領航觀點
Navigation

2018.3.13 - 2018.3.15 TICC

IT 系統真的只能處理原始個資而讓個資容易外洩?

『兵者,詭道也。』故能而示之不能,有而示之無。
在大多數資料都透過Internet的時代,我們努力的防止資料外洩,使用了各種加密、阻擋與追蹤來保護珍貴的資料。我們是否曾想過,操作原始資料的必要性,這些珍貴的個資,尤其是關鍵識別值(帳號、身分證字號、唯一序號),是否真的需要隨時都可以被存取?沒有這些資料,系統就不能運作嗎?回顧2018年一月,印度政府的生物辨識資料庫可以花幾塊美元就隨你看。2017年Yahoo,Uber、雄獅旅行社、讀冊生活、華信航空、郵政商城與北市府等公民部門都被揭露了資料外洩的問題。
同時個資的洩漏也從早期的金融類資料(信用卡與銀行帳號)轉移到身分證、戶籍資料、醫療資料、行動電話號碼與電子郵件信箱等資料。
這些外洩難道不能阻擋嗎?這些資料難道不能限縮在最小使用範圍嗎?
讓我們把時間往前推移,2016年國內最熱門的話題就是國際三大品牌的行動支付在台灣開台。這三大平台,不約而同的使用了相同的技術概念處理購物交易的卡號資料,也就是代碼化(Tokenization)技術。透過代碼化技術,在交易的過程中客戶的卡號不存在於所有支援代碼化作業的系統內,直到資料需要傳遞給不支援代碼化作業或必須使用原始客戶資料的系統,例如:信用卡發卡銀行的授權系統。
這就是『有,而示之無』。
在支援代碼化的系統裡,不存在使用者的帳號或卡號,存在的是另一個對應的代碼,而這代碼與原始資料不存在數學關係,任何人無法從代碼反推回原始資料,也就代表原始資料在這些系統裡是『無』的存在。也因為沒有數學上的對應關係,這類系統需要一套對照表,讓有需要的人可以查表找回原始資料,這個對照系統就成為了唯一的『有』。企業只需要專注在保護這單一功能(代碼與原始資料對照保險庫)的系統,就保護住所有的個資關鍵值。
Gemalto公司的SafeNet Tokenization就是一套專注在資料代碼化的整體解決方案
加密保護原始資料的金鑰儲存在符合FIPS 140-2 Level 3的KeySecure硬體加解密器,同時使用目前被標註為安全的 AES-256 與 HMAC-SHA256演算法來保護原始資料。代碼也由KeySecure硬體加解密器中符合FIPS規範的TRNG亂數產生器所產生,使用眼前仍無法輕鬆破解的演算法來產生亂數。而且代碼化系統設計上就擁有多種與原始資料一對一對應及資料欄位保留的設計,在區隔保護真實資料的同時,也能讓需要使用原始資料規則作業的系統順利繼續運作,不會因為代碼化之後而大幅更動系統。
也因為使用硬體加解密器的Tokenization系統具有高速資料處理能力與安全去識別的特性,代碼化系統不只在金融、政府與醫療等領域廣泛使用,在Open Data,Open Government 與大數據分析領域也因為它的去識別特性而被廣為使用。

  • 分享這篇文章:
精選講師

陳伯榆

精品科技資安顧問

陳俊男

力聖•華致團隊營運長

陳柏榮

力悅資訊資深技術顧問

陳泉錫

財政部主任

陳偉雄 Wilson Chen

趨勢科技研究開發部技術經理

Partners

指導單位

行政院資通安全處

主辦單位

電週文化

共同主辦

社團法人台灣駭客協會
英國標準協會
趨勢科技

頂級技術夥伴

台灣思科系統股份有限公司

鑽石級

台灣亞馬遜網路服務有限公司
中華電信股份有限公司
中華資安國際股份有限公司 (中華電信關係企業)
精品科技股份有限公司
台灣威瑞特系統科技股份有限公司
合勤科技股份有限公司

