2018 無邊界安全企業研討會/新竹場-會後報導

2018 無邊界安全企業研討會/新竹場-會後報導

「由於軟體容易有漏洞、可能被破解的顧慮,因此至關重要的金鑰一定要用硬體方式存放。」亞利安科技資安技術支援部經理王添龍說明硬體加密模組(Hardware Security Module , HSM)在今日資安工作中的重要性,這也正是為什麼亞利安科技要將HSM解決方案的領導品牌Thales引進台灣。
王添龍以目前最受網站普遍運用的SSL加密為例,因為SSL安全協定存在多種漏洞,所以建議改用TLS協定,但TLS也陸續發現若干問題,不得不提升成TLS 1.1版、1.2版等。由此顯見軟體加密防護有其限制,需要透過硬體來達到更完善的防護
以一個電信業者的實際案例來說明,該業者的資訊機房有諸多網站伺服器,前端有負載平衡設計,並用硬體加密模組存放金鑰,即便駭客攻破負載平衡取走了憑證,試圖用憑證冒充電信業者的網站,但由於憑證處於加密狀態,因而讓駭客無法成功冒充,電信業者也因此獲得保護。
由此可知HSM價值無可取代,且一般通用型的HSM有多種類型可供企業選擇,以Thales為例,即有USB介面型、網路型及內接插卡型,型號分別為nShield Edge、nShield Connect及nShield Solo,均達到FIPS 140-2 Level 3及CC EAL 4+的防護等級認證
除電信機房的案例外,王添龍也舉了很多生活化的例子,如中國大陸微信WeChat原本是沒有加密的,但到了香港後,依據其金融法規必須加密,特別是在手機發紅包的金融轉帳支付上。導入HSM後,從手機端的帳密登入後便開始加密,到銀行內網中運作時依然保持加密狀態,而密碼的比對也是在HSM內執行,藉此達到高安全的E2EE防護要求。

更知名的例子是Apple Pay:Apple Pay是運用HSM產生代碼,將代碼層層傳遞,從店家到收單機構、再從收單機構到NCCC信用卡中心、最終到Visa Token服務進行驗證比對,比對正確才通知發卡銀行進行後續刷卡消費程序。其他新興的電子消費也都需要HSM,包含第三方支付、無卡提款、手機推播簡訊驗證等。
除了新興支付外,HSM也在許多新技術的應用層面上展現需求價值,例如IoT物聯網環境中如何驗證新加入的裝置是合法裝置?從另一裝置傳送過來的程式更新是否該接受?同樣可透過HSM達到安全防護及驗證。
此外,諸多對產品組裝製造流程更為講究的知名國際企業,也都針對自身出廠的產品核發憑證,確保是官方產品出貨,而不是被代工廠仿造生產,甚至在尚未組裝為成品前的料件、半成品階段就導入憑證,而HSM所提供的這些安全機制,也同樣能延伸到工業4.0、智慧城市的發展。
王添龍強調,即便不放眼未來新興應用,企業在面對法遵合規日趨嚴格的壓力下也應該評估採用HSM,如歐盟頒佈實施的GDPR,或針對支付卡產業要求的PCI DSS等,都必須對金鑰進行嚴密管控。
如前所述,大型品牌企業在生產組裝階段都已導入憑證驗證,與其關連的上游廣大零件供應商、組裝代工商等勢必也要導入同樣的安全機制,否則難以爭取到新訂單,因此,HSM逐漸成為企業業務營運的必要,而非僅在未來新興應用中才需要。
過去Thales HSM產品大多只用於金融單位,但隨著各種新技術應用的普及,對於金鑰管理、保護的需求勢必逐步增加,而Thales 的廣泛支援性,可保管防護市面上多數軟硬體所核發的金鑰,因此相信未來還有相當大的成長空間。

2018  IMPERVA 資安趨勢論壇-會後報導

2018 IMPERVA 資安趨勢論壇-會後報導

今年(2018)資料外洩事件層出不窮,但令人不解的是,這些事件苦主含括了大型社群網路服務公司、民航服務公司、跨國金融機構等指標企業,不可能對資安視若無睹,但仍無法遏止悲劇,意謂資安防護難度偏高。加上全球資料保護意識抬頭,類似歐盟GDPR等嚴苛法令相繼出爐,導致企業合規成本攀高,若疏於防範,恐面臨鉅額裁罰。

