在高風(fēng)險(xiǎn)環(huán)境中點(diǎn)到點(diǎn)加密（point-to-point encryption，P2PE）技術(shù)將敏感信息泄漏最小化的潛力有多大？我們可以通過(guò)通過(guò)對(duì)P2P的運(yùn)作過(guò)程，以及其優(yōu)缺點(diǎn)來(lái)進(jìn)行分析：

P2P加密是怎樣運(yùn)作的？

點(diǎn)到點(diǎn)加密技術(shù)允許企業(yè)在眾多設(shè)備、或設(shè)備內(nèi)的組件間創(chuàng)建安全的通信鏈接，防止中間設(shè)備在網(wǎng)絡(luò)上傳輸過(guò)程中泄漏敏感信息。P2PE最常作為滿足支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）的解決方案被部署，但它也可能用于其它敏感數(shù)據(jù)。

通過(guò)部署P2P加密技術(shù)，零售商能限制在商品銷售環(huán)境中流轉(zhuǎn)的信用卡號(hào)被泄漏的范圍。例如，通過(guò)部署一個(gè)使用加密信用卡掃描器的POS系統(tǒng)（a point of sale，銷售時(shí)點(diǎn)信息系統(tǒng)），由位于家庭辦公室中支持點(diǎn)到點(diǎn)加密的后端系統(tǒng)支撐，整個(gè)零售店的網(wǎng)絡(luò)與外界隔絕。因?yàn)橛布庞每⊕呙杵髟跀?shù)據(jù)到達(dá)POS終端前對(duì)其加密，所以在零售店網(wǎng)絡(luò)上沒(méi)有設(shè)備能解密信用卡號(hào)。這可保護(hù)信用卡免遭各種類型的攻擊，包括未授權(quán)設(shè)備的竊聽(tīng)以及POS終端上的惡意軟件感染。諸如這樣的設(shè)備無(wú)法訪問(wèn)加密密鑰，所以它們不能訪問(wèn)信用卡號(hào)。

P2P的優(yōu)點(diǎn)：

點(diǎn)到點(diǎn)加密技術(shù)主要的好處是它能夠減少安全工作的范圍。在上面描述的零售店情況中，如果零售商能夠確保硬件信用卡掃描器的完整性，只需要對(duì)易于被解密的集中式后臺(tái)系統(tǒng)應(yīng)用最嚴(yán)格的安全控制。在高度監(jiān)管要求的環(huán)境中，這個(gè)策略能極大地減少必須滿足的繁重的合規(guī)及監(jiān)控要求的系統(tǒng)和網(wǎng)絡(luò)數(shù)量。

P2P加密技術(shù)的局限：

盡管點(diǎn)到點(diǎn)加密是一項(xiàng)很有前途的安全技術(shù)，但它仍沒(méi)有被廣泛地部署，主要是由于市場(chǎng)上只有少數(shù)成熟的產(chǎn)品。在PCI安全標(biāo)準(zhǔn)委員會(huì)（PCI SCC）為這類產(chǎn)品批準(zhǔn)簡(jiǎn)化的驗(yàn)證過(guò)程不久后，有幾個(gè)組織想部署它，但是無(wú)法找到滿足PCI SSC指導(dǎo)的產(chǎn)品。許多情況下，廠商聲稱他們正開始著手測(cè)試產(chǎn)品，但是還不能用于商用?，F(xiàn)在這些產(chǎn)品開始在市場(chǎng)上找尋商機(jī)，且隨著商家升級(jí)他們的系統(tǒng)被緩慢地投入上線。

合規(guī)遵從的推遲是P2P加密技術(shù)第二個(gè)主要的限制，它（合規(guī)遵從）通常要求可觀的經(jīng)濟(jì)投資以便建立并運(yùn)行。這包括對(duì)POS硬件、軟件的升級(jí)，以及來(lái)自廠商可能的費(fèi)用增長(zhǎng)。商家們正尋求限制他們合規(guī)遵從所需承擔(dān)的責(zé)任，廠商們渴求在這些意外的業(yè)務(wù)需求上大賺一筆。

總而言之，點(diǎn)到點(diǎn)加密是一項(xiàng)很有前途的技術(shù)，企業(yè)正開始利用它來(lái)加強(qiáng)數(shù)據(jù)安全并減少合規(guī)管理措施的范圍，特別是在支付系統(tǒng)環(huán)境中。然而，它目前有好幾個(gè)重大的局限，希望使用該技術(shù)的安全專業(yè)人員們務(wù)必考慮到，不過(guò)，未來(lái)幾年隨著商業(yè)P2P產(chǎn)品的不斷改進(jìn)，或許會(huì)引起企業(yè)增長(zhǎng)性的使用。

cc

收藏 海報(bào)分享