[原創] 電子商務安全保障 - 加密與認證

日期: 2000年2月23日
作者: Stephen Lin (stephen930@hotmail.com)
曾發表於電子時報/商業周刊
目前文章只發表於數位男女http://bbs.mychat.to
-嚴禁轉貼-

自一九九七年七月美國政府發表「電子商務白皮書」開始, 帶動了全球電子商務熱潮, 且正以極快的速度改變大眾的日常生活型態, 傳統的交易模式亦跟著產生了改革的效應. 經各方民調顯示, 電子商務持續高度運用與成長, 而非僅止於流行趨勢. 電子商務廣義來說是包括企業內部(Intranet), 企業對企業(B2B), 企業對消費者(B2C), 甚至消費者對消費者(C2C), 其所包含的範圍與商機可說是有著無限寬廣的機會, 這也是大批各行各業的人往這個方向行進的原因之一.

雖然電子商務已掀起了一陣風潮, 但在網路上遭受攻擊或資料被竊取事件在現代高科技時代依然不斷重覆發生, 這是因為一般網際網路使用者與網站都缺乏對攻擊事件的警戒心與防範, 導致許多的知名網路遭受駭客攻擊多次後仍無法有效的改善.

資料加密傳遞在過去十九世紀早已是個普及的機密傳遞方法, 但是在現代資訊暴炸, 高科技人才濟濟的時代, 光是資料加密畢竟還是不夠的. 一般大眾對資訊安全的基本認知才是首要課題.

by here2dl

[原創] 關於網路駭客攻擊事件的防護

日期: 2000年3月30日
作者: Stephen Lin (stephen930@hotmail.com)
曾發表於電子時報/商業周刊
目前文章只發表於數位男女http://bbs.mychat.to
-嚴禁轉貼-

近日來, 各種網路攻擊事件卻造成許多知名網站服務停擺, 甚至在昨日(2/16)美國總統柯林頓所舉辦的網路記者會都遭人侵入假冒柯林頓總統發言, 使許多人開始關心到且質疑網路的安全性, 甚至擔心日後在網路上的資料安全性. 根據美國國防部調查報告指出, 有超過58%的電腦侵害來自網際網路, 而且這些攻擊平均每一次都會造成總損失約超過50萬美元. 美國國防部更進一步評估顯示, 64%被非法侵入的電腦當中只有4%的入侵者有被發現.

其實只要對這些功擊有些許概念, 或許就不會如此擔憂了. 其實一般駭客都會選擇一些粹弱及防護不佳的攻擊目標, 使用重複的垃圾資料以極快的速度大量傳送到被害者的電腦, 來造成電腦負荷過量而癱瘓. 舉例說明: 一般人傳送一封電子郵件時, 約須要5至10分鐘來輸入信件內容與收件者地址, 假使說這世上真的有超人的存在, 而他也寫電子信件, 那麼他可以使用千分之一秒的時間來完成這些一般人需要花費5分鐘的信件, 並且一直不間斷的以每秒送出一千封信持續進行, 那麼收信方的電腦將會無法瞬間處理如此龐大數量且不間斷的傳送而導致癱瘓. 當然這世上沒有這種人存在, 但是, 有心人士卻可使用這種概念寫出一種能達到相同目地的軟體來破壞被害者電腦.

當使用者在傳遞重要訊息(如信用卡號碼或其他機密資訊)和資料時, 駭客也將可利用網際網路的公開性, 刻意在某個購物網站, 網路銀行或其他商業網站外等候, 續而從中竊取與複製使用者將傳送給對方電腦的機密訊息與文件, 而造成使用者之機密訊息被公開與加以利用, 形成了不可彌補的損失. 在這些情況下如果電腦本身擁有一個有機智防護功能與資料文件加密保護的設備與軟體, 將能有效的辨別哪些資料是正確安全的資料, 哪些是屬於惡意破壞的資料, 而達到阻止駭客進行電腦癱瘓行動或是竊取機密文件資料的動作. 雖然一般來說, 部份網路用戶會使用防火牆來嚇阻此類型的攻擊, 但事實上並沒有任何防火牆能有效防止駭客攻擊. 由此可見, 審慎考量電腦安全維護與選擇網路安全技術設備也是很重要的.
目前全世界並沒有任何網路資訊安全科技公司能有效的防範駭客攻擊, 但上網的普及性已達到小至一般民眾上網查詢資料,購物與處理一般銀行業務, 大者有企業上網進行商業交易與資料傳輸, 如果網路安全性仍然如此不堪一擊, 那麼有心人士將可利用取得到的機密資料來做為不法的用途.