有鑑於企業資安防護挑戰遽增,位居全球應用程式防火牆(WAF)及資料庫安全稽核領導地位的Imperva,日前舉行「2018資安趨勢論壇」,揭示資料庫AI智能防護、雲端情資分析、DDoS防禦等最新解決方案,希望協助企業補強資安弱點,迅速提升防禦力。

Imperva臺灣暨蒙古區總經理韓明皓表示,該公司成立至今16年,一直以獨特創新的安全技術領先業界;現今資安事件頻傳,Imperva期盼運用創新技術成果,幫助企業做好防禦準備,避免因防線疏失而使攻擊者有機可乘。

長年做為Imperva代理夥伴的亞利安科技總經理范梓芳指出,企業在外部駭客與內部威脅的夾擊下,需要更多的資安能量加以輔助,亞利安將持續透過與原廠緊密配合,提供最佳技術支援及服務,依據企業需求,協助解決方案的建置及導入,進而完備整體資安防線。

全方位涵蓋點線面,完整守護網站安全

Imperva台灣資深技術顧問范鴻志表示,駭客之所以攻擊網站,多是為了追求利益,常見攻擊方式包括技術攻擊(如SQL Injection)、癱瘓攻擊(如DDoS)。至於如何做好防禦,治本之道在於顧好網站伺服器、網站程式碼的體質,包括灌輸程式撰寫觀念教育,並確實執行黑白箱檢測,但畢竟調理體質需要時間,企業仍應搭配治標方案,透過WAF進行網站防禦。

從2014年Gartner發佈第一份WAF報告起,Imperva是唯一連續5年穩居領導者象限的廠商,主要原因在於Imperva WAF能精準識別最多攻擊型態,不僅掌握最豐富準確的黑名單,也憑藉動態建模(Dynamic Profiling)的獨家技術,從即時流量自動學習並建立白名單。另外Imperva也融入社群集體防禦概念,透過ThreatRadar威脅情資中心,將個別攻擊事訊息傳遞給所有社群成員,將未知威脅轉為已知特徵,發揮預警功效。

面對攻擊量持續增長的DDoS,Imperva則提供Incapsula雲端防護解決方案以資因應,它不僅具備內容傳遞網路(CDN)服務能力,亦擁有雲端流量清洗防護功能,協助企業將DDoS防禦從自家門口移轉上雲,確保進入企業的流量乾淨無害。

藉由Imperva WAF、ThreatRadar威脅情資系統及Incapsula雲端流量清洗服務的串聯,可全方位涵蓋點、線、面,實現最佳網站防禦效果。

妙用AI技術,從海量告警中過濾出真正的攻擊事件

Imperva大中華區技術總監周達偉指出,不少企業有共同處境,安全管理團隊每天面臨大量告警而疲於奔命,卻缺乏單一關聯分析管理工具可用,不僅拉高誤報率,也難找出真正攻擊事件。

為幫助企業解決痛點,Imperva推出Attack Analytics雲端AI告警分析系統,匯聚全球海量安全特徵、新攻擊模式知識庫,並藉由AI技術加以分析、篩選並串聯事件跡證,進而智慧化識別攻擊行為的蛛絲馬跡。

周達偉歸納Attack Analytics的核心功能,包括從數千條告警中萃取出單一攻擊事件的關聯行為,分類並彰顯重要安全事件以便立即處理,且能對Imperva SecureSphere WAF(硬體設備)與Incapsula WAF(雲端服務)執行統一管理,從排山倒海的告警事件中過濾出真正攻擊事件。

會中他也舉一個實際成功案例:某企業過去受WAF監控的網站流量佔比25%,平均每日收到10.9萬則告警,由1名專職人員對告警進行詳細檢閱,完成率僅1%,且未發現重大攻擊事件;導入Attack Analytics後,WAF監控率大幅增至100%,每日大量告警亦簡化至平均64則高危險事件,因數量不多,可做100%詳閱,進而從中發現2筆重大攻擊事件,充分突顯Attack Analytics應用價值。

