觀點

PKI廠商 默默耕耘 期待春天-國內和尚照樣會唸經(下)

2003 / 10 / 06
PKI廠商 默默耕耘 期待春天-國內和尚照樣會唸經(下)

文 / 邱詩琁


8月中的疾風事件,讓網路安全及相關的產品、議題再次發燒,有IDS廠商表示,這次的攻擊事件,許多金融銀行單位的災情不輕,甚至開始考慮採購入侵偵測/入侵預防產品。病毒、攻擊事件,常常會喚起人們對網路安全再度關注,為相關廠商帶來商機;而對PKI廠商來說,什麼樣的安全事件、議題會讓人們將目光轉移至他們身上?
契機-PKI廠商何時得到關愛的眼神?
包括財金公司洩密案、台積電資料被盜事件等種種肇因於內部人員所為的資安事件,會喚起人們在注意防毒、防駭客時,別忘了統計資料多指出,百分之七十的資安事件來自於內部員工所為,不管是惡意或是疏失。這方面的解決方案,除了企業應從政策面思考如何對內部員工做控管、稽核外,若要尋找產品解決方案,PKI的相關應用產品也許值得考慮。


提到PKI,馬上會聯想到資訊安全的四大需求,資料的隱密性(Confidentiality)、資料的完整性(Integrity)、傳送訊息雙方的身份識別(Authentication)、交易訊息的不可否認性(Non-repudiation)。而以非對稱加密系統為基礎的PKI(Public Key Infrastructure)公開金鑰基礎建設,因為能為傳送的訊息做加密處理,且加上交易雙方的電子簽章以確認其身份,而符合了資訊安全的四大需求,成為電子商務安全的解決方案。相較於防毒、防駭,PKI強調的是更為積極全面的安全防護。

多元解決方案 推動市場需求
專案導入

和買防毒、防火牆產品不同的是,導入、建置PKI解決方案就有如企業導入ERP、CRM一樣,多以專案導入方式進行。PKI中華台北推動委員會於去年年底所公佈了一份「台灣PKI趨勢調查報告」,其中調查了目前台灣企業PKI建置現況與模式,數據顯示,40%已導入PKI的企業,其專案建置約需花費半年至一年的時間。由於導入時間及成本不低,調查中也表示,尚有許多企業沒有導入PKI的強列需求。最重安全的金融服務業也是最早開始建置PKI系統的,其他對資安需求較迫切的軍方、政府單位是另一批早期使用者,這一、兩年則由於推動病歷電子化、醫療產業E化的需求,使得醫療產業被看好是下一波極具潛力的客戶群。


由於專案導入,再加上金融、政府單位目前仍為最大使用者,有鑑於不同產業的know-how不同,有些PKI廠商針對金融、政府單位需求量身訂做出解決方案。鎖定金融業為PKI主要導入客戶群的宏瞻資訊,推出Security Server安控伺服器系統,做為資料高速加解密運算、數位電子簽章、安全金鑰儲存空間之環境。
InetGuard電子商務保全系統,則是透過數位簽章、資料加解密以及IC卡等層層認證,以確保電子交易的可靠性與安全性。


全景軟體的金融安控解決方案Sphinx FXML,符合銀行公會金融XML憑證互通性技術規範,包括的功能模組有:客戶端的簽章/加密安控元件,伺服器端的簽章/加密安控元件,註冊中心、安控伺服器、稽核伺服器。可結合至網路銀行相關應用系統、證券期貨下單系統、電子採購交易系統等。另外,並針對一般企業應用推出Sphinx PKI公開金鑰基礎建設,包含有憑證中心CA、註冊中心RA、目錄服務,及製發卡系統等。華安聯網則針對政府單位的需求,提供電子公文製作、電子交換整合系統、第三類電子公文佈告欄、地政整合系統等解決方案。


