令牌化安全實現數據保護的4個“完美”做法
以下的文章主要向大家講述的是令牌化安全實現數據保護的4個“***”做法,Visa在今年早些時候發布了關于令牌化的***做法的指南,安全專家和加密供應商們對該指南的優點和缺點進行了辯論。最受爭議的問題在于加密領域。
在實現某種***做法的真正標準化之前,令牌化仍然有很長的路要走。
即便如此,安全專家表示,除了Visa關于***做法的建議外,還有一些方法值得大家借鑒。雖然對于這些令牌化的建議還有探討的空間,但安全專家表示這些方法能夠為數據保護實現***安全態勢。
1.隨機生成令牌
根據很多安全專家表示,確保這些令牌無法被逆轉的唯一方法在于隨機生成。
“如果輸出結果不是通過應用于輸入信息的數學函數而生成的話,令牌就無法被逆轉為重新生成原始PAN數據,”Securosis公司的分析師Adrian Lane表示,“發現真正令牌的PAN數據的唯一方法是在令牌服務器數據庫中進行逆向查詢。隨機令牌很容易生成,并且大小和數據類型限制根本不算什么問題。這應該設置為默認,因為大多數公司既不需要也不想要PAN數據從令牌中重新獲得。”
2. 避免自制解決方案
雖然令牌化表面上看起來很簡單,但Protegrity公司的***技術官Ulf Mattsson警告說,“對于傳統加密的令牌化處理很容易出錯。”
“這有點火箭科學的感覺,因為首先你需要生成令牌,然后以適當的方式管理令牌,以適當的方式保護令牌服務器,然后最重要的是,你需要一個配備有密鑰管理的合適的加密系統,這個系統要與令牌服務器保護兼容,”Mattsson表示。
Mattsson已經聽說了關于自制部署令牌化的糟糕故事,由于令牌的可逆轉性和整個系統缺乏安全性,導致令牌化部署很容易被攻破。“有很多自制系統被稱為令牌化解決方案,并且它們并不符合令牌化的安全級別。在很多情況下,他們甚至都不符合加密的基本安全水平。”
3. 保護令牌服務器
Visa標準的開頭并沒有明確網絡隔離和保持令牌化系統PCI兼容的重要性,而是明確保護令牌服務器的重要性。如果企業沒有能夠保護令牌服務器,這將會讓整個令牌系統的安全置于危險之中,并且如果沒有受到適當保護的話,將會導致企業質疑令牌化投資的可行性。
“在某個角落,你必須有個令牌服務器能夠用來逆轉令牌化進程,”Mattson表示,“這個服務器將需要使用傳統密鑰管理和強大的加密技術進行加密。如果它存儲有PCI數據,該服務器還需要與PCI兼容。”
4. 創建加密生態系統
在過去一年多中,安全專家對于企業是否選擇端到端加密還是令牌化頗有爭議。然而,很多在銀行卡處理世界的人們認為企業不應該選擇這兩者中的任一個。每種技術類型都服務于不同的目的:令牌化的優點在于它的不可逆轉性和能夠與數據庫基礎設施相得益彰。與此同時,端到端加密能夠幫助填補持卡人數據和PAN在IT基礎設施的其他部分傳輸時的空缺。
“對于與端到端加密一起使用,我們相信令牌化是一個審慎的戰略,”Heartland支付系統公司***信息官Steven Elefant表示,該公司預計將在今年晚些時候向其客戶提供令牌化服務,以此作為該公司去年秋天推出的加密服務的補充服務。
以上的相關內容就是對令牌化安全實現數據保護的四個***做法的介紹,望你能有所收獲。
【編輯推薦】
