端到端加密:如何利用端到端加密保护数据

    事实上大部分银行和政府机构都在利用加密来保护信息然而几乎各行各业企业阻止都有被认为是私密信息或者有价值信息也就是说大家有责任和义务保护这类信息

    加密数据优势包括减少银行卡欺诈风险、符合行业标准(如支付卡行业数据安全标准PCI DSS等)以及实施行业最佳做法让我们来分别看看这几个优势:

    1. 减少银行卡欺诈风险据估计大型企业数据泄漏事故费用大约为每条泄漏信息记录200美元也就是说最近在网络公司Network solutions公司发生数据泄漏事故(估计泄漏57.4万名客户信用卡信息)造成经济损失大约为1亿美元如果再加上取证调查、调解和受害客户关系、减少对大众媒体影响以及法律费用等那绝对是天文数字

    例如零售商店为了能够方便退款会存储客户数据然而这样做时候他们必须要确保这些数据安全高强度加密是保护存储持卡人数据最先进和最成功做法它能够确保信息安全性即使其他保护措施失效加密同时还可以尽可能久和尽可能灵活保护数据

    有了高强度加密技术加密算法中还会使用个秘密“钥匙”来保护持卡人数据只要这个钥匙不被人知加密数据就是安全因此存储密钥最佳方式就是使用加密硬件安全模块(HSM)来完成对数据加密和解密不要让用户和应用看到密钥

    2. 符合行业标准符合PCI DSS行业标准可能被行业视为另个监管负担特别是在部署更具挑战性任务时(例如保护持卡人数据)然而随着不法分子变得越来越复杂以及零售商数据泄漏事故不断成为新闻话题企业们应当将PCI DSS合规当作是审核安全契机

    那些业务涉及银行卡企业必须每年进行评审通过PCI DSS标准年度核查PCI DSS要求企业关注两个最薄弱区域:对通过开发、公共网络传输持卡人数据进行加密以及对存储持卡人数据加密通过对这两个方面安全改进将能够给企业带来很大好处不仅能够符合PCI DSS标准而且能够降低企业风险以及避免和合规香港罚款和惩罚

    3. 实施行业最佳做法在试图超越传统对“人和进程”关注隐私管制制度和行业最佳做法中也越来越多开始使用加密技术此外加密技术性质使加密技术也深受监管者和政策制定者青睐数据有没有加密这从理论上意味着数据是否安全这是审计员和监管者用以衡量数据安全绝对参数

    例如Visa最近发布了数据域加密全球行业最佳做法也被称为端到端加密在Visa最佳做法中还包括如何使用强大密钥管理解决方案以及符合国际和区域标准加密技术这包括安全加密设备(如PIN码输入设备PED或者HSM)内加密和解密密钥管理

    部署和管理加密虽然大家逐渐意识到加密好处但是对于部署加密技术特别是管理加密技术方面仍然缺乏正确认识加密本身是很简单这只是数学问题关键在于如何控制密钥也就是有能力解开数据秘密数据代码

    如果没有良好密钥管理也将无法确保数据安全最近调查发现企业将密钥管理视为是加密技术中最大挑战

    随着加密技术使用增加企业需要能够管理(或者控制)不断增加密钥这是至关重要不仅要防止密钥丢失或者被盗而且也要确保密钥管理符合重要操作要求例如按需恢复加密数据、自动更新和合规报告等

    旦信息被加密只有当加密密钥解开信息才变得刻度因此密钥和它保护数据样重要这种情况就像保护房子安全:锁住房子能够提高房子内物品安全但是如果钥匙被丢在坐垫下面那么安全性就被破坏了同样道理加密技术确实是提高数据安全性有效方式加密密钥需要有效存储和管理才能够确保数据真正安全

    很多公司发现他们需要管理成千上万(或者数以百万计)密钥他们部署了独立加密和密钥管理系统来保护区别IT基础设置包括笔记本、存储系统和数据库等这通常需要手动过程来生成、分发、存储、终止和刷新加密密钥这往往会导致经营成本增加无法符合审计和合规要求以及增加人为风险

    随着加密技术在整个企业基础设施部署范围扩大安全人员和管理人员不得不开始部署、规范标准化和制度化良好密钥管理做法找到加密密钥比破解加密技术要简单得多这也使大多数攻击者重点由于加密几乎很难破解使密钥管理系统成为攻击者重要目标因此密钥管理问题必须成为每个企业IT安全基础设施核心问题

    良好密钥管理存储在软件Software密钥很容易受到木马、其他间谍软件Software或者甚至恶意使用调试和系统维护工具发动攻击为了减轻这些风险必须建立提供陷阱物理和逻辑安全硬件系统例如通过使用HSM和安全证书(如联邦信息处理标准FIPS和通用标准)

    虽然部署良好密钥管理主要负担在于企业内安全专业人员另外还有些安全规则可以用来指导密钥管理顺利进行密钥管理标准如密钥管理互操作性协议(KMIP)和IEEE1619.3等部署审计社区认同最佳做法第 2代密钥管理产品也将进入市场

    这些措施都可以帮助企业部署有凝聚力密钥管理策略只要建立了密钥管理良好办法有效安全政策、报告做法和对数据更强控制也将得以实现

    在PCI DSS的前很多企业数据都非常不安全不过自从制定数据标准后大多数卡数据都比两年前更具安全性然而该标准仅解决了过去两个明显薄弱缓解并没有完全涵盖端到端加密全部PCI DSS为数据保护提供了很好基础但是就像其他标准样并不能和每个企业实际情况相匹配另外符合PCI DSS也并不能帮助企业解决所有面临安全风险问题

    每个企业有责任选择适合自己方式来部署PCI DSS标准然后弥补差距执行符合PCI DSS标准安全计划能够为企业数据保护提供基础保护但是企业必须了解自己具体安全风险并部署适当安全措施

延伸阅读