除了針對產業特性量身訂做解決方案,一般企業要導入PKI,建置企業內部的Inhouse CA,需要包含相關的軟硬體設備。網安科技所提供的EzCert PKI v2.0,便包含了硬體設備:如安控處理伺服器(在主機內部提供以專屬的硬體密碼模組,執行加解密及數位簽章運算)、安控加密運算卡、晶片讀卡機、讀卡機晶片、IC智慧卡;及安控軟體:包括CA憑證管理系統、註冊管理系統、Web安全強化系統、檔案加解密系統、單一簽入身份認證(提供簡單且易於維護的系統登入及授權管理功能)。


強調提供PKI-enable完整解決方案的資通電腦,所推出的Upki-kits,提供PKI安全模組,以快速地與各單位原應用系統結合。並搭配不同的憑證及智慧卡使用。依使用者的不同需求,結合企業的應用程式,可提供加密解密、簽章驗證、單一簽入、交易紀錄、遠端存取、智慧卡應用等功能,配合不同產業的屬性,可應用在網路下單、銀行融資交易、電子票據、網路銀行、電子商務、高價位資料保護、權限控管、PKI系統整合案、政府電子採購系統、安全電子公文系統、機密系統當中。


屬於永豐餘集團的宏通數碼科技,本身即是台灣最大的製發卡中心,一年產能可達三千萬張。推出的eCertCA/PKI資通安全認證系統,主要亦是協助建置組織內的認證服務,配合系統需求訂製合身的PKI架構。解決方案的元件包括有:提供圖形化管理介面(GUI)、CA金鑰管理、登錄管理RA、憑證管理、伺服器管理、Token(IC Card)管理、目錄服務與PKI安全顧問服務等。


欣領航網路科技則是針對不同企業規模所衍生的不同需求,將解決方案做區分,針對中小企業需求,推出eGATEsIA資訊保密系統,可做企業內部憑證管理、發放與製作,可應用在電子郵件、文件加密保護,員工電腦的登入控管。另外,並針對個人用戶推出eGATEsWS資訊保密工作站。


代理多家國外網路安全產品的騰蒙科技,則自行研發PKI 推出EPKi(tm) 公開金鑰基礎建設解決方案,並可搭配EPKi? DS達成憑證公布與應用程式整合的目的。結合EPKi Pro則可提供應用程式密碼學運算能力,協助應用程式環境輕易融入PKI功能。


套裝產品

針對更廣泛的企業需求和應用,由於企業已普遍體認到內部資訊控管的重要,再加上電子郵件、網路的發達,都成了機密資料外流的重要通道,因此以PKI為基礎的文件控管、安全電子郵件、權限控管、單一簽入等產品紛紛出爐,有些甚至包裝成套裝產品,針對個人使用者、SOHO族銷售。


凱隆智慧於今年七月中發表了一系列的產品,以企業內部資訊環境的整個流程為考量:從系統登入、檔案存取、列印控管、郵件應用、日誌稽核、資料庫保全、軟體更新等運作環節,替企業建置一個完整的PKI架構。依個別功能,包裝成了LogonCoach登入授

商機-殺手級應用何處尋?
「台灣PKI趨勢調查報告」中亦指出,在已有導入使用PKI的受訪者當中,近半數的受訪者選擇的解決方案非國際大廠品牌,因此推斷國際大廠於我國PKI市場中尚未形成明顯之優勢。選擇其他品牌的受訪者中,有部份為自行開發,其餘的多是採用國內廠商所開發的PKI系統、服務和產品。也因此可見,須配合單位量身訂做、專案導入的PKI,本土廠商有在地的優勢。


調查報告中也發現,網路應用(Web Application)和交互認證SSL是最被廣泛使用的,再來是安全的電子郵件、其他應用及虛擬私有網路(VPN)。且調查結果顯示,這兩年內將會有許多企業或組織開始導入PKI相關專案,前年底通過的電子簽章法有推波助瀾之效。不過仍有不少使用者對導入PKI持保留立場。其實,本刊在幾次和使用單位的問卷和訪談中也有同樣的發現和感受,多數受訪者並未有急切導入PKI之需求,再加上經濟不景氣、預算經費不足,PKI成為多位受訪者「未來」之考量。