白金級

亞利安科技股份有限公司
FORCEPOINT
動信科技股份有限公司
台灣惠頂益股份有限公司
Imperva
漢領國際
瑞擎數位股份有限公司
群暉科技股份有限公司
優倍司有限公司
威雲科技股份有限公司
辰亞科技股份有限公司
零壹科技股份有限公司

黃金級

亞太電信股份有限公司
碩琦科技股份有限公司
組合國際電腦股份有限公司
基點資訊股份有限公司
中華電信股份有限公司電信研究院
台灣思杰系統股份有限公司
力悅資訊股份有限公司
敦新科技股份有限公司
果核數位股份有限公司
達友科技股份有限公司
曜祥網技股份有限公司
ESET (亞太區總代理: 台灣二版有限公司)
中飛科技股份有限公司
金雅拓
叡揚資訊股份有限公司
惠普科技
華電聯網股份有限公司
資拓宏宇國際股份有限公司
鉅晶國際股份有限公司
鎮陞科技股份有限公司
依德科技股份有限公司
瞻博網路有限公司
卡巴斯基實驗室
新加坡商邁克菲有限公司
MobileIron
逸盈科技股份有限公司
柏策科技有限公司
統威網路科技有限公司
網擎資訊軟體股份有限公司
帕洛爾托網路有限公司
聯宏科技股份有限公司
威聯通科技股份有限公司
瑞奇數碼股份有限公司
眾至資訊股份有限公司
中華數位科技股份有限公司
香港商思博軟體有限公司台灣分公司
聚碩科技股份有限公司
精誠資訊股份有限公司
台灣大哥大股份有限公司
商丞科技股份有限公司
台灣二版有限公司 (ESET亞太區總代理)
台灣威睿資訊有限公司
力悅資訊股份有限公司
展碁國際股份有限公司

銀級

愛爾蘭商金士頓數位國際股份有限公司台灣分公司
思訊電腦有限公司

資安共同推廣單位

中華民國資訊安全學會
中華民國電腦稽核協會
台灣雲端安全聯盟
中華民國電腦學會
亥客書院
國家中山科學研究院資訊通信研究所
工業技術研究院
財團法人中華民國國家資訊基本建設產業發展協進會
學生計算機年會
臺灣學術網路危機處理中心
台灣資通產業標準協會
資安應用服務聯盟
財團法人電信技術中心
台灣電腦網路危機處理暨協調中心
國立成功大學資通安全研究與教學中心

設備贊助夥伴

台灣三星電子股份有限公司
維嘉全球科技股份有限公司

臺灣資安館

指導單位

經濟部

主辦單位

經濟部工業局iThome

共同主辦

工業技術研究院HITCON趨勢科技

臺灣資安館

安碁資訊股份有限公司
凌華科技
互聯安睿資通股份有限公司
竣盟科技股份有限公司
碩琦科技股份有限公司
基點資訊股份有限公司
承弘國際股份有限公司
中華資安國際
奧義智慧科技股份有限公司
戴夫寇爾股份有限公司
果核數位股份有限公司
杜浦數位安全有限公司
中華龍網股份有限公司
曜祥網技股份有限公司
精品科技股份有限公司
大宏數創意股份有限公司
鑒真數位有限公司
聯恩電子有限公司
星通資訊股份有限公司
倍力資訊股份有限公司
網擎資訊軟體股份有限公司
瑞擎數位股份有限公司
飛泓科技股份有限公司
精益科技股份有限公司
雷擎先進股份有限公司
睿明知通股份有限公司
資安律技術服務股份有限公司
眾至資訊股份有限公司
立寶科技股份有限公司
中華數位科技股份有限公司
關貿網路股份有限公司
崴遠科技股份有限公司
優倍司有限公司
以柔資訊股份有限公司
擎願科技股份有限公司
合勤科技股份有限公司