RFID安全性问题不可小觑
最近,关于RFID存在安全漏洞的话题再次出现并成为各媒体的报道热点。但是它与那些需要企业IT部门给予及时处理的电子邮件病毒或者网络蠕虫不同,这个安全隐患还不属于迫在眉睫的安全问题,至少现在还没到火烧眉毛的地步。
最近发生的一些事却让人们不得不重视RFID存在漏洞的这个事实。在3月初,业内某安全专家破解了一张英国发行的、利用RFID来存储个人信息的新型生物科技护照。 在2月举行的2007年RSA安全大会上,一家名为IOActive的公司展示了一款RFID克隆器,这款设备可以通过复制信用卡来窃取密码。IOActive公司原本打算在黑帽子安全大会上也进行类似的展示,但是遭到RFID信用卡业界的一家领袖级厂商的强烈反对而被撤销。该项展示引发了媒体对信用卡保密性的普遍关注,已经超出了IOActive公司进行展示的本意。再加上媒体的一系列相关报道:从去年美国国土安全部打算发行利用RFID芯片来保存个人信息的护照,到美国人权自由联合会由于RFID可能会泄露个人信息而表示强烈反对。媒体报道还称恶意犯罪分子可以开发出RFID病毒。突然之间,这项技术的安全性似乎变得不堪一击了,就好像利用网络电子邮件来发送机密信息一样不可取了。
然而,它与那些网络隐患不同,后者会影响到使用网络的所有网民,而只有RFID芯片上保存有重要信息时,它的安全漏洞才真正有危险性。目前许多企业对RFID的应用尚处于初期阶段,因此它的安全漏洞的危险性还不是很大。
营养产品厂商Schiff Nutrition在三个月前开始利用RFID设备来给货箱打标签,标签上的信息都是关于货箱中产品的基本信息,包括其名称、产地和种类等。公司业务分析经理罗德·法里蒙说,他们并没有考虑安全问题,因为那些数据并没有太大的价值。 他说:“我们使用这项技术就像使用条形码一样,就像人们可以伪造条形码一样,人们也可以伪造RFID,但问题是,那么做有什么意义呢?”关于公司产品的所有重要信息都保存在受密码保护的网络服务器上,而RFID标签上的信息只能用来识别箱子中的产品。
Gartner公司研究副总裁杰夫·伍兹说:“杞人忧天是毫无道理的,现在RFID大多应用在一些普通信息储存方面。”但是那并不是说就可以忽视安全问题了。从事RFID项目的企业必须为项目的实施配备专门的安全人员和标准安全机制。
RFID技术存在安全漏洞是有原因的:
● 标签很小,因此在技术上来说,很难给它们提供保护。伍兹说:“RFID标签非常小,上面不能存储太多的数据。”
● RFID标签是移动的,因此可以接触到它的人很多,而且大部分是未授权的用户。
● 标签上的信息并不总是敏感信息。花费太多的时间和费用成本去保证货物RFID标签信息的安全性,对于货主来说是毫无意义的。 你是否会为了超市中的一罐汽水而采取RFID保密措施?SecureRF公司首席执行官路易斯·帕克斯说:“也许在很长的一段时间里,那种技术都将只被用于跟踪和识别,但我是不会在那项技术上花钱的。”
● 标签的用途非常广,因此在其安全性问题上很难做到标准化和量化。伍兹说,许多企业将RFID用于各种资产管理项目、支付项目、零售场地管理项目和供应链管理项目。
SecureRF公司的帕克斯补充说,它还可以应用于法律事务所的文件标签,这样就方便了那些文件的查找。此外还可以用于贵重商品的防伪标签等。他说,目前美国只有5000万人在使用RFID标签。
Gartner的伍兹补充说:“如果确实有那种防伪标签的话,那么人们一定在里面加上了RFID。”
到底企业应该在RFID项目的安全性上花多大的精力和投入,要由企业对标签上储存的那些信息的价值评估而定。如果信息是敏感信息(如个人客户或者员工资料或者可能会被对手利用来损害公司利益),那么,安全性就是第一位的要求。
Gartner公司RFID研究副总裁保罗·普洛科特说:“有些RFID技术的安全性是足以满足那些需求的,但是仍然有些人认为它们的安全性不够。因为要做到绝对的安全是不可能的,因此,他们认为你不应该在护照、ID卡、信用卡以及其他任何包含个人敏感信息的地方使用RFID技术。”
包括零售巨人沃尔玛和美国国防部在内的许多大型组织都在使用这项技术并要求它们的供应商也那么做,这从一定程度上推动了RFID技术的应用,也引起了人们对RFID安全性的关注和担忧。但是,与其他任何一种形式的技术一样,在使用它之前必须明白它将用到什么地方并采取相应的安全控制措施。
美国国家标准与测试学会在去年九月份发行的一份刊物上写道:“负责设计RFID系统的人应该了解他所设计的RFID系统将支持何种应用,这样他们才可以选择适当的安全控制措施。各种组织必须评估它们面临的隐患并选择适当的管理、运作和技术保密控制措施。”美国国家标准与测试学会是美国贸易技术管理部下属的一个非管理性联邦机构,RFID系统的安全性也是其负责的项目之一。
关于RFID隐患的相关报道
这些头条新闻报道显示出了RFID的安全隐患
■ 安全专家破解英国护照中的RFID芯片—2007/03/06
为了打击跨国犯罪和非法移民,英国政府发行了基于RFID芯片的新型生物科技护照,但是日前一位安全专家成功破解了那种护照中的RFID芯片。
■ 立法机关加大禁用RFID门卡的力度—2007/02/28
美国立法机关表示,政府应该对关于使用RFID安全技术的问题做进一步的探讨。
■ 关于RFID芯片的争论—2007/02/26
保密卡厂商HID在华盛顿特区召开的黑帽子联邦安全大会上示范展示一款黑客工具,利用这款工具可以很方便地复制各种门卡。
■ 业界组织发出警告 提醒慎用基于RFID技术的ID卡—2006/12/05
政府打算在美国公民新型护照中使用RFID芯片的计划遭到了许多业内人士的强烈反对。(CNW)
- 1ERP项目实施沟通管理研究
- 2IT系统整合的三门“必修课”
- 3如何识别有潜力的开源项目?
- 4简析若干全球BPM的假定
- 5如何保证企业数据的质量
- 6中小企业信息化“快餐”
- 7中小企业信息化整合中的"加减"法则
- 8一个IT项目经理的“阴谋诡计”
- 9武汉协同oa发展进程是怎样的?
- 10中小企业五种主要推广模式的优劣比较
- 11企业网也要三网融合
- 12花旗借IT整顿实现公司重组
- 13SAP走到十字路口
- 14BI为什么变得如此的疯狂
- 15企业如何定制二万块钱的文件服务器
- 16戴尔复出心中有刀手中无刀
- 17中间件采购新趋势分析
- 18升级你的安全
- 19购买网络设备别忘考虑未来需求
- 20让BI更聪明
- 21开源数据库攻占中小企业市场
- 22用ERP做精细化管理
- 23RFID将“防伪”进行到底
- 24中小企业信息化市场需要细分
- 25企业信息化由总体规划升级能力规划
- 26OA办公软件行业中稳步前进的软件公司
- 27印制电路行业ERP的三个难题
- 28IBM的知识管理经验
- 29EDA 风雨欲来
- 30ERP系统推动政府采购集中管理与控制