SSH Communications Security 解決方案

符合 PCI 資料安全標準 3.0

– Universal SSH Key Manager、CryptoAuditor 及 SSH Risk Assessor
強化存取監控及加密管理 –



2013 11 22 日,香港訊】以研發獲廣泛使用的 SSH 及 SFTP 協議而享譽全球的 SSH Communications Security,今日宣佈其解決方案 Universal SSH Key Manager、CryptoAuditor 及 SSH Risk Assessor 有助企業符合最新版本的 PCI 資料安全標準 3.0 (PCI DSS 3.0) 內的法則。

  • PCI 資料安全標準 3.0 2013 年11 月 7 日推出,列出 50 項與 Secure Shell 系統存取相關的法則。以 Secure Shell 控制存取特權及 / 或機對機 (M2M) 流程的企業,必須確保其 Secure Shell 部署政策及管治符合新法則。
  • Universal SSH Key Manager 是唯一能按照新安全標準 3.0 的法則,完善管理密鑰生命週期的解決方案,其功能包括發現、部署、轉換、移除及持續監察密鑰。
  • CryptoAuditor 能控制及監察特權使用者的活動,以及所有關乎信用卡資料的作業流程
  • SSH Risk Assessor 乃一易用的審計及追蹤工具,能有效使 Qualified Security Assessor (QSA) 及 Internal Security Assessor (ISA) 迅速辨識任何與 PCI 有關的法規及保安問題。

SSH Communications Security 行政總裁及創辦人 Tatu Ylönen 表示﹕「大部份企業在處理風險及法規問題上缺乏明確指引、檢測標準及安全意識,因而造成明顯的漏洞。很多法規對存取監控及監察加密網絡的要求過於概括。SSH Communications Security 一直直接與主要的法規機構合作,強化佔 90% 網絡環境的 M2M 連接的保護,重塑管理框架。我們的方案有助企業減低網絡安全風險及符合新安全法則。」

SSH亞太區副總裁Tommi Lampila 向大家介紹符合PCI 資料安全標準 3.0等相關法則。
SSH亞太區副總裁Tommi Lampila (左)及亞太區區域總監何思聰 (右)。

參考文件﹕


SSH Communications Security

SSH Communications Security 始創於 1995 年,研發了為數據傳輸保安方案而設的業界標準協議 – SSH 協議。目前,全球逾 3,000 家企業,包括獲《財富》雜誌評選為世界十強企業的其中七間,均採用了我們的 SSH Information Assurance Platform 保護其資訊資產。我們協助全球各行各業、數以千計的公私營企業建立及發展業務。我們的總部設於芬蘭赫爾辛基,業務遍及美國、歐洲及亞太地區,並在赫爾辛基納斯達克 OMX 掛牌上市。

如欲了解更多有關 SSH Communications Security,請瀏覽 http://www.ssh.com




________________________________________________________________________________




SSH Communications Security PCI 3.0記者會附加資料

網上交易數量急增 企業需加強對付款卡資料的保障

由American Express、Discover Financial Services、JCB International、MasterCard Worldwide及Visa, Inc. 創立的PCI 安全標準協會 (Security Standards Council) 於11月7日發表最新版本的PCI資料安全標準3.0 (PCI DSS 3.0),在企業處理如信用卡及提款卡等各類付款卡資料的問題上,定下更嚴謹的安全法則。

PCI DSS 3.0於六大安全範疇訂定安全標準,以確保妥善處理付款卡資料,保障客戶利益。事實上,於2010年發表的PCI 2.0早已要求企業員工在接觸客戶資料前,使用如個人密碼或單次性密碼等雙重認證,以加強保安。但鑑於近年越來越多人進行網上交易,令企業每天需要傳送及保存數以萬計的付款卡資料,其中Gartner已預測今年的全球流動付款交易將逾2,000億元,比去年上升44%,因此新版本的PCI DSS 3.0要求企業加強對授權人員的身份認證,令客戶資料得到更可靠的保障。

密鑰管理不善 容易造成保安漏洞


自1995年開始,不少企業已先後採用SSH協定,以加密渠道傳輸重要數據,並需要以密鑰進行身份鑒別,限制用戶對重要數據的存取及訪問權,為遠端登入及其他網絡服務提供安全保障。不過,因應業務所需,企業難免會容許個別人員,如IT管理員及外判服務商進入數據庫,讀取客戶資料,而由於受到加密渠道的保護,外界對這些授權人員於加密環境下的活動一無所知,以致一旦發現客戶資料被盜或曾被修改,企業根本無法追查涉事源頭,亦不能向檢控機構提供相關舉證。

此外,隨著時間的累積、人事變動及業務規模的擴展,密鑰數量將不斷遞增,令架構越趨混亂。這樣不但增添管理難度,大大加重企業的工作量,亦會令經營成本激增。SSH Communications Security便曾經發現有企業因為長期缺乏完善管理,以致系統內積存超過80%的荒廢密鑰,造成非常明顯的保安漏洞。

近年,因未有妥善管理密鑰而衍生的罪案可謂屢見不鮮,早前便有企業因未有盡早移除屬於離職員工的密鑰,以致他們有機可乘,利用相同的密鑰入侵企業伺服器;而去年亦有黑客盜取密鑰,攻擊網絡系統,令企業及客戶遭受無法估量的損失。

採用全面的解決方案 減低保安風險


為避免發生以上情況,企業應採用有效的審計及追蹤工具,迅速辨識潛在風險,以求盡快對症下藥。在處理密鑰方面,為節省成本及減少人手出錯的機會,企業應採用能完善管理密鑰生命週期的解決方案,以自動化模式,集中發現、部署、轉換、移除及持續監察密鑰。同時,由於授權人員在無監管的情況下,有機會於加密環境內進行不法行為,因此企業亦應考慮使用能記錄包括儲存或更改資料、複製密鑰等作業流程。

銷售渠道增加 PCI DSS可保障客戶及企業利益

近年,各類企業陸續增設網上購物平台,加上近場通訊(NFC)的出現,令網上交易數量與日俱增。PCI安全協會洞悉市場需要,預視潛在的安全風險,從而制定能保障客戶權益的法則;而不少企業及金融機構亦相繼遵從有關法則,以免因疏忽而蒙受損失,影響聲譽及增加營運成本。










Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:SSH Communications Security 解決方案 符合 PCI 資料安全標準 3.0;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