此文章主要向大家介绍的是端到端加密联袂令牌化4个最佳做法,Visa在今年发布了有关令牌化的做法导航,安全专家和加密供应商们对该指南的优点和缺点进行了辩论。最受争议的问题在于加密领域,在实现某种最佳做法的真正标准化之前,令牌化仍然有很长的路要走。
端到端加密联袂令牌化四个最佳做法 端到端加密联袂令牌化四个最佳做法[2] Visa在今年早些时候发布了令牌化的最佳做法指南,安全专家和加密供应商们对该指南的优点和缺点进行了辩论。最受争议的问题在于加密领域,在实现某种最佳做法的真正标准化之前,令牌化仍然有很长的路要走。
即便如此,安全专家表示,除了Visa关于最佳做法的建议外,还有一些方法值得大家借鉴。虽然对于这些令牌化的建议还有探讨的空间,但安全专家表示这些方法能够为数据保护实现最佳安全态势。
1.随机生成令牌
根据很多安全专家表示,确保这些端到端加密联袂令牌无法被逆转的唯一方法在于随机生成。
“如果输出结果不是通过应用于输入信息的数学函数而生成的话,令牌就无法被逆转为重新生成原始PAN数据,”Securosis公司的分析师Adrian Lane表示,“发现真正令牌的PAN数据的唯一方法是在令牌 服务器 数据库中进行逆向查询。随机令牌很容易生成,并且大小和数据类型限制根本不算什么问题。这应该设置为默认,因为大多数公司既不需要也不想要PAN数据从令牌中重新获得。”
2. 避免自制解决方案
虽然令牌化表面上看起来很简单,但Protegrity公司的首席技术官Ulf Mattsson警告说,“对于传统加密的令牌化处理很容易出错。”
“这有点火箭科学的感觉,因为首先你需要生成令牌,然后以适当的方式管理令牌,以适当的方式保护令牌服务器,然后最重要的是,你需要一个配备有密钥管理的合适的加密系统,这个系统要与令牌服务器保护兼容,”Mattsson表示。
Mattsson已经听说了关于自制部署令牌化的糟糕故事,由于令牌的可逆转性和整个系统缺乏安全性,导致令牌化部署很容易被攻破。“有很多自制系统被称为令牌化解决方案,并且它们并不符合令牌化的安全级别。在很多情况下,他们甚至都不符合加密的基本安全水平。”
3. 保护令牌服务器
Visa标准的开头并没有明确网络隔离和保持令牌化系统PCI兼容的重要性,而是明确保护令牌服务器的重要性。如果企业没有能够保护令牌服务器,这将会让整个令牌系统的安全置于危险之中,并且如果没有受到适当保护的话,将会导致企业质疑令牌化投资的可行性。
“在某个角落,你必须有个令牌服务器能够用来逆转令牌化进程,”Mattson表示,“这个服务器将需要使用传统密钥管理和强大的加密技术进行加密。如果它存储有PCI数据,该服务器还需要与PCI兼容。”
4. 创建加密生态系统
在过去一年多中,安全专家对于企业是否选择端到端加密还是令牌化颇有争议。然而,很多在银行卡处理世界的人们认为企业不应该选择这两者中的任一个。每种技术类型都服务于不同的目的:令牌化的优点在于它的不可逆转性和能够与数据库基础设施相得益彰。与此同时,端到端加密能够帮助填补持卡人数据和PAN在IT基础设施的其他部分传输时的空缺。
“对于与端到端加密一起使用,我们相信令牌化是一个审慎的战略,”Heartland支付系统公司首席信息官Steven Elefant表示,该公司预计将在今年晚些时候向其客户提供令牌化服务,以此作为该公司去年秋天推出的加密服务的补充服务。以上的相关内容就是对端到端加密联袂令牌化四个最佳做法
的介绍,望你能有所收获。
IPv4跟 IPv6有什么不一样?
什么是IPv4?目前的全球因特网所采用的协议族是TCP/IP协议族。 IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。 目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。 IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。 近十年来由于互联网的蓬勃发展,IP位址的需求量愈来愈大,使得IP位址的发放愈趋严格,各项资料显示全球IPv4位址可能在2005至2008年间全部发完。 什么是IPv6?IPv6是下一版本的互联网协议,也可以说是下一代互联网的协议,它的提出最初是因为随着互联网的迅速发展,IPv4定义的有限地址空间将被耗尽,地址空间的不足必将妨碍互联网的进一步发展。 为了扩大地址空间,拟通过IPv6重新定义地址空间。 IPv6采用128位地址长度,几乎可以不受限制地提供地址。 按保守方法估算IPv6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。 在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、服务质量(QoS)、安全性、多播、移动性、即插即用等。 IPv6与IPv4相比有什么特点和优点?更大的地址空间。 IPv4中规定IP地址长度为32,即有2^32-1个地址;而IPv6中IP地址的长度为128,即有2^128-1个地址。 更小的路由表。 IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。 增强的组播(Multicast)支持以及对流的支持(Flow-control)。 这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS)控制提供了良好的网络平台.加入了对自动配置(Auto-configuration)的支持。 这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷.更高的安全性.在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全.
SD-WAN安全吗?
