数据安全：一起了解有关数据加密知识

数据加密的知识，自然是铺天盖地的，这篇文章整理自IBM博客，所以其谈论的密码算法自然是以美国和国际密码算法为主，在我国开展数据加密过程中，优先选择国密加密。以满足合规性要求，在合规工作开展过程中，应考虑积极落实合规性工作，而不应消极对待。

我们会在工作生活中谈到数据加密千百万次，常常会有“专家”、专家、产商、安全从业者反反复复的告诫我们加密的重要性：“你需要加密你的数据。” “除非对其进行加密，否则信息是不安全的。” 

但是如果你和很多人一样，认为自己有能力保护信息数据，而满不在乎，最终可能因忽视这个建议或采取一半的措施会造成不可逆转的损害。在数据加密方面，可能会损害公司的商誉、客户信任和财务底线等等。还可能对隐私控制造成严重破坏，并导致监管机构和审计人员纳入监管视线。

如此重要的安全措施是一个老生常谈的问题，有可能成为消极性合规操作，在国外文章里叫做“勾选复选框”。对安全性理解不成熟的组织可能会认为其存储设备或云服务提供商提供的基本加密功能足以保护其数据，而更进一步只是因为恐惧、不确定性和怀疑 (FUD) 引发的受益的媒体和供应商。信息技术 (IT) 和安全团队通常人手不足且负担过重，因此常常是“打勾，继续下一项任务”的态度对待之。

现实很复杂。数据加密对于保护敏感信息和隐私、满足法规和审计的合规性以及确保适当的数据治理至关重要。在移动应用程序、客户体验和竞争优势方面的所有 IT 投资都可能在不可预见的数据泄露中被浪费掉。

数据加密如何工作？

未加密的信息是以“明文”形式编写的。在最基本的情况下，数据加密涉及使用加密算法来打乱或伪装明文，将其呈现为所谓的“密文”，在人类看来，密文就是字母数字乱码。加密算法使用称为加密密钥的关键信息对数据进行编码或解码。没有加密密钥，算法是不完整的，无法将明文转换为密文，反之亦然。

大多数加密算法都是众所周知的隐藏敏感数据的有效方法，所以数据加密策略的关键要素是加密密钥的管理和控制。确实，关键是必不可少的。只需删除密钥，加密数据就可以永远不可用。

加密类型

非对称加密，也称为公钥加密或公钥密码术，使用公钥和私钥的组合来创建和解码密文。

最常见的非对称加密类型是：

1. RSA：以开创性的计算机科学家 Ron Rivest、Adi Shamir 和 Leonard Adleman 的名字命名。使用私钥加密数据，使用公钥解密数据。

2. 公钥基础设施，PKI，使用数字证书来管理密钥。

对称加密使用在加密之前在各方之间共享的单个密钥。被认为比非对称加密更快、更便宜，但为了安全起见，需要对密钥本身进行加密，可能导致终端依赖另一个密钥。流行的对称加密类型包括数据加密标准 (DES)、三重 DES、高级加密标准 (AES)和Twofish。

加密静态数据与传输中的数据

当数据存储在硬盘驱动器或服务器上时，被视为静态数据。当为电子邮件或即时消息应用程序等任务发送数据时，会变成传输中的数据或动态数据。从历史看，静态数据是泄露的目标，因此使用全盘加密和文件级加密等技术来保护相当于堡垒中数据，通常使用防火墙保护堡垒。

随着移动设备、物联网 (IoT)、5G 网络和混合多云环境的爆炸式增长，传输中的数据持续增长。因此，传输中的数据已成为网络犯罪分子日益增长的目标，并对保护其提出了更大的挑战，尤其是当这样做会对日常任务的性能产生负面影响或减慢交易或电子商务等金融敏感交易时。保护传输中数据的常用技术包括使用安全网络协议（如 HTTPS）、安全套接字层 (SSL)、FTPS 和无线协议（如 WPA2）。

密钥生命周期管理基础

就像忘记了保险箱的组合密码或丢失了加密货币账户的密码一样，丢失加密密钥可能意味着无法访问其旨在保护的内容。密钥生命周期管理 (KLM)旨在避免密钥丢失或被盗。KLM 的一项基本原则是密钥必须与其保护的数据分开管理。

典型的密钥管理生命周期将包括以下步骤：

企业数据加密

虽然数据的价值和随之而来的犯罪活动继续以惊人的速度增长，但有一些成熟的数据保护实践已经发展到可以应对当今的挑战。以下是企业安全团队在基本全盘和文件级加密之外使用的一些数据保护方法和工具：

• 在各个级别加密数据：对所有敏感、特权和其他敏感信息实施加密。高度可扩展且经济实惠的加密工具已广泛使用一段时间，但仅加密只是企业范围保护的开始。执行定期漏洞评估将发现和分类未受保护或不合规标准的敏感数据。

• 集中的特权用户策略管理：拥有一个单一的管理系统来提供对谁可以访问哪些信息的精细控制、能够加入和退出用户以及在出现违规时得到通知是至关重要的。多年来积累的工具往往像是一种考古学——通常植根于特定的操作系统或数据库，甚至是从并购活动中遗留下来的——导致用户对数据的访问不一致、过时和特权过高。借助可以扩展到现代数据和云模型的单一管理系统，可以强制执行最小权限原则和严格治理控制等最佳实践。当多余的特权和过时的用户被废除时，内部威胁的风险可以大大降低。

• 集中式密钥管理：已经确定加密仅与密钥本身的安全性一样好。大型组织在任何特定时刻都将拥有数以千计的不同加密密钥，需要在生命周期的每个步骤中对每个密钥进行管理，从而导致复杂性、漏洞和风险。从安全性和合规性的角度来看，拥有一个遵循密钥管理互操作性协议 ( KMIP ) 的集中式密钥管理器是必不可少的。

• 自带密钥 (BYOK)/持有/保留自己的密钥 (HYOK/KYOK)：十多年来，公司一直将其关键业务转移到云服务提供商 (CSP)，如 Amazon Web Services (AWS)、Microsoft Azure、谷歌云和 IBM 云。领先的 CSP 提供本机加密和密钥管理功能，但如果不拥有或控制 CSP 环境中存储的数据的密钥，真的可以说数据是安全的吗？为了肯定地回答这个问题，安全领导者部署了云加密密钥管理产品，允许他们携带自己的密钥来保持对混合多云环境的控制，而不管他们与哪个 CSP 签约。

无论采用哪种方式，加密对于保护组织最宝贵的资产——其数据来说都是至关重要的。随着数据隐私、数据治理和合规标准变得越来越重要，拥有保护数据安全能力的密钥也将变得越来越重要。

数据治理规范之数据管理和数据价值体系的治理（内附思维导图）

网络安全知识之了解国际化域名

网络安全知识之什么是网络安全？

网络安全知识之了解 ISP

网络安全知识之了解互联网协议语音 (VoIP)

网络安全知识之保护网络基础设施设备

网络安全知识之防范加密货币非法挖矿活动

网络安全知识之保护便携式设备物理安全

---

关注公众号回复“220127”获取“零信任框架设计原则”PDF版

原文始发于微信公众号（祺印说信安）：数据安全：一起了解有关数据加密知识