Archive

Posts Tagged ‘安全性’

10 點不可忽視的智能城市保安策略!

June 14th, 2017 No comments

10 點不可忽視的智能城市保安策略!

甫剛結束的台北國際電腦展 COMPUTEX 2017 規劃有五大主題,而聚焦於「物聯網科技應用」的 SmarTEX展區更帶來眾多嶄新應用,其中有許多皆圍繞著智慧家庭與智慧城市主題。

聯合國曾預估 2050 年全球將會有逾六成以上的人們居住於都市區,現階段全球各地皆已積極投注於「智慧城市」的開發上,而早前趨勢科技發布的「Securing Smart Cities – Moving Toward Utopia with Security in Mind」的報告便提到了智慧科技的發展將伴隨著不可避免的資安危機,而這亦是未來政府及企業所需面對的重要課題。

趨勢科技前瞻資安威脅研究團隊(Forward-looking Threat Research, FTR)提供智慧城市網路資安十大要點,協助地方政府以及城市開發商檢視智慧城市的安全性:

1. 執行品質檢驗與滲透測試:為順利排除資料洩漏和系統失控等資安問題,智慧城市科技應採行嚴格的檢驗與測試標準,而地方政府機關除了雇用獨立運行滲透檢測的廠商,也應加強執行智慧科技的品質保證(Quality Assurance)與品質測試(Quality Testing)流程。

2. 提前研擬資安準則:無論是地方政府機關還是開發商都應與協力供應商建立「服務層級協議」(Service Level Agreements, SLAs),確立其應達成的資安標竿為何,例如保障居民的隱私資訊、建立 24 小時解決回報問題的應變團隊。

3. 建立專屬的應變團隊:當面臨涉及智慧應用的資安問題時,最好設置市府下轄的電腦緊急應變小組(Computer Emergency Response Team, CERT)或網路資安事件應變小組(Computer Security Incident Response Team, CSIRT)。

4. 確保軟體的定期更新:一旦智慧設備的軟體提供了新的版本,就應立即予以更新,且注意最好是以符合資安條件的方式進行,例如使用加密技術或是數位簽章認證方法。

5. 妥善計畫智慧基礎建設的使用年限:地方政府應該預先規劃如何處理過時的設備,也需提前因應廠商服務到期的狀況,尤其技術支援的終止可能導致嚴重的安全漏洞問題,且也應考慮智慧基礎建設是否會有年久失修、過度使用的風險。

6. 時時謹記隱私資料處理規範:於智慧城市中搜集得來的任何資料,都應使用去識別化與匿名處理,以保護城市居民的隱私權,而與智慧城市計畫不相關的資訊都應予以刪除,最後針對敏感資訊應限制存取權限。

7. 加密與限制公共的溝通管道:任何涉及敏感資料的溝通,無論是線上還是線下的管道都應予以加密,所有的智慧溝通系統都應至少使用一組帳戶密碼,或實行如一次性密碼、生物辨識等更強的認證機制,並且也應限制溝通管道以降低中控系統受駭的風險。

8. 準備手動操作備案:便利的智慧自動化系統也可能會有運行失靈的情況,因此應該提前準備好手動操作模式,以防遭遇網路斷線或駭客執行遠端操控的危機。

9. 設計容錯的系統:智慧城市應該要設計一種當某些元件發生故障或設計錯誤時,仍能維持正確運作的容錯系統,如此可避免一個小缺失造成整個系統當機、無法運行的狀況。

10. 確保基礎服務永續運作:即使不幸遭遇整個系統當機的情況,也應確保所有居民能夠即時與支援緊急狀況的技術團隊取得連繫,且確保居民皆能取得如電力與水這些重要資源,舉例來說一個完善的智慧城市必須隨時備有替代能源,以因應主要電力系統發生故障的情況。

隨著時間演變,未來城市將變得越來越聰明,人們經由科技來定義、存取、改善智慧城市服務和基礎架構的機會也越來越高;然而智慧化的趨勢也就越容易引來駭客的攻擊,因此資訊安全在保護智慧城市資源與公共建設的機密性、可用性與完整性,都扮演了巨大的角色,所以不論是從頭建造或是經由都市更新計畫建造的智慧城市,都必須兼顧功能和安全性,而市府機關與開發商謹記,智慧城市建造目的是為了服務人,故應以保障人的安全為最高準則。

