目前，支付行業(yè)的管理人員和安全專家正在討論保存和保護(hù)信用卡數(shù)據(jù)的正確方法。商家可以選擇多種格式，其中包括保存加密格式（這種格式用加密算法代替16位數(shù)字的信用卡號(hào)碼）、基于卡的標(biāo)記格式（這種格式使用隨機(jī)標(biāo)記代替卡號(hào)，以減少PCI DSS評(píng)估的范圍）等。EMC公司安全部門RSA的技術(shù)總監(jiān)Robert Griffin一直是許多加密和標(biāo)記化項(xiàng)目的首席架構(gòu)師。Griffin是一位公認(rèn)的加密專家，他還是OASIS密鑰管理協(xié)作協(xié)議技術(shù)委員會(huì)的聯(lián)合主席。在此次參訪中，他談?wù)摿藶槭裁碦SA保護(hù)信用卡數(shù)據(jù)的方法(該技術(shù)使用基于卡的標(biāo)記)是最有效的防護(hù)方法（保護(hù)敏感信用卡數(shù)據(jù)不受網(wǎng)絡(luò)罪犯的攻擊）。該安全供應(yīng)商最近發(fā)表了一份白皮書《Secure Payment Services: Credit Data Security Transformed（安全支付服務(wù)：信用數(shù)據(jù)安全變換）》，闡述了該公司對(duì)此技術(shù)的立場(chǎng)。

零售商們有很多比較舊的系統(tǒng)，他們采用新技術(shù)的進(jìn)程似乎比較緩慢。有沒(méi)有商家已經(jīng)著眼實(shí)施某種形式的保存/加密技術(shù)來(lái)保護(hù)信用卡數(shù)據(jù)呢？

Griffin：我認(rèn)為，市場(chǎng)上其實(shí)存在著一個(gè)很大的分歧。比如，我們RSA第一次實(shí)施標(biāo)記化技術(shù)是在Staples公司，他們從2004年開始就已經(jīng)完成了最初的架構(gòu)工作。那時(shí)，他們已經(jīng)做出決定，不使用加密模型而是使用標(biāo)記化模型來(lái)保護(hù)PCI跟蹤以及數(shù)字信息。在這種情況下，標(biāo)記化的定義取決于替代模型而不是變換模型。這里面存在著一個(gè)重大的行業(yè)分歧——“使用原始值的變換來(lái)創(chuàng)建任何相關(guān)值的模型”與那些“沒(méi)有使用這種變換的方法”之間的分歧。標(biāo)記化是指你把原始值映射為一個(gè)新的值，并把這個(gè)新的映射值作為標(biāo)記來(lái)使用。我曾經(jīng)參與PCI DSS范圍委員會(huì)有關(guān)標(biāo)記化的工作，該委員會(huì)面臨的最基本問(wèn)題就是這種分歧到底有多明顯，以及怎樣出現(xiàn)在確定范圍的指導(dǎo)意見中。

你認(rèn)為我們將會(huì)更多地使用混合模型嗎？

Griffin：從一個(gè)方面看是肯定的。我們的感覺(jué)是，在你做替換的模型中，映射數(shù)據(jù)庫(kù)與應(yīng)用程序的分離非常重要?；灸Ｐ褪侵改惆颜嬲闹缔D(zhuǎn)移到某種標(biāo)記化的服務(wù)上面。這意味著當(dāng)你把值從所在地點(diǎn)轉(zhuǎn)移到標(biāo)記化服務(wù)的時(shí)候，你必須保護(hù)轉(zhuǎn)移過(guò)程中的值。你可以簡(jiǎn)單地進(jìn)行運(yùn)輸級(jí)別保護(hù)，但是我們認(rèn)為，在數(shù)據(jù)移動(dòng)的過(guò)程中，你應(yīng)該實(shí)施多層次的保護(hù)措施。這種情況下，對(duì)數(shù)據(jù)進(jìn)行加密極為重要。對(duì)于我們來(lái)說(shuō)，你送回到交易時(shí)的內(nèi)容與你送到標(biāo)記化服務(wù)器的值沒(méi)有任何算法、數(shù)學(xué)和變換上的關(guān)系。這就意味著所有的強(qiáng)力變換攻擊、所有的密鑰攻擊（一旦你發(fā)現(xiàn)某次變換的密鑰，你就可以知道所有其他變換的密鑰）——所有這些威脅都不復(fù)存在。我認(rèn)為這是加密模型（不管是保存格式還是擴(kuò)展加密）與這種基于映射、沒(méi)有變換的模型之間的巨大區(qū)別。我們對(duì)這個(gè)問(wèn)題的看法是，替代模型非常有效。

這些傳統(tǒng)的業(yè)務(wù)分析系統(tǒng)和數(shù)據(jù)庫(kù)似乎是較大的多達(dá)。保存加密格式可以在這方面發(fā)揮作用，因?yàn)槟憧梢杂眉用芨袷奖４?6位信用卡號(hào)碼。你能用基于卡的標(biāo)記來(lái)這樣做嗎？