by here2dl

[原創] VPN市場預估 (中文/英文)

日期: 2000年8月至2001年2月
作者: Stephen Lin (stephen930@hotmail.com)
曾發表於ICRT美軍廣播電台新聞中(Aug.2000~Feb.2001)
目前文章只發表於數位男女http://bbs.mychat.to
-嚴禁轉貼-

What’s the future market potential for VPN—Virtual Private Network? According to recent statistics, nearly one-third of Americans spent part of their work day dialing onto the Internet to get their job done—and this number is predicted to skyrocket in the near future.

VPN，也就是虛擬私有網路，未來的市場潛力究竟有多大？根據統計，美國目前有將近三分之一的人口，每天必須使用遠端登錄的方式來進行他們的工作，而且這個比例將在短期內迅速增加。

According to a study from the Gartner Group, the VPN market is expected to jump from 200-million in 1997, up to a whopping 11-billion dollars in the year 2001. These numbers reflect a simple fact—that VPN’s provide the corporate world with real business advantages. And, the size of this vast potential market comes as no surprise. By providing secure access to a company’s computer network from anywhere in the world over a dial-up Internet connection, VPN’s provide real benefits that you can’t live without.  

根據Gartner Group調查公司的預估，虛擬私有網路的市場，將由1997年的兩億五百萬美元，擴展到2001年的一百一十九億美元，可見VPN在企業網路連結上所能引發的實際商業利益，將十分可觀。事實上，只要稍加思考，這樣龐大的市場潛力其實一點也不令人意外。對於能夠從任何地點，透過Internet登入企業內部網路，執行安全的連結，這裡面絕對有可觀的市場利益。

by here2dl

[原創] 更深入VPN原理 (中文/英文)

日期: 2000年8月至2001年2月
作者: Stephen Lin (stephen930@hotmail.com)
曾發表於ICRT美軍廣播電台每日新聞中(Aug.2000~Feb.2001)
目前文章只發表於數位男女http://bbs.mychat.to
-嚴禁轉貼-

The Internet can be full of danger. Don’t kid yourself into believing that just because you have a Virtual Private Network, or that you’re behind a firewall, that you’re safe from mischief-makers. The truth is that no firewall is 100-percent safe r—nor is any online security company able to promise complete protection against penetration or sabotage from determined hackers.

網路上是危機四伏的。不要以為有使用VPN或是防火牆軟體，在網際網路上就可以高枕無憂。事實上，沒有任何一個防火牆軟體能完全有效地防止駭客攻擊，目前世界上也沒有任何一家網路資訊安全科技公司，能有效的防範駭客攻擊。

The core concept behind a VPN is to encrypt all data before it’s sent out over the Internet. And, the more complicated the encryption method, the more difficult it is to crack. But even so-called “strong” encryption doesn’t mean your home free—it just means the hacker will need more time to complete the dirty work. So for the greatest degree of safety, make sure your company adequately evaluates its security needs—and then selects the optimal hardware, software and encryption protocols to those needs.

