第十四屆金融業科技高峰會春季場 會後報導
當零信任架構採用 TR-31 技術後,可透過集中管理和強化金鑰的保護,降低資料洩露的風險,有效提高安全性。叡廷在資安領域累積豐富經驗,可針對不同產業的企業資訊安全服務需求,提供可靠及穩定的端對端資訊安全整合服務。
文/林裕洋
面對無所不在的惡意威脅,金鑰成為被廣泛使用的資安技術之一。此使用多年的資安機制,是將一個固定遮罩應用到金鑰上,藉此改變其某些位置,從而限制金鑰的使用範圍,因此有安全性和靈活性不足等問題。在安全性限制部分,使用多年的金鑰變體技術,已不符合當前密碼學和安全產業的最新標準和做法,從而導致安全漏洞。至於靈活性不足方面,則不及 TR-31 密鑰的高靈活性。特別是在日新月異的金融和安全標準下,PCI DSS 和 ANSI 等組織,都要求企業需使用更先進的金鑰封裝和管理技術。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
叡廷股份創辦人趙翌有指出,傳統使用金鑰變體技術,可能會使得對金鑰的偵測和稽核變得更加複雜,因為金鑰的真實屬性被遮罩所隱藏。因此,PCI 委員會要求支付網路業者符合 ANSI X9.24/TR-31 標準的密鑰塊,以封裝並安全地傳輸、傳輸或翻譯密鑰或 PIN 碼,藉由在在密鑰和資料本身中嵌入有關密鑰的資訊,有效防範潛在的詐欺事件。面對日新月異的資訊安全、風險控管、法規遵循等挑戰, 叡廷可協助企業克服前述問題,扮演拓展業務的靠山,協助企業建構以 TR-31 標準的零信任架構。
降低資料外洩風險 仰賴 TR-31 標準
近來興起的零信任架構是一種安全架構模型,主要原則是「永不信任,總是驗證」,此模型在設計時假設內部和外部的威脅都是存在的,因此無論資源位於何處,都需要嚴格驗證所有的存取請求。而零信任架構的關鍵元件,大致上有「身份和存取管理」、「網路隔離和微分段」、「多因素認證」、「端點安全」等。而封裝並安全地傳輸、傳輸或翻譯密鑰或 PIN 碼的 TR-31,自然是實踐零信任架構的重要關鍵。
趙翌有表示,當零信任架構採用 TR-31 技術後,可透過集中管理和強化金鑰的保護,降低資料洩露的風險,有效提高整體安全性。我們在資安領域累積豐富經驗,是少數同時具備資安解決方案自主研發及產品代理的資安服務業者,針對不同產業的企業資訊安全服務需求,提供可靠及穩定的端對端資訊安全整合服務,以協助企業解決日益複雜的資訊安全與維運管理問題。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