以上資訊由www.hkitblog.com提供

企業有錢的話:多重身份認證+資料加密=保障資料安全

July 3rd, 2014 No comments

現時企業需要提升安全性,往往會考慮到部署不同的防火牆以及保安方案,這些方法固然能提升整體的網絡保安,不過假如企業有充足的資源,那針對檔案進行加密以及多重身份認證,相信對比起傳統的防禦方案可能更為直接;傳統的網絡防禦方案很多時針對著網絡的流量進行攔截,例如是 IP Table 便是一例,這些方案可有效進行防禦,例如防禦入侵性攻擊、DDoS 等等,因此這些方案不可或缺。

但現時的企業,除了著重於網絡上的防禦方案之外,更多時會考慮到的便是企業之中的機密資料的保密性,針對這方面問題,我們則可採取一些資料加密以及身份認證功能加以實現,事關資料已加密,即使外洩第三方亦無法得知加密資料的真正內容,這無疑地為敏感資料加上一層金鐘罩。

不過要部署一套完整的加密方案,企業要先提升基建的整體效能,完成之後更需要就加密方案進行部署,而這一切對於本身並未採用加密方案或多重身份認證方案的企業來說,其實亦是一項十分大的投資,所以要做到加密與多重身份認證兼備,企業的「水源」必須十分充足才可。

有關資料加密的數據筆者仍未掌握,因此接下來先為大家分享一下多重身份認證的相關討論。

多重身份認證加強存取保安

於是很多著重資料保密的企業,例如是金融業便願意以更多資源投放於部署加密以及多重身份認證的方案之上,這點我們可通過近日由 SafeNet 發表的研究報告得知。在 2014 年全球身份認證調查中,發現超過三分之一的機構現正使用多重身份認證(Multi-factor Authentication),較 2013 年結果上升,讓資料存取可於多種裝置及多個位置無縫及安全地進行。

調查結果顯示,越來越多企業正採用多重身份認證,並應用於更廣泛的工作模式中。調查結果與近期 451 Research 一份報告相近,揭示資料存取控制和身份認證是 IT 部門當前的難題及優先考慮的事項。外來惡意入侵者於 2013 年造成了 57% 的數據外洩,多重身份認證可減低非授權用戶存取敏感資料的風險,而另外透過不同的加密方案亦可確保資料安全性,同時更可讓員工在需要時存取企業資料。

多重身份認證獲廣泛應用,升幅明顯:

37% 機構正在為大部份員工採用多重身份認證,較往年 30% 多。
截至 2016 年,56% 機構期望大部份用戶將依賴多重身份認證。

雲身份認證認受性增加:

33% 機構表示他們趨向選擇以雲為本的身份認證,相比往年 21%,錄得 50% 升幅。
33% 機構現時對雲表示開放,以部署身份認證。

流動裝置上的多重身份認證:

逾 53% 受訪者稱流動裝置用戶在存取企業資料上受到限制。
在使用多重身份認證的流動裝置用戶中,(目前 22%)受訪者預計使用量將於 2016 年前增加至 33%,增長率為 30%。

成本及預算優次

451 Research 的報告顯示,身份認證及身份存取管理是保安項目中的優先考慮。然而,在 SafeNet 的身份認證調查中,近 40% 的受訪者並不知道他們的身份認證解決方案每年每用戶的成本,表示機構對於何為最具成本效益的方案欠缺認識;誤以為只要不在多重身份認證上額外花費便可節省成本,這將進一步誤導了負責 IT 預算的人員。而事實上,多重身份認證旨在減低認證成本及提高易用性。

以雲為本身份認證

員工對以其流動裝置連接企業網絡的需求增長,與機構對以雲為本的身份認證需求增加相連。今年,33% 公司表示他們趨向選用以雲為本的身份認證,比往年 20% 為多。

流動裝置上的身份認證

當在流動裝置上使用強勁的身份認證以存取公司資源時,大部份的回應都能歸類至榜上的兩端,顯示極端化的做法。接近 40% 表示少於 10% 的用戶要求使用強效的身份認證;超過 20% 建議 90% 至 100% 的用戶現時需要這樣做。有趣的是這些數字將於未來將有著顯著轉變﹕33% 預期 90% 至 100% 用戶將於未來兩年內需要強效的身份認證,而僅 15% 認為這需要將少於 10%。這代表流動裝置的身份認證日漸變得重要。

鑑於流動裝置身份認證的需求,進一步推動身份認證方法由硬件為本轉向至以軟件為本。調查顯示,軟件為本的身份認證使用率由 2013 年的 27% 上升至 2014 年的 40%,預測於 2016 年將會達至 50%。相反地,硬件為本的身份認證的使用率由 2013 年的 60% 下降至 2014 年的 41%。