VPN的核心原理是將資料加密後傳給對方；加密方式越複雜，資料就越難解開，但並不表示無法竊取資料，只是要多花一點時間罷了。因此，不是有了VPN設備或防火牆軟體就夠了。企業必須針對自己的需求，選擇適合的設備、軟體、以及加密的功能，對症下藥，才能有效防範外來的破壞。

by here2dl

[原創] 網路安全議題

日期: 2000年8月29日
作者: Stephen Lin (stephen930@hotmail.com)
曾發表於電子時報/商業周刊
目前文章只發表於數位男女http://bbs.mychat.to
-嚴禁轉貼-

子目錄包括:
- 何謂虛擬私有網路
- IPSec與其他VPN協定的差異
- IPSec的原理與處理方式
- VPN替企業資訊部門節省大量開銷
- VPN 的市場利益令人期待
- 企業真的需要VPN嗎？

網路安全議題大致可從用戶端(client)和伺服端(server) ,或稱為服務提供者(service provider or content provider), 兩個部份來探討， 用戶端登入網路時, 經常會擔心密碼是否會被盜用, 電子信箱是否會受到郵件炸彈的攻擊, 進行線上購物時, 信用卡資料是否會被竊取盜刷, 甚至存款被非法盜領， 而伺服端所擔心的, 則是非法入侵, 網頁遭篡改, 或是系統受到攻擊而癱瘓， 要防止這些事情發生, 網路上的資料傳輸最好要有加密和身分確認的功能。
,
不幸地, 一般在公眾網路上的資料傳輸, 大都是以未加密的型態來進行傳送, 因此駭客可以輕易的截取其中通行的資料, 加以分析後, 進行非法的活動， 正因安全性有所顧慮, 因此傳統上企業相互連線時, 大部份會採取專線連結的方式， 其主要的目的, 是要確保網路傳輸的安全性和傳輸的速度要求， 但這卻不是一般企業所能享有的方式，畢竟專線的連結, 是要支付龐大的費用, 不是所有的企業都能負擔得起的。

網際網路(Internet)風行之後, 企業資料傳輸的需求大增, 因此有人就想到: 為什麼不利用加解密和身分確認的技術,在網際網路上建構一條兩台電腦間的虛擬的專線連結, 以作為機密資料傳輸之用, 虛擬私有網路(Virtual Private Network, 簡稱VPN)的觀念就此誕生了。

何謂虛擬私有網路

虛擬私有網路(VPN)是架構在網際網路上, 實行的一種專屬私有網路， 其意義是在公眾網路中，開闢一條用戶私人專屬的保密通道，就如同在馬路上開闢一條公車專用道般，這條通道會提供用戶在認證及加密上的安全防護，避免用戶資料外洩或遭受攻擊。

VPN將加解密和身分確認的技術應用於網際網路上, 並與通信及電腦的技術結合,形成所謂的智慧型網路. 配合各種電腦基礎設備, 不論是傳統的電腦連線方式, 或纜線數據服務(cable service), 亦或利用既有的電信傳輸媒介而發展出的ADSL系統, VPN均能與之配合, 提供電腦用戶更多便捷與多樣化的新穎電信與資訊服務, 達到安全經濟的網路環境要求.

VPN技術不僅可應用於網際網路業，亦可直接應用於個人電腦及應用軟體上， 因為完善的電子商務機制必需要讓每一部電腦在上網時都能得到安全保障，在這種要求下, 用戶只需在電腦上加裝VPN軟體或VPN網路卡，就能確保在瀏覽網站或購物時的交易資料及私人訊息得到安全保護。

VPN的架構, 如圖一所示. 由圖上可以看出, 企業Headquarter, Branches, 與Remote Users間, 可視需要在網際網路上，利用VPN技術建構一條安全傳輸通道, 以傳輸私密資料.

前一陣子國內才破獲一樁首見的假冒網路銀行詐財事件，由此可知，隨著網路交易的日漸頻繁，使用者透過網路進行交易，應如何兼顧安全保障，避免自身利益的損失，已是網際網路的重要課題。而VPN機制除了解決以上安全疑慮外，其亦可解決企業跨國管理的一些問題。例如：跨國企業在構築企業之間的連線時，為了安全因素傳統上多半會架設專線，但專線費用十分昂貴，利用VPN便能解決此一問題。又如：分散在世界各地的員工，透過電腦或其他連線裝置，每天一開機，便可利用VPN, 透過Internet和企業總部建立一條安全通道，將一天的工作計劃及目前進度回報給總公司。相同的情形一樣可以應用在企業的財務、配銷、庫存管理、出貨時間，甚至生產管理等，VPN的發展使得以往由於費用因素(幾乎是天文數字的建構維護費用)僅能被應用於大型國際企業的全球運籌管理模式, 現在中小企業就有能力建置實施。

