事实上,大部分银行和政府机构都在利用加密来保护信息。然而,几乎各行各业的企业阻止都有被认为是私密的信息或者有价值的信息,也就是说,大家有责任和义务保护这类信息。
加密数据的优势包括减少银行卡欺诈的风险、符合行业标准(如支付卡行业数据安全标准PCI DSS等),以及实施行业最佳做法,让我们来分别看看这几个优势:
1. 减少银行卡欺诈的风险
据估计,大型企业数据泄漏事故的费用大约为每条泄漏信息记录200美元。也就是说,最近在网络公司Network solutions公司发生的数据泄漏事故(估计泄漏57.4万名客户的信用卡信息),造成的经济损失大约为1亿美元。如果再加上取证调查、调解与受害客户的关系、减少对大众媒体的影响以及法律费用等,那绝对是天文数字。
例如,零售商店为了能够方便退款,会存储客户数据。然而,这样做的时候,他们必须要确保这些数据的安全。高强度的加密是保护存储持卡人数据最先进和最成功的做法,它能够确保信息的安全性,即使其他保护措施失效,加密同时还可以尽可能久和尽可能灵活的保护数据。
有了高强度的加密技术,加密算法中还会使用一个秘密的“钥匙”来保护持卡人数据。只要这个钥匙不被人知,加密数据就是安全的。因此,存储密钥的最佳方式就是使用加密硬件安全模块(HSM)来完成对数据加密和解密,不要让用户和应用程序看到密钥。
2. 符合行业标准
符合PCI DSS行业标准可能被行业视为另一个监管负担,特别是在部署更具挑战性的任务时(例如保护持卡人数据)。然而,随着不法分子变得越来越复杂,以及零售商的数据泄漏事故不断成为新闻话题,企业们应当将PCI DSS合规当作是审核安全程序的契机。
那些业务涉及银行卡的企业必须每年进行评审,通过PCI DSS标准年度核查。PCI DSS要求企业关注两个最薄弱的区域:对通过开发、公共网络传输的持卡人数据进行加密以及对存储的持卡人数据加密。通过对这两个方面的安全改进将能够给企业带来很大好处,不仅能够符合PCI DSS标准,而且能够降低企业的风险,以及避免与合规香港的罚款和惩罚。
3. 实施行业最佳做法
在试图超越传统的对“人和进程”关注的隐私管制制度和行业最佳做法中也越来越多的开始使用加密技术。此外,因为加密技术的性质,使加密技术也深受监管者和政策制定者的青睐。数据有没有加密,这从理论上意味着数据是否安全,这是审计员和监管者用以衡量数据安全的绝对参数。
例如,Visa最近发布了数据域加密的全球行业最佳做法,也被称为端到端加密。在Visa的最佳做法中还包括如何使用强大的密钥管理解决方案以及符合国际和区域标准的加密技术,这包括安全加密设备(如PIN码输入设备PED或者HSM)内加密和解密密钥的管理。
#p#
部署和管理加密
虽然大家逐渐意识到加密的好处,但是对于部署加密技术,特别是管理加密技术方面,仍然缺乏正确的认识。加密本身是很简单的,这只是数学问题。关键在于如何控制密钥,也就是有能力解开数据的秘密数据代码。
如果没有良好的密钥管理,也将无法确保数据安全。最近的调查发现,企业将密钥管理视为是加密技术中最大的挑战。
随着加密技术使用的增加,企业需要能够管理(或者控制)不断增加的密钥。这是至关重要的,不仅要防止密钥丢失或者被盗,而且也要确保密钥管理符合重要的操作要求,例如按需恢复加密数据、自动更新和合规报告等。
一旦信息被加密,只有当加密密钥解开信息才变得刻度。因此,密钥和它保护的数据一样重要。这种情况就像保护房子的安全:锁住的房子能够提高房子内的物品的安全,但是,如果钥匙被丢在坐垫下面,那么安全性就被破坏了。同样的道理,加密技术确实是提高数据安全性的有效方式,加密密钥需要有效存储和管理才能够确保数据的真正安全。
很多公司发现他们需要管理成千上万(或者数以百万计)的密钥,因为他们部署了独立的加密和密钥管理系统来保护不同的IT基础设置,包括笔记本、存储系统和数据库等。这通常需要手动过程来生成、分发、存储、终止和刷新加密密钥。这往往会导致经营成本增加,无法符合审计和合规要求以及增加人为错误的风险。
随着加密技术在整个企业基础设施部署范围扩大,安全人员和管理人员不得不开始部署、规范化和制度化良好的密钥管理做法。找到加密密钥比破解加密技术要简单得多,这也使大多数攻击者的重点。由于加密几乎很难破解,使密钥管理系统成为攻击者的重要目标。因此,密钥管理问题必须成为每个企业IT安全基础设施的核心问题。
良好的密钥管理
存储在软件的密钥很容易受到木马、其他间谍软件或者甚至恶意使用调试和系统维护工具发动的攻击。为了减轻这些风险,必须建立提供陷阱物理和逻辑安全的硬件系统,例如通过使用HSM和安全证书(如联邦信息处理标准FIPS和通用标准)。
虽然部署良好密钥管理的主要负担在于企业内的安全专业人员,另外还有一些安全规则可以用来指导密钥管理的顺利进行。密钥管理标准如密钥管理互操作性协议(KMIP)和IEEE1619.3等,部署审计社区认同的最佳做法,第二代密钥管理产品也将进入市场。
这些措施都可以帮助企业部署有凝聚力的密钥管理策略,只要建立了密钥管理的良好办法,有效的安全政策、报告做法和对数据更强的控制也将得以实现。
在PCI DSS之前,很多企业的数据都非常不安全。不过自从制定数据标准后,大多数卡数据都比两年前更具安全性。然而,该标准仅解决了过去两个明显的薄弱缓解,并没有完全涵盖端到端加密的全部。PCI DSS为数据保护提供了很好的基础,但是就像其他标准一样,并不能与每个企业的实际情况相匹配。另外,符合PCI DSS也并不能帮助企业解决所有面临的安全风险问题。
每个企业有责任选择适合自己的方式来部署PCI DSS标准,然后弥补差距。执行符合PCI DSS标准的安全计划能够为企业数据保护提供基础保护,但是企业必须了解自己的具体的安全风险并部署适当的安全措施。
【编辑推荐】