技術交流

善用公開金鑰機制，強化企業內部資安控管

李孟展

隨著企業網路愈來愈普及，以及受到網際網路電子商務的影響，企業的資訊系統也都紛紛走向Web化，供員工透過內部網路連線使用。但由於新舊系統間在身份授權沒有統整，各自擁有獨立的帳號權限，以致於員工在使用這些系統都必需去記憶各別系統相對應之帳號密碼，徒增作業手續。一旦遺忘或輸入錯誤被停權，免不了又是重新申請的程序。在管理方面，系統管理者很難控管各系統之資訊安全及帳號的一致性，無法同時通知所有系統將該使用者刪除，通知了也未必刪除，造成即使人員離職一陣子了，還能繼續上線使用某些系統。因此許多政府機關和企業開始採用單一簽入機制來解決這些問題。

但是由於目前的單一簽入伺服器採用的做法都是「一次登入、代送帳號密碼或用戶線上代碼(UID)」的方式。便利性達到了，卻增加了風險

• 企業在內部網路的存取管控不若對外連線來得嚴謹縝密，鮮少針對員工網路使用進行身份與行為稽查，因此在內部網路進行封包攔截竊聽或身份偽裝難度都比從外部網路低很多。
• 目前也證明透過一些在網際路流傳的木馬程式或監聽攔截程式，可以輕易就攔截企業內部網路的帳號密碼資料。一旦使用者連線應用系統的過程中被截獲帳號密碼或是用戶線上代碼，通常直接重送封包即可以該使用者身份進入系統帳號及密碼截取。
• 採用代送帳號密碼的單一登入服務伺服器通常記錄所有使用者在各系統的帳號密碼，資料之存放通常未加密或輔以另一個密碼來加密儲存，直接取得或破解難度低。一旦資料庫被濫權的系統管理者、離職員工或系統委外廠商入侵，則等於所有的資訊系統的門戶洞開。
• 傳統之單一簽入很難面面俱到，不是所有的系統都是Web base 網頁軟體，也不是所有的系統均可透過URL控管來達成安全的管控，跨程式語言、跨作業平台等的應用系統整合均是一大問題。

如此一來，一旦單一簽入服務伺服器被攻破，就變成了惡意入侵者的萬能鑰匙，讓駭客可以更輕鬆以Robot程式對企業內各資訊系統進行存取。以前駭客要每個系統個別擊破曠日費時，現在有了不安全的單一簽入系統，反而駭客們如虎添翼！

以資通輔導過的案例，某政府單位內部入口網站之前所使用URL夾帶帳號密碼，讓使用者登入應用系統一。經實驗證明，透過內部網路攔截URL連線抓取帳號密碼，不但順利進入應用系統一，更由於使用者帳號密碼設一致的原因，連帶順利登入其他原本沒有權限登入的應用系統！

除了資訊系統連線控管的安全問題之外，另外一個日益嚴重的問題就是公司文件保全的問題。許多公司視為資產甚至於賴以生存的重要資料如商業合約，客戶名單基本資料、程式原始碼、設計圖稿……等，其存放的位置都相當不安全，甚至是公用電腦或網路硬碟目錄，任何有心人要取走並帶出公司也很難被事前攔下。今日的個人隨身儲存設備體積越來越小，式樣越來越多樣，容量越來越大、手機功能也越來越強大，單靠保全檢查很難滴水不漏。往往一不留神，企業重要的文件合約或智慧財產就流出，造成企業或客戶的重大損失。例如:某購物頻道由於內部控管問題，被員工竊走客戶資料，轉給詐騙集團假扮該購物頻道客服對客戶進行詐騙犯罪；某電信業者離職主管將公司系統資料帶出公司後另起爐灶，並且反過來跟原公司削價兢爭挖走客戶；某公司業務將公司投標文件產品規格報價等洩露給兢標同業，事發後辯稱個人筆記型電腦遭竊，藉以逃避法律責任。

