編輯部本文目錄
全方位資料防護 – 循序漸進的加密工作
「或許大家對資料防護感到陌生,但其實各位的信用卡消費,背後的處理運作程序中就已經針對各帳戶的私密金鑰進行防護工作。」Thales 資深業務工程師凌尊豪以日常生活應用為例說明資安防護機制的存在。雖然台灣尚無明確法規,但確實愈來愈多人在談論資料加密防護。
同樣以信用卡為例,凌尊豪說明有四個環節層次可能洩漏信用卡資訊,從儲存設備、檔案系統、資料庫到應用程式均有可能,而四個環節也由不同的資訊人員執掌,儲存設備有儲存管理員,檔案系統有系統管理員,資料庫則是資料庫管理員,應用程式亦有對應管理者或開發者負責,這些人若有心,都有可能使機敏資料外洩。
而以導入資料庫加密而言,有許多事項必須考慮,包含何時要加密?對誰加密?如何管理加密金鑰?加密後可能產生的衝擊等。決定進行加密後,實施方式也有三種,即透明資料加密 (TDE) 、欄位層次加密 (CLE) 、用戶定義功能 (UDF) 等。
三種方式各有優缺點,TDE 將整個資料庫加密,包含備份的資料庫也加密,且不需要改寫應用程式即可完成加密;CLE 則只針對資料庫中的若干欄位進行加密,這項功能可與資料庫軟體一起提供,但必須改寫程式才能實現,且因是選用性功能多半要收取額外授權費;UDF 則是針對機敏欄位加密,但是資料庫與應用程式都須修改才能實現。
加密實施後,進一步是加密金鑰的管理,這就需要使用金鑰管理系統 (KMS),可選擇內建方案或協力廠商提供的方案。前者將 Master Key (主要金鑰) 放於 KMS 內,但無法控管 UDF,且加密資料有可能被資料庫管理員回覆;後者將 Master Key 存於資料庫外,可控管 TDE 、 CLE 、 UDF,且資料庫管理員無法獨力回覆。
除資料庫外,若檔案也有加密防護需求,可以先針對需要防護的檔案位置安裝 VTE(Vormetric Transparent Encryption) 透明加密程式,而後透過 Thales Vormetric DSM (Data Security Manager 金鑰集中管理系統) 進行控管,如此就能在不改變應用程式與工作流程的情況下實現防護。此外,許多應用程式內的資料其實也有加密防護的必要。
最後,凌尊豪也對金鑰管理提供建議,金鑰的數目應當愈少愈好以便管理,同時主要金鑰的存取點也建議愈少愈好,以降低資安風險。
從 GDPR 安全規範探討資料庫安全保護與稽核的重要性
「GDPR 可說是史上最嚴厲的資料安全保護令!」Imperva 公司大中華區技術總監周達偉開宗明義地說。 GDPR(General Data Protection Regulation,通用資料保護規定)前身為 1995 年所訂立的 DPD (Data Protection Directive),2016 年擴展延伸成 GDPR,由於牽涉範圍過廣因而提供 2 年實施準備期,並於今 (2018) 年 5 月 25 日正式上路。
凡有蒐集到歐盟公民資料的業者一律須遵行 GDPR,GDPR 規範公民個資不可外洩,外洩須 72 小時內通報,且不同的條款有不同的罰則,最嚴重為跨境傳遞資料,最高可罰 2,000 萬歐元,或該企業前一年營收的 4%,兩者取其高者,而其他條款亦達 1,000 萬歐元、 2% 營收罰金,均非常可觀。
GDPR 雖只適用於歐盟,但對各國相關法規已產生影響,包含大陸、香港、南韓、新加坡等都重新評估或翻修法案,台灣也為此成立個人資料保護專案的辦公室,以便更貫徹個資法工作。 GDPR 也要求企業須設置資料保護長 (Data Protection Officer, DPO) 。
周達偉進一步分析 GDPR 中的七種項資料權利,包含使用權、更正權、撤回同意權、拒絕權、拒絕自動化處理分析權、被遺忘權/刪除權以及資料可攜權等,對企業的挑戰在於最後三種。總歸而言,GDPR 不僅罰則重,企業合規也必須付出高昂代價。
Imperva 身為全方位資安業者,已針對 GDPR 的五項條款(第 25/32/33/35/44 條)提供因應方案,例如 SecureSphere 可自動探索企業資料並加以分類,CounterBreach 可針對可疑行為進行分析預測,Camouflage 則可對機密敏感資料進行遮罩。
Imperva 進一步提出 6 種 GDPR 的需求案例,包含資料探索與分類、 弱點評估分析管理、機敏資料稽核、跨境資料傳輸、資料遮罩與去連結化,以及漏洞偵測與事發即時反應。其中前四種需求均可用 SecureSphere;資料遮罩(匿名化)與去連結化可使用 Camouflage,漏洞偵測與事發即時反應則可使用 SecureSphere 與 CounterBreach 。
若將資安方案與合規條款進行對應,則 SecureSphere 可滿足 25/32/33/35/44 條款,CounterBreach 則可因應 32/33 條款,Camouflage 則為 25/32/35 條款。 Imperva 亦提供 GDPR 檢查表,使企業可詳盡檢視其合規工作是否完善。
