企业加密:利大于弊否?
企业加密:利大于弊否?
2016-06-13 17:03:15 来源:TechTarget中国
抢沙发
2016-06-13 17:03:15 来源:TechTarget中国
摘要:POODLE攻击促使很多企业更新其安全做法,以避免因客户端或服务器回退到安全套接字层(SSL)3 0导致的企业加密漏洞(SSL 3 0是比较旧的,但广泛用于加密传输数据的通信协议)。谷歌在2014年10月发现SSL 3 0漏洞。
关键词:
信息安全
POODLE攻击促使很多企业更新其安全做法,以避免因客户端或服务器回退到安全套接字层(SSL)3.0导致的企业加密漏洞(SSL 3.0是比较旧的,但广泛用于加密传输数据的通信协议)。谷歌在2014年10月发现SSL 3.0漏洞。
美国信用评分机构FICO因FICO评分及欺诈防护分析而出名,表示这种针对POODLE漏洞利用的中间人攻击威胁需要在内部更新其服务器。此外,FICO要求客户修复自己的软件来支持传输层安全(TLS)加密,即SSL 3.0的替代者。
首席信息安全官Vickie Miller表示,FICO已覆盖所有加密选项,并遵循着这一领域正取得的所有进步。然而,这种策略并不意味着“没有任何问题”,Miller承认他们在管理异构加密生态系统时面临一些挑战。她称:“但这是拥有多样化加密功能的可以接受的折衷的办法。”
加密,有时也被称为密文,是种很强大的工具,但加密的部署存在风险,从安全握手到加密算法选择再到公钥及密钥。
“在信息安全领域,我们专注于机密性、完整性和可用性,”Pershing Technologies LLC公司网络安全副总裁Joel Bilheimer表示,“我有很多客户表示他们并不需要担心数据的保密性,因为其已经加密。”然而,他也指出:“如果没有正确地部署,加密可能不会带来任何好处,但却让人有安全的错觉。”
了解你的算法和密钥
Johnson & Johnson公司信息安全前负责人Rich Guida表示,他了解到,企业成功的加密部署需要确保多个方面的最佳做法。首先,必须选择合适的加密和密钥大小(用于加密或解密的变量随机比特数量)以确保安全性。
Guida现在管理着自己的咨询公司Guida Technology Associates,他说道:“我可以从个人经验告诉你,现在有很多供应商在销售专有的加密算法。”如果加密是定制化的,这意味着他们并不了解真正的问题。加密算法应该被公众所知,从而你可以了解其工作原理,因为最终你需要依靠的是密钥而不是算法。
其次,你需要确保企业加密战略的部署符合该算法需要遵守的标准。Guida称:“通常情况下,这意味着需要得到标准与技术研究的认可。”对于大多数企业而言,也就是高级加密标准(AES),这是美国联邦政府在2002年通过的NIST电子数据加密规范,该规范已在全世界使用,并已经扩展到私营机构。
作为ISO/IEC18033-3数据保密标准的一部分,AES算法是一种对称密钥块,它使用相同的密钥来加密明文和解密密文。“在过去几年,人们确实发现了AES算法中的一些漏洞,”Guida称,“但它并没有攻破,它仍然是联邦政府采用的标准。”另外,AES可通过简单地部署更长的密钥长度以随着时间的推移而增加,256位目前排在第一,未来512位可能会取代它。
你还必须确保加密密钥(以及任何相关信息)得到适当控制和保护,让他人没有办法来推导出变量字符串。他表示:“如果没有适当的保护,这就像你锁好门,把钥匙留在门口垫子下面。”
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
