運用 PKI 打造符合個資法的資訊系統
個資法已於十月一日正式施行,無論公務機關及非公務機關,只要保有個人資料,為防止個人資料被竊取、竄改、毀損、滅失或洩漏,必須採取技術上及組織上之措施。為了方便資訊系統使用、交換與儲存,個人資料多已數位化,因此如何打造符合個資法要求的資訊系統,是企業面臨的重要課題。
個資法施行細則第十二條列舉了十一項措施,從其中二項可以歸納出符合個資法的資訊系統需求:
資料安全管理及人員管理
企業必須將資料分類與分級,依員工職權賦予不同的存取權限;此外資料的傳輸與儲存也必須採取保密與防護措施,例如加密、備份、網路防火牆等等。
使用記錄、軌跡資料及證據保存
任何個人資料的使用,應留下使用記錄,包括使用人、使用時間與用途等資訊,都必須妥善保存,以利日後舉證使用。
綜合以上二項措施,大至可歸納出「確認存取資料者的身分」、「確保資料儲存與傳輸的安全」、「確認資料的完整性與正確性(未被竄改)」、「確認資料來源(不可否認性)」與「資料存取記錄」等五項資訊系統需求。
PKI 的應用
PKI(Public Key Infrastructure,公鑰基礎設施)是一種以非對稱式金鑰(公鑰、私鑰)為基礎,以經過權威、公正、可信賴的第三方認證機構所認證的金鑰,透過「加密/解密」與「簽章/驗章」方式,讓我們在不安全的開放環境中,可以安全的交換資料。其中私鑰為個人所有而不公開,公鑰憑證則對外公開,方便他人取得。
加密/解密
資料傳送前先以接收者公鑰憑證內的公鑰將資料加密,接收者收到後以自己的私鑰將資料解密。因為經公鑰加密過的資料只有與公鑰成對的私鑰可解開,因此可確保資料儲存與傳輸的安全性。
簽章/驗章
傳送者以自己的私鑰對資料進行簽章,接收者則以傳送者公鑰憑證內的公鑰進行驗章,以確認簽章者的身分,並檢驗資料是否完整未被竄改,同時達到確認資料來源(不可否認性)與資料完整性與正確性(未被竄改)。
此外應用 PKI 的簽章與驗章,在資料使用者存取資料前可先確認存取資料者的身分,以確認使用者是否具備使用資料的權限,並於使用過程中留下使用記錄,以保留證據,方便日後舉證之用。
本期我們將特別介紹 ARES Crypto Server 與 DRM 產品。告訴你資料庫加密如何快速又安全保護您的重要資產不外洩,以及保護企業機敏文件的權限控管、稽核紀錄設定。內容相當精彩豐富,千萬別錯過!