導入AI智能防護,邁向資料庫稽核2.0境界

亞利安資安技術支援部經理王添龍,以「資料庫稽核2.0」為題展開演說。他表示若企業不做資料庫稽核,即無保護且不合規,若企業採用資料庫內建稽核工具,儘管合規性差強人意,但衍生效能降低20~50%、可讀性差、無法追蹤前端用戶、無法防範非法存取等疑慮,依然缺乏保護,唯有導入專業資料庫稽核方案才是正解。

Imperva資料庫稽核系統(DAM),具備資料庫資產評估模式、自動建立AP與User行為模型(自動建立白名單)等重要功能,發揮了解標的現況、資料庫被使用情形、報表分析/事件查詢、即時告警/事後稽核等效果,一舉滿足稽核、安全及合規多方要求。

王添龍指出,上述效益可視為「資料庫稽核1.0」,企業可藉助Imperva CounterBreach資料庫AI智能防護解決方案,進一步邁進2.0境界。此方案可透過監控與資料收集、學習與偵測、安全控管(告警或阻擋)等三步驟,偵測並輔助控制不當資料存取行為。更重要的是,CounterBreach結合AI與機器學習技術,扮演資料庫鷹眼系統,能幫助用戶釐清異常事件真相,藉由逐層鑽取(Drill Down),了解事件發生的人事時地物,進而有效防禦內部威脅。

總括而論,綜觀多數資安事件的起因,無非是不易辨別資料庫的可疑行為、不易分析排山倒海的告警事件,或是不易抵禦龐大攻擊流量所致。因此Imperva針對企業痛點,研發設計資料庫AI智能防護、雲端情資分析系統、雲端流量清洗等創新方案,期望幫助用戶有效解決問題,掌握資安防禦能量的升級契機。

資料來源:iThome

2018 無邊界安全企業研討會/新竹場

2018 無邊界安全企業研討會/新竹場

打破企業內外網路 資訊安全無邊界!

今年8月,向來是企業IT模範生的台積電,突然傳出生產線大當機的消息,隔天消息立刻傳遍全世界主要媒體,預估營收衝擊將高達78億元。經過徹查,原來是上線的新機臺已遭病毒感染,因此一接上生產線,便立刻透過內部網路大規模感染其他生產設備,造成如此慘劇。

這正映證了過去20年來「內外有別」的企業資訊安全思維,已無法切中現代「安全無邊界」的需求,內部網路不該是一個高度信任的低安全空間,我們需要更創新的「無邊界安全」思維來重塑企業資訊安全設計架構,方能應付有大筆利益可圖的惡意攻擊者。

網路資訊雜誌特舉辦「無邊界網路安全研討會」,我們邀請到專業廠商與產業代表,分享企業如何打破雲端服務與資料中心之間的界線,從數位轉型時代的新觀點,為高科技製造業重塑安全的數位工作環境。

歡迎您立刻報名「無邊界網路安全研討會」,活動議程精彩,不可錯過!

活動資訊

2018/11/16 新竹場

  • 活動日期:2018年11月16日 09:00~16:40 (09:00報到)
  • 活動地點:新竹國賓飯店10樓國際B廳(新竹市東區中華路二段188號)
  • 邀約對象:高科技製造、製造業、零售、研究單位、教育、政府、醫療、服務業與1000大企業IT人員、資安人員優先。 為確保活動主題,凡報名身份不符、資料不全者,主辦單位保留婉拒參加之權利,敬請見諒。
  • 活動方式:本活動採預先報名,經主辦單位確認符合活動屬性即可免費參與。
  • 洽詢服務:02-29435517 # 66
  • 活動網址:http://event.netmag.tw/20181116hsh