IPSec與其他VPN協定的差異

近年來網際網路工作小組IETF制定了四項較為知名的VPN通訊協定，其中有三項是應用在OSI模型中的第二層 (Data-Link layer, 資料連結層)，分別是L2F (Layer 2 Forwarding) Protocol、PPTP (Point-to-Point Tunneling Protocol) 和L2TP (Layer 2 Tunneling Protocol)，唯一在第三層的VPN通訊協定就是Internet Protocol Security，簡稱IPSec。

不論是那一種VPN協定，都可以建立一個虛擬私有通道，例如PPTP使用GRE(Generic Routing Encapsulation)協定來打包加密其資料封包，同樣的，IPSec和L2F及L2TP也有自己的資料加密方式。

在各項協定中，其所扮演的保護角色，不論是身份認證或資料加解密，事實上是有差異的，就以PPTP和L2F來說，這兩項協定提供有限的端點連結和較弱身份認證及加解密方法，相互比較之下，IPSec提供的功能，不但多樣而且更為強大。舉例而言：IPSec不侷限於連線的方式 (如前述二者之通訊協定為撥接方式)，亦即不論撥接上網、ISDN上網，以致於時下最熱門的寬頻上網，只要可連線上網際網路的上網方式幾乎都可採用IPSec。其次，IPSec在加解密功能上更展現其多樣特性，例如：用以確認身份的「電子簽章認證」 (Digital Certificates) 和功能顯著的加密技術Triple DES，都是前二者所無法比擬的。至於L2TP，該協定根源自PPTP和L2F，雖然支援較多的連結功能，但其所有的認證及加解密方式，在IPSec中全部涵括。因此IPSec為目前最熱門的VPN方式.

IPSec的原理與處理方式

比較過PPTP、L2F、L2TP與IPSec之後，讓我們進一步探討IPSec。

由於網際網路缺乏網路層的安全機制標準, 使用者被迫使用專屬的通訊協定, 但不同的廠商所提供的產品規格又都不同. 為了解決這個問題, 網際網路工作小組IETF特別推動一套稱為IPSec的標準,其目的就是要建立在網路層之下安全機制的標準化和共通性.

在IPSec的架構中，有兩個主要的通信協定 (Protocol)， 分別是認證標頭AH (Authentication Header) 與資料安全封裝ESP (Encapsulating Security Payload)。先就認證標頭(AH)來談，AH提供傳送端資料鑑別 (Authentication) 與資料完整 (Integrity) 的功能，接收端可以再次計算, 並依據計算結果推論傳送端是否使用了正確的金鑰，以及確認所傳送之資料是否完整等。

而資料安全封裝(ESP)的通信協定，基本上有兩種不同的模式：
1. 傳輸模式 (Transport-mode)：
只有資料數據上所承載的TCP或UDP封包會被加密及封裝，當通訊中的主機，由安全閘
道 (Security Gateway) 來分隔時，此種模式的意義就產生了。
2. 隧道模式(Tunnel-mode)：
傳送的資料數據 (Datagram) 被加密及重新整理，並封裝成一個新的資料數據。

就傳輸模式來說, 一般都是用在端點對端點 (好比PC 對 PC) 或是端點對群(好比PC對安全閘道)的組織架構中. 而隧道模式的使用, 則是群組對群組架構, 也就是在連結的兩個安全閘道上 (通常可比喻成VPN安全路由器), 每個安全閘道各承載一群在安全屏障之後,整組電腦的安全連結。 簡言之, 傳輸模式就如同用戶端的安全VPN 軟體, 而隧道模式則是提供伺服端的整體VPN 安全架構。

VPN替企業資訊部門節省大量開銷

由於知名的國際大型企業陸續採用VPN作為資訊架構的重要技術, 其優點便是利用Internet此一公眾網路, 架設其企業專用的虛擬私有網路, 以節省鉅額專線開支， 此舉讓許多資訊主管大感訝異， 因VPN這個名詞, 在兩年前根本默默無聞,甚至許多人未曾聽過。

