हमारे पास आपके जैसा ही अनुभव था। पीसीआई अनुपालन के लिए हमें एक महत्वपूर्ण प्रबंधन समाधान की आवश्यकता थी और हमने देखा कि सभी वाणिज्यिक उत्पादों को बहुत महंगा था। कुछ प्रमुख प्रबंधकों को छोटे ग्राहकों के लिए हमारे उत्पाद से अधिक लागत!
हम एक सॉफ्टवेयर आधारित कुंजी प्रबंधक बनाने समाप्त हो गया। हमने आवश्यकताओं को बनाया और ऑफशोर डेवलपर्स ने इसे कोड किया। एक समय में वे अन्य ग्राहकों को इसका इस्तेमाल करने की तलाश में थे। मुझे नहीं पता कि वे अभी भी हैं या नहीं।
मुझे विकल्प हम पता लगाया समझाता हूँ। याद रखने वाली पहली बात यह है कि पीसीआई अनुपालन और सुरक्षा अलग-अलग चीजें हैं, आप पीसीआई अनुपालन और बहुत सुरक्षित नहीं हो सकते हैं।
विकल्प 0 - DLL फ़ाइल में डीबी प्रति स्तंभ एक चाबी, और स्टोर कुंजी असाइन करें। डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए कुंजी तक पहुंचने के लिए DLL फ़ाइल में आपका एप्लिकेशन लिंक। कोई भी चाबियाँ नहीं जानता है। आवधिक कुंजी प्रतिस्थापन के लिए आप नई कुंजी के साथ एक नया डीएलएल बनाते हैं, पुरानी चाबियों का उपयोग करके सभी डेटा डिक्रिप्ट करने और नई कुंजी का उपयोग करके डेटा को पुन: क्रिप्ट करने के लिए समय निकालें। फिर नई कुंजी के साथ नए डीएलएल का उपयोग कर अपने आवेदन को पुनरारंभ करें। (नोट अगर आप कभी भी एक DB बैकअप पुनर्स्थापित करने पर विचार, आप पुराने कुंजी रखने की जरूरत है।)
पहली बार मैं विकल्प 0 के बारे में सुना मुझे आश्चर्य यह PCI शिकायत थी। हम अपने वातावरण में विकल्प 0.
तरीके उपयोग नहीं करते विकल्प 0.
पर सुधार करने के लिए आप एक HSM है, तो DLL फ़ाइल में कुंजी एन्क्रिप्ट करने के लिए HSM का उपयोग करें। जब आपका एप्लिकेशन शुरू होता है तो यह एचएसएम का उपयोग करके चाबियाँ डिक्रिप्ट करेगा। यदि आप अधिक सुरक्षा चाहते हैं, तो हर बार जब आवश्यक हो तो चाबियाँ डिक्रिप्ट करें।
एक बार अपनी चाबी एन्क्रिप्ट किए गए हैं, यह उन्हें एक डीबी तालिका में स्टोर करने के लिए सुरक्षित है। यदि आप प्रत्येक कुंजी (पुरानी और नई) को एक छोटी पूर्णांक कुंजी-आईडी असाइन करते हैं, तो आप एन्क्रिप्टेड डेटा के साथ कुंजी-आईडी स्टोर कर सकते हैं। इससे आप बढ़ती कुंजी प्रतिस्थापन कर सकते हैं और समय से बच सकते हैं।
प्रक्रियाओं की बहुत सारी में स्मृति में स्पष्ट में अपनी चाबी के बाद, कुंजी खोजने एक स्मृति हमले स्कैन के लिए अपने प्रदर्शन को बढ़ाता है। आप एक नई प्रक्रिया बना सकते हैं जो कि एकमात्र प्रक्रिया है जो कुंजी को डिक्रिप्ट करती है। आपके एप्लिकेशन डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए इस नई प्रक्रिया से बात करते हैं। यह नई प्रक्रिया इसे बचाने के लिए एक छोटे से "सतह क्षेत्र" वाले बॉक्स पर होनी चाहिए। चूंकि संवेदनशील डेटा अब नेटवर्क पर जा रहा है, इसलिए इस संचार को एन्क्रिप्ट किया जाना चाहिए। एसएसएल एक अच्छा विकल्प है।
स्रोत
2012-12-09 18:47:03
क्या यह डेस्कटॉप या वेब/मोबाइल ऐप है? – kgilpin