身份认证技术及资讯安全.PDF

身份認證技術與資訊安全 前言 隨著網路技術之蓬勃發展，電腦應用和網際網路日益普及，在現今的環境中，一般的商務行為模式隨著 相關應用逐漸在改變中。但是在享受著電腦和網路便利的同時，是否也應該注意到這一點，企業中應用的安 全標準也是必須隨之提昇改變的。 以 Internet應用為例，它已不只是做為傳遞信息和通知的用途而已，現今更多的商務信息和重要的商業資 料以它做為溝通的工具。Internet已不僅僅只是單純的傳播用途而已，在軟體的應用和電子商務上更蘊藏了更 大的發展空間以及商機。例如虛擬企業網路VPN 技術的發展，更是將 Internet轉變為公司的可應用資源，藉 由此項技術，可將企業網路應用的範圍擴展至無限的空間。 但是以現今網路應用的情形來看，雖然國內企業透過專屬線路或網際網路與上下游廠商來往的比例，呈 現倍數成長；不過，國內企業普遍認為，外在環境及本身營運需求面仍存在著許多待克服的瓶頸，其中，網 路交易安全列名首位。而且根據資策會接受經濟部商業司計畫委託的調查發現，從環境來看，網路交易的安 全性是國內企業在導入 B2B 或 B2C 電子商務時的最大疑慮。 因而應用資訊的安全性是進行電子商務行為的首要考量，相關的技術如：加/解密技術，防火牆技術，虛 擬企業網路以及數位憑證等設計，都是為了改善安全架構中可能的缺失。而且根據研究顯示，大約有 1 / 3以 上的企業機構在過去一年中提出報告指出遭受到非法的網路攻擊，並且蒙受大小不一的損失。而近乎所有的 企業網路都有受攻擊的經驗，這些非法行為，可能是內部未授權的使用者或者是外部有心人士所引起的，而 且損失的人力、物力有越來越高的趨勢，這些事件包括了未授權使用者進入、機密資訊被竊取、系統運作受 阻、被安置木馬程式或病毒等等。可是以現今的環境評估並沒有單一的方法或機制可以遏止所有的網路攻擊 事件，以最常見的病毒攻擊為例，約有 90%以上的企業體或個人曾經受到病毒影響。 近日時有所聞的網站攻擊、盜取機密資料的犯罪事件 附件一 更凸顯網路安全的問題，如何確保網路系 統之安全以及確認使用者身份，是所有資訊應用所必須考慮的，網路之安控已成為廿一世紀網路應用不可或 缺的一環。 企業應用的安全考量 根據研究顯示，在企業應用環境中會遭遇的安全考量情形，大致上可能有以下幾點： 1.目前企業的各種資源，例如各個電腦應用系統程式，門禁管理系統、大型電腦主機等，各有各自的人 員控管系統，彼此互相不能溝通，帶給使用者不方便及安全上的弱點。常見的問題是一個人要記憶保存太多 的密碼，很不方便，或為求方便，到處都使用同一密碼，造成不安全。 2.由於通訊技術的快速發展，公司內部的資訊資源，希望能透過各種通訊技術，充分地讓有權使用的人 充份利用 。不論通訊技術是使用專屬的線路，例如專線電話、公司內部網路，或者是公開的網路，例如網際 網路、手機 WAP 、一般電話等有線或無線的網路設備。只要是授權使用的人，不論身在何處，應該都能運用 身邊可用的通訊器材，適當且充份地運用公司資源。因此相對的就要杜絕惡意或非法授權人員的行為，才能 保護資訊資源。 3.企業與其往來企業或客戶之間 ，透過通訊技術達成各種交易的機會愈來愈多，此即所謂的電子商務應 用，此種交易亦可稱為電子交易(E-Commerce)。在履行電子交易之前必須先由交易雙方互相確認對方身份， 交易之後，雙方必須不可否認自己的承諾 ，方能保障雙方權益。 由以上幾點可以知道，不論是安全電子訊息，網路應用，電子商務以及公司內/外部網路應用，都需要有 強力的使用者身份認證機制，才能確保其中的安全性及可行性。也唯有對使用者的身份確切掌握，才能確保 資訊的私密性，鑑定性，完整性的要求，以及使用者登出入控管跟活動紀錄的功能。 身份認證是網路安全的關鍵 在一般的使用者身份識別應用方面，企業體對於屬員工，或經常往來對象及客戶，可由企業自行發出一 種身份識別工具，對於一般交易對象，則需要藉由一個雙方均可信任的第三者，發出身份識別工具。通常用 以識別身份的方式為： 1.腦筋記住某個東西，例如密碼、生日等。 2.手中握有某樣東西，例如印章、一般磁卡(如提款卡、信用卡..)等。 3.身上的某樣東西或習性，例如指紋、簽字、筆跡等。 當然，身分識別工具應具有不可複製及防偽等功能。企業應依其需要或個別安全程度需求，選擇一種或 多種身份識別工具進行。身份識別，若使用前述三種方式的兩種為之，稱之為二維身份認證，例如卡片加上 密碼。 二維身份認證的方式，一方面不會太複雜，一方面又較安全，是目前常用及被廣泛接受