SD-WAN产品组合利用领先的网络产品,自动化和强大的安全架构来实现更大的灵活性,更大的带宽和更低的成本。
云原生应用程序通常使用容器技术或无服务器计算,这将软件框架与特定的操作系统或硬件设备分开。 在这种情况下,必须控制控制云应用程序实例的容器环境-因为没有要保护的特定物理元素(如交换机或服务器)。
SD-WAN技术的另一个诱人之处在于,它可以使用端到端加密将安全功能(例如虚拟专用网)部署为软件覆盖。 这有助于满足可能希望连接分支机构或零售店但又具有较高安全性要求的企业的安全性要求。
如何让手机银行变得更安全?
文/莫寒日新月异的金融工具为人们提供了便捷的投资工具。 就拿网上银行来说,我们足不出户就可以买纸黄金、基金、国债、银行理财产品等,省去了银行排队的时间。 可以这样说,只要有网络,人们便可随时随地登陆网上银行购买他们所需要的产品或办理某种业务。 随着金融科技不断发展,比网上银行更便捷的手机银行获得了人们的青睐,当然人们在享受移动金融便捷的服务时,对其安全隐患的顾虑并未减少。 小羽的顾虑小羽是某国企的女职工,平时工作忙,周末喜欢宅在家里。 她是网上银行的忠实用户,平时给父母转账汇款,自己购买理财产品都是通过网上银行来操作的。 除非办理特殊业务,她才会去银行柜台,但每次在银行等待的时间过长,她就会无比怀念网上银行的便捷。 如今,小羽早就换上了智能手机。 其实早在注册网银的时候,她就已经开通了手机银行。 只是早已习惯了在电脑前操作网银,便将手机银行抛之九霄云外了。 由于贵金属的行情波动大部分在晚上,有时躺在床上的小羽仍忍不住想要看看行情。 重新打开电脑又觉得麻烦,便想到了被她长期遗忘的手机银行。 下载了工行的手机银行客户端后,她的麻烦却不期而至。 由于从未使用过,她记不清当初办理业务时所设置的登陆密码了。 于是她打通客服电话咨询,客服告诉她修改密码必须去柜台才能操作。 过后,她抽空到柜台修改了手机银行密码。 晚上满心期待地输入新密码,系统却依然无法登陆。 她再次打通客服电话,客服告诉她修改密码后第二天才能够登陆。 于是,她又等到第二天,但结果还是一样。 她已经懒得再给客服打电话咨询了,于是便对登陆问题置之不理,只用它看行情,操作时还是使用网上银行。 据了解,工行手机银行上半年新增客户超过1500万户,较2012年底增长超过20%,交易额同比增长10多倍。 截至上半年末,工行移动银行客户数已超过1亿户。 也许像小羽这种登陆不上去的客户只是个案。 然而,小羽没有继续使用手机银行还有另外一个原因,就是担心资金的安全问题。 她的一个朋友在买二手车时,对方坚持要听银行余额的手机语音提示才肯把车卖给他。 朋友觉得这个要求也算合理,便答应了。 没想到第二日,银行卡中的钱便不翼而飞了。 很明显,这是一次有预谋的诈骗行为。 提高安全防范意识小羽的另一个朋友小磊经常使用手机银行,他听了小羽的困惑后,劝她不要杞人忧天。 他觉得,网上银行固然比手机银行要安全,因为目前大多数的网上银行都有U盾等外接硬件的安全保护,而手机银行则没有,但是目前银行的安全性都很高,他用了这么久的手机银行也没有出什么问题。 即便是手机丢失了,这对手机银行也没有什么影响,因为每次登陆手机银行都需要重新输入密码。 即便有人拾到手机,不知道密码也无法登陆。 但值得注意的是,手机银行最大的威胁时病毒,他告诫小羽不要到公共区域乱蹭别人的网络。 另外,要安装可靠的杀毒防护软件,随时更新软件补丁,只要是正常操作就不会有太大问题。 听了小磊的建议,小羽觉得安心多了,她决定再次打客服电话咨询登陆不上去的问题,毕竟抛开安全问题,手机银行有时比网上银行更便捷一些。 除了购买理财产品,她还想尝试手机支付功能。 对此专家则建议,用户要提高安全防范意识,选择正规电商网站进行交易,安装专业的手机安全软件,查杀和拦截手机盗号病毒,并识别短信、网页中可能存在的“钓鱼”网站链接。 另外,要妥善保管好手机和密码、设置合理的转账支付限额、开通及时语短信通知服务、提防虚假WAP网址和网络钓鱼、使用完手机银行后应及时清除手机内存中临时存储账户、密码等敏感信息等。 插排:专家建议,用户要提高安全防范意识,选择正规电商网站进行交易,安装专业的手机安全软件,查杀和拦截手机盗号病毒,并识别短信、网页中可能存在的“钓鱼”网站链接。 各家银行的手机银行在风险防范方面各有奇招,以浦发手机银行为例,它有手机号识别功能,拿不到客户的手机号,就无法使用相应的身份登录手机银行,大大提高了手机银行的安全性。 同时。 浦发银行(,股吧)还将手机银行登录密码与支付密码分离,为交易设立两道安全网。 另外,当用户设定的查询密码过于简单时,系统会自动提示,要求用户修改密码。 再如工行手机银行在转账时,除了密码,还需动态口令卡;招行手机银行用户的账号,只会部分荧幕显示,能降低因在公共场合使用手机或手机被盗而产生账号泄露的危险。 建行的手机银行采用通信专线连接,从手机端到银行端全程加密,同时还采用了数字签名机制、手机与卡的绑定机制,保证了客户交易和账户资金的安全。
发表评论