https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

惡意程式網路橫行 身分識別市場加溫

2009 / 06 / 01
吳依恂
惡意程式網路橫行 身分識別市場加溫
這些年來,由於網路應用在各種商業應用層面的普及,也造成了不少資訊安全問題,因此如身分識別這類的終端應用產品,便成為企業在安全守謢上的第一防線。

而如今在產業界亦有不少的應用方式,如在網購業、線上遊戲、金融等行業,多運用在客戶服務,讓一般消費者可以達到安心的登入,或是在進行某些交易時更具有安全性。在本期我們先就各產業的應用面及特性來探討,而在下期將會有更深入的各產業運用的機制、產品面比較。

企業對外服務 線上遊戲、購物、交易
線上遊戲業以及網路購物業者應用機制方式較為類似,面對的客戶都是一般的使用者,因此在身份識別機制的使用數量上會比較大,又必須要能夠快速提供到客戶手中,成本需控制得較為低廉,而後續的客服處理需簡單,避免造成過多的負擔,這樣訓練成本也才能夠降低。

因此像是一般在遊戲業裡有些簡便的作法,如透過電話認證的通訊鎖,儘管對安全專家來說,它依然是存在漏洞可破的,不過對於遊戲廠商來說,不僅是可以快速導入並且對消費者又沒有使用門檻。全景軟體副總經理楊文和認為,但即使是這樣也已經能夠阻隔將近80~90%的安全問題。

而由於一般銀行多有法律、主管機關的規範,因此像是一些具有風險的業務多會明確規範應使用何種身分識別機制來因應,因此金融業多有符合應用面的要求,從安全機制面來看,套用之流程原理都一樣,只是例如說在某些轉帳、購買基金、 股票的作業點,作一些強化認證的動作,而隨著作業面的風險程度不同就會套用不同的機制,如數位憑證或動態密碼(OTP, One Time Password)。 

楊文和說,放置憑證的載具卡片又分有很多種類,例如一般的金融卡就被稱做是DES (Data Encryption Standard)卡,是一種基礎加解密,具有一定的安全保護,而另外一種RSA卡則可以做PKI的運算,加密等級更高但成本也較高,當銀行開放操作業務時,消費者需額外跟銀行申請數位憑證卡片才能進行交易。

至於像是台灣的製造業,過去企業之間B2B的材料採購多半是透過傳真來進行,在逐漸電子化之後,所有的採購買賣都在網路上完成,這是機器與機器之間的資料交換,因此就會有需要確認驗證的問題,而一般在作業面來說,企業跟企業間的連接是採用數位憑證來做,通常是以中心廠商為主,其他衛星廠則加入中心廠的採購網,例如說加入會員就發給憑證或會員證來進行採購行為,有些中心廠基於成本考量就會利用現有政府發的工商憑證,近年來在政府積極推廣的策略之下,申請業務也更加便民,所以工商憑證的應用漸漸多了起來,企業的認知也較高、較為熟悉使用,若衛星廠大多具備工商憑證,中心廠自然也會將此便利性考量進去。不過,這也有著管理上的問題,亦有部份中心廠認為由於憑證非自行發放所以對於會員無法集中控管,因此也有著管理上的考量,早期,更有一些中心廠更是為了管理方便而統一發放token給該衛星廠,不僅可以控制數目,也避免掉衛星廠發生申請不到、申請憑證卻沒開卡等種種問題。

企業內部運用
身分驗證機制除了上述運用在企業對外的業務之外,針對企業內部亦有不同的運用。可以考量的點包括內部是否需要安全認證的防護?或是其他業務面的應用,例如最普遍的想法是將員工卡門禁的應用,結合內部資訊系統的升級,讓員工可以從入門到進入系統操作都通行無阻,不過可預見的成本也會較高。

市面上身分驗證的運用頗多,我們單就運用最多的兩個機制來談。一是數位簽證,它適合運用在於資料的交換,蘊含個人基本資料,必須要能夠確認對方身分,才能夠將資料確實的傳遞過去,例如電子交易、公文簽呈系統。而動態密碼鎖(OTP, One Time Password)則多用於遠端登入,例如說主管、RD人員或常出差在外的業務同仁,常常必須透過網路遠端登入公司的開發系統、收發電子郵件。

