專家答疑:如何利用端到端加密保護數據
事實上,大部分銀行和政府機構都在利用加密來保護信息。然而,幾乎各行各業的企業阻止都有被認為是私密的信息或者有價值的信息,也就是說,大家有責任和義務保護這類信息。
加密數據的優勢包括減少銀行卡欺詐的風險、符合行業標準(如支付卡行業數據安全標準PCI DSS等),以及實施行業最佳做法,讓我們來分別看看這幾個優勢:
1. 減少銀行卡欺詐的風險
據估計,大型企業數據泄漏事故的費用大約為每條泄漏信息記錄200美元。也就是說,最近在網絡公司Network solutions公司發生的數據泄漏事故(估計泄漏57.4萬名客戶的信用卡信息),造成的經濟損失大約為1億美元。如果再加上取證調查、調解與受害客戶的關系、減少對大眾媒體的影響以及法律費用等,那絕對是天文數字。
例如,零售商店為了能夠方便退款,會存儲客戶數據。然而,這樣做的時候,他們必須要確保這些數據的安全。高強度的加密是保護存儲持卡人數據最先進和最成功的做法,它能夠確保信息的安全性,即使其他保護措施失效,加密同時還可以盡可能久和盡可能靈活的保護數據。
有了高強度的加密技術,加密算法中還會使用一個秘密的“鑰匙”來保護持卡人數據。只要這個鑰匙不被人知,加密數據就是安全的。因此,存儲密鑰的最佳方式就是使用加密硬件安全模塊(HSM)來完成對數據加密和解密,不要讓用戶和應用程序看到密鑰。
2. 符合行業標準
符合PCI DSS行業標準可能被行業視為另一個監管負擔,特別是在部署更具挑戰性的任務時(例如保護持卡人數據)。然而,隨著不法分子變得越來越復雜,以及零售商的數據泄漏事故不斷成為新聞話題,企業們應當將PCI DSS合規當作是審核安全程序的契機。
那些業務涉及銀行卡的企業必須每年進行評審,通過PCI DSS標準年度核查。PCI DSS要求企業關注兩個最薄弱的區域:對通過開發、公共網絡傳輸的持卡人數據進行加密以及對存儲的持卡人數據加密。通過對這兩個方面的安全改進將能夠給企業帶來很大好處,不僅能夠符合PCI DSS標準,而且能夠降低企業的風險,以及避免與合規香港的罰款和懲罰。
3. 實施行業最佳做法
在試圖超越傳統的對“人和進程”關注的隱私管制制度和行業最佳做法中也越來越多的開始使用加密技術。此外,因為加密技術的性質,使加密技術也深受監管者和政策制定者的青睞。數據有沒有加密,這從理論上意味著數據是否安全,這是審計員和監管者用以衡量數據安全的絕對參數。
例如,Visa最近發布了數據域加密的全球行業最佳做法,也被稱為端到端加密。在Visa的最佳做法中還包括如何使用強大的密鑰管理解決方案以及符合國際和區域標準的加密技術,這包括安全加密設備(如PIN碼輸入設備PED或者HSM)內加密和解密密鑰的管理。
#p#
部署和管理加密
雖然大家逐漸意識到加密的好處,但是對于部署加密技術,特別是管理加密技術方面,仍然缺乏正確的認識。加密本身是很簡單的,這只是數學問題。關鍵在于如何控制密鑰,也就是有能力解開數據的秘密數據代碼。
如果沒有良好的密鑰管理,也將無法確保數據安全。最近的調查發現,企業將密鑰管理視為是加密技術中最大的挑戰。
隨著加密技術使用的增加,企業需要能夠管理(或者控制)不斷增加的密鑰。這是至關重要的,不僅要防止密鑰丟失或者被盜,而且也要確保密鑰管理符合重要的操作要求,例如按需恢復加密數據、自動更新和合規報告等。
一旦信息被加密,只有當加密密鑰解開信息才變得刻度。因此,密鑰和它保護的數據一樣重要。這種情況就像保護房子的安全:鎖住的房子能夠提高房子內的物品的安全,但是,如果鑰匙被丟在坐墊下面,那么安全性就被破壞了。同樣的道理,加密技術確實是提高數據安全性的有效方式,加密密鑰需要有效存儲和管理才能夠確保數據的真正安全。
很多公司發現他們需要管理成千上萬(或者數以百萬計)的密鑰,因為他們部署了獨立的加密和密鑰管理系統來保護不同的IT基礎設置,包括筆記本、存儲系統和數據庫等。這通常需要手動過程來生成、分發、存儲、終止和刷新加密密鑰。這往往會導致經營成本增加,無法符合審計和合規要求以及增加人為錯誤的風險。
隨著加密技術在整個企業基礎設施部署范圍擴大,安全人員和管理人員不得不開始部署、規范化和制度化良好的密鑰管理做法。找到加密密鑰比破解加密技術要簡單得多,這也使大多數攻擊者的重點。由于加密幾乎很難破解,使密鑰管理系統成為攻擊者的重要目標。因此,密鑰管理問題必須成為每個企業IT安全基礎設施的核心問題。
良好的密鑰管理
存儲在軟件的密鑰很容易受到木馬、其他間諜軟件或者甚至惡意使用調試和系統維護工具發動的攻擊。為了減輕這些風險,必須建立提供陷阱物理和邏輯安全的硬件系統,例如通過使用HSM和安全證書(如聯邦信息處理標準FIPS和通用標準)。
雖然部署良好密鑰管理的主要負擔在于企業內的安全專業人員,另外還有一些安全規則可以用來指導密鑰管理的順利進行。密鑰管理標準如密鑰管理互操作性協議(KMIP)和IEEE1619.3等,部署審計社區認同的最佳做法,第二代密鑰管理產品也將進入市場。
這些措施都可以幫助企業部署有凝聚力的密鑰管理策略,只要建立了密鑰管理的良好辦法,有效的安全政策、報告做法和對數據更強的控制也將得以實現。
在PCI DSS之前,很多企業的數據都非常不安全。不過自從制定數據標準后,大多數卡數據都比兩年前更具安全性。然而,該標準僅解決了過去兩個明顯的薄弱緩解,并沒有完全涵蓋端到端加密的全部。PCI DSS為數據保護提供了很好的基礎,但是就像其他標準一樣,并不能與每個企業的實際情況相匹配。另外,符合PCI DSS也并不能幫助企業解決所有面臨的安全風險問題。
每個企業有責任選擇適合自己的方式來部署PCI DSS標準,然后彌補差距。執行符合PCI DSS標準的安全計劃能夠為企業數據保護提供基礎保護,但是企業必須了解自己的具體的安全風險并部署適當的安全措施。
【編輯推薦】
