浅谈保护数据的加密策略

news2024/11/26 23:43:30

加密是一种将信息从可读格式转换为混乱字符串的技术。这样做可以防止数据传输中的机密数据泄露。文档、文件、消息和所有其他形式的网络通信都可以加密。加密策略和身份验证服务的结合，还能保障企业机密信息只对授权用户开启访问权限。常见的数据加密包括以下两种：

对称加密

对称加密指的就是加密和解密使用同一个秘钥，所以叫对称加密。对称加密只有一个秘钥，作为私钥。

非对称加密

非对称加密指的是：加密和解密使用不同的秘钥，一把作为公开的公钥，另一把作为私钥。公钥加密的信息，只有私钥才能解密，反之，私钥加密的信息，只有公钥才能解密。

数据的三种形态

一、静态数据：在稳定的存储系统中不经常更新的数据;企业通常以加密的形式存储这些数据。定位和编目存储在整个企业中的敏感信息。

静态数据加密就像是锁在保险箱中的重要文件，只有拥有钥匙的人才能访问存储的文件；同理，也只有拥有加密密钥的人才能访问静态数据。加密静态数据可保护其免受数据泄露、未经授权的访问和物理盗窃等影响。因为没有密钥开启数据，即使拿到数据也没有用。

如何保护静态数据

实施加密解决方案是企业开始保护其静态数据免受员工因素影响的最简单方法。企业可考虑使用操作系统提供的本机数据加密工具对员工硬盘进行加密，例如Windows BitLocker 和 macOS的FileVault。这样即使员工设备被盗，在没有加密密钥的情况下，数据也不会被泄露，即便是使用USB启动计算机也拿被加密的数据无可奈何。

除了从内部因素考虑，企业还应该充分考虑物理因素引发的安全问题，而首要的工作就是开展完善的物理安全工作，保障存储机密数据的设备和存储介质的物理安全，让攻击者难以接近并盗取机密数据。比如说，某企业的机密数据都保存在其数据库、机房等场景，那么做足该区域的物理安全工作就很有必要。

二、动态数据:通过任何内部或外部网络移动的数据。

如果数据在设备之间传输时未加密，则可能会被拦截、窃取或泄露。所以动态数据需要经过加密以防止中间人攻击。所以每当数据通过任何内部或外部网络传输时，都应始终对其进行加密。以下方法常用于对动态数据进行加密。

传输安全协议/SSL

TLS/SSL是最常用的动态数据加密。安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性，而SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。

HTTPS

HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性，HTTPS协议可以保护用户免受中间人(MitM)攻击和窃听。

IPsec

IPsec是为IP网络提供安全性的协议和服务的集合，是VPN中常用的一种技术。由于IP报文本身没有集成任何安全特性，IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道，IP数据包通过IPsec隧道进行加密传输，有效保证了数据在不安全的网络环境如Internet中传输的安全性。

动态数据保护

1、在数据通过网络传输之前先对数据进行加密。

2、如果数据通过连接传输，我们应该首先使用加密来保护连接。例如，如果数据在两台主机之间传输，我们可以使用VPN先在两台主机之间建立安全连接，然后再传输数据。

三、使用中的数据：正在通过各种端点接口生成、更新、处理、擦除或查看的数据。

如何保护使用中的数据

1、应该尽可能使用加密来加密数据。

2、应该采取适当的安全措施，以确保使用中的数据不会被未经授权的用户访问。