Thales 硬體加密器 杜絕資料傳輸外流

Thales 硬體加密器 杜絕資料傳輸外流

資料保護、網路加密 雙管齊下最安全

Thales硬體加密器 杜絕資料傳輸外流

資安人 編輯部

 

隨著新版個資法在2012年10月正式實施之後,台灣企業對各種資安產品的接受度愈來愈高,如問世已久的DLP、資料庫稽核等工具,原本在商務市場的能見度並不高,但這兩年卻成為炙手可熱的產品。除此之外,過去為了避免駭客直接在網路路徑上安裝旁聽程式,竊取重要機密資料的手法,以密碼學發展出的各種加密產品,早就被應用在網路傳輸、文件保護等領域之中。

簡單來說,寄件者與收件者雙方必須要擁有加密伺服器發送的金鑰,才能保護文件或網路通道安全,否則就沒辦法打開任何文件。過去,此種方案多半只會在政府、金融單位中出現,近來則因駭客攻擊過於猖獗,所以也逐漸跨國企業用於保護資料傳輸過程中安全。只是過去常見的加密工具通常是軟體形式,不僅可能會影響到應用服務的效能,若一旦發生伺服器駭客被入侵,加密工具便可能遭到破解或停止,最後將會失去對資料或應用服務的保護能力。因此,不需依賴伺服器,可以獨立運作的硬體加密器(Hardware Security Module,HSM),就成為現今市場上的主流產品。

亞利安資安技術支援部經理王添龍說:「硬體加密器最大好處就是不易被破解,而且能搭配不同應用程式使用,提供所需的防護能力。不過,企業在選購此產品時,必須要考量到金鑰備份難易度的問題,因為一旦硬體加密器發生故障,又無法即時將金鑰轉移到備品或新品上時,便會影響到應用程式的正常運作。」

 

為金融產業量身打造 payShield成首選

由亞利安代理的Thales硬體加密器,可以分成專為金融支付產業設計的payShield 9000,以及為一般商用環境設計的nShield系列。payShield 9000是專門為保護信用卡支付系統安全,而全新設計的硬體加密器,具備高性能、防止竄改,以及可防止外力破壞的特性,能保護金鑰、客戶密碼等資料的安全。

這款產品在硬體架構方面,採用雙電源供應器設計,可以避免發生因單一元件故障,而造成系統無法運作的問題。不光如此,payShield 9000也考量金融客戶可能會面臨瞬間大量交易的情形,所以擁有可處理每秒1500筆交易量的能力,足以確保金融交易能夠在毫無風險的狀況下完成。此外,產品亦可在同一時間支援不同應用程式,而且能確保每個應用程式都可享有專屬加密金鑰,讓應用服務能夠獨立運作,完全不會相互干擾。換句話說,payShield 9000既可滿足業務集中管理要求,也能降低整體經營成本,亦無須擔心會發生安全疑慮。

王添龍指出,金融業在設計業務流程時,必須符合到金融法規的要求,若使用通用型的硬體加密器,程式開發人員還得花費額外時間調整。相較之下,payShield 9000則是採用符合FIPS 140-2的第3級規範的架構,並且擁有AES、ECC等加密演算法,可對金融交易資料提供足夠的防護。 

另一方面,隨著行動支付時代來臨,智慧手機將成為新一代金融交易工具後,Thales也順勢推出專為行動支付設計的GlobalPlatform安全模組,能簡化將行動支付應用程式載入行動裝置的過程,為金融單位與消費者提供一個安全無虞的交易環境。

 

payShield 9000是專門為保護信用卡支付系統安全,而全新設計的硬體加密器,具備高性能、防止竄改,以及可防止外力破壞的特性,能保護金鑰、客戶密碼等資料的安全。

 

 

