最近在安全圈內(nèi)有許多關(guān)于點到點加密(point-to-point encryption���,P2PE)技術(shù)的議論����,以及在高風(fēng)險環(huán)境中該技術(shù)將敏感信息泄漏最小化的潛力��。在本文中�,我們會審視P2P加密給企業(yè)安全帶來的好處,并指出一些延誤P2P加密技術(shù)應(yīng)用的懸而未決的問題。
P2P加密如何運作
點到點加密技術(shù)允許企業(yè)在眾多設(shè)備���、或設(shè)備內(nèi)的組件間創(chuàng)建安全的通信鏈接�,防止中間設(shè)備在網(wǎng)絡(luò)上傳輸過程中泄漏敏感信息����。P2PE最常作為滿足支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的解決方案被部署,但它也可能用于其它敏感數(shù)據(jù)����。
比如,想想一家在全國分布有許多零售商店的服裝連鎖店�,它通過位于市中心的數(shù)據(jù)中心處理所有的金融交易。對于零售商來說���,確保每家商店的局域網(wǎng)物理安全十分困難,取決于這些網(wǎng)絡(luò)的絕對數(shù)量以及零售店位置的公共性質(zhì)�。再者,也不太可能在每家零售商店都有經(jīng)過培訓(xùn)的安全人員在現(xiàn)場監(jiān)控網(wǎng)絡(luò)��。
通過部署P2P加密技術(shù)�����,零售商能限制在商品銷售環(huán)境中流轉(zhuǎn)的信用卡號被泄漏的范圍�����。例如,通過部署一個使用加密信用卡掃描器的POS系統(tǒng)(a point of sale�,銷售時點信息系統(tǒng)),由位于家庭辦公室中支持點到點加密的后端系統(tǒng)支撐��,整個零售店的網(wǎng)絡(luò)與外界隔絕����。因為硬件信用卡掃描器在數(shù)據(jù)到達(dá)POS終端前對其加密,所以在零售店網(wǎng)絡(luò)上沒有設(shè)備能解密信用卡號�。這可保護信用卡免遭各種類型的攻擊,包括未授權(quán)設(shè)備的竊聽以及POS終端上的惡意軟件感染���。諸如這樣的設(shè)備無法訪問加密密鑰����,所以它們不能訪問信用卡號�。
為什么使用P2P加密技術(shù)?
點到點加密技術(shù)主要的好處是它能夠減少安全工作的范圍。在上面描述的零售店情況中����,如果零售商能夠確保硬件信用卡掃描器的完整性,只需要對易于被解密的集中式后臺系統(tǒng)應(yīng)用最嚴(yán)格的安全控制。在高度監(jiān)管要求的環(huán)境中�����,這個策略能極大地減少必須滿足的繁重的合規(guī)及監(jiān)控要求的系統(tǒng)和網(wǎng)絡(luò)數(shù)量��。
P2P加密技術(shù)的局限
盡管點到點加密是一項很有前途的安全技術(shù)����,但它仍沒有被廣泛地部署,主要是由于市場上只有少數(shù)成熟的產(chǎn)品��。在PCI安全標(biāo)準(zhǔn)委員會(PCI SCC)為這類產(chǎn)品批準(zhǔn)簡化的驗證過程不久后��,有幾個組織想部署它��,但是無法找到滿足PCI SSC指導(dǎo)的產(chǎn)品�����。許多情況下���,廠商聲稱他們正開始著手測試產(chǎn)品,但是還不能用于商用��,F(xiàn)在這些產(chǎn)品開始在市場上找尋商機,且隨著商家升級他們的系統(tǒng)被緩慢地投入上線��。
合規(guī)遵從的推遲是P2P加密技術(shù)第二個主要的限制�����,它(合規(guī)遵從)通常要求可觀的經(jīng)濟投資以便建立并運行���。這包括對POS硬件���、軟件的升級,以及來自廠商可能的費用增長���。商家們正尋求限制他們合規(guī)遵從所需承擔(dān)的責(zé)任���,廠商們渴求在這些意外的業(yè)務(wù)需求上大賺一筆。
最后記住P2P加密不是萬能藥�,這十分重要。盡管它在一定程度上減少了確保遠(yuǎn)程網(wǎng)絡(luò)安全的需要��,但不能消除安全控制的需要��。這方面最重要的例子就是需要采用強大的加密密鑰管理實踐���。如果攻擊者能夠獲得解密密鑰�,這個解決方案就毫無用處了。這意味著���,要禁止任何被認(rèn)為是超出范圍的設(shè)備訪問用于保護敏感信息的密鑰�。
總而言之���,點到點加密是一項很有前途的技術(shù)���,企業(yè)正開始利用它來加強數(shù)據(jù)安全并減少合規(guī)管理措施的范圍,特別是在支付系統(tǒng)環(huán)境中����。然而,它目前有好幾個重大的局限��,希望使用該技術(shù)的安全專業(yè)人員們務(wù)必考慮到�����,不過���,未來幾年隨著商業(yè)P2P產(chǎn)品的不斷改進(jìn)�,或許會引起企業(yè)增長性的使用��。
