事實(shí)上，大部分銀行和政府機(jī)構(gòu)都在利用加密來(lái)保護(hù)信息。然而，幾乎各行各業(yè)的企業(yè)阻止都有被認(rèn)為是私密的信息或者有價(jià)值的信息，也就是說(shuō)，大家有責(zé)任和義務(wù)保護(hù)這類信息。

加密數(shù)據(jù)的優(yōu)勢(shì)包括減少銀行卡欺詐的風(fēng)險(xiǎn)、符合行業(yè)標(biāo)準(zhǔn)(如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI DSS等)，以及實(shí)施行業(yè)最佳做法，讓我們來(lái)分別看看這幾個(gè)優(yōu)勢(shì)：

1. 減少銀行卡欺詐的風(fēng)險(xiǎn)

據(jù)估計(jì)，大型企業(yè)數(shù)據(jù)泄漏事故的費(fèi)用大約為每條泄漏信息記錄200美元。也就是說(shuō)，最近在網(wǎng)絡(luò)公司Network solutions公司發(fā)生的數(shù)據(jù)泄漏事故(估計(jì)泄漏57.4萬(wàn)名客戶的信用卡信息)，造成的經(jīng)濟(jì)損失大約為1億美元。如果再加上取證調(diào)查、調(diào)解與受害客戶的關(guān)系、減少對(duì)大眾媒體的影響以及法律費(fèi)用等，那絕對(duì)是天文數(shù)字。

例如，零售商店為了能夠方便退款，會(huì)存儲(chǔ)客戶數(shù)據(jù)。然而，這樣做的時(shí)候，他們必須要確保這些數(shù)據(jù)的安全。高強(qiáng)度的加密是保護(hù)存儲(chǔ)持卡人數(shù)據(jù)最先進(jìn)和最成功的做法，它能夠確保信息的安全性，即使其他保護(hù)措施失效，加密同時(shí)還可以盡可能久和盡可能靈活的保護(hù)數(shù)據(jù)。

有了高強(qiáng)度的加密技術(shù)，加密算法中還會(huì)使用一個(gè)秘密的“鑰匙”來(lái)保護(hù)持卡人數(shù)據(jù)。只要這個(gè)鑰匙不被人知，加密數(shù)據(jù)就是安全的。因此，存儲(chǔ)密鑰的最佳方式就是使用加密硬件安全模塊(HSM)來(lái)完成對(duì)數(shù)據(jù)加密和解密，不要讓用戶和應(yīng)用程序看到密鑰。

2. 符合行業(yè)標(biāo)準(zhǔn)

符合PCI DSS行業(yè)標(biāo)準(zhǔn)可能被行業(yè)視為另一個(gè)監(jiān)管負(fù)擔(dān)，特別是在部署更具挑戰(zhàn)性的任務(wù)時(shí)(例如保護(hù)持卡人數(shù)據(jù))。然而，隨著不法分子變得越來(lái)越復(fù)雜，以及零售商的數(shù)據(jù)泄漏事故不斷成為新聞話題，企業(yè)們應(yīng)當(dāng)將PCI DSS合規(guī)當(dāng)作是審核安全程序的契機(jī)。

那些業(yè)務(wù)涉及銀行卡的企業(yè)必須每年進(jìn)行評(píng)審，通過(guò)PCI DSS標(biāo)準(zhǔn)年度核查。PCI DSS要求企業(yè)關(guān)注兩個(gè)最薄弱的區(qū)域：對(duì)通過(guò)開發(fā)、公共網(wǎng)絡(luò)傳輸?shù)某挚ㄈ藬?shù)據(jù)進(jìn)行加密以及對(duì)存儲(chǔ)的持卡人數(shù)據(jù)加密。通過(guò)對(duì)這兩個(gè)方面的安全改進(jìn)將能夠給企業(yè)帶來(lái)很大好處，不僅能夠符合PCI DSS標(biāo)準(zhǔn)，而且能夠降低企業(yè)的風(fēng)險(xiǎn)，以及避免與合規(guī)香港的罰款和懲罰。

3. 實(shí)施行業(yè)最佳做法

在試圖超越傳統(tǒng)的對(duì)“人和進(jìn)程”關(guān)注的隱私管制制度和行業(yè)最佳做法中也越來(lái)越多的開始使用加密技術(shù)。此外，因?yàn)榧用芗夹g(shù)的性質(zhì)，使加密技術(shù)也深受監(jiān)管者和政策制定者的青睞。數(shù)據(jù)有沒有加密，這從理論上意味著數(shù)據(jù)是否安全，這是審計(jì)員和監(jiān)管者用以衡量數(shù)據(jù)安全的絕對(duì)參數(shù)。

例如，Visa最近發(fā)布了數(shù)據(jù)域加密的全球行業(yè)最佳做法，也被稱為端到端加密。在Visa的最佳做法中還包括如何使用強(qiáng)大的密鑰管理解決方案以及符合國(guó)際和區(qū)域標(biāo)準(zhǔn)的加密技術(shù)，這包括安全加密設(shè)備(如PIN碼輸入設(shè)備PED或者HSM)內(nèi)加密和解密密鑰的管理。

#p#

部署和管理加密

雖然大家逐漸意識(shí)到加密的好處，但是對(duì)于部署加密技術(shù)，特別是管理加密技術(shù)方面，仍然缺乏正確的認(rèn)識(shí)。加密本身是很簡(jiǎn)單的，這只是數(shù)學(xué)問題。關(guān)鍵在于如何控制密鑰，也就是有能力解開數(shù)據(jù)的秘密數(shù)據(jù)代碼。

