時，有心人士也可在Reader和Server傳輸過程中送出這個合法的特徵質，也因而避過了Reader上方的實體安全防護（如Camera、Guard等）。而Server只會判別這個data的進入權限，卻不會辨識Data究竟從Reader傳來，抑或從中途插入，就安全性來說是頗大的漏洞。

而PKI的運用就能有效提昇現階段實體安全器材的防範功能，不僅做到辨別Data來自Reader或中途傳來的假資料，也可做到人對人、軟體對軟體、Server對Server的雙向認證，讓安全防範更為嚴密。



PKI之說明
Q:何謂PKI？




A:簡言之，PKI（Public Key Infrastructure）即是所謂的「公開金鑰基礎架構」，可應用在強化線上
( online )及使用者存取控管 ( access control )；提供安全的交易 (
transaction )
環境、保護重要的電子資料；防止交易的雙方事後否認交易 (
non-repudiation ) 等方面。

具體來說可包括6大項目：1.密碼系統：公開金鑰密碼系統、秘密金鑰密碼系統、雜湊函數；2.電子憑證：數位簽章、數位憑證；3.安全機制：認證性、機密性、訊息完整性、不可否認性、存取管制；4.可信賴體系的建立：階層式或網路式的認證架構；5.憑證的管理：核發、展期、終止、變更、查詢與驗證。6.標準的確立：憑證、簽章、保密，如:ITU-T
X.509, PKCS, LDAP, ...等。

Q:一般PKI多用軟體方式，為何網安要研發硬體方式？




A:除了硬體的運算效率較高，不佔用一般伺服器CPU資源外，主要是基於安全防護的保留證據觀念。簡單來說，軟體PKI雖可達到保護的目的，但一旦遭破壞，中心端憑證管理系統的私密金鑰遭人盜用，卻無跡可尋，如果採用硬體方式就一定會留下痕跡；若遭人侵入，重要資料自行銷毀，就安全性來說，自然增高許多。




　 Q:如何推廣PKI架構應用於實體安全領域？

A:網際網路的運用日益普及是不爭的事實，所以，我們可以預見這是未來的趨勢，但實務上來說，市場仍屬萌芽階段，推廣的條件應有三點：寬頻、低價和普及性，這些條件具足後，市場才可能成熟。

以應用面來說，未來PKI架構應可廣泛應用於安全器材產業，除了門禁外，防盜、遠端監控、無線傳輸等，不管是資料、聲音、影像的傳輸，只要是透過網路（不一定是指Internet）、運用數位訊號的傳輸方式，都可運用PKI架構來加強安全防護功能，這也是IT
Security與Physical Security實體安全結合運用的趨勢。