本文讲的是金融机构拥抱云技术,加密和令牌化保障安全,数据保护公司CipherCloud发布报告称,更多金融企业对将数据迁移到云端更加放心,它们正积极地对信息采取分类加密手段。
CipherCloud在其新近发布的Q2云安全报告中提到,40%的金融企业表示,他们使用令牌化(Tokenizaiton)和强加密技术来对预备传到云端的高敏感度信息加密。监管合规性是云数据加密的一个重要驱动力,但数据泄露事件持续增多也很重要。
CipherCloud将数据分为四个类别:高度敏感个人身份信息(PII)、通常个人身份信息、个人金融数据、商业敏感数据。报告中指出,不同公司对数据类型的分级可能不同,比如顾客的姓名,可能被一家公司认为是敏感的,而另一家公司则认为它是通常的。所有受访者都表示自己会使用加密技术来保护商业敏感数据。大约15%的受访者表示,他们会对个人金融数据使用标记化,13%的受访者表示他们会对通常个人身份信息使用标记化。
只有大约33%的企业会在云端存储高度敏感的数据,47%会存储个人金融数据,53%会存储商业敏感数据。
报告中提到,“企业将加密作为保护商业敏感数据的不二选择,这并不令人吃惊。由于这些数据通常来讲并不十分重要,只有很小一部分企业会使用重量级的标记化技术来保护它们。”
CipherCloud公司云策略副总裁王晨曦(Wang Chenxi,音译)表示,各企业更加期待云端数据保护方案,需要保护的数据正变得越来越多。
各种加密方式并不是完全等价的。信息技术经理和业务经理必须通力合作,在安全性、易用性、效率三者之间选择一个侧重点。大多数企业都倾向于对重要性靠后的数据使用加密而不是标记化。不过,有一些数据具有特定的格式,比如社保帐号、电邮地址和电话号码,这些数据都需要以能够保持原结构不变的方式加密。大约91%的企业对电邮地址使用结构不变加密,82%的企业对电话号码这样做,而只有9%的企业会对电邮地址使用标记化。
这份报告调查了金融服务行业内的五十家企业,领域包括银行业、理财、投资和金融服务,涉及地区涵盖北美、欧洲、亚太和拉丁美洲。尽管有一些企业更倾向于在云端存储个人可识别数据,但基本上所有企业都至少拥有一种用于存储个人数据的SaaS应用,比如Salesforce的产品。
令牌化技术使用随机生成的码本编码数据,通常对密码学分析免疫。它在高度管制的环境中十分常用,我们建议对大多数关键信息都使用令牌化。当企业审视自己的高敏感度数据时,经常会发现,正在存储并不是真正需要的数据。一旦他们意识到了这点,就会作出决定,停止收集这些数据,而不是对它们进行标记化。这让企业更加轻松,因为他们不需要保护自己不需要的数据。
金融服务产业从整体上来讲比其它行业接受云计算的速度更快,也更能采取恰当的措施保护数据安全。CipherCloud下一步将调查医疗领域。
企业开始相信云端技术,因为确实存在一些可以保护数据的方法。企业通过将数据预制化(On-premise)地存储在边界之内,并完善本地防御,能够增加效益。Salesforce等服务提供商对安全投入了巨大精力,由于加密和标记化技术的存在,云端数据能够得到完善保护。