亞利安資安技術支援部經理王添龍說,企業在選購硬體加密器時,必須要考量到金鑰備份難易度的問題,因為一旦設備發生故障,便會影響到應用程式的正常運作。

 

nShield功能強悍 可應付不同環境需求

Thales為一般商用環境設計的nShield系列硬體加密器,預先針對不同使用情境特性,推出nShield Connect+、nShield Edge、nShield Solo等三款產品。資訊人員可以依照使用人數多寡與存取頻率,選擇相對應的型號,即可避免影響到應用程式的運作效率。其中,nShield Connect+是針對一般企業環境所設計,至於nShield Edge則是為人數較少的分公司,銷售據點所設計的產品,而nShield Solo則可以直接安裝在伺服器內部,能為特定應用程式提供超高效率的加密服務。

若以加密功能與速度來看,自然是以nShield Connect+最為完整,除具備風險監控管理、可避免單點故障等功能外,也提供手動與自動備份等雙重機制,並且支援Windows、Linux、 Solaris、 IBM AIX、HP-UX等作業系統,以及VMware、Hyper-V與AIX LPARs等虛擬化環境。在加密演算法方面,有RSA、AES、DES、Triple DES、SHA-1、SHA-2、ECC等可供選擇,而且為簡化程式開發者呼叫硬體加密器的難度,預先提供OpenSSL、Java(JCE)、Microsoft CAPI 與CNG等API介面,開發人員不需要花費太多時間學習,即可迅速整合使用。

王添龍說,台灣已有不少系統整合商是以nShield Connect+為核心,開發許多應用程式,除看上產品具備的優異加密技術外,也著眼於軟硬整合非常方便,能簡化應用程式的開發時間。

 

防止網路竊聽 Datacryptor做得到

為避免發生網路封包傳輸過程中被駭客竊聽,而影響到國家整體安全,Thales還針對政府機關或軍方單位推出Datacryptor,專門用來保護網路通道的傳輸安全。由於產品處理資料速度非常快,所以不會造成網路封包延遲,可維持應用伺服器的正常運作,加上內建3DES、AES等加密演算法,所以產品均通過FIPS 140-2 Lv3、EAL4認證。

王添龍指出,Thales Datacryptor同樣依照網路類型不同,分別有Datacryptor IP Network、Datacryptor Link and Layer2、Datacryptor High Grade Government等三種,每個產品均具備具備圖形化金鑰管理與監控介面、自動金鑰交換、以CA方式認證各端點的特性,能有效降低網路管理員的工作負擔。

尤其對政府單位而言,Datacryptor High Grade Government因為採用可編程的FPGA架構,可完全依照特定商業環境或政府組織要求客製化,能夠完全融合於政府或軍事環境中,以提供安全、高效、可擴展的網路環境。

 

資料來源:資安人

 

延伸閱讀:

專訪-Thales 強調安全性將成行動支付平台普及的關鍵

專訪-Thales 強調安全性將成行動支付平台普及的關鍵

網路資訊 曹乙帆 

 

加解密已經成為無所不在的基礎應用,除了資料加密、通訊加密、身分認證與金融交易可以看到加密應用的身影外,在行動裝置與連網裝置日漸普及的趨勢帶動下,今後智慧型手機與物聯網(IoT)裝置也將內建加密模組,其上的各種App應用程式因而能透過底層的加密機制進行資料的保護,除了能提升行動裝置與物聯網裝置本身的安全性之外,同時更讓使用者能在行動裝置上享用更簡單、更安全且高效率的行動支付應用。

 

整合Thales HSM 遍地開花    HCE及mPOS合作案

過去加密多半皆與各種應用相結合,但隨著資料安全與金鑰管理解決方案供應商 Thales 率先推出全球第一個能讓行動支付變得更簡單、更安全且更有效率的軟體式加密模組後,加密機制開始出現從應用層往下移至智慧型手機作業系統底層,以及各類行動連網設備系統底層的趨勢。

Thales e-Security 資訊安全部高級銷售工程師張志明表示,Thales 長久以來市場上是以金融業為主要鎖定對象,隨著近幾年加解密應用開始從銀行交易等核心業務,開始擴散到資料加密及通訊加密領域後,未來三年開始會朝向手機、機上盒及物聯網設備製造商、託管服務供應商(Trusted Service Provider, TSP)及行動支付方案供應商之應用需求方向發展。進一步而言,透過內嵌加密模組在系統底層之中,行動裝置作業系統之上的所有應用都能獲得既方便又高效率的安全防護。

