[原创] 电子商务安全保障 - 加密与认证

日期: 2000年2月23日
作者: Stephen Lin (stephen930@hotmail.com)
曾发表于电子时报/商业周刊
目前文章只发表于数位男女http://bbs.mychat.to
-严禁转贴-

自一九九七年七月美国政府发表「电子商务白皮书」开始, 带动了全球电子商务热潮, 且正以极快的速度改变大众的日常生活型态, 传统的交易模式亦跟着产生了改革的效应. 经各方民调显示, 电子商务持续高度运用与成长, 而非仅止于流行趋势. 电子商务广义来说是包括企业内部(Intranet), 企业对企业(B2B), 企业对消费者(B2C), 甚至消费者对消费者(C2C), 其所包含的范围与商机可说是有着无限宽广的机会, 这也是大批各行各业的人往这个方向行进的原因之一.

虽然电子商务已掀起了一阵风潮, 但在网路上遭受攻击或资料被窃取事件在现代高科技时代依然不断重覆发生, 这是因为一般网际网路使用者与网站都缺乏对攻击事件的警戒心与防范, 导致许多的知名网路遭受骇客攻击多次后仍无法有效的改善.

资料加密传递在过去十九世纪早已是个普及的机密传递方法, 但是在现代资讯暴炸, 高科技人才济济的时代, 光是资料加密毕竟还是不够的. 一般大众对资讯安全的基本认知才是首要课题.

by here2dl

[原创] 关于网路骇客攻击事件的防护

日期: 2000年3月30日
作者: Stephen Lin (stephen930@hotmail.com)
曾发表于电子时报/商业周刊
目前文章只发表于数位男女http://bbs.mychat.to
-严禁转贴-

近日来, 各种网路攻击事件却造成许多知名网站服务停摆, 甚至在昨日(2/16)美国总统柯林顿所举办的网路记者会都遭人侵入假冒柯林顿总统发言, 使许多人开始关心到且质疑网路的安全性, 甚至担心日后在网路上的资料安全性. 根据美国国防部调查报告指出, 有超过58%的电脑侵害来自网际网路, 而且这些攻击平均每一次都会造成总损失约超过50万美元. 美国国防部更进一步评估显示, 64%被非法侵入的电脑当中只有4%的入侵者有被发现.

其实只要对这些功击有些许概念, 或许就不会如此担忧了. 其实一般骇客都会选择一些粹弱及防护不佳的攻击目标, 使用重复的垃圾资料以极快的速度大量传送到被害者的电脑, 来造成电脑负荷过量而瘫痪. 举例说明: 一般人传送一封电子邮件时, 约须要5至10分钟来输入信件内容与收件者地址, 假使说这世上真的有超人的存在, 而他也写电子信件, 那么他可以使用千分之一秒的时间来完成这些一般人需要花费5分钟的信件, 并且一直不间断的以每秒送出一千封信持续进行, 那么收信方的电脑将会无法瞬间处理如此庞大数量且不间断的传送而导致瘫痪. 当然这世上没有这种人存在, 但是, 有心人士却可使用这种概念写出一种能达到相同目地的软体来破坏被害者电脑.

当使用者在传递重要讯息(如信用卡号码或其他机密资讯)和资料时, 骇客也将可利用网际网路的公开性, 刻意在某个购物网站, 网路银行或其他商业网站外等候, 续而从中窃取与复制使用者将传送给对方电脑的机密讯息与文件, 而造成使用者之机密讯息被公开与加以利用, 形成了不可弥补的损失. 在这些情况下如果电脑本身拥有一个有机智防护功能与资料文件加密保护的设备与软体, 将能有效的辨别哪些资料是正确安全的资料, 哪些是属于恶意破坏的资料, 而达到阻止骇客进行电脑瘫痪行动或是窃取机密文件资料的动作. 虽然一般来说, 部份网路用户会使用防火墙来吓阻此类型的攻击, 但事实上并没有任何防火墙能有效防止骇客攻击. 由此可见, 审慎考量电脑安全维护与选择网路安全技术设备也是很重要的.
目前全世界并没有任何网路资讯安全科技公司能有效的防范骇客攻击, 但上网的普及性已达到小至一般民众上网查询资料,购物与处理一般银行业务, 大者有企业上网进行商业交易与资料传输, 如果网路安全性仍然如此不堪一击, 那么有心人士将可利用取得到的机密资料来做为不法的用途.