Griffin：當(dāng)然可以。我們?cè)趦蓚€(gè)客戶項(xiàng)目中建立了我們自己的標(biāo)記化解決方案。Staples公司是其中的一方，另一方是一家包裹運(yùn)輸公司。我們與他們進(jìn)行討論，首先讓他們理解一件事件，那就是一定要盡可能的減小對(duì)當(dāng)前應(yīng)用程序架構(gòu)的影響，而最好的辦法就是保持信用卡號(hào)碼的長(zhǎng)度不變，并且保留信用卡號(hào)碼的最后四位數(shù)字。只要你把號(hào)碼的最后四位數(shù)字映射到標(biāo)記上，并保持同樣的16位數(shù)字結(jié)構(gòu)，那么這個(gè)標(biāo)記其實(shí)跟保存加密格式同樣有效。

在First Data-TransArmor處理過(guò)程中，F(xiàn)irst Data把PAN與先前處理過(guò)的信用卡做對(duì)比，以檢查一個(gè)標(biāo)記是否被使用過(guò)。由此，我可以知道在First Data中保存著這樣一個(gè)文件，里面既有標(biāo)記也有信用卡號(hào)碼。如果網(wǎng)絡(luò)罪犯掌握了這個(gè)文件，應(yīng)該會(huì)造成重大的數(shù)據(jù)泄漏事件吧？

Griffin：這個(gè)映射表格是這個(gè)架構(gòu)真正的核心所在。這個(gè)文件一定要受到保護(hù)，這極為重要。你應(yīng)該像保護(hù)密鑰管理相關(guān)事宜那樣嚴(yán)格地保護(hù)它。映射表格式中包含的敏感信息也需要得到很好的保護(hù)。如果把所有的信用卡信息都聚集在一個(gè)地方，那么你就可以在該處實(shí)施保護(hù)措施；而如果信用卡信息很分散的話，那保護(hù)起來(lái)就相當(dāng)?shù)睦щy了。你需要像保護(hù)密鑰管理那樣使用高級(jí)別的多層防御來(lái)保護(hù)這個(gè)表格。你必須采用適當(dāng)?shù)纳矸莨芾?，?duì)個(gè)人數(shù)據(jù)元素進(jìn)行加密是絕對(duì)需要的，而且加密級(jí)別越細(xì)致越好。同樣，你還應(yīng)該關(guān)注物理環(huán)境和虛擬環(huán)境中的基礎(chǔ)設(shè)施模型。

另外一個(gè)問(wèn)題是延遲問(wèn)題。對(duì)于商家來(lái)說(shuō)，讓客戶的支付過(guò)程快速便捷非常重要?，F(xiàn)在計(jì)算機(jī)的處理能力真的可以讓延遲問(wèn)題不再是問(wèn)題了嗎？

Griffin：這包括網(wǎng)絡(luò)關(guān)系以及標(biāo)記化操作的延遲。在這種情況下，我認(rèn)為一個(gè)更重要的問(wèn)題是網(wǎng)絡(luò)連接的帶寬。舉個(gè)例子，我們第一次在Staples公司遇到這種情況，那時(shí)他們已經(jīng)為幾個(gè)商店提供了撥號(hào)連接，早在架構(gòu)設(shè)計(jì)時(shí)他們就非常擔(dān)心這是否會(huì)造成交易中出現(xiàn)一到兩秒的時(shí)間延遲。但是后來(lái)他們發(fā)現(xiàn)，情況并非如此。他們非常高興自己推出的產(chǎn)品可以適應(yīng)各種環(huán)境。即便是環(huán)境中的帶寬和傳輸速度千差萬(wàn)別，但是由于數(shù)據(jù)包（你的數(shù)據(jù)傳輸量）非常小，實(shí)際上不會(huì)對(duì)支付終端上的客戶反應(yīng)時(shí)間產(chǎn)生多大的影響。

還有一個(gè)問(wèn)題是關(guān)于大型商家使用多個(gè)支付處理商的討論。這意味著將會(huì)有不同種類的標(biāo)記化解決方案。那么對(duì)于標(biāo)記化來(lái)說(shuō)，為什么沒(méi)有任何標(biāo)準(zhǔn)呢？

Griffin：關(guān)于標(biāo)記化我們需要知道兩件事。其中之一就是我們?cè)赑CI DSS特殊利益集團(tuán)內(nèi)部所做的有關(guān)標(biāo)記化的工作。如果你在使用這種替代模型的話，那這部分工作主要側(cè)重于確定范圍和操作指南。另外就是由美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)所做的工作，可惜的是要靠這方面工作來(lái)闡明標(biāo)記化意味著什么卻顯得更加的困難?？梢阅肁PI作為例子，我認(rèn)為在這個(gè)領(lǐng)域內(nèi)還沒(méi)有任何重大的進(jìn)展，這一點(diǎn)是我們RSA感興趣的地方。相對(duì)于范圍確定的問(wèn)題，它只能屈居次席，我認(rèn)為這跟密鑰管理是一個(gè)道理。我們看到許多供應(yīng)商不僅使用標(biāo)記化來(lái)保護(hù)PCI，而且還用它來(lái)保護(hù)其他類型的信息，那么供應(yīng)商就不會(huì)被禁錮在單一的支付處理商以及他們的基礎(chǔ)設(shè)施上面，所以標(biāo)準(zhǔn)API的發(fā)展將非常重要。不過(guò)我們還沒(méi)有開始那方面的工作。

【編輯推薦】

1. 數(shù)據(jù)保護(hù)怎樣制訂企業(yè)加密策略
2. 網(wǎng)絡(luò)安全與信息加密技術(shù)淺析