無庸置疑的,熱門之極的行動支付早被 Thales 列為今年度與明年度的發展重點,其中尤以主機卡模擬支付(Host Card Emulation, HCE)系統解決方案與行動收銀台(mPOS)系統解決方案成為重中之重,商家得以隨時隨地讓消費者方便地在手機上進行交易。

「Thales 在國外擁有許多推動 HCE 及 mPOS 的成功案例,其中包括去年協助令牌生命週期管理軟體方案供應商 Bell ID 及日本行動支付業者Royalgate,共同合作推出的大規模 mPOS 系統開發案,」張志明進一步表示:「同樣的,Thales 也會將上述成功案例的合作模式引進亞太區,不論台灣或東南亞,都會全力推展各類型的行動支付應用,其中台灣在 HCE 系統方案上發展特別快。」

總之,台灣除了大廠投入並開發諸多 HCE 應用外,Thales 推出的行動支付專用硬體加密模組(Hardware Security Module, HSM)-payShield 9000,早已完成 HCE 與 mPOS 相關資源與所有功能的支援,並且為透過 HCE 或 mPOS 系統進行行動支付的各項應用,打造方便、安全又高效率的平台。如 mPOS,透過 Thales payShield 9000,不但可確保從讀卡機所使用的金鑰,可以全程加密保護 PIN 碼,確保消費者的個人機密資料不會因此外洩,符合 VISA,MASTER CARD 國際發卡 PCI 標準。

除了 HCE 及 mPOS 方案外,透過 QR Code 簽章提供行動支付應用也是今後的一大發展重點與趨勢,Thales HSM 能為該應用提供最安全無虞的後台環境。此外,看好行動認證(Mobile Authentication )的張志明指出,行動認證會是今後五年身分認證進展上的一大趨勢。

雖然過去長久以來,金融業者一直採用實體一次性密碼令牌(OTP Token)進行金融交易的身分認證。但同時擁有許多家銀行帳戶的使用者,可能會擁有許多 Token,難免會造成使用上的混淆與不便,也因為如此,行動認證已逐漸追上實體 Token 的應用腳步。

 

Thales 高級銷售工程師張志明(右)及亞利安總經理范梓芳(左)

 

創造產品附加價值與國際知名度的 Thales ASAP 聯盟計畫

在任何的加密機制與加密應用中,金鑰的安全與管理至關重要,當前最高等級加密機制的最安全做法,就是透過 HSM 進行金鑰的產生、使用、保存與管理。張志明指出,Thales 旗下通用型 HSM 與支付專用型 HSM 皆符合 FIPS 140-2 Level 3 安全等級,提供硬體強化式的防篡改保護機制,能確保關鍵資料的安全無虞。

不僅如此,透過 HSM,即使 Thales 伺服器運作之際的記憶體內資料也無法被竊取,進而確保金鑰資料不會有外洩的疑慮,因而能為加密應用客戶與金融交易商家做好安全把關,也是當前確保 HCE 或 mPOS 應用能夠安全無虞的最簡便與最安全的解決方案,提供行動支付服務的商家因此可以在任何時間、任何地點與任何行動端點上完成交易。

面對像是 Amazon Cloud HSM 之類的雲端 HSM 服務趨勢,儘管讓 HSM 等級的加密機制變得更方便、更親和,但張志明表示,在當前許多企業連許多關鍵應用與敏感性資料都不放心放到雲端上的情況下,更別提會將至關重要的金鑰放到雲端上。換言之,在當前使用者不具備雲端夠安全的普遍意識下,雲端 HSM 服務的發展需要更多的時間。來提高使用者接受度,所以講求安全性的使用者終究會偏向將 HSM、金鑰保護與管理,放回自家資料中心進行處理。

談到 Thales 的產品發展與市場規劃策略,張志明指出,該公司策略上會與應用程式開發商合作,共同推出整合 Thales HSM 的應用方案與服務,進而滿足其目標客群在金鑰保護及管理上的需求。進一步而言,相對於競爭對手,Thales 在台灣的最大差異與優勢在於名為「解決方案與應用供應商聯盟」(Alliance for Solution and Application Providers, ASAP)計畫的推出。