by here2dl

[原创] VPN市场预估 (中文/英文)

日期: 2000年8月至2001年2月
作者: Stephen Lin (stephen930@hotmail.com)
曾发表于ICRT美军广播电台新闻中(Aug.2000~Feb.2001)
目前文章只发表于数位男女http://bbs.mychat.to
-严禁转贴-

What’s the future market potential for VPN—Virtual Private Network? According to recent statistics, nearly one-third of Americans spent part of their work day dialing onto the Internet to get their job done—and this number is predicted to skyrocket in the near future.

VPN，也就是虚拟私有网路，未来的市场潜力究竟有多大？根据统计，美国目前有将近三分之一的人口，每天必须使用远端登录的方式来进行他们的工作，而且这个比例将在短期内迅速增加。

According to a study from the Gartner Group, the VPN market is expected to jump from 200-million in 1997, up to a whopping 11-billion dollars in the year 2001. These numbers reflect a simple fact—that VPN’s provide the corporate world with real business advantages. And, the size of this vast potential market comes as no surprise. By providing secure access to a company’s computer network from anywhere in the world over a dial-up Internet connection, VPN’s provide real benefits that you can’t live without.  

根据Gartner Group调查公司的预估，虚拟私有网路的市场，将由1997年的两亿五百万美元，扩展到2001年的一百一十九亿美元，可见VPN在企业网路连结上所能引发的实际商业利益，将十分可观。事实上，只要稍加思考，这样庞大的市场潜力其实一点也不令人意外。对于能够从任何地点，透过Internet登入企业内部网路，执行安全的连结，这里面绝对有可观的市场利益。

by here2dl

[原创] 更深入VPN原理 (中文/英文)

日期: 2000年8月至2001年2月
作者: Stephen Lin (stephen930@hotmail.com)
曾发表于ICRT美军广播电台每日新闻中(Aug.2000~Feb.2001)
目前文章只发表于数位男女http://bbs.mychat.to
-严禁转贴-

The Internet can be full of danger. Don’t kid yourself into believing that just because you have a Virtual Private Network, or that you’re behind a firewall, that you’re safe from mischief-makers. The truth is that no firewall is 100-percent safe r—nor is any online security company able to promise complete protection against penetration or sabotage from determined hackers.

网路上是危机四伏的。不要以为有使用VPN或是防火墙软体，在网际网路上就可以高枕无忧。事实上，没有任何一个防火墙软体能完全有效地防止骇客攻击，目前世界上也没有任何一家网路资讯安全科技公司，能有效的防范骇客攻击。

The core concept behind a VPN is to encrypt all data before it’s sent out over the Internet. And, the more complicated the encryption method, the more difficult it is to crack. But even so-called “strong” encryption doesn’t mean your home free—it just means the hacker will need more time to complete the dirty work. So for the greatest degree of safety, make sure your company adequately evaluates its security needs—and then selects the optimal hardware, software and encryption protocols to those needs.