如果沒有良好的密鑰管理，也將無(wú)法確保數(shù)據(jù)安全。最近的調(diào)查發(fā)現(xiàn)，企業(yè)將密鑰管理視為是加密技術(shù)中最大的挑戰(zhàn)。

隨著加密技術(shù)使用的增加，企業(yè)需要能夠管理(或者控制)不斷增加的密鑰。這是至關(guān)重要的，不僅要防止密鑰丟失或者被盜，而且也要確保密鑰管理符合重要的操作要求，例如按需恢復(fù)加密數(shù)據(jù)、自動(dòng)更新和合規(guī)報(bào)告等。

一旦信息被加密，只有當(dāng)加密密鑰解開信息才變得刻度。因此，密鑰和它保護(hù)的數(shù)據(jù)一樣重要。這種情況就像保護(hù)房子的安全：鎖住的房子能夠提高房子內(nèi)的物品的安全，但是，如果鑰匙被丟在坐墊下面，那么安全性就被破壞了。同樣的道理，加密技術(shù)確實(shí)是提高數(shù)據(jù)安全性的有效方式，加密密鑰需要有效存儲(chǔ)和管理才能夠確保數(shù)據(jù)的真正安全。

很多公司發(fā)現(xiàn)他們需要管理成千上萬(wàn)(或者數(shù)以百萬(wàn)計(jì))的密鑰，因?yàn)樗麄儾渴鹆霜?dú)立的加密和密鑰管理系統(tǒng)來(lái)保護(hù)不同的IT基礎(chǔ)設(shè)置，包括筆記本、存儲(chǔ)系統(tǒng)和數(shù)據(jù)庫(kù)等。這通常需要手動(dòng)過(guò)程來(lái)生成、分發(fā)、存儲(chǔ)、終止和刷新加密密鑰。這往往會(huì)導(dǎo)致經(jīng)營(yíng)成本增加，無(wú)法符合審計(jì)和合規(guī)要求以及增加人為錯(cuò)誤的風(fēng)險(xiǎn)。

隨著加密技術(shù)在整個(gè)企業(yè)基礎(chǔ)設(shè)施部署范圍擴(kuò)大，安全人員和管理人員不得不開始部署、規(guī)范化和制度化良好的密鑰管理做法。找到加密密鑰比破解加密技術(shù)要簡(jiǎn)單得多，這也使大多數(shù)攻擊者的重點(diǎn)。由于加密幾乎很難破解，使密鑰管理系統(tǒng)成為攻擊者的重要目標(biāo)。因此，密鑰管理問題必須成為每個(gè)企業(yè)IT安全基礎(chǔ)設(shè)施的核心問題。

良好的密鑰管理

存儲(chǔ)在軟件的密鑰很容易受到木馬、其他間諜軟件或者甚至惡意使用調(diào)試和系統(tǒng)維護(hù)工具發(fā)動(dòng)的攻擊。為了減輕這些風(fēng)險(xiǎn)，必須建立提供陷阱物理和邏輯安全的硬件系統(tǒng)，例如通過(guò)使用HSM和安全證書(如聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS和通用標(biāo)準(zhǔn))。

雖然部署良好密鑰管理的主要負(fù)擔(dān)在于企業(yè)內(nèi)的安全專業(yè)人員，另外還有一些安全規(guī)則可以用來(lái)指導(dǎo)密鑰管理的順利進(jìn)行。密鑰管理標(biāo)準(zhǔn)如密鑰管理互操作性協(xié)議(KMIP)和IEEE1619.3等，部署審計(jì)社區(qū)認(rèn)同的最佳做法，第二代密鑰管理產(chǎn)品也將進(jìn)入市場(chǎng)。

這些措施都可以幫助企業(yè)部署有凝聚力的密鑰管理策略，只要建立了密鑰管理的良好辦法，有效的安全政策、報(bào)告做法和對(duì)數(shù)據(jù)更強(qiáng)的控制也將得以實(shí)現(xiàn)。

在PCI DSS之前，很多企業(yè)的數(shù)據(jù)都非常不安全。不過(guò)自從制定數(shù)據(jù)標(biāo)準(zhǔn)后，大多數(shù)卡數(shù)據(jù)都比兩年前更具安全性。然而，該標(biāo)準(zhǔn)僅解決了過(guò)去兩個(gè)明顯的薄弱緩解，并沒有完全涵蓋端到端加密的全部。PCI DSS為數(shù)據(jù)保護(hù)提供了很好的基礎(chǔ)，但是就像其他標(biāo)準(zhǔn)一樣，并不能與每個(gè)企業(yè)的實(shí)際情況相匹配。另外，符合PCI DSS也并不能幫助企業(yè)解決所有面臨的安全風(fēng)險(xiǎn)問題。

每個(gè)企業(yè)有責(zé)任選擇適合自己的方式來(lái)部署PCI DSS標(biāo)準(zhǔn)，然后彌補(bǔ)差距。執(zhí)行符合PCI DSS標(biāo)準(zhǔn)的安全計(jì)劃能夠?yàn)槠髽I(yè)數(shù)據(jù)保護(hù)提供基礎(chǔ)保護(hù)，但是企業(yè)必須了解自己的具體的安全風(fēng)險(xiǎn)并部署適當(dāng)?shù)陌踩胧?/P>

【編輯推薦】

1. SQL Server中保護(hù)數(shù)據(jù)的安全選項(xiàng)
2. “銷毀”也是一個(gè)保護(hù)數(shù)據(jù)信息的重要環(huán)節(jié)
3. 淺析令牌和端到端加密哪個(gè)更有效