2018  IMPERVA 資安趨勢論壇

2018 IMPERVA 資安趨勢論壇

蓬勃的駭客經濟與防不勝防的內部威脅,帶給各產業極大衝擊;近年無論是電商慘遭駭客竊取大量個資,銀行的國際通匯系統遭駭及鉅額款項遭盜轉,甚至晶圓廠因新機臺安裝時操作不慎、以致感染病毒,皆釀成巨大經濟損失。   加上資料保護意識抬頭,企業的合規成本也日益增加,今年5月上路的GDPR,最高罰鍰就高達2000 萬歐元,或該年度全球營業額4%,企業不得不嚴陣以待。   今天,多數企業力拼數位轉型,為未來發展打好基礎;在關鍵時刻,怎禁得起駭客或內賊搗亂?「資料」是企業的核心資產,但因應當前的威脅企業又該如何選擇適合的資料保護策略?   有鑑於企業在資安防護上面臨挑戰,甚至看著機敏資料外洩卻一籌莫展,Imperva期望透過11/7舉行的「Imperva 2018 資安趨勢論壇」,引領聽眾掌握三大防禦訣竅:  

  • (一)善用資料庫AI智能防護,透過機器學習的方式自動找出異常的資料存取事件,牢牢守護機敏資料,避免遭惡意、粗心大意或帳號被盜用的使用者竊取;
  • (二)藉由雲端情資分析,持續強化 Web 應用程式防火牆,並透過AI人工智慧及機器學習,讓資安事件分析變得簡單,IT 團隊能針對真正的威脅快速因應;
  • (三) 導入以雲端為基礎的應用交付服務,讓企業能將不同服務和設備整合到單一雲端服務中心,為各項線上業務提供強大的安全性、效能及可用性,並全面防禦各類型 DDoS 攻擊。

  Imperva 誠摯邀請您蒞臨本次論壇,一同了解資安防禦能量的升級契機。  

活動資訊  

  • 活動日期:2018年11月07日 13:00~16:30
  • 活動地點:六福皇宮 B3 永春殿(台北市南京東路三段133號)MAP
  • 邀請對象:金融、電商、及一般企業MIS、IT人員,以主辦單位審核資格為主
  • 活動方式:預先報名,經主辦單位確認符合活動屬性即可免費參與
  • 洽詢服務:02-25622880#3710 簡小姐或來信 jennifer@mail.ithome.com.tw 

活動議程

  時間       議題及講師

1:00 – 1:30  歡迎報到

1:30 – 1:40  致歡迎詞

1:40 – 2:30  點線面的全方位網站防護  Imperva台灣資深技術顧問 / 范鴻志

2:30 – 3:00  運用人工智慧讓網站攻擊事件分析變的輕鬆有效率  Imperva大中華區技術總監 / 周達偉

3:00 – 3:30  Break & Booth Demo

3:30 – 4:10  資料庫稽核2.0  亞利安科技資安技術支援部經理 / 王添龍

4:10 – 4:20  有獎徵答、回收問卷  

註:主辦單位保留議程調整與變動之權力,請以網頁最新議程更新為準。

    我要報名

主辦單位

 

經銷商活動 – Thales 經銷商大會

經銷商活動 – Thales 經銷商大會

 

誠摯邀請各位經銷夥伴參加 2018年9月27日(四)下午1:30-4:00 【Thales 經銷商大會】

本次【Thales 經銷商大會】,將由 Thales e-Security 台灣區銷售經理及亞太區行銷經理,與您分享 Thales 在台灣未來的經營策略及最新的業務推廣方案;同時亞利安科技的資安產品經理也將介紹 Vormetric 資料保護解決方案,讓您快速了解如何在不影響業務進行的狀況下,確保企業或政府單位的資料安全。

歡迎前來蒞臨指導,名額有限,請盡早報名!