VPN的核心原理是将资料加密后传给对方；加密方式越复杂，资料就越难解开，但并不表示无法窃取资料，只是要多花一点时间罢了。因此，不是有了VPN设备或防火墙软体就够了。企业必须针对自己的需求，选择适合的设备、软体、以及加密的功能，对症下药，才能有效防范外来的破坏。

by here2dl

[原创] 网路安全议题

日期: 2000年8月29日
作者: Stephen Lin (stephen930@hotmail.com)
曾发表于电子时报/商业周刊
目前文章只发表于数位男女http://bbs.mychat.to
-严禁转贴-

子目录包括:
- 何谓虚拟私有网路
- IPSec与其他VPN协定的差异
- IPSec的原理与处理方式
- VPN替企业资讯部门节省大量开销
- VPN 的市场利益令人期待
- 企业真的需要VPN吗？

网路安全议题大致可从用户端(client)和伺服端(server) ,或称为服务提供者(service provider or content provider), 两个部份来探讨， 用户端登入网路时, 经常会担心密码是否会被盗用, 电子信箱是否会受到邮件炸弹的攻击, 进行线上购物时, 信用卡资料是否会被窃取盗刷, 甚至存款被非法盗领， 而伺服端所担心的, 则是非法入侵, 网页遭篡改, 或是系统受到攻击而瘫痪， 要防止这些事情发生, 网路上的资料传输最好要有加密和身分确认的功能。
,
不幸地, 一般在公众网路上的资料传输, 大都是以未加密的型态来进行传送, 因此骇客可以轻易的截取其中通行的资料, 加以分析后, 进行非法的活动， 正因安全性有所顾虑, 因此传统上企业相互连线时, 大部份会采取专线连结的方式， 其主要的目的, 是要确保网路传输的安全性和传输的速度要求， 但这却不是一般企业所能享有的方式，毕竟专线的连结, 是要支付庞大的费用, 不是所有的企业都能负担得起的。

网际网路(Internet)风行之后, 企业资料传输的需求大增, 因此有人就想到: 为什么不利用加解密和身分确认的技术,在网际网路上建构一条两台电脑间的虚拟的专线连结, 以作为机密资料传输之用, 虚拟私有网路(Virtual Private Network, 简称VPN)的观念就此诞生了。

何谓虚拟私有网路

虚拟私有网路(VPN)是架构在网际网路上, 实行的一种专属私有网路， 其意义是在公众网路中，开辟一条用户私人专属的保密通道，就如同在马路上开辟一条公车专用道般，这条通道会提供用户在认证及加密上的安全防护，避免用户资料外泄或遭受攻击。

VPN将加解密和身分确认的技术应用于网际网路上, 并与通信及电脑的技术结合,形成所谓的智慧型网路. 配合各种电脑基础设备, 不论是传统的电脑连线方式, 或缆线数据服务(cable service), 亦或利用既有的电信传输媒介而发展出的ADSL系统, VPN均能与之配合, 提供电脑用户更多便捷与多样化的新颖电信与资讯服务, 达到安全经济的网路环境要求.

VPN技术不仅可应用于网际网路业，亦可直接应用于个人电脑及应用软体上， 因为完善的电子商务机制必需要让每一部电脑在上网时都能得到安全保障，在这种要求下, 用户只需在电脑上加装VPN软体或VPN网路卡，就能确保在浏览网站或购物时的交易资料及私人讯息得到安全保护。

VPN的架构, 如图一所示. 由图上可以看出, 企业Headquarter, Branches, 与Remote Users间, 可视需要在网际网路上，利用VPN技术建构一条安全传输通道, 以传输私密资料.

前一阵子国内才破获一桩首见的假冒网路银行诈财事件，由此可知，随着网路交易的日渐频繁，使用者透过网路进行交易，应如何兼顾安全保障，避免自身利益的损失，已是网际网路的重要课题。而VPN机制除了解决以上安全疑虑外，其亦可解决企业跨国管理的一些问题。例如：跨国企业在构筑企业之间的连线时，为了安全因素传统上多半会架设专线，但专线费用十分昂贵，利用VPN便能解决此一问题。又如：分散在世界各地的员工，透过电脑或其他连线装置，每天一开机，便可利用VPN, 透过Internet和企业总部建立一条安全通道，将一天的工作计划及目前进度回报给总公司。相同的情形一样可以应用在企业的财务、配销、库存管理、出货时间，甚至生产管理等，VPN的发展使得以往由于费用因素(几乎是天文数字的建构维护费用)仅能被应用于大型国际企业的全球运筹管理模式, 现在中小企业就有能力建置实施。

