为金融业打造安全顺畅无线网络销售环境

Aruba, a Hewlett Packard Enterprise company资深技术经理王杰锋。

对金融业而言，想要打造安全的营运环境，身份管理的重要性不言可喻。但由于现今的应用趋势，银行已经不能只是提供固定式的存取服务，而是要提供移动化的服务，想要建立一个安全顺畅的无线网络销售环境，考量自然也跟过去大不相同。

Aruba, a Hewlett Packard Enterprise company资深技术经理王杰锋指出，以前是客户到银行，再到固定的位置，接受理专或临柜人员提供的服务，所以网安管理的对象，也是以这些理专或临柜人员所使用的设备为主，但当这些人员可以透过移动设备提供产品说明时，这些移动设备安不安全，便成为IT管理者必须要思考的重要课题。

王杰锋指出，为了要连上银行网络的使用者，真的是合法的使用者，凭证管理变得相当重要，如只要在移动设备上加装Aruba网络安全解决方案，使用者即可拿到私人的凭证，而且不只是银行内部的网络，透过3G/4G移动网络，使用者一样可以执行个人私有凭证，顺利连上银行网络，提供商品信息。

王杰锋表示，现有的网络加密技术中，得到美国国家安全局(National Security Agency；NSA)推荐的技术可分为Suite A(Type-1)及Suite B两种，由于Suite A需要在每个设备上加装加解密装置，成本会变得很高，Suite B则因为可让更多设备可以更快速、更安全的存取信息，而且符合法规，杂乱加密的技术可达256 bit，几乎无法破解。

但王杰锋也指出，如果银行内部使用WPA2，就有了第一层加密，再由Aruba提供第二层加密，在设备上安装凭证，完成身份认证后，才能得到授权。

此外，移动设备不但要加密及身份认证等保护外，还要考虑授权管理，不能只是让使用者通过与不过而已，还需要掌握每一个人使用的应用程序，才能知道这个人在做什麽，可以控制应用程序的哪些功能。

如Aruba的防火墙设备的加密技术，可以做到直接从Client端，加密到控制器端，让防火墙可以挡在网络及每一个使用者之间，而且只要用户的行为改变，就能够随时因应改变用户的使用权限，以避免网安威胁。如果理专要外出去客户端的话，只要移动设备有安装Aruba网络安全解决方案，也可以透过VPN按钮，快速实时的进入银行内部网络。

如此一来，理财专员就不再需要有固定位置，金融机构也可因此实现临柜无纸化的作业情境。但王杰锋指出，即使是在行内使用设备，只要设备被植入后门程序，仍会成为安全漏洞。

事实上，现在的安全威胁，常常是来自内部，因此网安防御不能只是考虑防火墙，包括闸道器、控制器等都必须做好协同主动防御。如在监控数据流量时，必须要能掌握每一个人的使用行为，而且因为现在一个人使用的设备可能不只一种，所以连正在使用什麽设备都得掌握，而且还要考量网络控管可能没有考虑到的设备端状况，如USB有没有被非法介接等。

但王杰锋指出，只是控制设备还不够，还要能控制网络语境(Network Context)，以前的防火墙可能只会知道通过的IP是什麽，但现在每一个访客都会有自己的IP，而且都可以控管使用的状况，只要能够知道是哪一个人用哪一个设备，就可以做到实时阻挡，甚至可以掌握有无安装非法的APP。

王杰锋强调，每一个人登入无线网络时，都需要通过身份认证，然后透过Aruba ClearPass Context Shared让防火墙掌握使用者名称，可以依据使用者执行不同的权限控管， 根据不同的状况，掌握不同的威胁状态，还可以知道弱点的状态，进行实时防御，挡住特定来源的攻击。