為金融業打造安全順暢無線網路銷售環境

Aruba, a Hewlett Packard Enterprise company資深技術經理王傑鋒。

對金融業而言，想要打造安全的營運環境，身分管理的重要性不言可喻。但由於現今的應用趨勢，銀行已經不能只是提供固定式的存取服務，而是要提供行動化的服務，想要建立一個安全順暢的無線網路銷售環境，考量自然也跟過去大不相同。

Aruba, a Hewlett Packard Enterprise company資深技術經理王傑鋒指出，以前是客戶到銀行，再到固定的位置，接受理專或臨櫃人員提供的服務，所以資安管理的對象，也是以這些理專或臨櫃人員所使用的設備為主，但當這些人員可以透過行動設備提供產品說明時，這些行動設備安不安全，便成為IT管理者必須要思考的重要課題。

王傑鋒指出，為了要連上銀行網路的使用者，真的是合法的使用者，憑證管理變得相當重要，如只要在行動設備上加裝Aruba網路安全解決方案，使用者即可拿到私人的憑證，而且不只是銀行內部的網路，透過3G/4G行動網路，使用者一樣可以執行個人私有憑證，順利連上銀行網路，提供商品資訊。

王傑鋒表示，現有的網路加密技術中，得到美國國家安全局(National Security Agency；NSA)推薦的技術可分為Suite A(Type-1)及Suite B兩種，由於Suite A需要在每個設備上加裝加解密裝置，成本會變得很高，Suite B則因為可讓更多設備可以更快速、更安全的存取資訊，而且符合法規，雜亂加密的技術可達256 bit，幾乎無法破解。

但王傑鋒也指出，如果銀行內部使用WPA2，就有了第一層加密，再由Aruba提供第二層加密，在設備上安裝憑證，完成身分認證後，才能得到授權。

此外，行動設備不但要加密及身分認證等保護外，還要考慮授權管理，不能只是讓使用者通過與不過而已，還需要掌握每一個人使用的應用程式，才能知道這個人在做什麼，可以控制應用程式的哪些功能。

如Aruba的防火牆設備的加密技術，可以做到直接從Client端，加密到控制器端，讓防火牆可以擋在網路及每一個使用者之間，而且只要用戶的行為改變，就能夠隨時因應改變用戶的使用權限，以避免資安威脅。如果理專要外出去客戶端的話，只要行動設備有安裝Aruba網路安全解決方案，也可以透過VPN按鈕，快速即時的進入銀行內部網路。

如此一來，理財專員就不再需要有固定位置，金融機構也可因此實現臨櫃無紙化的作業情境。但王傑鋒指出，即使是在行內使用設備，只要設備被植入後門程式，仍會成為安全漏洞。

事實上，現在的安全威脅，常常是來自內部，因此資安防禦不能只是考慮防火牆，包括閘道器、控制器等都必須做好協同主動防禦。如在監控資料流量時，必須要能掌握每一個人的使用行為，而且因為現在一個人使用的設備可能不只一種，所以連正在使用什麼設備都得掌握，而且還要考量網路控管可能沒有考慮到的設備端狀況，如USB有沒有被非法介接等。

但王傑鋒指出，只是控制設備還不夠，還要能控制網路語境(Network Context)，以前的防火牆可能只會知道通過的IP是什麼，但現在每一個訪客都會有自己的IP，而且都可以控管使用的狀況，只要能夠知道是哪一個人用哪一個設備，就可以做到即時阻擋，甚至可以掌握有無安裝非法的APP。

王傑鋒強調，每一個人登入無線網路時，都需要通過身分認證，然後透過Aruba ClearPass Context Shared讓防火牆掌握使用者名稱，可以依據使用者執行不同的權限控管， 根據不同的狀況，掌握不同的威脅狀態，還可以知道弱點的狀態，進行即時防禦，擋住特定來源的攻擊。