IPSec与其他VPN协定的差异

近年来网际网路工作小组IETF制定了四项较为知名的VPN通讯协定，其中有三项是应用在OSI模型中的第二层 (Data-Link layer, 资料连结层)，分别是L2F (Layer 2 Forwarding) Protocol、PPTP (Point-to-Point Tunneling Protocol) 和L2TP (Layer 2 Tunneling Protocol)，唯一在第三层的VPN通讯协定就是Internet Protocol Security，简称IPSec。

不论是那一种VPN协定，都可以建立一个虚拟私有通道，例如PPTP使用GRE(Generic Routing Encapsulation)协定来打包加密其资料封包，同样的，IPSec和L2F及L2TP也有自己的资料加密方式。

在各项协定中，其所扮演的保护角色，不论是身份认证或资料加解密，事实上是有差异的，就以PPTP和L2F来说，这两项协定提供有限的端点连结和较弱身份认证及加解密方法，相互比较之下，IPSec提供的功能，不但多样而且更为强大。举例而言：IPSec不局限于连线的方式 (如前述二者之通讯协定为拨接方式)，亦即不论拨接上网、ISDN上网，以致于时下最热门的宽频上网，只要可连线上网际网路的上网方式几乎都可采用IPSec。其次，IPSec在加解密功能上更展现其多样特性，例如：用以确认身份的「电子签章认证」 (Digital Certificates) 和功能显着的加密技术Triple DES，都是前二者所无法比拟的。至于L2TP，该协定根源自PPTP和L2F，虽然支援较多的连结功能，但其所有的认证及加解密方式，在IPSec中全部涵括。因此IPSec为目前最热门的VPN方式.

IPSec的原理与处理方式

比较过PPTP、L2F、L2TP与IPSec之后，让我们进一步探讨IPSec。

由于网际网路缺乏网路层的安全机制标准, 使用者被迫使用专属的通讯协定, 但不同的厂商所提供的产品规格又都不同. 为了解决这个问题, 网际网路工作小组IETF特别推动一套称为IPSec的标准,其目的就是要建立在网路层之下安全机制的标准化和共通性.

在IPSec的架构中，有两个主要的通信协定 (Protocol)， 分别是认证标头AH (Authentication Header) 与资料安全封装ESP (Encapsulating Security Payload)。先就认证标头(AH)来谈，AH提供传送端资料鉴别 (Authentication) 与资料完整 (Integrity) 的功能，接收端可以再次计算, 并依据计算结果推论传送端是否使用了正确的金钥，以及确认所传送之资料是否完整等。

而资料安全封装(ESP)的通信协定，基本上有两种不同的模式：
1. 传输模式 (Transport-mode)：
只有资料数据上所承载的TCP或UDP封包会被加密及封装，当通讯中的主机，由安全闸
道 (Security Gateway) 来分隔时，此种模式的意义就产生了。
2. 隧道模式(Tunnel-mode)：
传送的资料数据 (Datagram) 被加密及重新整理，并封装成一个新的资料数据。

就传输模式来说, 一般都是用在端点对端点 (好比PC 对 PC) 或是端点对群(好比PC对安全闸道)的组织架构中. 而隧道模式的使用, 则是群组对群组架构, 也就是在连结的两个安全闸道上 (通常可比喻成VPN安全路由器), 每个安全闸道各承载一群在安全屏障之后,整组电脑的安全连结。 简言之, 传输模式就如同用户端的安全VPN 软体, 而隧道模式则是提供伺服端的整体VPN 安全架构。

VPN替企业资讯部门节省大量开销

由于知名的国际大型企业陆续采用VPN作为资讯架构的重要技术, 其优点便是利用Internet此一公众网路, 架设其企业专用的虚拟私有网路, 以节省钜额专线开支， 此举让许多资讯主管大感讶异， 因VPN这个名词, 在两年前根本默默无闻,甚至许多人未曾听过。

