令牌化安全实现数据保护的四个最佳做法

日期: 2010-09-09 来源:TechTarget中国

  Visa在今年早些时候发布了令牌化的最佳做法指南,安全专家和加密供应商们对该指南的优点和缺点进行了辩论。最受争议的问题在于加密领域,在实现某种最佳做法的真正标准化之前,令牌化仍然有很长的路要走。

  即便如此,安全专家表示,除了Visa关于最佳做法的建议外,还有一些方法值得大家借鉴。虽然对于这些令牌化的建议还有探讨的空间,但安全专家表示这些方法能够为数据保护实现最佳安全态势。

  1、随机生成令牌

  根据很多安全专家表示,确保这些令牌无法被逆转的唯一方法在于随机生成。

  “如果输出结果不是通过应用于输入信息的数学函数而生成的话,令牌就无法被逆转为重新生成原始PAN数据,”Securosis公司的分析师Adrian Lane表示,“发现真正令牌的PAN数据的唯一方法是在令牌服务器数据库中进行逆向查询。随机令牌很容易生成,并且大小和数据类型限制根本不算什么问题。这应该设置为默认,因为大多数公司既不需要也不想要PAN数据从令牌中重新获得。”

  2、避免自制解决方案

  虽然令牌化表面上看起来很简单,但Protegrity公司的首席技术官Ulf Mattsson警告说,“对于传统加密的令牌化处理很容易出错。”

  “这有点火箭科学的感觉,因为首先你需要生成令牌,然后以适当的方式管理令牌,以适当的方式保护令牌服务器,然后最重要的是,你需要一个配备有密钥管理的合适的加密系统,这个系统要与令牌服务器保护兼容,”Mattsson表示。

  Mattsson已经听说了关于自制部署令牌化的糟糕故事,由于令牌的可逆转性和整个系统缺乏安全性,导致令牌化部署很容易被攻破。“有很多自制系统被称为令牌化解决方案,并且它们并不符合令牌化的安全级别。在很多情况下,他们甚至都不符合加密的基本安全水平。”

  3、保护令牌服务器

  Visa标准的开头并没有明确网络隔离和保持令牌化系统PCI兼容的重要性,而是明确保护令牌服务器的重要性。如果企业没有能够保护令牌服务器,这将会让整个令牌系统的安全置于危险之中,并且如果没有受到适当保护的话,将会导致企业质疑令牌化投资的可行性。

  “在某个角落,你必须有个令牌服务器能够用来逆转令牌化进程,”Mattson表示,“这个服务器将需要使用传统密钥管理和强大的加密技术进行加密。如果它存储有PCI数据,该服务器还需要与PCI兼容。”

  4、创建加密生态系统

  在过去一年多中,安全专家对于企业是否选择端到端加密还是令牌化颇有争议。然而,很多在银行卡处理世界的人们认为企业不应该选择这两者中的任一个。每种技术类型都服务于不同的目的:令牌化的优点在于它的不可逆转性和能够与数据库基础设施相得益彰。与此同时,端到端加密能够帮助填补持卡人数据和PAN在IT基础设施的其他部分传输时的空缺。

  “对于与端到端加密一起使用,我们相信令牌化是一个审慎的战略,”Heartland支付系统公司首席信息官Steven Elefant表示,该公司预计将在今年晚些时候向其客户提供令牌化服务,以此作为该公司去年秋天推出的加密服务的补充服务。

  原文出处:http://safe.it168.com/a2010/0909/1101/000001101647.shtml

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 未来企业数据安全威胁及保护措施

    Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]

  • 美新数据安全法案:故意隐瞒数据泄漏将获罪

    美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。

  • 不一致的国际数据隐私法

    中国新的网络安全法已经生效,这意味着全球范围内新增一个国际数据隐私法,这可能给跨国企业带来更多挑战。面对各种国际数据隐私法,跨国企业保持合规性并不容易……

  • 专访志翔科技伍桑海:“懂业务才能做安全”

    志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……