最後 Imperva 也提供 GDPR 的專業服務,包含 dDnA(Data Discovery and Analysis,資料探索與分析)、 pDnA(Project Discovery and Analysis,專案探索與分析)等。 Imperva 在台灣已有 12 年以上的在地深耕經驗,加上堅實的合作夥伴亞利安科技,可完整滿足企業的 GDPR 合規需求。
打造銀行生物辨識技術絕佳環境與應用
擁有二十多年金融業經驗的蓋特資訊總經理向可喜,已引領蓋特資訊獲得諸多客戶肯定與產業殊榮,其資安方案也已打入台灣八家銀行、香港兩家銀行,並在近期獲得馬來西亞第二大銀行的採用;在科技創新上也獲得台灣資策會 IDEAS SHOW 冠軍、新加坡 Echelon Entreport Asia 冠軍,並成為首家通過香港八達通 NFC 整合行動認證的廠商,其 Software Token 方案也獲得香港金管會 HKMA 審核許可。而今(2018 年)蓋特資訊期望將人臉辨識系統打入金融業。
人臉辨識屬於生物特徵辨識的一種,舉凡生物特徵辨識就必須具備四項特性,一是普遍性,即人人皆具備的特性,如人臉、指紋、虹膜等;二是差異性,即人人皆有但必須各異,具獨一辨識性與不可重複;三是永久性,特徵必須長久不變或緩慢改變;四是可測性,即生物特徵是可以透過感測器、儀器測得其差異。
向可喜觀察全球人臉辨識應用,目前以大陸最引領,歐美及台灣跟進中,主要是大陸沒有明確規範因而積極發展,但台灣也不必妄自菲薄,如蓋特資訊在活體偵測上即有獨到之處,此技術在許多金融業客戶的技術評估中已獲驚艷迴響。
人臉辨識在金融業能有多種應用,包含陌生人偵測、貴賓 (Very Important Person, VIP) 偵測、門禁管理等,進而衍生出動線追蹤、精準行銷等應用。過去台灣金融業對人臉辨識多採觀望,但科技與時代在變,金融業的態度已轉變。此外蓋特的人臉辨識技術只需要 1.12 秒的時間,即能在 3,000 萬張照片中比對出正確身份,效能相當出色。
金融業若期望導入人臉辨識,必然會在意生物特徵值的安全存放,對此蓋特已支援 Vormatric(2016 年由 Thales 併購)及 Thales HSM(Hardware Secure Module,硬體加密模組)兩種方案,不過後者對於程式開發者較為方便,不需要改寫程式即可使用。
最後,向可喜認為蓋特資訊有三項優勢最能實現金融業的生物特徵辨識、人臉辨識方案,一是金融產品應用經驗豐富,如前所述已有二十多年經驗;二是技術掌握度高,辨識技術具有高自主性;三是客製化、彈性大,由於金融業以資訊安全為考量 ,多期望導入方案具有獨特性,因此客製不可或缺。而再加上 Thales 與亞利安科技的協助,方案導入將可更完美理想。
PDFSign 與 IoT 資安解決方案
「許多人已在使用捷而思的文件防護功能卻不知。」捷而思 (jrsys) 公司董事長特助林雅雯解釋,如世界第二大 PDF 廠商 Foxit PDF 軟體,都已內嵌捷而思的 PDFSign 文件防護方案;而 PDFSign 也在去 (2017) 年獲得經濟部工業局金漾獎-雲端服務類第一名的殊榮。
以文件防護見長的捷而思分析文件電子化與否的優缺點,去年 11 月有一則新聞事件,新莊五股地區有人用假的紙本文件變賣他人土地,地政單位差點受騙,相對的若將文件電子化,不僅防偽能力高於紙本,文件處理時間也可以縮短、程序簡化、流程易於追蹤稽核等,整體成本更低且節能環保,這些效益均明顯有感。
捷而思 PDFSign 在防偽上支援多種簽核法,包含印鑑、手寫、中華電信的 WebTrust,或生物特徵辨識的臉部辨識、指紋辨識等;稽核上也已合乎國內電子簽章法,方便稽核且合乎規範。
進一步的林雅雯也舉實際應用案例,一是運用於保險業的保單簽署上,透過網路投保系統,讓簽署者完成保單文件的下載、簽核、上傳等工作。另一同樣是保險業,但用於保險公司的批次性簽署,簽署後再回發給保戶,此運用也用及硬體安全模組 (HSM),金鑰存放於模組內以提高簽核程序的安全度。
除了文件防護外,捷而思相同的 PKI 公私密金鑰技術也可用來強化物聯網應用的安全性,IoT 系統若無資安防護則感測節點的分位有可能被竄改,閘道器可能被駭客入侵併竊取資訊,這若發生在醫療應用、車聯網應用將相當危險,加上 GDPR 法規對資訊外洩有多項重罰,這些均使企業不得不重視物聯網資安。
針對 IoT 資安防護捷而思提供了各環節的軟體開發套件 (SDK),包含裝置端、閘道器端、雲端、行動端等,力求 IoT 設備、通訊網路、應用程式三者的安全,三者構成 IoT 防護的金三角。
最後林雅雯也強調金鑰在整個資安系統中的重要性,有些設備商雖宣稱其 IoT 產品內已具備金鑰,但仔細辨別卻發現並非是獨一辨識的金鑰,這時安全性便有疑慮,建議在 IoT 佈建時,即使是沒有 IP 的裝置也導入識別憑證,而對於金鑰的保存更建議用 Thales 的 HSM,如此 IoT 裝置與環境才能獲得全層面、全週期的高安全。