隨著新版個資法在2012年10月正式實施之後,台灣企業對各種資安產品的接受度愈來愈高,如問世已久的DLP、資料庫稽核等工具,原本在商務市場的能見度並不高,但這兩年卻成為炙手可熱的產品。除此之外,過去為了避免駭客直接在網路路徑上安裝旁聽程式,竊取重要機密資料的手法,以密碼學發展出的各種加密產品,早就被應用在網路傳輸、文件保護等領域之中。
簡單來說,寄件者與收件者雙方必須要擁有加密伺服器發送的金鑰,才能保護文件或網路通道安全,否則就沒辦法打開任何文件。過去,此種方案多半只會在政府、金融單位中出現,近來則因駭客攻擊過於猖獗,所以也逐漸跨國企業用於保護資料傳輸過程中安全。
只是過去常見的加密工具通常是軟體形式,不僅可能會影響到應用服務的效能,若一旦發生伺服器駭客被入侵,加密工具便可能遭到破解或停止,最後將會失去對資料或應用服務的保護能力。因此,不需依賴伺服器,可以獨立運作的硬體加密器(Hardware Security
Module,HSM),就成為現今市場上的主流產品。
亞利安資安技術支援部經理王添龍說:「硬體加密器最大好處就是不易被破解,而且能搭配不同應用程式使用,提供所需的防護能力。不過,企業在選購此產品時,必須要考量到金鑰備份難易度的問題,因為一旦硬體加密器發生故障,又無法即時將金鑰轉移到備品或新品上時,便會影響到應用程式的正常運作。」
為金融產業量身打造 payShield成首選
由亞利安代理的Thales硬體加密器,可以分成專為金融支付產業設計的payShield 9000,以及為一般商用環境設計的nShield系列。payShield 9000是專門為保護信用卡支付系統安全,而全新設計的硬體加密器,具備高性能、防止竄改,以及可防止外力破壞的特性,能保護金鑰、客戶密碼等資料的安全。
 |
| ▲亞利安資安技術支援部經理王添龍說,企業在選購硬體加密器時,必須要考量到金鑰備份難易度的問題,因為一旦設備發生故障,便會影響到應用程式的正常運作。 |
這款產品在硬體架構方面,採用雙電源供應器設計,可以避免發生因單一元件故障,而造成系統無法運作的問題。不光如此,payShield 9000也考量金融客戶可能會面臨瞬間大量交易的情形,所以擁有可處理每秒1500筆交易量的能力,足以確保金融交易能夠在毫無風險的狀況下完成。此外,產品亦可在同一時間支援不同應用程式,而且能確保每個應用程式都可享有專屬加密金鑰,讓應用服務能夠獨立運作,完全不會相互干擾。換句話說,payShield 9000既可滿足業務集中管理要求,也能降低整體經營成本,亦無須擔心會發生安全疑慮。
王添龍指出,金融業在設計業務流程時,必須符合到金融法規的要求,若使用通用型的硬體加密器,程式開發人員還得花費額外時間調整。相較之下,payShield 9000則是採用符合FIPS 140-2的第3級規範的架構,並且擁有AES、ECC等加密演算法,可對金融交易資料提供足夠的防護。
另一方面,隨著行動支付時代來臨,智慧手機將成為新一代金融交易工具後,Thales也順勢推出專為行動支付設計的GlobalPlatform安全模組,能簡化將行動支付應用程式載入行動裝置的過程,為金融單位與消費者提供一個安全無虞的交易環境。
 |
| ▲payShield 9000是專門為保護信用卡支付系統安全,而全新設計的硬體加密器,具備高性能、防止竄改,以及可防止外力破壞的特性,能保護金鑰、客戶密碼等資料的安全。 |
nShield功能強悍 可應付不同環境需求
Thales為一般商用環境設計的nShield系列硬體加密器,預先針對不同使用情境特性,推出nShield Connect+、nShield Edge、nShield Solo等三款產品。資訊人員可以依照使用人數多寡與存取頻率,選擇相對應的型號,即可避免影響到應用程式的運作效率。其中,nShield Connect+是針對一般企業環境所設計,至於nShield Edge則是為人數較少的分公司,銷售據點所設計的產品,而nShield Solo則可以直接安裝在伺服器內部,能為特定應用程式提供超高效率的加密服務。
若以加密功能與速度來看,自然是以nShield Connect+最為完整,除具備風險監控管理、可避免單點故障等功能外,也提供手動與自動備份等雙重機制,並且支援Windows、Linux、 Solaris、 IBM AIX、HP-UX等作業系統,以及VMware、Hyper-V與AIX LPARs等虛擬化環境。在加密演算法方面,有RSA、AES、DES、Triple DES、SHA-1、SHA-2、ECC等可供選擇,而且為簡化程式開發者呼叫硬體加密器的難度,預先提供OpenSSL、Java(JCE)、Microsoft CAPI 與CNG等API介面,開發人員不需要花費太多時間學習,即可迅速整合使用。
王添龍說,台灣已有不少系統整合商是以nShield Connect+為核心,開發許多應用程式,除看上產品具備的優異加密技術外,也著眼於軟硬整合非常方便,能簡化應用程式的開發時間。
防止網路竊聽 Datacryptor做得到
為避免發生網路封包傳輸過程中被駭客竊聽,而影響到國家整體安全,Thales還針對政府機關或軍方單位推出Datacryptor,專門用來保護網路通道的傳輸安全。由於產品處理資料速度非常快,所以不會造成網路封包延遲,可維持應用伺服器的正常運作,加上內建3DES、AES等加密演算法,所以產品均通過FIPS 140-2 Lv3、EAL4認證。
王添龍指出,Thales Datacryptor同樣依照網路類型不同,分別有Datacryptor IP Network、Datacryptor Link and Layer2、Datacryptor High Grade Government等三種,每個產品均具備具備圖形化金鑰管理與監控介面、自動金鑰交換、以CA方式認證各端點的特性,能有效降低網路管理員的工作負擔。
尤其對政府單位而言,Datacryptor High Grade Government因為採用可編程的FPGA架構,可完全依照特定商業環境或政府組織要求客製化,能夠完全融合於政府或軍事環境中,以提供安全、高效、可擴展的網路環境。