TRX服务公司增强数据加密措施的实践

有些时候,问题不是要不要进行加密,而是如何在多个不同的系统和环境中进行加密。对于一家旅行业服务提供商来说,这个问题最近有了解答。

TRX是一家位于亚特兰大的服务提供商,该公司为旅行社、公司、旅行提供商、政府部门以及信用卡组织提供网上预订、改期以及数据情报等服务。这家公司在八个城市设有办事处,雇有1000名员工,每年的事务处理量为1.5亿次。

随着新的规章制度,比如支付卡行业数据安全标准(PCI DSS)等的生效,旅行业服务提供商决定重新审视自己的安全措施。TRX安全与控制总监Chris Mauer说:“我们的一些数据库包含有机密数据,这些数据必须予以加密”。

虽然问题很清楚,但是潜在解决方案确非如此清楚。因为这家服务提供商在过去的成长过程中收购了一些公司,因此TRX公司发现自己所拥有的数据环境之间有非常大的不同之处。这家公司有多个操作系统(微软的Windows、Linux),多个数据管理系统(Oracle、SQL Server、IBM的DB2)以及多种程序语言(Java、微软的Visual Studio)。

由于过去这些系统的发展缺乏规划,因此这家公司的加密机制也非常缺乏效率。该公司所存储的一些数据本该加密却未加密,该公司还使用不同的加密产品,并将密钥存储在不同的地点(一些在应用程序中,而其他则为用户所有),而且该公司的密钥管理系统可谓是大杂烩。

随着该公司部署新的应用程序(比如TravalTrax——一个托管的旅行数据报告服务),TRX也决定开始改造DBMS(数据库管理系统)的加密流程,使其更加具有连贯性和一致性。

在2007年春季,该公司到市场上寻找合适的产品,但是只找到了几个备选方案。TRX的Mauer说:“我们拥有多个不同的系统,支持这样大范围环境的产品不多”。

在经过挑选后,该公司最终决定试试Vormetric公司的Data Security Expert(数据安全专家)。这是一个内部开发加密系统。TRX决定采用这个系统是基于几个理由。Vormetric系统是基于设备的,因此它可以很容易地加入到TRX的网络中。该系统并不需要很多编程活动:这家旅行业服务提供商并不需要改变任何数据表结构、数据域或应用程序源代码。

但是,这个DBMS加密产品比较昂贵,价格差不多为每个DBMS 1万美元。由于TRX有30个数据库,因此其成本很快就超过了10万美元。不过这个成本仍然还是比自己开发一套DBMS加密系统要省得多。

TRX在八月份决定购买Vormetric产品,不过部署该产品的行动却是在几个月之后。由于DBMS信息是关键任务型的,因此TRX希望确保新的解决方案是稳定的。在2007年底,该公司开始将Vormetric的Data Security Expert一点点地添加到DBMS系统中,并在2008年秋季完成了这个项目。

在部署加密产品的时候,用户往往担心原来的性能是否会受到影响,但是TRX目前为止还没有碰到这个问题。Mauer说:“我们在进行性能测试的时候,只看见CPU使用率有很微小的上升”。