報名網址:https://goo.gl/forms/yfTvDbKQEeheH6T12

 

時間:2018年9月27日 PM 1:30報到
地點:台北威斯汀六福皇宮台北市南京東路三段133號 )

 

議程

 

時間 主題
1:30-2:00 入場及報到
2:00-2:10 致歡迎詞
2:10-2:30 Thales 集團簡介及市場戰略
葉維屏/ 亞太區市場策略總監
2:30-3:10 Vormetric 解決方案簡介
王添龍/ 亞利安科技資安技術支援部經理
3:10-3:30 Vormetric 業務推廣方案
涂敬智/ Thales e-Security 台灣區銷售經理
3:30-4:00
4:00-
Break 及交流
領取紀念品/賦歸

 

 

 

2018 掌握企業資安防禦重點研討會-會後報導

2018 掌握企業資安防禦重點研討會-會後報導

亞利安科技在 7/5,於六福皇宮舉辦【2018 掌握企業資安防禦重點研討會】,會中與 Thales、IMPERVA 及合作夥伴捷而思 Jrsys、蓋特資訊 iDGate 攜手合作,提供金鑰管理、身份認證及資料庫防護等解決方案的多元應用。

全方位資料防護 – 循序漸進的加密工作

「或許大家對資料防護感到陌生,但其實各位的信用卡消費,背後的處理運作程序中就已經針對各帳戶的私密金鑰進行防護工作。」Thales 資深業務工程師凌尊豪以日常生活應用為例說明資安防護機制的存在。雖然台灣尚無明確法規,但確實愈來愈多人在談論資料加密防護。

同樣以信用卡為例,凌尊豪說明有四個環節層次可能洩漏信用卡資訊,從儲存設備、檔案系統、資料庫到應用程式均有可能,而四個環節也由不同的資訊人員執掌,儲存設備有儲存管理員,檔案系統有系統管理員,資料庫則是資料庫管理員,應用程式亦有對應管理者或開發者負責,這些人若有心,都有可能使機敏資料外洩。

Thales 資深業務工程師 凌尊豪

而以導入資料庫加密而言,有許多事項必須考慮,包含何時要加密?對誰加密?如何管理加密金鑰?加密後可能產生的衝擊等。決定進行加密後,實施方式也有三種,即透明資料加密(TDE)、欄位層次加密(CLE)、用戶定義功能(UDF)等。

三種方式各有優缺點,TDE將整個資料庫加密,包含備份的資料庫也加密,且不需要改寫應用程式即可完成加密;CLE則只針對資料庫中的若干欄位進行加密,這項功能可與資料庫軟體一起提供,但必須改寫程式才能實現,且因是選用性功能多半要收取額外授權費;UDF則是針對機敏欄位加密,但是資料庫與應用程式都須修改才能實現。

企業的機密敏感資料,在資訊系統的四個層次內都有可能洩漏。

加密實施後,進一步是加密金鑰的管理,這就需要使用金鑰管理系統(KMS),可選擇內建方案或協力廠商提供的方案。前者將Master Key (主要金鑰) 放於KMS內,但無法控管UDF,且加密資料有可能被資料庫管理員回覆;後者將Master Key存於資料庫外,可控管TDE、CLE、UDF,且資料庫管理員無法獨力回覆。

除資料庫外,若檔案也有加密防護需求,可以先針對需要防護的檔案位置安裝VTE(Vormetric Transparent Encryption)透明加密程式,而後透過Thales Vormetric DSM (Data Security Manager金鑰集中管理系統) 進行控管,如此就能在不改變應用程式與工作流程的情況下實現防護。此外,許多應用程式內的資料其實也有加密防護的必要。

最後,凌尊豪也對金鑰管理提供建議,金鑰的數目應當愈少愈好以便管理,同時主要金鑰的存取點也建議愈少愈好,以降低資安風險。

各加密金鑰導源於Master Key (主要金鑰),而 Master Key須放在極安全的環境。

從GDPR安全規範探討資料庫安全保護與稽核的重要性

「GDPR可說是史上最嚴厲的資料安全保護令!」Imperva 大中華區技術總監周達偉開宗明義地說。GDPR(General Data Protection Regulation,通用資料保護規定)前身為1995年所訂立的DPD (Data Protection Directive),2016年擴展延伸成GDPR,由於牽涉範圍過廣因而提供2年實施準備期,並於今(2018) 年5月25日正式上路。