VPN究竟有甚麼樣的魔力,能在短時間內, 擄獲企業的青睞？ 仔細觀察, 企業會採用VPN, 主要是因為VPN可以較傳統更為經濟的連線方式, 達成遠端登入使用企業內部網路, 企業整體網路, 甚至電子商務. 傳統一般企業在建構網路系統時, 通常會選擇固接專線 (Leases line), 或是Frame Relay之類的系統, 形成一個專屬的安全網路架構. 但使用這種方式, 一旦據點分散, 或是距離較遠 (例如分布在美國東西兩岸的母公司和子公司), 其建置及維護費用, 可就得花上一筆龐大的天文數字， 但VPN卻可以用很節省的方式, 達成相同的企業通訊要求。

以下為以不同的連線方式 (“固接專線” , “Frame Relay”, “VPN管理”) 為基礎, 來執行十五個端點連線成的網路. 其相互間設備費用的比較對照表. (金額以美元表示)

VPN 的市場利益令人期待

目前全美有將近三分之一的工作者須要使用遠端登錄的方式進行他們的工作，且預估這個比例將在短期內迅速增加， 根據 Gartner Group, Inc的預估, VPN 的市場在1997年為US$205 million, 而到2001年時,將達到US$11.9 billion, 其連結目的請見下表。 可見VPN在不同組織間連結所引發的實際商業利益, 將十分可觀， 事實上, 只要稍加思考即可瞭解到, 能夠於任何地點透過Internet登入企業內部網路 ,執行安全的連結, 這裡面絕對有可觀的市場利益。

企業真的需要VPN嗎？

資訊管理人員常被問到許多問題，好比寬頻技術越來越成熟且迅速普及當中，企業主也許就會問：「換個方式會不會增加上網的速度？」或是：「為什麼公司的網路老是這麼慢？」甚至MIS人員自己也會有一堆的問號在腦海裡浮現。我們不得不承認，要追上Internet的發展實在很吃力，電信通訊技術花了七十年的時間才有今天的成就，而Internet不到五年的時間就達到如今的地步，很多的專有名詞才剛出現，多數人都還不是很清楚這到底是甚麼樣的技術時，可能又出現其他取而代之的技術了。

Internet大部份的技術都是由一群專業人員及工程師，根據實際發展需求，制訂出相關的規定，其目的就是希望全世界對於Internet產業的發展能有一個共通標準。VPN相關協定也是在這個前題下產生，這項標準的制定不只是建構安全的網路傳輸，更重要的是可以將此技術，以最經濟的大眾網路來進行傳遞。相對的,當經營者或資訊主管在考慮是否要採用VPN 作為企業整體架構時，必須清楚的規劃到底要實踐這項機制的目的和實際的需要。

例如，ㄧ個需要行銷人員隨時從不同時間和地點傳回電子資料的企業，照傳統的方式必須利用傳統的公眾電信網路，也就是電話系統，撥號進公司的RAS伺服器(Remote Access Server)， 這種情況如果發生在相臨區域倒還不會有費用上的考量，一旦工作人員必須從外縣市或海外來進行登入伺服主機時,長途連線的電話費用可就相當可觀了，反觀如果能利用VPN 的方式傳輸，不論人員在那個國家或區域只要登錄連結上當地的ISP 就可以和企業總部建立安全連結,如此兼顧安全與經濟方式不正是企業經營者所關切的降低成本方式。

事實上，網路的效能更是集合所有軟硬體系統和MIS規劃所呈現出的總體表現值，絕不是像想像中換個更高速度的硬體或單純的頻寬提升就可解決問題,相同的觀念在應用VPN作為企業網路架構時, 也必須體認, 這只是整體網路的一個環節。 網路應用快速的發展,讓使用者對更高速頻寬的需求亦相對提昇， 面對供(企業網路系統及網路服務提供者)需(企業內高度使用網路的每一個人員)如何能維持既需兼顧經濟又要維持效率,正考驗著所有決策者的智慧。

by here2dl