https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

身份識別、存取管理及PKI 應用安全隱藏無限商機

2005 / 11 / 04
徐國祥
身份識別、存取管理及PKI 應用安全隱藏無限商機

由於網際網路越來越普及,網路交易、網路下單及網拍也日漸普及,且企業上下游廠商的對網際網路需求增加,透過網路傳輸可快速解決問題,因此,網路認證、授權及傳輸,是資訊安全必須考量的問題,根據MIC指出2003~2007年台灣資訊安全產品成長模型以身份辨證管理成長最大,因此,在iSecuTech2005展覽中也反應出此現象,多家廠商推出身份認證的憑證載具(Token)及PKI,對企業內部推出身份識別與存取管理(Identity and Access Management),以加強企業內部存取安全的管理。
身份認證與憑證載具越來越熱
目前,市場上的認證方法仍以Password最普及,其為最不安全的認證方法,CA資深產品經理白培瑩表示,雖然科技進步快速,使用Password為憑證方式,仍是目前最普遍的認證方法,全世界約有90%使用Password。目前使用Token憑證載具認證的方式,台灣已有銀行使用在e-banking做帳戶查詢及小額免約定轉帳;另外,也可應用到企業遠端登入的身份認證,然而美國入口網站的聊天室為了保護未成年的青少年,一定要使用Token做身份認證,以確保其安全。
Authenex提供的A-Key,可結合VPN、Windows、Linux、Unix等之登入認證,採用雙因素身份認證,將憑證載具A-Key插入電腦,輸入A-Key上出現一組動態密碼,則會自動與Authenex認證系統的伺服器做身份認證;然而,雙因素身份認證最常使用在晶片金融卡,使用者必須要有憑證載具,也就是金融晶片卡,在搭配一組密碼,來做身份的認證。Authenex的A-Key,與一般廠商最大的不同是Authenex的憑證載具,不須安裝Driver或CSP即可運作,然而Authenex美國研發團隊已經利用隨身碟技術,突破這個原本的技術。
由於線上遊戲的使用者帳號、密碼被盜取情形頻繁,全球資訊網的GSiKEY提供網購或遊戲網友一個身份認證的方式,且目前使用者的帳號、密碼太多,使用單一身份認證載具則更安全,因此,GSiKEY具有Token的身份認證功能,解決數位生活的安全存取,以一鑰多用的概念應用在個人電腦保護、網路登入保護、音樂軟體授權保護、線上遊戲密碼保護、網路銀行、家庭公司門禁安控、汽車車鑰匙結合、醫院安控,以一把鑰匙扮演生活中多功能的角色,生活中需要使用鑰匙的地方,都可與GSiKEY結合。
RSA在今年第2、3季將發表另一款Token的新產品SD800,乃結合USB隨身碟及Smart Card功能,可以儲存憑證,倘若外部系統內沒有USB隨身碟的Driver,可以直接將Token上的密碼直接輸入即可做身份的認證,除了結合PKI外,還結合動態密碼的機制,其能每60秒自動產生一組密碼,RSA北區技術顧問黃惠美表示,大部份廠商提供的Token是每當使用者按下控制鈕即出現一組密碼,這還是容易被駭客所破解,因此,採用動態密碼的安全度則更高。
SafeNet提供Ikey可與USB及Smart Card介面結合,做身份認證時,一定需要一組PIN碼及Ikey,PIN碼可自己設定,其可提高身份認證的安全性,然而,天剛資訊也計畫角逐Token市場,推出插卡式的身份認證讀卡機,可使用在e-banking、e-business、線上遊戲玩家做身份的認證功能,此與晶片金融卡結合在一起,機制裡面的序號可以驗證此卡,每次使用時會產生一組新的密碼,即使駭客盜走密碼,此組密碼也無法使用第二次。
另外,桓基由流量平衡發展出的新產品─流量平衡與身份認證,可在企業無線網路的大門,控管使用者無線網路的AP,導入身份認證的機制後,系統會在使用者連上無線網路時詢問身份之後,再授權給使用者,且具有流量平衡的功能;身份認證則針對無線網路部份,此產品桓基預計今年第2季發表,大部份廠商可提供單一的功能,則其整合多種功能,且價位為此產品的優勢。

智慧卡管理系統日趨重要
國內智慧卡的應用越來越多,例如數位身份證、信用卡、晶片金融卡、健保卡等,以記名健保卡而言,需要一個管理系統管理發卡的數量,及遺失補卡的登記管理系統,因此,在整個服務機制,後端一定需要身份認證及管理的機制,倘若沒有適當的管理,其之後將造成更嚴重的危機,目前,台灣很多系統都不能使用的原因在於身份證字號編碼容易被破解,造成無法反推驗證。
天剛資訊提供智慧卡管理系統,除了防止被破解之外,也重視內部員工存取的管理,然而,國外銀行都由自己發卡,台灣多委外給發卡銀行,因此,金融晶片卡管理的機制則更重要,國內銀行也重視這方面的管理機制,此外,政府在智慧卡管理系統方面,將推行電子護照,主要的原因是美國發生911事件後,要求只要和美國往來的國家都必須使用電子護照。

