善用 PKI 加密機制 建立夠犀利的資安防護系統

文 - 孫介人

根據一份最新的資安研究報告指出,不但 2010 年病毒數量比前一年大幅成長許多,對竊取金融資訊的惡意攻擊也快速成長,以致於企業用戶紛紛添購各式各樣的資安防護設備,從防火牆、防毒軟體,到入侵偵測設備等,希望能夠建立夠犀利的資安防護系統。然而隨著駭客攻擊手法快速轉變,各種機密資料被竊取的事件依然層出不窮,不但讓許多資訊人員束手無策,更導致許多企業面臨營運上的危機。

從個人電腦問世以來,病毒入侵與資料外洩的問題,就一直是許多人心中揮之不去的夢魘。多數企業以為只要添購足夠的資安設備,就可以杜絕病毒與駭客入侵,但事實上並非如此。唯有透過事先的分析與規劃,才能夠找到真正適合公司營運特性的資安政策。

缺乏妥善事先規劃 IT 預算無法充分利用

在多數企業的整體 IT 預算中,資訊安全往往是支出最少的項目,原因在於感受不到非要安裝或購買的急迫性。正因為如此,每當遇到病毒肆虐影響企業正常運作,或者機密資料被駭客竊取等事件後,才會體認到建置資安防護體系的重要性,開始斥資添購各種資安防護設備。但是由於沒有深入瞭解企業各種資料的機密等級差異,例如產品銷貨、員工薪資、門禁系統等等,以致於無法針對最急迫需要的項目下手,導致寶貴的 IT 預算被浪費,以致於資安問題不斷重複發生。

以高科技製造業為例,由於企業內部電腦多半禁止外接 USB 隨身碟,也無法上網際網路的狀況時,甚至禁止攜帶具備照相功能的手機進入。在這種環境之下,資訊單位應該要將防護重心放在門禁系統的管理上,有效控管門禁卡的權限,避免員工隨意進入不同事業單位,即可阻絕大多數的機密資料外洩。

PKI 加密機制效果佳 不易被駭客破解

在眾多的機密資料外洩案例中,有超過 80% 的資安問題,都是由企業內部員工所造成,例如沒有做好資料夾與檔案的權限控管,以致於文件被有心人事竊取,或者機密資料缺乏妥善的加密機制,導致文件在傳送的過程中,因為人為的疏忽而洩漏出去。由此可知,只要完善的資料加密系統,便可確保機密資料安全,然而市面上的檔案加密技術甚多,卻造成企業用戶在選擇上的困擾。

在面對資安問題,與個資法即將上路的今天,企業需要一套有效的資料加密機制。目前常見的加密技術有 DES (TDES/3DES)、AES、IDEA…等等,都各具特色與應用範圍,但是在個人電腦運算能力大幅提昇後,很容易透過暴力法在短時間內破解。相較之下,PKI 加密機制便顯得較為安全,即便使用暴力法強力破解,往往也需要好幾年的時間,只要配合檔案可被讀取時間的控管機制,就可以大幅提昇企業資安防護等級。

PKI 的全名是公開金鑰基礎架構 (Public Key Infrastructure),是提供使用者在電子訊息交換的環境下,以確保其訊息的「身份確認性」( Authentication )、「資料完整性」( Integrity )、「不可否認性」( Non Repudiation )、「私密性」( Confidentiality )。換句話說,只要對資訊安全的需求有上述其中一項,即可利用 PKI 來規劃企業的安全機制,以達到資訊安全的目的。

但是企業要自行建置 PKI 防護機制並不容易,所以資通電腦研發多年的 ARES uPKI 系列產品,便是從降低以 PKI 建置資安防護機制的門檻出發,只要利用透過 uPKI Kits 元件,就可以輕鬆部署完善的防護機制,對抗駭客入侵與保護內部資訊安全,達到避免機密資料外洩的目的。

ARES uPKI 速度快 可與應用程式緊密結合

ARES uPKI 是完全獨立創新研發的加密機制,不但擁有整套最完整之原始碼,尤其累積 20 多年的專業能力更值得信賴。 資通電腦在 uPKI Kits 元件採用了標準連接介面,即便開發人員完全不瞭解相關技術,也可以很輕鬆的整合至現有的應用程式中。相較於企業自行開發,採用 uPKI Kits 元件至少可以縮短 20 倍以上的時間,尤其當應用程式需要整合憑證、智慧卡時,也不必每次重新改寫及測試,預估可以節省 5 倍之開發及維護成本。尤其 ARES uPKI 的執行速度,比傳統作法快 2-5 倍以上,可以廣泛地使用在 WindowsLinuxSolarisUnix 等作業平台及各種應用系統中,絕對能夠符合不同環境中的企業需求。

資通電腦除了提供 uPKI-Kits 元件工企業用戶使用之外,也有各種應用解決方案可以選擇,包含 Power Tool(憑證及智慧卡管理工具)、uIAM(身分識別及存取管理系統)、SecureDOC System(文件保全系統)、Crypto Server(資料加解密伺服器)、個資保險箱、電子薪資條、SMDS(機密訊息代送系統)。

Crypto Server 為例,便是提供最簡易方式,讓 IT 人員可以完成資料加解密與文件加密的工作,這套解決方案採用硬體加密模組(HSM),通過 FIPS140-2 安全認證,將加密金鑰儲存於硬體密碼模組內,並具防止盜取資料之金鑰自動銷毀功能,能建立完整應用系統與金鑰的授權機制。

換句話說,在個人資料保護法正式實施後,企業只要藉由 ARES uPKI 的協助,就可以建置完善的資料防護系統,不但能符合政府法律的規範,也能免於機密資料外洩的恐慌。

註:本文為資通電腦孫介人經理接受 DIGITIMES 採訪。

>> 回電子報首頁

推Plurk