以上資訊由www.hkitblog.com提供

2014 IT 趨勢將如何?網絡技術專家為你全面解讀

January 3rd, 2014 No comments

踏入年尾,又是回顧過去展望將來的時候。IT 技術專家 Patrick Hubbard 和 Lawrence Garvin 回顧他們在今年出席了大大小小的網絡行業會議和研討會,從中發現網絡界其實存在不少嚴重的問題和漏洞。

根據 Patrick 與 Lawrence 的分析,總括 2013 年,IT 方案及技術供應商的大肆宣傳不絕於耳,然而嶄新的技術發展或方案卻寥寥無幾。跨產品支援亦加快了虛擬化的進程,當中 MicrosoftHyper V 更成功佔得不容忽視的一席之地。而 BYOD 的安全性仍然是今年主要關注的問題,與此同時,第三方應用程式出現安全漏洞的問題亦逐漸受到業界關注。

總結 2013 年,Patrick 與 Lawrence 認為:

– 供應商對虛擬化SDN (自動防禦網路)、雲端計算等熱門技術大肆宣傳,但是在實質的技術或解決方案卻鮮有值得一提的發展。 – 互相競爭的供應商合作提供跨產品的支援和兼容性,大大提高 IT 經費預算的比例。例如,Cisco Unified Computing System (UCS) 與 VMware V-block 的整合,不但推動了桌面虛擬化的發展,亦擴大了 CiscoVMware 在中型網絡市場中的佔有率。 – Hyper V 推出之後,Microsoft 正式進軍虛擬化市場。因此,計畫實施虛擬化環境的企業或 IT 專業人士再也不能忽視 Hyper-V 的影響力。 – 更多的 IT 專業人士 (主要負責防火牆安全的專業人士及系統管理員) 開始了解第三方應用程式對網絡造成的漏洞和影響。在 2013 年,FlashJava 的安全漏洞事故有所增加,而 Microsoft 軟件更新的質素和頻率亦受到業界的指摘。事件使網絡管理員開始明白到不能繼續依賴大型供應商去處理安全漏洞和維持網絡安全。 – 企業似乎找到了破除 BYOD 使企業網絡安全置身兩難境地的良策:為員工提供預設應用程式和網絡存取權限的流動裝置,或者存取範圍較大並設置權限的訪客網絡。然而,隨著 BYOD 的安全問題不斷變化,不少企業開始擔心一旦網絡不法分子掌握越過訪客網絡的方法後將會發生的安全問題。

展望 2014 年,Patrick 與 Lawrence 認為網絡用戶將進一步要求透過更少的渠道獲得更多服務。儘管網絡的複雜程度日益增加,網絡故障則有望減少,使網絡視訊系統 (Tele-presence)、VoIP 和虛擬桌面基礎架構 (VDI)等的服務水平大大提升,WAN 效率有機會因而成為行內的新焦點。此外,虛擬化有機會在 2014 年會於桌面上獲得普及,進一步提升企業業務的靈活性,系統管理員將能因應網絡的應用程式設定性能水平。最後,Patrick 與 Lawrence 預期,一些集中攻擊訪客與企業網絡之間的間隙和防火牆的網絡罪行會在明年更趨嚴重。

網絡複雜性及結構

– 預料在 2014 年,企業用戶將要求透過相同的 IT 基礎設施/寬頻/連接獲取更多的服務。事實上,隨著網絡設備方案的品質不斷提升,網絡故障的次數亦相對減少,網絡管理員因此可以隨時隨地透過網絡監控來取得所需的資訊。可是,虛擬化的普及使網絡變得異常複雜,每當網絡中斷或發生故障時,相關的偵測將變得十分困難;相對地,行内能實際解決問題的專才卻寥寥無幾。

– 網絡視訊系統 (Tele-presence)、虛擬桌面基礎架構 (VDI) 和 VoIP 等服務需要一定的穩定性,連線等待的時間過長或延遲對服務質素產生巨大影響。然而,用戶仍然希望 VoIP/ 網絡視訊系統通話的質素能與固網電話的質素相媲美。因此,IT 專業人士將需透過硬件及監控設備實時管理網網絡中斷,並在軟件中進行失效備援,滿足用戶對 VoIP 的期望。

– 局部區域網絡 (LAN) 速度是一個經常談論卻缺乏重視的問題。隨著雲端資料儲存的普及和越來越多企業使用 SaaS 處理核心服務,預計 2014 的焦點將會重新落在如何提升 LAN 效率的議題上。

