企业加密:利大于弊否?
企业加密:利大于弊否?
2016-06-13 17:03:15 来源:TechTarget中国
抢沙发
2016-06-13 17:03:15 来源:TechTarget中国
摘要:POODLE攻击促使很多企业更新其安全做法,以避免因客户端或服务器回退到安全套接字层(SSL)3 0导致的企业加密漏洞(SSL 3 0是比较旧的,但广泛用于加密传输数据的通信协议)。谷歌在2014年10月发现SSL 3 0漏洞。
关键词:
信息安全
Forrester Research副总裁兼高级分析师John Kindervag也认为密钥管理是目前企业加密面临的最大挑战。但是,我们需要比公钥基础设施更好的做法,因为从操作角度来看该技术很复杂。PKI是由软件、硬件、数字证书及政策组成的框架,它会捆绑公钥与身份信息,识别人员和计算机以确保安全加密。Forrester认为,必须接受的独立加密函数的数量意味着没有供应商可能提供基于PKI的统一加密系统。
Kindervag指出,API在其他用例中已证明的价值为加密子系统之间支持交互提供了模式。假设这种趋势出现,Forrester预测这将刺激集中式或企业密钥管理系统的增长。
糟糕的部署
加密通常是可行的,但大多数与该技术有关的问题在于其部署,而不是使用。TokenEx公司联合创始人兼首席执行官Alex Pezold表示:“我的意思是,如果你尝试暴力破解AES256加密的文本,我们将永远不会看到AES 256推送的初始文本。”但是,如果攻击者正在寻找用于加密该数据的加密密钥,那这就是薄弱点所在。
密钥管理是构建企业加密战略的最大挑战之一,因为解密密文的密钥需要位于环境中的某处,而攻击者通常知道去哪里找。那些需要定期访问加密数据的企业通常把加密密钥放在数据库管理系统内的存储流程中,而这部分通常没有得到充分保护。另一个风险因素是SSL,最近SSL遭到攻破,可能让你无法再使用它。
为了部署更好的企业加密战略,首先你要问:加密密钥保管在哪里,谁拥有所有权?很多面向消费者的云服务在服务层保存私钥,这意味着你的数据可能会被该服务的管理员访问。这有利于提高可用性,但会影响保密性。
有的信息安全计划允许个人在忘记密码后恢复个人数据,但这与有多个冗余访问点的计划截然不同。你是在为消费产品考虑加密,还是为企业数据考虑加密?这决定着你的安全和风险管理。Bilheimer称:“前者通常只能由个人访问,而后者必须可供大量用户访问。”
如果你的加密战略是为了构建PKI,你需要确保你可抵御中间人攻击。如果你计划随着时间的推移来存档数据,那么,你需要保管你的密钥并考虑加密过期问题。
监管问题
对个人可识别信息(PII)和其他敏感数据的加密并不会帮助企业免受监管审查或干预。隐私性与国家安全之间的平衡正在转变,美国和欧洲的情报机构与执法部门就在辩论新近提出的加密法案。
很多数据隐私法必须通过加密来应对,其中一大推动力是数据存储要求,在Kindervag看来,这基本不太可能部署,然而,隐私的问题必须解决。
加密数据也可帮助企业应对很多数据泄露披露法案。这个先例最早是这种法案的“鼻祖”:美国加州安全泄露事故信息法案(SB-1386)。这个加州法案于2003年通过,它要求保管个人信息的企业在其未加密PII遭泄露时通知这些个人。有些司法管辖区试图禁止加密,但这种做法已经不再实用。
企业需要密切关注国际数据隐私法及许可或其他与加密工具相关的法规。有些国家要求企业在必要的情况下解密他们任何产品中的信息。“可以这么说,你必须有开箱子的能力,”Guida称,虽然他强调他不是律师,“这可能给企业带来很大的负担。”
Pezold称:“出于保护数据隐私性的目的,加密应该广泛部署,虽然这不可能让每个人都满意。最终,与任何技术一样,加密的强度完全在于其部署。如果没有适当部署,或者用于确保加密的组件没有得到适当保护,那么,加密技术也存在风险。”
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
