歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
如何選擇合適的PKI?
2001 / 07 / 20
文/郭慧姿
PKI是一個基礎建設,包含一連串複雜流程,並非一個單純的產品,企業在選擇PKI相關產品或服務時,應該先透過企業安全政策考慮自己的目的與需求在哪裡,才不至於隨技術名詞起舞,能夠進一步思考業者所提供的產品或服務是否真能達到安全、多元的效益,真正符合企業需求。
先訂定企業安全政策
普華資安副總經理包化富建議企業應該先訂定包含資訊安全、實體安全與人事安全在內的企業安全政策以了解企業建置PKI的原因與用途,例如企業由於交易、公文傳送交換、企業流程簽核,需要用到憑證、簽章、加解密,以確保身分認證、保密、資料完整、交易的不可否認性四個目的,就必須結合防毒軟體、入侵偵測系統等資訊安全產品,建置PKI以解決需求。
PKI在運用上,會有比較大的負擔是系統管理員對PKI架構上各組成元件與憑證發放機制的維護與管理,包化富強調,這些都可以透過完整的規劃與企業政策制定相關標準處理程序,如制定憑證政策(Certification Policy, CP)與憑證中心憑證準則(Certification Policy Statement, CPS)等,以幫助解決管理上的盲點。也就是說,完整的資訊安全政策應包含CP與CPS
視企業規模而定
在企業安全政策擬定後,企業應視其規模與需求選擇適合的產品,包化富指出,以CA來說,根據所服務對象的不同,CA可分為Commercial(商業)、Enterprise(企業)與企業流程內控的CA等多種,例如Commercial CA服務的對象多以安全需求較高的政府、金融業為主,所選擇的產品安全等級就必須很高。至於當一般企業的需求在於權限控管(Access Control),或由於ERP、SCM、CRM等資訊需要整合,而有單次簽入(Single-sign-on)的需求時,選擇內建CA即可。
包化富舉例,在微軟系統被普遍使用的狀況下,規模不大的企業其實可透過Windows系統獲得PKI安全機制,台灣微軟產品經理王嘉玲即指出,由於Windows 2000 Sever內含的CA Sever可針對企業Intranet(企業內部網路)與Extranet(企業外部網路)內限定的互動對象進行提供加密與身分認證功能,因此可保護企業網路上的商業交易,並限制外部特定計劃或臨時合作夥伴的存取限制。
不隨技術名詞起舞
欣領航行銷副總林永修指出,企業應了解其安全政策為何,並確定其對資訊安全之需求,千萬不要隨技術名詞起舞,應確定企業PKI 之運用範圍及與企業應用程式或流程之關係。面對各式產品,除應考慮產品之前瞻性,不要採用將被汰除之技術,以免後續維護無人或未達到安全的效能外,並應審慎考慮產品功能是否可滿足需求,且是否能與企業現有資訊安全產品,如防火牆、入侵偵測系統等進行整合。此外,一旦採用該產品,產業上下游是否可整合,也要一併考慮;最重要的是,企業預算是否足以支應。
應用多元,功能完整
目前PKI相關業者相當多,聯傳科技行銷經理孫志弘認為用戶應考慮業者是否提供多元化應用;凌群電腦市場處資深工程師李振杰也表示,不論是進口產品或國人自行研發的產品,用戶應考量的重點在於其是否提供完整功能與真正安全的保障,尤其是網路產品本有一定的複雜性,再加上PKI的觀念有待建立,業者應該多給客戶一些相關資訊。包化富則認為,用戶真正在乎的是所建置的PKI所發揮的功能是否能合乎其所屬電信業或金融業的特性,建議用戶先找專人助其規劃、說明功能。
國際公信力
網際威信協理姚禹平指出,選擇PKI機制時應考慮其是否具備國際互通性,例如與國外企業或金融用戶交換認證、核發及管理國內外客戶端憑證機制;此外是否具備國際公信力,是否符合國際標準之電子簽章法規範亦相當重要。另外,企業是否易於推廣應用、管理成本是否合理、能否配合企業成長需求、整合國際業務、是否具備完整及人性化管理功能皆應一併考量。
安全與便利並重
此外,交易安全以及不可否認性固然重要,亦要同時兼顧方便性,才能真正深得使用者的心。網路交易的模式逐漸被接受,不過,網路上信用卡被冒用的情況卻也層出不窮,在虛擬網路上行偷竊之實的消息時有所聞,令人望電子商務而卻步。
裴兆旭指出,1996年VISA以及MasterCard等信用卡國際組織曾大力推展SET機制作為網際網路交易的共同標準,但是消費者須安裝電子錢包,並向發卡行申請認證,使用並不便利,因此使用者接受度並不高;目前網路信用卡交易大多採取SSL機制,但是SSL機制較適合用在IP層,其只在傳輸過程進行加密,無法認證傳送者(持卡人)與接收者(網路店家),因此,持卡人就可以否認某筆線上交易的發生,或是輕易冒用他人的信用卡進行交易,持卡人也無法確認網路店家是不是「黑店」,造成持卡人對線上交易安全的懷疑與網路店家的損失。林永修說,有鑑於此,VISA與MasterCard即考慮在信用卡內植入晶片,將私鑰存入,全面以晶片讀卡機取代現有刷卡機,期利用PKI四個安全概念,有效降低信用卡被盜刷的風險;惟目前成本太高,預計2003年才能全面換掉。
最新活動
2024.05.24
AI新技術 全面捍衛網路安全
2024.04.26
建構智慧製造對應資安解方媒合交流會
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
思科示警VPN、SSH服務遭大規模暴力撞庫攻擊
Palo Alto Networks:全球多重勒索軟體攻擊激增 49%,台灣製造業、高科技業、營建業受影響深
零壹科技成立「聯壹數位」子公司強化雲策略布局
趨勢科技公佈「Operation Cronos」癱瘓LockBit細節
思科 Duo遭供應鏈攻擊!用戶多因子身分驗證日誌外洩
資安人科技網
文章推薦
工控領域的安全開發!迷思與重要觀念
碩泰網通宣布取得Tenable台灣區代理權
Check Point 推出具進階威脅防護能力的創新單一介面電子郵件管理解決方案