虛擬化/儲存

– 虛擬化不斷普及,並開始廣泛使用在不同規模和複雜程度的網絡基礎上。2014 年虛擬化的優點將擴大至桌面 (VDI)。由於 VDI 必須將桌面電腦及應用程式的成本考慮在內,因此能夠減輕的成本相比虛擬網絡為少。VDI 能為企業提高靈活的營運模式而無需額外投入大量的時間和資金,預期在 2014 年 VDI 的使用率將會創新高。 – Window 8 的推出以及停止對 XP 系統的支援是 IT 專業人士在 2014 年的另一關注點。由於 Microsoft 今後將不會對 XP 提供更新,基於安全理由,大型網絡無法再繼續使用缺乏技術支援的 XP 系統。由於 Window 8 的操作有別於 XP,因此企業的 IT 部門將會增加購買作業系統許可及培訓相關的額外支出。

應用程式監控

– 隨著越來越多的企業員工要求在流動裝置使用如 Sales for iPhone 的流動監控應用程式,網絡的複雜性將相應增加。因此,企業系統管理員有需要就基於網絡應用程式設定與內部網絡應用程式水準相符的性能標準,使 NetSuite 或 Sales Force 等應用程式能和 Outlook 一樣高效運行,滿足用戶的期望。

流動性/自帶裝置

– 若網絡不法分子成功進入訪客與企業網絡之間的間隙,後果可能非常嚴重。隨著流動裝置管理方案的演變,IT 專業人士可以在必要時遙控及刪除用戶的電郵或工作平台,同時保留員工的個人資料或資訊。

安全

– 防火牆受攻擊的問題日益嚴重。網絡管理員深知填補防火牆規則中漏洞的迫切需要,但由於駭客攻擊的手法日新月異,因此企業不得不依賴安全方案供應商的專業知識。由於市場上較少可靠的解決方案,供應商能提供的新方案更是寥寥可數,IT 專業人士在 2014 年需更注重內置自動掃描的設定及使用方法。

網絡管理員/系統管理員的技能組合

– 預計高級和初級網絡工程師的工作範疇差距將越來越大。高級網絡工程師必須充分了解如何管理不同地域的 IT 團隊,並且能夠制定節約營運成本計劃及協助管理層改善業務。由於 IT 為一切業務的核心,因此網絡管理員/系統管理員有著得天獨厚的優勢,既瞭解業務需求又知道如何根據總體業務目標調整 IT 資源。他們在業務轉變過程中舉足輕重,因此,在 2014 年網絡管理相關的工種將有機會增加。與此同時,CIO 將採取措施確保 IT 部門的自身業務價值,並努力將 IT 部門從企業的成本中心轉型為創新中心。

以上資訊由www.hkitblog.com提供

專家研新方法提升 cookies 安全性

July 5th, 2013 No comments

專家研新方法提升 cookies 安全性

一直以來,來自不同網址的 cookie 並不可共用,這全因安全性方面的考慮;儘管有人認為第三方 cookie 封鎖政策其實是頗為(麻煩)安全的,但此定律仍未曾因小部份的用戶(黑客)抱怨而讓步。

讓我舉個簡單例子吧。當你瀏覽了 abc.com,而該網站本身透過 cookie 存放/建立一個 aabbcc.com 的紀錄,為了安全考慮,基本上系統便會禁止有關 cookie 的存取行為,事關用戶瀏覽的是 abc.com,照理其建立的 cookie 內容應該來自 abc.com,而非來自另一個網址。

不過有些情況下,例如某家公司本身擁有兩個不同的網站,但卻因為某種原因(例如希望增加用戶方便性),因此夢想般的希望來自兩個完全不相同的 domain cookie 亦能互相兼容,從此令來自兩個不同 domain 的 cookie 仍可互相共用,幸好現時 cookie 仍未可共用,否則必定苦了一眾用戶。

如何區分那些是正常 cookie,那些是不正常 cookie?如何讓不同 domain 的 cookie 可在單一網站之中執行而不被封鎖,從而達到某些用途?為了達到最準確無誤及提升安全性,目前只可靠人手作檢查,而近日 Stanford 便開始為網絡上的 cookie 建立一個允許存取名單 Cookie Clearinghouse (CCH),透過名單將能確保所使用的 cookie 的安全性。

現時 Mozilla 與 Opera 正參與有關計劃,希望透過長期收集不同的 cookie 並加以分析,從而建立一個安全 cookie 名單。不過相信仍需一段時間大家才可見到有關功能被附加在瀏覽器之中。

以上資訊由www.hkitblog.com提供