上述的資安問題在現實商業環境層出不窮，一旦內部單一簽入服務的弱點以及敏感資訊無法積極控管的問題遭受有心人的攻擊突破，即使多年投資相當多的資金在對外網路安全與病毒防護的軟硬體，也是枉然。資通電腦在多年來參與多項政府機關與金融機構的資安建置後，深刻體會客戶在內部資安控管的薄弱與潛在問題。因此以本身在公開金鑰機制的多年研發以及建置經驗為基礎，發展出uIAM單一簽入身分識別與存取管理系統以及SecueDoc文件保全(uFSS機密檔案控管)系統，以協助政府和企業解決這二項頭痛的內部資安漏洞。

uIAM單一簽入身分識別

資通電腦的uIAM單一簽入身分識別與存取管理系統採取的作法如下

• 網路上只傳遞帳號，不傳密碼: 只傳送帳號至單一簽入伺服器，透過Challenge / Response方式進行認證，密碼只存在在於本機，不會透過網路傳送出去，網路上的竊聽者，完全無法利用截取封包方式來取得密碼，嚴密確保資通安全。
• 提供嚴謹之PKI電子簽章認證機制: 達到更高安全等級之認證，非本人無法偽裝身份。
• 不代送任何帳號及密碼至其他應用系統: 完全避免被網路截取之問題。
• 應用系統間不使用共享之帳號資訊: 任何應用系統間，絕不傳遞相同之共享帳號資訊，不傳遞共同之Session資訊、不共同存取相同之資料庫來交換使用者資訊，避免駭客或高權限之應用系統管理者遊走於各系統間，同時避免因單一系統被駭而瓦解整個資安體系。

此外，uIAM更針對應用系統也採取使用認證來辨認和分隔。所有應用系統均需認證，且完全遵循相同且一致之認證機制，確保所有應用系統均達到相同之高安全等級。使用者與uIAM單一簽入伺服主機及各單獨之應用系統間，形成個別獨立之認證、授權機制，確保個別應用系統使用上的機密性，絕不會因單一系統受駭客入侵，而瓦解了整套安全機制。所有訊息均加密且內含時戳等訊息，防止重送攻擊。進行雙向認證的機制，更能防止Man-in-the-middle-attacks中間人攻擊攻擊。

uIAM更除了支援跨多個Web Sites、跨領域之認證與授權之外，也支援不同作業平台、不同程式語言所開發之資訊系統均可以與uIAM整合，即使是複雜的異質性作業環境也能迎刃而解。

至於SecueDoc文件保全(uFSS機密檔案控管)系統，則對於政府和企業最敏感的文件採用PKI技術進行加密，對於文件的存取動作都進行驗證動作。因為有認證記錄留下，誰進來過、拿過哪些檔案，均加以存證，事後完全無法否認。有權限取檔的人，才可以下載檔案至個人端並使用智慧卡解開後，進行編修、改作及使用。檔案編修完成會先加密後才從電腦上傳至伺服器。因為採用個人憑證加以加密保護，解密要花300萬年完全不怕網路上攔劫盜取。即使被不合法的人帶到不合法的地點，也無法加以解密還原。

依據資策會資訊市場情報中心的調查顯示，2007年台灣大型企業對於資訊安全軟硬體及服務的平均投資金額達90.8萬元，與 2006年相較成長6.9%。今年更預估會有12.4%的大型企業會增加對於資訊安全的投資。但企業針對資訊安全主要還是多著重在對外防護，對內部網路的控管卻仍然薄弱且不嚴謹。除了防堵來自外界的資安威脅以外，企業也應該多花注意力在內部資訊系統操作過程以及資料文件的保全監控。而使用成熟的公開金鑰機制來強化企業既有資訊系統以及資安環境是最有效且符合效益的投資。企業主管或資安單位若能在環境與資產上多加利用此一技術，則必能強化補全資訊安全，保障公司資產免受日益猖獗的電腦犯罪耍威脅。