最近在安全圈内有许多关于P2P加密(点到点加密)技术的议论,以及在高风险环境中该技术将敏感信息泄漏最小化的潜力。今天小编会带领大家一起来审视P2P加密给企业安全带来的好处,并指出一些延误P2P加密技术应用的悬而未决的问题。
P2P加密技术如何运作
P2P加密技术允许企业在众多设备、或设备内的组件间创建安全的通信链接,防止中间设备在网络上传输过程中泄漏敏感信息。P2PE最常作为满足支付卡行业数据安全标准(PCI DSS)的解决方案被部署,但它也可能用于其它敏感数据。
比如,想想一家在全国分布有许多零售商店的服装连锁店,它通过位于市中心的数据中心处理所有的金融交易。对于零售商来说,确保每家商店的局域网物理安全十分困难,取决于这些网络的绝对数量以及零售店位置的公共性质。再者,也不太可能在每家零售商店都有经过培训的安全人员在现场监控网络。
通过部署P2P加密技术,零售商能限制在商品销售环境中流转的信用卡号被泄漏的范围。例如,通过部署一个使用加密信用卡扫描器的POS系统(a point of sale,销售时点信息系统),由位于家庭办公室中支持点到点加密的后端系统支撑,整个零售店的网络与外界隔绝。因为硬件信用卡扫描器在数据到达POS终端前对其加密,所以在零售店网络上没有设备能解密信用卡号。这可保护信用卡免遭各种类型的攻击,包括未授权设备的窃听以及POS终端上的恶意软件感染。诸如这样的设备无法访问加密密钥,所以它们不能访问信用卡号。
P2P加密技术给企业带来的好处
P2P加密技术主要的好处是它能够减少安全工作的范围。在上面描述的零售店情况中,如果零售商能够确保硬件信用卡扫描器的完整性,只需要对易于被解密的集中式后台系统应用最严格的安全控制。在高度监管要求的环境中,这个策略能极大地减少必须满足的繁重的合规及监控要求的系统和网络数量。
P2P加密技术的局限性
尽管P2P加密技术是一项很有前途的安全技术,但它仍没有被广泛地部署,主要是由于市场上只有少数成熟的产品。在PCI安全标准委员会(PCI SCC)为这类产品批准简化的验证过程不久后,有几个组织想部署它,但是无法找到满足PCI SSC指导的产品。许多情况下,厂商声称他们正开始着手测试产品,但是还不能用于商用。现在这些产品开始在市场上找寻商机,且随着商家升级他们的系统被缓慢地投入上线。
合规遵从的推迟是P2P加密技术第二个主要的限制,它(合规遵从)通常要求可观的经济投资以便建立并运行。这包括对POS硬件、软件的升级,以及来自厂商可能的费用增长。商家们正寻求限制他们合规遵从所需承担的责任,厂商们渴求在这些意外的业务需求上大赚一笔。
P2P加密技术可能会引起企业增长性的使用
总而言之,P2P加密技术是一项很有前途的技术,企业正开始利用它来加强数据安全并减少合规管理措施的范围,特别是在支付系统环境中。然而,它目前有好几个重大的局限,希望使用该技术的安全专业人员们务必考虑到,不过,未来几年随着商业P2P产品的不断改进,或许会引起企业增长性的使用。
小知识之PCI DSS:
PCI DSS对于支付网关的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。 目前支付公司都会被要求通过PCI DSS安全认证,目前有一些第三方支付公司是没有通过这个认证,所以商户在接入的时候要特别注意!