凡有蒐集到歐盟公民資料的業者一律須遵行GDPR,GDPR規範公民個資不可外洩,外洩須72小時內通報,且不同的條款有不同的罰則,最嚴重為跨境傳遞資料,最高可罰2,000萬歐元,或該企業前一年營收的4%,兩者取其高者,而其他條款亦達1,000萬歐元、2%營收罰金,均非常可觀。

Imperva 大中華區技術總監 周達偉

GDPR雖只適用於歐盟,但對各國相關法規已產生影響,包含大陸、香港、南韓、新加坡等都重新評估或翻修法案,台灣也為此成立個人資料保護專案的辦公室,以便更貫徹個資法工作。GDPR也要求企業須設置資料保護長 (Data Protection Officer, DPO)。

周達偉進一步分析GDPR中的七種項資料權利,包含使用權、更正權、撤回同意權、拒絕權、拒絕自動化處理分析權、被遺忘權/刪除權以及資料可攜權等,對企業的挑戰在於最後三種。總歸而言,GDPR不僅罰則重,企業合規也必須付出高昂代價。

Imperva  身為全方位資安業者,已針對GDPR的五項條款(第25/32/33/35/44條)提供因應方案,例如SecureSphere可自動探索企業資料並加以分類,CounterBreach可針對可疑行為進行分析預測,Camouflage則可對機密敏感資料進行遮罩。

GDPR最高可裁罰洩資企業2,000萬歐元或該企業去年全球營收的4%。

Imperva 進一步提出6種GDPR的需求案例,包含資料探索與分類、 弱點評估分析管理、機敏資料稽核、跨境資料傳輸、資料遮罩與去連結化,以及漏洞偵測與事發即時反應。其中前四種需求均可用 SecureSphere;資料遮罩(匿名化)與去連結化可使用 Camouflage,漏洞偵測與事發即時反應則可使用 SecureSphere與 CounterBreach。

若將資安方案與合規條款進行對應,則 SecureSphere 可滿足25/32/33/35/44條款,CounterBreach 則可因應32/33條款,Camouflage 則為25/32/35條款。Imperva 亦提供GDPR檢查表,使企業可詳盡檢視其合規工作是否完善。

Imperva提供的GDPR檢查表,將產品方案與GDPR合規要求進行對應。

最後 Imperva 也提供GDPR的專業服務,包含dDnA(Data Discovery and Analysis,資料探索與分析)、pDnA(Project Discovery and Analysis,專案探索與分析)等。Imperva在台灣已有12年以上的在地深耕經驗,加上堅實的合作夥伴亞利安科技,可完整滿足企業的GDPR合規需求。

打造銀行生物辨識技術絕佳環境與應用

擁有二十多年金融業經驗的蓋特資訊總經理向可喜,已引領蓋特資訊獲得諸多客戶肯定與產業殊榮,其資安方案也已打入台灣八家銀行、香港兩家銀行,並在近期獲得馬來西亞第二大銀行的採用;在科技創新上也獲得台灣資策會IDEAS SHOW冠軍、新加坡Echelon Entreport Asia冠軍,並成為首家通過香港八達通NFC整合行動認證的廠商,其Software Token方案也獲得香港金管會HKMA審核許可。而今(2018年)蓋特資訊期望將人臉辨識系統打入金融業。

蓋特資訊總經理 向可喜

人臉辨識屬於生物特徵辨識的一種,舉凡生物特徵辨識就必須具備四項特性,一是普遍性,即人人皆具備的特性,如人臉、指紋、虹膜等;二是差異性,即人人皆有但必須各異,具獨一辨識性與不可重複;三是永久性,特徵必須長久不變或緩慢改變;四是可測性,即生物特徵是可以透過感測器、儀器測得其差異。

向可喜觀察全球人臉辨識應用,目前以大陸最引領,歐美及台灣跟進中,主要是大陸沒有明確規範因而積極發展,但台灣也不必妄自菲薄,如蓋特資訊在活體偵測上即有獨到之處,此技術在許多金融業客戶的技術評估中已獲驚艷迴響。

