為金融業打造安全順暢無線網路銷售環境 智慧應用 影音
太陽誘電株式會社
ST Microsite

為金融業打造安全順暢無線網路銷售環境

  • DIGITIMES企劃

Aruba, a Hewlett Packard Enterprise company資深技術經理王傑鋒。
Aruba, a Hewlett Packard Enterprise company資深技術經理王傑鋒。

對金融業而言,想要打造安全的營運環境,身分管理的重要性不言可喻。但由於現今的應用趨勢,銀行已經不能只是提供固定式的存取服務,而是要提供行動化的服務,想要建立一個安全順暢的無線網路銷售環境,考量自然也跟過去大不相同。

Aruba, a Hewlett Packard Enterprise company資深技術經理王傑鋒指出,以前是客戶到銀行,再到固定的位置,接受理專或臨櫃人員提供的服務,所以資安管理的對象,也是以這些理專或臨櫃人員所使用的設備為主,但當這些人員可以透過行動設備提供產品說明時,這些行動設備安不安全,便成為IT管理者必須要思考的重要課題。

王傑鋒指出,為了要連上銀行網路的使用者,真的是合法的使用者,憑證管理變得相當重要,如只要在行動設備上加裝Aruba網路安全解決方案,使用者即可拿到私人的憑證,而且不只是銀行內部的網路,透過3G/4G行動網路,使用者一樣可以執行個人私有憑證,順利連上銀行網路,提供商品資訊。

王傑鋒表示,現有的網路加密技術中,得到美國國家安全局(National Security Agency;NSA)推薦的技術可分為Suite A(Type-1)及Suite B兩種,由於Suite A需要在每個設備上加裝加解密裝置,成本會變得很高,Suite B則因為可讓更多設備可以更快速、更安全的存取資訊,而且符合法規,雜亂加密的技術可達256 bit,幾乎無法破解。

但王傑鋒也指出,如果銀行內部使用WPA2,就有了第一層加密,再由Aruba提供第二層加密,在設備上安裝憑證,完成身分認證後,才能得到授權。

此外,行動設備不但要加密及身分認證等保護外,還要考慮授權管理,不能只是讓使用者通過與不過而已,還需要掌握每一個人使用的應用程式,才能知道這個人在做什麼,可以控制應用程式的哪些功能。

如Aruba的防火牆設備的加密技術,可以做到直接從Client端,加密到控制器端,讓防火牆可以擋在網路及每一個使用者之間,而且只要用戶的行為改變,就能夠隨時因應改變用戶的使用權限,以避免資安威脅。如果理專要外出去客戶端的話,只要行動設備有安裝Aruba網路安全解決方案,也可以透過VPN按鈕,快速即時的進入銀行內部網路。

如此一來,理財專員就不再需要有固定位置,金融機構也可因此實現臨櫃無紙化的作業情境。但王傑鋒指出,即使是在行內使用設備,只要設備被植入後門程式,仍會成為安全漏洞。

事實上,現在的安全威脅,常常是來自內部,因此資安防禦不能只是考慮防火牆,包括閘道器、控制器等都必須做好協同主動防禦。如在監控資料流量時,必須要能掌握每一個人的使用行為,而且因為現在一個人使用的設備可能不只一種,所以連正在使用什麼設備都得掌握,而且還要考量網路控管可能沒有考慮到的設備端狀況,如USB有沒有被非法介接等。

但王傑鋒指出,只是控制設備還不夠,還要能控制網路語境(Network Context),以前的防火牆可能只會知道通過的IP是什麼,但現在每一個訪客都會有自己的IP,而且都可以控管使用的狀況,只要能夠知道是哪一個人用哪一個設備,就可以做到即時阻擋,甚至可以掌握有無安裝非法的APP。

王傑鋒強調,每一個人登入無線網路時,都需要通過身分認證,然後透過Aruba ClearPass Context Shared讓防火牆掌握使用者名稱,可以依據使用者執行不同的權限控管, 根據不同的狀況,掌握不同的威脅狀態,還可以知道弱點的狀態,進行即時防禦,擋住特定來源的攻擊。