https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

加密面面觀 自動化可防呆但需管理強化

2011 / 11 / 18
田振宇
加密面面觀 自動化可防呆但需管理強化

談到加密,一般人最常聽到並理解的就是網路加密。上網購物、使用網路銀行,都會涉及許多個人資料輸入的畫面,並且可以發現大多經過加密,以給予使用者應有的資料保護。近來也是許多企業開始討論的話題。原因無他,可能企業本身的機密資料、研發資料或其他的非公開資料被外洩,或是離職員工竊取而被同業利用。在經過了這一些陣痛後,企業內部便會開始檢討是否對某些機敏資料必須要加密。

在現在的技術中,有很多不同的作法可以達到加密的要求。從網路,儲存系統,到個人的作業系統,每個不同的作法都是要能確保資料能不外流或被非授權的人員拿去利用。加密系統的基礎,在多數的市場所售的系統多數是已非對稱加密系統為主(Asymmetric Encryption),但也有其他包含OTP(One Time Password)或是動態密碼的機制進行加密解密的工作。可是到底哪個技術最好?哪個技術能確保加密的資料不被破解?必須從每個不同的加密技術上去做探討。

1) 網路加密

有別於大家已經熟悉的SSL,其實最終的目的就是針對傳輸的資料做加密。這也是目前一般企業在架設企業網站(SSL加密),或是給遠端工作的員工們做事情時(VPN加密)的必要原件。網路加密有許多不同層次的作法。從最基礎的傳輸層(Transport Layer)做的SSL加密,本身應用程式在傳輸資料前先做好的加密,甚至到最近廣為討論的實體層(Physical Layer)的底層加密技術,都是從以前到現在常被廣泛運用的方法。

實際上,傳輸加密的技術可以在某層次上保護好所傳輸的資料不被Man In the Middle 攻擊所竊取,即便竊取成功,也能有效的保護好資料被解析出來。所以對於常在外需要連線公用無線熱點的人,或是與公司的資料通訊之間有需要做保護的,都能利用網路加密的功能保護好自己。因此,網路加密是一個最基本,也最有效的保護方法。但是,這個作法的漏洞,在於今天所使用的網路加密機制是否可遭到破壞。例如,VPN主機被攻擊入侵得到遠端登入的權限,或者SSL的憑證遭破壞或複製。因此,對於終端系統的保護,還是必須要加以其他的保護機制才行。

所以網路加密的設備也開始進化,開始出現硬體式的加密系統,也就是說,加解密的機制和金鑰的交換時間由設備自行定義,而不是由人為行動來進行。這種機制也開始慢慢的變成潮流,更能確保資料傳輸的安全性。 

2) 儲存系統加密

基本上就是做所謂的媒體加密(Media Encryption)。這個概念其實已經出現了一段時間,但是沒有被廣泛接受的原因在於,一般人對於這種加密機制的速度有所質疑。原因是,此加密方式是在底層硬體讀寫時將讀寫的資料流進行加密及解密的動作,在資料寫入硬碟時,資料就已全被加密完成。

這種加密方式的目的,就是要避免若實體設備被竊取,系統內的資料仍然可以受到保護。因為使用者若無法從主機獲取金鑰解密,或是設定的相關密碼或指紋不被接受,在硬碟中的資料也就無法讀取。甚至在備份出的磁帶,和各個不同的備份媒體裡進行加密,也能夠確保資料無法被盜取。這種加密的方式通常也使用於一般使用者設備的管理和管制,透過儲存加密的方式,也可以控管該系統的資料在被員工複製出去時資料是否保持在加密狀態,進階的做到一些DRM的管理功能。

這部分的作法以往都是以軟體為主,由軟體在作業系統中做加解密的動作。一般的使用者在使用上也許不會太在意速度上的差異,但是在企業裡,由於資料讀寫的速度關係到企業的運作,因此沒有太多的企業在系統端做媒體加密。但隨著技術的進步,硬體加密系統的處理速度越來越快速,讓許多企業也開始嘗試做儲存和媒體加密,而在法規上,也開始因為加密機制在速度上的改善而有所修正。一方面是希望有其他的解決方法出現,另一方面,也是讓企業對於資訊安全的保護上,能有更省錢省事的方法(支付卡法,PCI,就是一個典型的例子)。

3) 檔案加密

是最原始也最基本的方法。但有很多人對於檔案加密的定義會誤解。筆者就不只一次遇到很多人認為在檔案上加密碼就是加密,把文件權限管理(DRM, Digital Right Management)與檔案加密畫上等號。但是以企業角度上來講,基本的檔案加密其實已經不夠用。光是檔案加密,是沒有辦法對解密後的文件做好管理的功能,因此,DRM也提供了檔案加密的選擇,能夠管理檔案可使用的功能和針對讀、寫做管理,而不只是加解密。

有些企業對於檔案的保護,甚至會架設檔案過濾的系統。並且對從公司內部傳輸出去的檔案進行稽核和加密,確保傳輸出去的內容不包含機密資料,甚至是在發現檔案內有機敏資料時自動加密傳輸給對方。而對方收到被加密的文件時,也需要與傳送方取得One Time Password才可以進行解密。而解密後的文件重點在於事後的銷毀和處理,也必須能確保資料不外流。因此檔案加密並不能單純的只從一個檔案的加解密處理來看,而是必須搭配上良善的檔案管理機制才能夠發揮應有的效用。一個檔案的生命週期,必須要有DRM 做好確實的管理,加上本身檔案的加密,才是一個完整的配套方案。

加密多需搭配管理措施 始能達到高效防護

上述的加密方式,其實可以看得出來,並沒有任何一種加解密的方法是可以給予一個企業百分之百的保護。每一種加密的方式,在於人的管理上面若不能落實,也沒有辦法做到有效的保護。

例如,絕大部分的企業若是以傳統的檔案方式運作(例如使用大量的Excel或Word等文件),會比較適合使用檔案加密的方式來做處理。甚至如果有大量的檔案需要交付給其他企業但仍牽扯到機密資料的,檔案加密也是最快也最便宜的處理方法。

對於有做網路交易的企業,網路加密和儲存加密是絕對需要的一塊。不只是要保障自己本身的資料能夠不輕易的被盜取,也同時能夠在營運上達到消費者或其他企業的公信力。

也許,現行許多加密系統的自動化可以除去很多人為上所發生的誤判或遺忘的問題。而不同予以往對於加密後的資料進行解密的時間性和效能的問題,現在不管是在於硬體或是在傳輸的設備及速度上都已經比多年前來的進步,讓整體加密及解密變成一個方便而且不耗時的工作。

多方面搭配不同的加密方法,也可以產生更好的嚇阻和保護的作用。但最重要的是,即使今天一個企業內已經做了所有的加密動作和保護行為,也不能認定自己就是安全的。任何的保護都有漏洞,每個加密的方法都有破解的方式,確保企業內的員工行為和隨時提高警覺心,才是企業內做到自我保護的不二法門。