https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

如何選擇合適的PKI?

2001 / 07 / 20
如何選擇合適的PKI?

文/郭慧姿


PKI是一個基礎建設,包含一連串複雜流程,並非一個單純的產品,企業在選擇PKI相關產品或服務時,應該先透過企業安全政策考慮自己的目的與需求在哪裡,才不至於隨技術名詞起舞,能夠進一步思考業者所提供的產品或服務是否真能達到安全、多元的效益,真正符合企業需求。
先訂定企業安全政策
普華資安副總經理包化富建議企業應該先訂定包含資訊安全、實體安全與人事安全在內的企業安全政策以了解企業建置PKI的原因與用途,例如企業由於交易、公文傳送交換、企業流程簽核,需要用到憑證、簽章、加解密,以確保身分認證、保密、資料完整、交易的不可否認性四個目的,就必須結合防毒軟體、入侵偵測系統等資訊安全產品,建置PKI以解決需求。


PKI在運用上,會有比較大的負擔是系統管理員對PKI架構上各組成元件與憑證發放機制的維護與管理,包化富強調,這些都可以透過完整的規劃與企業政策制定相關標準處理程序,如制定憑證政策(Certification Policy, CP)與憑證中心憑證準則(Certification Policy Statement, CPS)等,以幫助解決管理上的盲點。也就是說,完整的資訊安全政策應包含CP與CPS



視企業規模而定
在企業安全政策擬定後,企業應視其規模與需求選擇適合的產品,包化富指出,以CA來說,根據所服務對象的不同,CA可分為Commercial(商業)、Enterprise(企業)與企業流程內控的CA等多種,例如Commercial CA服務的對象多以安全需求較高的政府、金融業為主,所選擇的產品安全等級就必須很高。至於當一般企業的需求在於權限控管(Access Control),或由於ERP、SCM、CRM等資訊需要整合,而有單次簽入(Single-sign-on)的需求時,選擇內建CA即可。


包化富舉例,在微軟系統被普遍使用的狀況下,規模不大的企業其實可透過Windows系統獲得PKI安全機制,台灣微軟產品經理王嘉玲即指出,由於Windows 2000 Sever內含的CA Sever可針對企業Intranet(企業內部網路)與Extranet(企業外部網路)內限定的互動對象進行提供加密與身分認證功能,因此可保護企業網路上的商業交易,並限制外部特定計劃或臨時合作夥伴的存取限制。



不隨技術名詞起舞
欣領航行銷副總林永修指出,企業應了解其安全政策為何,並確定其對資訊安全之需求,千萬不要隨技術名詞起舞,應確定企業PKI 之運用範圍及與企業應用程式或流程之關係。面對各式產品,除應考慮產品之前瞻性,不要採用將被汰除之技術,以免後續維護無人或未達到安全的效能外,並應審慎考慮產品功能是否可滿足需求,且是否能與企業現有資訊安全產品,如防火牆、入侵偵測系統等進行整合。此外,一旦採用該產品,產業上下游是否可整合,也要一併考慮;最重要的是,企業預算是否足以支應。


應用多元,功能完整
目前PKI相關業者相當多,聯傳科技行銷經理孫志弘認為用戶應考慮業者是否提供多元化應用;凌群電腦市場處資深工程師李振杰也表示,不論是進口產品或國人自行研發的產品,用戶應考量的重點在於其是否提供完整功能與真正安全的保障,尤其是網路產品本有一定的複雜性,再加上PKI的觀念有待建立,業者應該多給客戶一些相關資訊。包化富則認為,用戶真正在乎的是所建置的PKI所發揮的功能是否能合乎其所屬電信業或金融業的特性,建議用戶先找專人助其規劃、說明功能。


國際公信力
網際威信協理姚禹平指出,選擇PKI機制時應考慮其是否具備國際互通性,例如與國外企業或金融用戶交換認證、核發及管理國內外客戶端憑證機制;此外是否具備國際公信力,是否符合國際標準之電子簽章法規範亦相當重要。另外,企業是否易於推廣應用、管理成本是否合理、能否配合企業成長需求、整合國際業務、是否具備完整及人性化管理功能皆應一併考量。


安全與便利並重
此外,交易安全以及不可否認性固然重要,亦要同時兼顧方便性,才能真正深得使用者的心。網路交易的模式逐漸被接受,不過,網路上信用卡被冒用的情況卻也層出不窮,在虛擬網路上行偷竊之實的消息時有所聞,令人望電子商務而卻步。



裴兆旭指出,1996年VISA以及MasterCard等信用卡國際組織曾大力推展SET機制作為網際網路交易的共同標準,但是消費者須安裝電子錢包,並向發卡行申請認證,使用並不便利,因此使用者接受度並不高;目前網路信用卡交易大多採取SSL機制,但是SSL機制較適合用在IP層,其只在傳輸過程進行加密,無法認證傳送者(持卡人)與接收者(網路店家),因此,持卡人就可以否認某筆線上交易的發生,或是輕易冒用他人的信用卡進行交易,持卡人也無法確認網路店家是不是「黑店」,造成持卡人對線上交易安全的懷疑與網路店家的損失。林永修說,有鑑於此,VISA與MasterCard即考慮在信用卡內植入晶片,將私鑰存入,全面以晶片讀卡機取代現有刷卡機,期利用PKI四個安全概念,有效降低信用卡被盜刷的風險;惟目前成本太高,預計2003年才能全面換掉。