生物特徵辨識須合乎普遍性、差異性、永久性,以及可測性等四項特性。

人臉辨識在金融業能有多種應用,包含陌生人偵測、貴賓(Very Important Person, VIP)偵測、門禁管理等,進而衍生出動線追蹤、精準行銷等應用。過去台灣金融業對人臉辨識多採觀望,但科技與時代在變,金融業的態度已轉變。此外蓋特的人臉辨識技術只需要1.12秒的時間,即能在3,000萬張照片中比對出正確身份,效能相當出色。

金融業若期望導入人臉辨識,必然會在意生物特徵值的安全存放,對此蓋特已支援 Vormatric(2016年由Thales併購)及 Thales HSM(Hardware Secure Module,硬體加密模組)兩種方案,不過後者對於程式開發者較為方便,不需要改寫程式即可使用。

臉部辨識應用情境之一,可進行門禁管制或陌生人行經路線追蹤。

最後,向可喜認為蓋特資訊有三項優勢最能實現金融業的生物特徵辨識、人臉辨識方案,一是金融產品應用經驗豐富,如前所述已有二十多年經驗;二是技術掌握度高,辨識技術具有高自主性;三是客製化、彈性大,由於金融業以資訊安全為考量 ,多期望導入方案具有獨特性,因此客製不可或缺。而再加上Thales與亞利安科技的協助,方案導入將可更完美理想。

PDFSign與IoT資安解決方案

「許多人已在使用捷而思的文件防護功能卻不知。」捷而思(jrsys)公司董事長特助林雅雯解釋,如世界第二大PDF廠商 Foxit PDF 軟體,都已內嵌捷而思的 PDFSign 文件防護方案;而 PDFSign 也在去(2017)年獲得經濟部工業局金漾獎-雲端服務類第一名的殊榮。

以文件防護見長的捷而思分析文件電子化與否的優缺點,去年11月有一則新聞事件,新莊五股地區有人用假的紙本文件變賣他人土地,地政單位差點受騙,相對的若將文件電子化,不僅防偽能力高於紙本,文件處理時間也可以縮短、程序簡化、流程易於追蹤稽核等,整體成本更低且節能環保,這些效益均明顯有感。

捷而思董事長特助 林雅雯

捷而思PDFSign在防偽上支援多種簽核法,包含印鑑、手寫、中華電信的WebTrust,或生物特徵辨識的臉部辨識、指紋辨識等;稽核上也已合乎國內電子簽章法,方便稽核且合乎規範。

進一步的林雅雯也舉實際應用案例,一是運用於保險業的保單簽署上,透過網路投保系統,讓簽署者完成保單文件的下載、簽核、上傳等工作。另一同樣是保險業,但用於保險公司的批次性簽署,簽署後再回發給保戶,此運用也用及硬體安全模組(HSM),金鑰存放於模組內以提高簽核程序的安全度。

PDF文件加密應用之一,保險公司保戶簽收保單流程示意圖。

除了文件防護外,捷而思相同的PKI公私密金鑰技術也可用來強化物聯網應用的安全性,IoT系統若無資安防護則感測節點的分位有可能被竄改,閘道器可能被駭客入侵併竊取資訊,這若發生在醫療應用、車聯網應用將相當危險,加上GDPR法規對資訊外洩有多項重罰,這些均使企業不得不重視物聯網資安。

針對IoT資安防護捷而思提供了各環節的軟體開發套件(SDK),包含裝置端、閘道器端、雲端、行動端等,力求IoT設備、通訊網路、應用程式三者的安全,三者構成IoT防護的金三角。

物聯網安全均兼顧三個面向,即IoT設備、通訊網路,以及應用程式。

最後林雅雯也強調金鑰在整個資安系統中的重要性,有些設備商雖宣稱其IoT產品內已具備金鑰,但仔細辨別卻發現並非是獨一辨識的金鑰,這時安全性便有疑慮,建議在IoT佈建時,即使是沒有IP的裝置也導入識別憑證,而對於金鑰的保存更建議用Thales的HSM,如此IoT裝置與環境才能獲得全層面、全週期的高安全。

資料來源:網路資訊 

第 1 頁 / 共 8 頁12345678