如何選擇合適的PKI？

文/郭慧姿


PKI是一個基礎建設，包含一連串複雜流程，並非一個單純的產品，企業在選擇PKI相關產品或服務時，應該先透過企業安全政策考慮自己的目的與需求在哪裡，才不至於隨技術名詞起舞，能夠進一步思考業者所提供的產品或服務是否真能達到安全、多元的效益，真正符合企業需求。
先訂定企業安全政策
普華資安副總經理包化富建議企業應該先訂定包含資訊安全、實體安全與人事安全在內的企業安全政策以了解企業建置PKI的原因與用途，例如企業由於交易、公文傳送交換、企業流程簽核，需要用到憑證、簽章、加解密，以確保身分認證、保密、資料完整、交易的不可否認性四個目的，就必須結合防毒軟體、入侵偵測系統等資訊安全產品，建置PKI以解決需求。


PKI在運用上，會有比較大的負擔是系統管理員對PKI架構上各組成元件與憑證發放機制的維護與管理，包化富強調，這些都可以透過完整的規劃與企業政策制定相關標準處理程序，如制定憑證政策（Certification Policy, CP）與憑證中心憑證準則（Certification Policy Statement, CPS）等，以幫助解決管理上的盲點。也就是說，完整的資訊安全政策應包含CP與CPS



視企業規模而定
在企業安全政策擬定後，企業應視其規模與需求選擇適合的產品，包化富指出，以CA來說，根據所服務對象的不同，CA可分為Commercial（商業）、Enterprise（企業）與企業流程內控的CA等多種，例如Commercial CA服務的對象多以安全需求較高的政府、金融業為主，所選擇的產品安全等級就必須很高。至於當一般企業的需求在於權限控管（Access Control），或由於ERP、SCM、CRM等資訊需要整合，而有單次簽入（Single-sign-on）的需求時，選擇內建CA即可。


包化富舉例，在微軟系統被普遍使用的狀況下，規模不大的企業其實可透過Windows系統獲得PKI安全機制，台灣微軟產品經理王嘉玲即指出，由於Windows 2000 Sever內含的CA Sever可針對企業Intranet（企業內部網路）與Extranet（企業外部網路）內限定的互動對象進行提供加密與身分認證功能，因此可保護企業網路上的商業交易，並限制外部特定計劃或臨時合作夥伴的存取限制。



不隨技術名詞起舞
欣領航行銷副總林永修指出，企業應了解其安全政策為何，並確定其對資訊安全之需求，千萬不要隨技術名詞起舞，應確定企業PKI 之運用範圍及與企業應用程式或流程之關係。面對各式產品，除應考慮產品之前瞻性，不要採用將被汰除之技術，以免後續維護無人或未達到安全的效能外，並應審慎考慮產品功能是否可滿足需求，且是否能與企業現有資訊安全產品，如防火牆、入侵偵測系統等進行整合。此外，一旦採用該產品，產業上下游是否可整合，也要一併考慮；最重要的是，企業預算是否足以支應。


應用多元，功能完整
目前PKI相關業者相當多，聯傳科技行銷經理孫志弘認為用戶應考慮業者是否提供多元化應用；凌群電腦市場處資深工程師李振杰也表示，不論是進口產品或國人自行研發的產品，用戶應考量的重點在於其是否提供完整功能與真正安全的保障，尤其是網路產品本有一定的複雜性，再加上PKI的觀念有待建立，業者應該多給客戶一些相關資訊。包化富則認為，用戶真正在乎的是所建置的PKI所發揮的功能是否能合乎其所屬電信業或金融業的特性，建議用戶先找專人助其規劃、說明功能。


國際公信力
網際威信協理姚禹平指出，選擇PKI機制時應考慮其是否具備國際互通性，例如與國外企業或金融用戶交換認證、核發及管理國內外客戶端憑證機制；此外是否具備國際公信力，是否符合國際標準之電子簽章法規範亦相當重要。另外，企業是否易於推廣應用、管理成本是否合理、能否配合企業成長需求、整合國際業務、是否具備完整及人性化管理功能皆應一併考量。


安全與便利並重
此外，交易安全以及不可否認性固然重要，亦要同時兼顧方便性，才能真正深得使用者的心。網路交易的模式逐漸被接受，不過，網路上信用卡被冒用的情況卻也層出不窮，在虛擬網路上行偷竊之實的消息時有所聞，令人望電子商務而卻步。



裴兆旭指出，1996年VISA以及MasterCard等信用卡國際組織曾大力推展SET機制作為網際網路交易的共同標準，但是消費者須安裝電子錢包，並向發卡行申請認證，使用並不便利，因此使用者接受度並不高；目前網路信用卡交易大多採取SSL機制，但是SSL機制較適合用在IP層，其只在傳輸過程進行加密，無法認證傳送者（持卡人）與接收者（網路店家），因此，持卡人就可以否認某筆線上交易的發生，或是輕易冒用他人的信用卡進行交易，持卡人也無法確認網路店家是不是「黑店」，造成持卡人對線上交易安全的懷疑與網路店家的損失。林永修說，有鑑於此，VISA與MasterCard即考慮在信用卡內植入晶片，將私鑰存入，全面以晶片讀卡機取代現有刷卡機，期利用PKI四個安全概念，有效降低信用卡被盜刷的風險；惟目前成本太高，預計2003年才能全面換掉。