除了微軟、RSA、資料安全軟體方案商 Voltage Security,Vormetric 與 Miura、BellID 等大廠是 ASAP 聯盟成員,並推出許多整合 Thales HSM 的方案外,Thales 在台灣並分別與許多系統開發商洽談加值應用的合作。換言之,透過 ASAP 聯盟,能讓不同的應用程式開發商透過Thales 平台,而將產品附加價值發揮到最大程度。如此一來,不但能提升 HSM 銷售量,同時也能協助合作夥伴提升國際市場的品牌知名度,進而達到雙贏的局面。

在亞利安科技的代理支援下,在台市場的經營成果有目共睹,目前不乏許多 OEM 代工製造業者透過 Thales nShield HSM 進行智慧財產的安全保護,同時有高達 60-70% 的信用卡與 ATM 皆採用 Thales HSM 方案。

 

延伸閱讀: Thales 支付交易及PKI應用HSM

 

2015 Thales Security Solution Tour「雲端、行動化、數位支付」安全研討會

2015 Thales Security Solution Tour「雲端、行動化、數位支付」安全研討會

第二次世界大戰,德軍發明Enigma加密機,可說是主宰了戰爭的前半段,最終盟軍破解了Enigma,

才逆轉戰局頹勢,反敗為勝。

加解密技術,不但能夠左右戰局,更是能夠決定貴公司營運安全的重要關鍵。歷史悠久的加解密技

術,仍然是進入雲端與行動世代的最佳安全基礎,可說是沒有足夠堅強的加解密技術,企業營運就

沒有真正安全的一天,也就無法真正贏得客戶的信任。

想深入瞭解2015年資訊安全新趨勢與Thales新一代加解密技術嗎?千萬別錯過Thales號召中華電信

、Bloombase、iDgate、捷而思與網路資訊雜誌一同舉辦的「雲端、行動化、數位支付 安全研討會」

研討會,在競爭力商場中贏得漂亮的一仗! 

header

 

活動資訊

日期: 2015年4月16日(四)

時間: 09:00~16:15

地點: 台北六福皇宮B3永春殿 (台北市南京東路三段133號)

方式: 預先報名,經主辦單位確認符合產業屬性即可免費參加

對象: 金融業、300人以上中大型企業電腦應用單位、IT Manager、MIS、採購單位、企業負責

        人、營運部門與資訊主管優先(以主辦單位審核資格為主)

 

時間

議題與講師

09:00-09:30

歡迎報到

09:30-09:40

Welcome Remarks & Keynote Presentation
Thales

09:40-10:10

Keynote speech-IDC 2015 資安趨勢分析
高振偉/IDC 資深市場分析師

10:10-10:50

Thales introduction and product overview
張志明/Thales 亞太區技術顧問

10:50-11:30

行動支付與安全認證
李健銘/中華電信研究院資通安全研究所

11:30-11:50

Tea Break & Viewing of Exhibits

11:50-12:30

大數據世紀的全方位儲存資訊安全
容健民/Bloombase VP Business Development

12:30-13:30

Lunch

13:30-13:35

Lucky draw

13:35-14:15

Thales應用與成功案例
張志明/Thales 亞太區技術顧問

14:15-14:55

BANK 3.0推播互動式安全認證
向可喜/iDgate蓋特資訊 執行長

14:55-15:15

Afternoon Coffee Break & Viewing of Exhibits

15:15-15:55

安全的QR code 行動支付
吳建東/捷而思 董事長

15:55-16:15

自動化檔案傳輸加解密系統
亞利安科技

16:15~

Thanks and Lucky draw

 

【注意事項】

>請於2015年4月14日12:00前完成報名,以利安排午餐。

>此次活動為全日會議,本單位有供餐服務僅限中午時段)。

>活動當日憑報名序號領取餐券,若無事先報名恕不提供午餐。

>活動當日若於10:00之後報到將無法提供餐點。

>因活動席位有限,主辦單位將針對目標族群保留席次及與會資格之審核權。

 

請按此報名