一般的員工門禁卡多為感應式,成本約落在新台幣百元以內,而可以附加加值功能的晶片卡,光是單一卡片成本就大約要四、五百元左右,而如果要套入至人事系統、差勤系統或薪資系統之外,可能還得要跟原廠洽談如何整合,又是一項成本,另外若憑證並非自行簽發,而是向一般的憑證中心申購的話,在web的整合上便需要另外客製化,使用該程式庫整合時也都需要授權費用。

數位憑證
立法院資訊處也分享了該院導入PKI數位憑證的經驗,立法院資訊處高級分析師秦劍雲提到,立法院並不像一般的行政機關是採首長制,通常相對應的是多位委員,並且人員流動快速、環境複雜,例如一個委員助理可能今天才來報到,下午就離職了,如果不能採取自動化的資訊系統管理,將會對內部的控管造成很大的困擾。另外一個特點便在於,立法委員們手上掌握的問政資料通常都非常的機敏,不可被隨意洩漏,正因如此,立法院的資訊安全也就更加被嚴格控管。

秦劍雲說,立法院主要是採用PKI數位憑證的方式來達到內部員工的身分識別,自2001年起便自建憑證管理中心,自行管理數位憑證,採用的是高規格的2048位元RSA密鑰,憑證期限為4~5年,此後也整合數位簽章、檔案加密、單一簽入權限控管、郵件加密等技術及無線網路認證等項目,完成立法院內的資訊服務系統、行政支援系統、業務支援系統及決策支援系統。幾乎院內同仁使用的大部分系統皆涵蓋在內。

在便利同仁使用的基礎上,目前立法院可支援Token或卡片兩種機制,由於卡片可能需要安裝讀卡機及其驅動程式,因此部份人亦選用token的方式。

而在一些特殊嚴格控管的區域,如機房,還加強使用指紋機的控管。一般而言,由於指紋機並不算便宜,且最大困難處在於必須先蒐集、建置指紋資料,因此若使用指紋機這類生物辨識機制的區域人數眾多,就有資料收集不易的問題。

OTP的應用
立錡科技資安與系統部副理曾恩懷提到,該公司依資料機密等級來考量是否需要使用身分識別機制,例如研發資料、ERP系統、財務、人事等都是被優先考量導入的單位,當初立期考量到若導入數位憑證有許多必須花費的成本,例如必須每個人都要具備讀卡機,和電腦裡也需要安裝解數位憑證的程式,電腦裡面所有系統憑證都要更新,而OTP Token則是提供一個module,方便使用者直接修改,雖然彈性較高,但採用數位憑證的話就必須另外購買軟體來修改,這又是另外一項成本。

此外,他認為這兩者的用途是不同的,數位憑證多用做機密資料的交換,其數位簽章具有不可否認性,而OTP則做個人身分的驗證,例如當RD人員到海外出差,卻又要連回系統進行開發時,深處異地,電腦卻不一定會裝有解憑證的程式,因此使用OTP Token是既方便又安全的方式,同時也不需要花費太多教育訓練成本。每60秒更換一次密碼的time-based token,據他了解,至少也需要一個星期才能破解,而屆時早就又換了一個新的密碼。

當初立錡考量time-based與event-based兩種動態密碼鎖的模式,前者會隨著時間自動變化密碼,後者則是必須要按下token上的按鈕才會產生密碼,而他考量到按鈕會有硬體裝置較容易毀損的問題,而time-based則完全是購買授權,硬體在授權的時間內毀損都可免費更換硬體,其耗損率比較起event-based token較低,但成本較高。在經過比較後,發現立錡需要使用OTP token人員約兩、三百人左右,又考量到出差人員在海外發生硬體毀損的風險,因此便選用time-based token。他說,例如某些銀行使用量為幾百萬支token,選擇event-based token在成本上就會是比較適合的考量。