運用身分管理消弭金融機構內部安全危機

雖然近年來，金融機構的安全漏洞事件頻頻出現在大眾媒體的報導上，但實際上這些問題已逐步獲得妥善的處理，換言之，當今的金融機構比起以往更能有效掌控他們的網路安全。
對金融機構而言，即使是最完備的網路安全系統、防火牆和加密機制，也都可能會因為未經授權的訪客侵入，而讓安全亮起紅燈。事實上，絕大多數安全專家都指稱，主要的電腦犯罪不在於外來的駭客入侵，而是組織內部不忠誠的員工或投機份子所為。一般而言，金融機構並不願坦言任何一種內部安全漏洞問題，但對於外部安全漏洞卻會快速發佈。
過去幾年來，台灣金融界發生多起電腦犯罪案件，究竟金融機構該採取怎樣的措施才能確保在遵守相關法令(參考「電腦處理個人資料保護法」)，同時保護本身的利益呢？由於網路安全經常被提及，本文將偏重在內部問題的解決方案。
以身分管理角度因應安全課題
金融機構採用各種金融系統處理每日的前台、後台與批次作業，這些系統方案從專屬軟體BACS到Linux、Microsoft Windows/Windows Server(有些金融機構還在使用DOS系統)、IBM及Unix大型主機等。無論使用哪種系統，「存取控制(access control)」都在控制和決定這些系統的存取權限方面扮演吃重的角色。
然而，管理上述系統之存取控制的成本非常高，大多數台灣金融機構把存取控制管理納入MIS/IT部門的管轄。這種做法不但增加了原本已極為忙碌IT人員的工作負擔，也會降低對系統存取控制的效率─例如：如何有效辨識那些擁有存取作業系統、電子郵件帳戶、入口網站和內部金融系統正確權限的使用者？這種多重登入措施會導致管理的過重負荷，因為每個登入帳戶都需要執行下列流程：
提供服務(provisioning)
儲存使用者資格資料 ?新增和修改
停止服務(de-provisioning)
因此，為了保護組織免於內部不忠誠員工或投機分子的傷害，許多金融機構採用「身分管理(Identity Management)」方案來因應。這類解決方案主要涵括四個模組─身分管理(Identification)、驗證管理(Authentication)、存取控制管理(Access Control)和帳戶管理(Accounting)。
「身分(identity)」一詞指的是：某個個人或群組與其他個人或群組的差異處；換言之，就是判斷某人身分的方式。這些構成個人身分的資格資料可能包括：名字、年齡、生日或外貌特徵，它們組合成為一個特定的身分。
身分管理包括：驗證管理(Authentication)、存取控制管理(Access Control)和帳戶管理(Accounting)和使用者管理(user management)等主要模組，它們是構成身分管理方案四大要素。

身分管理的價值何在？
在英國，金融機構因為沒有管理存取他們系統的使用者身分，每年約耗費數千英鎊來管理使用者存取行動；雖然他們通常會從不同角度來管理部分使用者的身分資料，卻很少同時兼顧前述四大要素。根據Burton Group在英國進行的一份研究報告指出，一家擁有2萬5千名員工、每年20%員工流動率的銀行，一年要做3萬5千次員工身分的變更──平均每次變更要花7.18英鎊，每年管理成本高達251,300英鎊。這些變更通常要花費IT人員的時間，但這個部分卻鮮少被列入相關成本。
身分管理方案對金融機構的好處多多，包括：提高安全性、彈性的資訊基礎設施、降低成本、增進生產力、加強泛企業商業策略、經濟規模、改進客戶服務、符合法規要求等。

