[產業經驗] 建構安全可靠的線上金融

網路應用帶來日常生活相當大的轉變,無論是資料查詢、購物或是多種金融服務,都可在網路上進行;但各種安全威脅的傳言也甚囂塵上,讓我們使用線上金融服務時充滿疑慮。

網路應用帶來日常生活相當大的轉變,無論是資料查詢、購物或是多種金融服務,都可在網路上進行;但各種安全威脅的傳言也甚囂塵上,讓我們使用線上金融服務時充滿疑慮。要確保安全的線上金融服務,就必須了解並解決各種既有的安全威脅,透過認證、資料保護及即時監控等方式,不僅能確保客戶信心,也能強化線上服務的安全性。

在經過幾年的發展後,現在已經有大多數人都習慣透過網路商城購買產品,根據財團法人臺灣網路資訊中心( TWN I C )於2 0 1 0年1月公布的調查報告中指出,臺灣地區有57.41%的人曾經網路購物,而其中超過3 5%以上的人是每月都會透過網路購物一次以上,可以想見臺灣在網路購物方面的興盛程度。相對來說,網路金融部分比例較低,目前有32.26%的人使用過網路金融,而不願使用網路金融的原因,多半都是因為安全性受疑慮因而不敢使用。

為什麼相較於網路購物,線上金融卻如此乏人問津?這是因為網路購物多半利用信用卡、貨到付款或是匯款等方式進行,大多數交易都是可以受到多重防護的;但是對於線上金融來說,透過網路銀行僅需要輸入帳號密碼,便可以直接連通至個人帳戶中,倘若該金融網站並沒有做好安全防護與檢核措施,便可能造成相當大的損害。

有鑑於此,提供相關金融服務的業者,更應該確保相關的安全措施,並且避免各種可能的危害侵襲,才能強化使用者的信心,並且提高線上金融服務的使用率。如此不但能夠提供更好的服務品質,同時也能降低各種營運成本,將服務時間延長,提高客戶服務滿意度。

了解威脅是建構安全的基礎

防火牆、入侵偵測或是防毒軟體等方式,透過這些設備建構邊界防禦體系。但是,現在的攻擊手法已經不像過去採用正面突破的方式,而是採用偽裝、潛伏或後門偷襲等措施,以迂迴方式試圖取得所需的機密資料。

根據2009年Verizon Business RISK團隊所做的調查報告顯示,74%的資料外洩事件都是由外部所引起的,而其中91%的記錄都是由有組織犯罪集團所取得。由此可知這些針對金融服務的攻擊與破壞,都是特定團體為了獲取不當得利而採取的手段。這些犯罪行為主要是為了取得各種個人隱私資料,包含個人認證密碼(PIN)、信用卡資料、債信資料或是其他個人檔案。

用來竊取上述資料的前5 名方式則分別為釣魚網站、密碼資料庫竊取、中間人攻擊( M a n -i n – t h e -M i d d l e , M i t M )、中介攻擊(M a n – i n – t h e -Brower, MitB)及身分竊取等方式。

釣魚網站即是利用詐騙、誘拐或是入侵正常網站等方式, 將使用者導向虛構且看似合法的網站, 誘使使用者在惡意網站中輸入各項個人資料,而由此取得利用的金融資訊。

密碼資料庫竊取則是透過網站入侵的方式,取得網站中所保存的密碼檔案。由於大多數人都習慣採用同一組或相似的密碼,因此駭客就有機會破解並入侵金融網站上的資料,進而取得各種可用資訊。

中間人攻擊則是在使用者與伺服器間埋伏,並在使用者登入或進行交易時,從中竊取相關的重要資訊。過去中間人攻擊偏重在實體網路上,現在則可以透過無線基地臺或是入侵網域名稱伺服器等方式,讓資料轉向並送至駭客的主機上。

中介攻擊類似於中間人攻擊,主要是採用一套木馬程式侵入使用者電腦中,該程式會影響電腦上的瀏覽器,並且攔截所有輸入或呈現的資訊。身分竊取則是駭客透過取得的合法身分偽裝,進而將各種惡意程式或攻擊送至與其偽裝身分相關的使用者處。例如日前所報導的MSN詐財事件。

身分識別與資料保護方法

以金融服務產業為目標的惡意程式攻擊已成為一項普遍存在的威脅, 因此我們建議應針對不同的使用環境, 依照每位使用者所需的安全層級而部署一套混合的硬體與軟體方案。選擇一套允許混合部署的方案也將能享有一些效益優勢,例如可以先為某些使用者部署最高層級的安全性,然後根據風險、使用者對於硬體或軟體方案的使用意願、以及其它因素,例如整體擁有成本(TCO),而為其他使用者採納不同的選項。

由於多因子(multi-factor)認證要求於登入時採行多種身分識別方法,因此被公認是資料與應用程式存取認證的最安全方法學。S a f e N e t的多因子認證方案協助金融服務機構安全且高效率的執行他們的網路商務、利用安全資料存取以開發新商機,以及保護整個業務領域的身分識別安全。

(作/SafeNet亞太區副總裁 陳泓)

(…未完,更多精采內容請參閱網路資訊雜誌224期7月號)

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416