PKI中華台北推動委員會分析PKI產業為何無法蓬勃發展?歸納出三大原因分別為:PKI應用尚未普及,缺乏殺手級應用。不僅台灣如此,歐美的PKI發展也面臨同樣的瓶頸。第二為業界普遍認為PKI的需求不高,因台灣多數為中小企業,中小企業對資安的觀念仍有待提升。第三為電子化政府憑證業務無適度開放予業界,推動委員會認為,既然PKI屬政府和金融的應用最多,若適度開放相關業務予民間業者,將可增加PKI市場發展機會。


PKI中華台北推動委員會董事長夏漢民則指出,PKI最重要的是要發展出各種應用及創造好的商業模式。比如說,PKI廠商應去思考IT領域的需求、最重交易安全的銀行金融業的需求,讓PKI得以和它們的需求配合。最重要的是讓PKI應用能夠普遍化,這便有賴政府和業界的溝通。他表示,政府扮演政策擬定推動的重要角色,但卻未必真正瞭解業界的心聲和需求,因此委員會也正扮演著政府和業者溝通的橋樑角色。


夏漢民建議,除了電子化政府(E-government)外,政府不用事事都自己來,應多開放予民間業者參與。因為政府和民間的處事和思考角度大不相同,習於商業模式和業務推廣的民間企業會有更多的點子和更多的變化,更有助PKI的推展。











轉機-跳脫PKI思維?
廠商推出的套裝產品、內容安全控管產品,雖是奠基在PKI的基礎之上,但倒未必強調PKI,重點是所提供的功能,能協助企業達到保護資訊安全的目的。提供便於操作使用的介面,讓使用者只需點選幾個按鈕,便可將資訊放心地傳送出去。因為對多數使用者來說,未必需瞭解PKI的原理、運作模式。中華台北PKI推動委員會表示,許多業者發現要在商業層面為PKI的導入和建置提出具說服力的論點並非易事。主要原因為公開金鑰基礎建設的“基礎建設”(infrastructure),從商業角度來看,其本身無法視作“產品”來販賣,這也是PKI應用無法推廣的本質問題。所以,目前該努力的應是去導正企業或個人將PKI單純視做IT底層基礎建構的觀念,而是去強化它為能夠幫助企業強化商業效率、改善產品服務的實用解決方案。


走向商業應用,是大家推動PKI的共同認識,但是殺手級的應用何在?好的商業應用模式又是如何?還是有賴產業先進去動腦苦思。在下一次能獲得關愛眼神的事件前,先找出解決方案吧。

結語
此次的國產商專題,雖未能對資安國產商做一一的訪談介紹,但多次的訪談下來,普遍感受到資安廠商需政府的大力支持推動,畢竟資安產業角色特殊,形同半個國防工業。而政府主管機關也對此做了善意回應,包括資訊委外的商機、正規畫中的資安產品認驗證機制,同時也呼籲廠商應做良性的競爭。同時,我們也從一些使用的的訪談中發現,只要產品夠好,資安國產品絕對會在其採購考量中。請注意「產品夠好」這四個字,因此強化技術、打響知名度、提供優勢的在地服務,是國產商要持續堅持走下去的路。



PKI的應用

金融銀行單位 網路下單、銀行融資交易、電子票據、網路銀行、證券/期貨下單系統、電子採購交易系統、B2B/B2C交易平台等




PKI中華台北推動委員會:

經濟部商業司為推動台灣地區公開金鑰基礎建設,並積極配合 Asia PKI Forum 組織相關計畫之進行,於民國90年7月16日與「中華民國國家資訊基本建設產業發展協進會(簡稱NII產業發展協進會)」共同成立「亞洲公開金鑰基礎建設論壇中華台北推動委員會(簡稱PKI中華台北推動委員會)」,由NII產業發展協進會董事長夏漢民博士擔任委員會召集人,經濟部商業司長劉坤堂與資策會副執行長黃台陽擔任共同召集人,委員會代表則由國內相關政府單位、公協會與業界代表共同組成,下設立4個工作小組,分別為「政策研擬組」、「法律事務組」、「技術發展組」、與「推廣應用組」,將就相關議題歸納並整合台灣與亞洲地區各國認證機構合作模式與PKI技術標準研擬,並與亞洲國家進行跨國交互認證,期能建構國內及亞洲區安全的電子商務網路交易環境,促進無國界電子政府與亞洲共通電子商務市場的發展,進而加強台灣國際貿易,提昇國家經濟發展的目標。




附註:普及PKI電子商務應用,各國之看法
日本

* 鎖定具成長性的市場(如電子化政府、金融服務、醫療服務

* 具體呈現PKI的投資效益(如發表相關導入效益白皮書、發展安全管理工具等)

* 強化PKI與商業應用的結合

* 提升PKI建置維運的成效(如策略聯盟或外包作業)

* 建立PKI的互通性

* 將PKI與高價價值之商業應用有效結合(如無紙化作業或全球供應鏈管理)

* 促進PKI與其它技術標準和應用的協作(如XML、交互認證)

* 強化PKI應用的便利性(如改善使用者介面和應用於手機等不同的載具)



韓國

* PKI應用的成效係奠基於技術標準、法律架構及維運管理



香港

* 支援開放性標準和互通性

* 支援舊有或新進之應用系統

* 支援無線作業系統

* 支援不同安全等級之使用需求



美國

* 應先改變和強化使用者的網路使用習慣

* 公正客觀的憑證機構本身並非信賴關係的權威性源頭,而PKI本身亦非萬靈單,它不過是電子商務解決方案的其中一個構成要素



歐盟

PKI使用不彰主要原因為:不易說服使用者安全線上交易的重要性、不易控管複雜的安控流程、如何在安全性和便利之間取得平衡,這些問題皆會衍生出額外的管理成本。從法律觀點出發,對推動PKI應用可產生間接助益。應建立PKI本身於電子商務交易的法律地位,如此才能藉由將PKI與法律責任建立關聯性,據以推升PKI的應用廣度。具體的應用包括商業登記、不動產登記、所得稅/營業稅申報、股票交易等。


我國

* PKI與網路服務(Web Services)安控的結合

* PKI與協同作業/商務的結合(特別是在美國911恐佈攻擊事件以及SARS疫情衝擊之後)

* PKI與具經濟價值與智財權有關之數位內容的結合



企業主建置PKI應先檢視的六大原則

(1)先進行風險評估。企業就現實與事實評估其日常商業習作 所可能面臨的風險以及相對所需要的安全控管等級,以確定企業本身確實有導入PKI的需求。

(2)調合商業運作效率和安全需求二者。亦即企業應在安全防護措施和作業的便利性及效率間求得平衡點,莫因在安全上做到滴水不漏,反而減損日常商業運轉的效率和效能。

(3)循序漸進莫好高鶩遠。企業不應企求PKI的擘建能立竿見影、吹糠見米,需步步為營並體認PKI的推動是演進(evolution)而非變革(revolution)。

(4)為PKI的擘建預留合理的推動期程。企業應體認到PKI非單僅是技術面的問題,它還牽連到政策、法律責任、教育推廣、管理等事務,在執行上問題較為複雜,需面面俱到,逐步克服。

(5) 應考量使用者上手所需之時間成本。PKI的應用得以存續的關鍵在於終端的使用者能真正瞭解PKI的價值(非技術層面),並且藉由適當的教育訓練,讓使用者已有心理準備善用PKI。

(6) 應備齊所需資金。企業在擘建PKI時應考量先期投入成本、非預期之隱藏性成本以及後續的維運管理成本,以便有充裕的資金持續投入PKI的應用推廣工作。



(資料來源:PKI中華台北推動委員會)