金融業者應首重資訊系統整合,PKI則為系統建置的重要基礎, 安全、技術、管理策略為PKI發展關鍵
台灣PKI市場在金融業已發展若干年, 台灣金融產業使用PKI建置網路安全平台,將逐邁向成熟之路; 但憑證發放並不難,難得是管理機制的建立, 業者應以PKI建置為首要基礎建設而非憑證申請。
金融控股法通過後,金控公司得以經營六大金融業務,雖然各業務還是由子公司、專屬部門負責,但博訊副總經理裴兆旭表示,對於金融業者而言,最大的問題在於建構、整合資訊系統,而非憑證的選取或發放。 IT系統整合是迫切需要的,也只有如此才能展現金控公司的真正效益,就博訊的觀察,目前大銀行傾向自建PKI系統平台,以長遠眼光考量成本因素。
除了金融產業外,博訊亦將電信、政府、醫療等列為PKI發展的重要產業,目前正鎖定各產業的不同需求提出PKI架構解決方案。其中醫療產業在歐、美等國,由於各國電子簽章法的通過,有快速上升的趨勢。
管理機制的建立更重於憑證的發放
博訊代理之Entrust PKI以提供PKI解決方案為主要服務。目前在歐美等國有300家銀行採用其解決方案,如Citibank、JP Morgan、中國人民銀行等;電信業則有140多家電信公司,建構網路銀行以及網路系統。
裴兆旭指出,PKI建置其實並不難,最難的是在於是否擁有管理、加解密機制。為防止加密方面出問題,博訊要求以備份方式將加密資料儲存,在系統出問題時即可提供解決支援,只要在平台上建置的功能,無論新、舊功能都可以進行整合。
不單是博訊強調PKI建置的重要性,銀行公會也在建置PKI上多做要求;放眼歐美等國銀行多自行架設PKI、發放憑證,然後再與美國Idenrtus(Root CA)連結。
裴兆旭也強調,國內金融業容易陷入憑證須由第三者進行發放的迷思當中,第三者發放不見得就是中立公正,除非是政府設立之憑證組織。因此無論憑證是由第三者或由企業本身發放都不是問題,關鍵在於擁有良好、完整的管理機制,能否提供不可否認性、綿延性的系統紀錄查詢、修恢復簽章等,才能發揮真正憑證效益。
由於金融產業在金控公司成立後,無論業務及資訊上都擁有相當程度的複雜度,因此要有一致性的標準、達到互通要求的條件,憑證仍以自行發放較佳。
安全、技術、管理策略為發展關鍵
裴兆旭表示,金融機構其實無須擔心自行發放憑證的公信力問題,用戶既然開戶就是表示信任,且PKI放在金融單位亦同樣具有不可否認性,只要符合法律規定與保障就足以採信。因此安全度、技術成熟度、經營策略才是關鍵要素所在。
以企業打造安全入口網站(Security Portal)為例,進入企業應有系統需透過入口網站進行把關動作,認證完成後才能進一步進行資料應用,將是PKI安全性融入企業資訊很好的應用模式,目前已廣泛地被金融、電信業者採用。裴兆旭指出,唯有與企業需求密切結合,憑證才能完全發揮安全性及不可否認性等功能。
此外,建置PKI成本過於昂貴的觀念也有導正的必要,裴兆旭指出,由於購買憑證無須建置系統平台,表面看來似乎很划算,但是當申請憑證人數達百萬規模時,購買憑證的金額及足以建置PKI系統平台,以長遠投資報酬率來看其實並不符合成本效益。
一般而言,小型企業適合以購買憑證的方式提供服務,而擁有大量客戶的大型企業藉由PKI架構可以有效安全管理觀念實際與資訊系統結合,設立資訊安全管理入口網站平台。
建立互通憑證標準才是切實之道
裴兆旭指出,一張憑證用到底的概念不錯,但是這樣的想法太過於理想化,在實際運作上不太可能實踐;每個產業、企業的需求不同,要求所有業者使用同一張憑證,將會遇到許多問題。因此博訊主張依不同產業及企業需求發行憑證,憑證之間再各自依循標準相互認可,才是最有效的解決方式。
憑證發放不是最重要的問題,當前應用架構的安全性及不可否認性才是關鍵所在,無論是由第三公正單位或企業本身發放,重點皆在於憑證發放後如何應用管理,唯有具安全性、可管理的PKI架構才是企業應該著重的焦點。
CA網路憑證只是PKI架構下的一環,以企業e化的角度來看,利用PKI建置資訊系統也是e化發展的一步,畢竟憑證發放對企業而言並非核心服務,但是PKI卻是核心事業。
而選擇PKI建置廠商的評估指標為何?裴兆旭指出, PKI建置廠商在市場上頗多,但真正能提供具管理應用層級的廠商則不多,選擇標準應在於廠商是否能提供成熟、加強管理的應用技術。以博訊為例,所提供的PKI機制不但通過國際FIPS 140標準,同時也符合CCEL等雙重國際憑證標準,可真正提供成熟級的應用技術。
【2001-12-16/網際新聞】