政府及證券業帶領導入PKI先風
PKI涵蓋電子簽章法及加解密部份,其普遍應用在郵件、購物系統、網路下單系統、證券系統、e-banking等,RSA黃惠美表示,證券業由於法律的規定較為普遍使用PKI,再者為政府單位的公文、派遣系統都已應用到。然而,網際網路越來越普及,隱藏在網路的商機更是無限,但其安全性則是使用者必須特別留意的部份,此外,就是網拍業者應建置更安全的機制。
在PKI方面,RSA是第一家把CA產品化的廠商,也是通Common Criteria Class4認證,在台灣電子簽章法實施之前,RSA已進入台灣市場,與是方電訊聯合成立是方全球憑證中心,經由台灣經濟部商業司通過,產品線包含CA及RA,搭配後端HSM,及應用層的整合等都有一套完整的產品線。
SafeNet推出的PKI,涵蓋身份認證、安全傳輸、應用層數位內容的加密保護,在身份認證方面,提供USB Token可讓遠端的使用者單一登入,在安全傳輸方面,提供Layer1到Layer4的加密功能,包含Link、ATM加密等,在應用層數位內容方面,乃針對軟體、內容之保護, PKI主要以企業、銀行、政府及軍方為主。

身份識別與存取管理逐漸萌芽
美國由於沙賓法案、HIPPA等諸多法案的規範,使得身分辨識及存取管理(Identity and Access Management)成為眾所矚目的焦點,在台灣也逐漸冒出苗頭。
CA組合國際 (Computer Associates International)推出身分辨識及存取管理具有的特色為:一、涵蓋範圍最大,在存取系統、身份辨識管理、管理對象包括員工、商業夥伴等,包含範圍最大。二、整合性,目前大廠商不斷地併購小公司,CA認為最重要的是這些系統與系統之間的整合、溝通。三、開放性,CA重視系統的標準化語言,在IAM的系統中,也遵循Web Services單一登入的SAML標準,提供商業交易的雙方透過Web services交換經授權 (authorization)及認證 (authentication)的機制,SAML明確的定義了多個不同目的的安全確認的方式,可以使得Web-based的安全互通機制例如單一登入(Single Sign On)能跨站台供多個公司使用,SAML運用了產業的標準協定及訊息架構,因為每家公司有不同的機器、軟體、語言及介面,需要遵循一些標準語言。
RSA是以Security為主的公司,產品從身份認證、授權、電子簽章、資料加密等在Security方面有完整的解決方案,RSA在全球也開始在推廣I&AM (身份識別與存取管理,Identity and Access Management)的解決方案,這部份乃以安全為出發點,RSA黃惠美表示,目前很多廠商乃以單一登入為出發點,其乃以便利性為出發,相對也會出現便利上的漏洞,RSA將以Security為主,除了銷售CA之外,還整合了Popular CA,可提供銀行、證券業需要的Popular CA服務,也支援企業內部自建CA。

結語
由於政府極力推行PKI,且網際網路越趨發達,在開放性網路上的身份認證及加、解密則越趨重要,使得推行PKI廠商及周邊商品也越來越活絡,另外,企業內部的身份識別及存取控管在美國市場帶動下,IAM工具漸漸進入台灣市場!

以安全為考量是 IT最難整合的部分
此次CA展示的主題從資訊安全的威脅管理、身份識別及存取管理至安全資訊蒐集整合管理等三方面著手,與其它廠商最大的不同在於大多數廠商提供單一威脅管理的一部份或認證、授權,而CA乃以小、中及大型企業給予五大不同的資訊安全解決方案,乃以安全的考量外,IT最難的部份在整合,CA能整合自己提供的廠牌,還可整合不同廠商的產品,只要通過安控中心認證,即可在同一介面做好安全的管理,而不是以單一領域去談論資訊安全。
資料保全方案建議中、小型企業著手資安可從資料儲存安全及儲存管理開始,必須同時做好資料儲存安全及儲存管理,在儲存安全部份,企業需要防毒、防間諜程式或入侵偵測等,乃是針對資料備份所提供的解決方案;協助中小企業不知從何著手做資安,提供給予資訊安全入門的第一步。
針對具有一定資安規模的中、大型企業,提供弱點評估及管理,大部份威脅來自patch未管理,所以CA提供弱點掃瞄及偵測,協助企業以資產的角度去評估企業的IT資產有哪些,包含軟、硬體找出其弱點何在,因此需要弱點掃瞄工具找出問題所在,再提供解決方法。
在身份識別及存取管理方面,安全威脅最大的殺傷力往往來自內部的員工,倘若權限沒有適當的控制管理,其對企業內部所造成的威脅及損失,往往比外部的威脅大,協助企業減化內部的複雜流程,做好人員的管理。
網路鑑識方案則是當資安事件已經發生之後,利用工具追蹤、分析資料,可提供企業找出資安事件發生的原委紀錄,提出鑑識報告。
企業安控中心則是協助企業管理防毒、防火牆、入侵偵測或身份識別及存取管理等在中央控管平台管理所有資安事件,這些工具每天會發出不同警告,可依其資安事件緊急性排列先後處理順序,讓企業可透過簡易的入口網站來管理所有安全與網路狀態。