VPN究竟有甚么样的魔力,能在短时间内, 掳获企业的青睐？ 仔细观察, 企业会采用VPN, 主要是因为VPN可以较传统更为经济的连线方式, 达成远端登入使用企业内部网路, 企业整体网路, 甚至电子商务. 传统一般企业在建构网路系统时, 通常会选择固接专线 (Leases line), 或是Frame Relay之类的系统, 形成一个专属的安全网路架构. 但使用这种方式, 一旦据点分散, 或是距离较远 (例如分布在美国东西两岸的母公司和子公司), 其建置及维护费用, 可就得花上一笔庞大的天文数字， 但VPN却可以用很节省的方式, 达成相同的企业通讯要求。

以下为以不同的连线方式 (“固接专线” , “Frame Relay”, “VPN管理”) 为基础, 来执行十五个端点连线成的网路. 其相互间设备费用的比较对照表. (金额以美元表示)

VPN 的市场利益令人期待

目前全美有将近三分之一的工作者须要使用远端登录的方式进行他们的工作，且预估这个比例将在短期内迅速增加， 根据 Gartner Group, Inc的预估, VPN 的市场在1997年为US$205 million, 而到2001年时,将达到US$11.9 billion, 其连结目的请见下表。 可见VPN在不同组织间连结所引发的实际商业利益, 将十分可观， 事实上, 只要稍加思考即可了解到, 能够于任何地点透过Internet登入企业内部网路 ,执行安全的连结, 这里面绝对有可观的市场利益。

企业真的需要VPN吗？

资讯管理人员常被问到许多问题，好比宽频技术越来越成熟且迅速普及当中，企业主也许就会问：「换个方式会不会增加上网的速度？」或是：「为什么公司的网路老是这么慢？」甚至MIS人员自己也会有一堆的问号在脑海里浮现。我们不得不承认，要追上Internet的发展实在很吃力，电信通讯技术花了七十年的时间才有今天的成就，而Internet不到五年的时间就达到如今的地步，很多的专有名词才刚出现，多数人都还不是很清楚这到底是甚么样的技术时，可能又出现其他取而代之的技术了。

Internet大部份的技术都是由一群专业人员及工程师，根据实际发展需求，制订出相关的规定，其目的就是希望全世界对于Internet产业的发展能有一个共通标准。VPN相关协定也是在这个前题下产生，这项标准的制定不只是建构安全的网路传输，更重要的是可以将此技术，以最经济的大众网路来进行传递。相对的,当经营者或资讯主管在考虑是否要采用VPN 作为企业整体架构时，必须清楚的规划到底要实践这项机制的目的和实际的需要。

例如，ㄧ个需要行销人员随时从不同时间和地点传回电子资料的企业，照传统的方式必须利用传统的公众电信网路，也就是电话系统，拨号进公司的RAS伺服器(Remote Access Server)， 这种情况如果发生在相临区域倒还不会有费用上的考量，一旦工作人员必须从外县市或海外来进行登入伺服主机时,长途连线的电话费用可就相当可观了，反观如果能利用VPN 的方式传输，不论人员在那个国家或区域只要登录连结上当地的ISP 就可以和企业总部建立安全连结,如此兼顾安全与经济方式不正是企业经营者所关切的降低成本方式。

事实上，网路的效能更是集合所有软硬体系统和MIS规划所呈现出的总体表现值，绝不是像想像中换个更高速度的硬体或单纯的频宽提升就可解决问题,相同的观念在应用VPN作为企业网路架构时, 也必须体认, 这只是整体网路的一个环节。 网路应用快速的发展,让使用者对更高速频宽的需求亦相对提升， 面对供(企业网路系统及网路服务提供者)需(企业内高度使用网路的每一个人员)如何能维持既需兼顾经济又要维持效率,正考验着所有决策者的智慧。

by here2dl