https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

不景氣、精打細算 之(六) 數位身分驗證Authentication

2009 / 09 / 18
吳依恂
不景氣、精打細算 之(六) 數位身分驗證Authentication
  Ponemon Institute在08年12月發表了針對2009資安重大趨勢報告(The 2009 Security Mega Trends Survey),其中提到了:

· 行動化:組織將來必須依靠行動工作力來提升競爭力,讓員工在外不論是行動中、旅行或在家中,都可以透過VPN、PDA或手機連上公司的工作環境。這種可以在公司外的辦公方式可以增進員工的產能及工作效率。

· 委外安全:企業為了成本與工作效率把敏感資料委託給第三方廠商進行處理,像是行銷活動、軟體開發、電話客服等。

  因為行動工作之緣故,用戶可以透過裝置以及VPN連線回公司,這也導致了其他的問題,例如你要如何去鑑別遠端連線者的身分?而且資訊可能都存放在遠端行動辦公者的作業平台之上,公司資產變成掌握在外面的不穩定炸彈中。而且資安人員對於確保客戶資料與員工資料不被偷竊遺失的信心顯然來得比IT營運人員更低許多,也許是看的層面不同,或者是比較了解實際狀況,其中的差異大約有10%的落差。

  另外像是委外帶來哪些潛在的資安問題呢?包含敏感與機密資料無法適當地保護、未授權的第三方可能有存取公司檔案的權限、逐漸增加的社交工程攻擊與網路犯罪,資訊備份機制不足以及無法適度地辨識出遠端用戶的身分等。對於第三方或委外可能存取到的機敏資訊應該有存取記錄與限制,搭配法規與合約上的保密限制條款。最後,要讓員工建立並了解自己對於資訊資產的責任之外以及養成自己負責的業務資訊保管之使命。而企業面對行動辦公的又愛又恨,除了透過加密、權限管理與多重身分鑑別之外,若認為風險還是過大,那就別開放了!

  數位身份識別市場便是運用於以上兩種狀況,算是比較特定應用的市場,使用族群主要鎖定在線上遊戲業、海外出差人員、開發人員或高階主管等,當然,在金融界市場也有一定的應用,不過僅限於企業內部,發給使用者的狀況幾乎沒有,多半是外商銀行在海外的應用居多。

調查

  RSA在數位身分驗證這一類別當中,無論是在已導入的用戶或未來心中的潛力品牌,都佔有舉足輕重的地位。而像是Juniper Networks的遠端登入伺服器可以協助使用者作帳號的集中控管,或像是VeriSign的憑證發放服務,也都有不錯的成績。

  值得一提的是,由於數位身份驗證需與企業內部系統做整合,而唯有自己最了解,所以像某些醫療單位院內系統多為自行建置,因此在導入這類方案時便會採取自行開發的方式,動力安全資訊技術總監盧亞德說,自行發放憑證的有9成9都是使用微軟的Windows Server。

  此外,國內導入PKI機制的比例都比國外來得高,因此像是全景軟體或資通電腦等本土廠商其導入的比例,都較使用國外二線大廠server比例來得高。