四大身分管理模組
驗證管理(Authentication)
身分驗證用來建立使用者對於某項服務的合法使用權，其驗證等級由三個要素來決定，分別是：你知道的(密碼或個人識別碼)、你擁有的(識別記號或卡片)，以及你的生物特徵(指紋與視網膜)。如果驗證方法採用其中二或三種要素，就算是相當嚴謹的，例如同時使用個人識別碼(PIN)和一個辨識記號的識別系統，便是一種很理想的驗證方式。
金融機構採用的驗證方法應當取決於被存取資料的安全等級，不過他們通常採用的多重驗證方法，則會產生其他管理問題。
存取控制管理(Access Control)
存取控制又稱做「授權(authorization)」，是一種預防未經授權存取的作業流程【圖1-1】，它提供業經授權的使用者可以存取特定資料或資源，也進一步阻隔使用者存取他們未經授權接觸的資料或資源。雖然使用者可以使用的存取控制方式千百種，但基本上都需要在用戶端的裝置上安裝某些代理程式─可能是嵌入式的程式碼或是一支獨立的應用程式。為了讓存取控制具有延展能力，金融機構通常會使用一種儲存使用者授權資料的集中式目錄服務(directory)，例如LDAP(Lightweight Directory Access Protocol)、Active Directory(AD)或 eDirectory。
帳戶管理(Accounting)
帳戶管理是一種用來追蹤使用者存取網路資源活動的過程，包括花在網路上的活動時間、存取哪些服務，以及在網路使用期間資料傳輸的總量。帳戶資料通常會用來做為趨勢分析、容量規劃、帳務管理、稽核與成本分配等，這個流程提供寶貴的安全資訊，以做為意外事件的回應和其他安全課題的處理參考。
使用者管理(user management)
使用者管理是身分管理系統的其中一種商業流程，它提供使用者從到職到離職期間的工作流程。【圖1-2】是提供使用者身份管理服務的典型工作流程。
使用者管理模組對金融機構很重要，雖然這類管理軟體所費不貲，但根據一般經驗，他們在一年內便可回收這些投資。使用者管理模組的主要好處包括：
處理使用者服務供應的工作流程
解除多重系統的服務供應
自助式服務的使用者管理
代理人管理
企業目錄服務
雖然在身分管理方案當中並沒有特定的模組，但企業目錄服務則為前述四大模組提供共通的儲存機制。它把所有使用者的詳細資料和存取授權都儲存在其中，通常採用LDAP、Microsoft的Active Directory(AD)或 Novell的 eDirectory這類科技方案。
現有解決方案選擇
要建置上述解決方案，安全顧問會採用多套先進工具和方法學，以便有效設計、建立、建置和執行安全方案，它們包括：
商業流程控制：決定流程目標和需求，包括了風險管理、控制目標、控制技術以及安全和控制架構。
身分管理：決定哪些使用者可以存取哪些資源，包括了驗證管理、存取控制、使用者管理以及企業目錄服務。
資訊基礎架構安全：在整個科技環境建立適當的控制，包括了安全架構、應用程式安全性、作業系統平台安全性、網路安全以及實體的資產安全等。
市場上有哪些身分管理方案？
一套有效的身分管理方案會結合一或多種驗證管理方法來檢驗使用者，包括密碼、數位認證或是硬體或軟體的記號(token)。目前市場上已有多家業者提供身分管理的軟/硬體產品，例如：
1. IBM Tivoli的Policy Director (www.tivoli.com)
2. Netegrity的SiteMinder (www.netegrity.com)
3. Entegrity的AssureAccess (www. entegrity.com)
4. RSA Security的ClearTrust (www.rsasecurity.com)
5. Oblix的NetPoint (www.oblix.com)
6. Baltimore Technologies的SelectAccess (www.baltimoretechnologies.com)
7. Entrust的GetAccess (www.entrust.com)
8. Novell 的 eDirectory (www.novell.com)

結語：投資效益顯著
金融機構透過安全顧問協助來設計、客製化與建置一套整合式、泛企業的安全和控制基礎架構，將能享有下列效益：
節省成本─透過更快速的開發和更少的人工管理以節省成本。
提高生產力─以同樣數量的人員處理更多工作。
增進效率─降低處理時間，加速使用者存取效率。
加強安全防護能力─利用多層次的安全機制減少潛在的安全問題。
在新加坡，許多金融機構透過把這類方案建置在他們的使用者管理系統內，而受惠了上述效益。這些安全建置不僅落實他們對內部稽核控制的目標，也藉由降低金融機構極力避免的潛在內部欺詐風險，而提供客戶另一種安全保險。因此，優良的身分管理方案不但能讓「好人」進入他們的企業網路或電子商業網站，同時也能管理由前端與後端系統所進行的資訊內容和業務行為。

電腦處理個人資料保護法
第四章：損害賠償及其他救濟
第27條︰
公務機關違反本法規定，致當事人權益受損害者，應負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。
被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。
前二項損害賠償總額，以每人每一事件新臺幣二萬元以上十萬元以下計算。但能證明其所受之損害額高於該金額者，不在此限。
基於同一原因事實應對當事人負損害賠償責任者，其合計最高總額以新臺幣二千萬元為限。
第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。

第28條︰
非公務機關違反本法規定，致當事人權益受損害者，應負損害賠償責任。
但能證明其無故意或過失者，不在此限。
依前項規定請求賠償者，適用前條第二項至第五項之規定。