加密是一種將信息從可讀格式轉(zhuǎn)換為混亂字符串的技術(shù)。這樣做可以防止數(shù)據(jù)傳輸中的機(jī)密數(shù)據(jù)泄露。文檔、文件、消息和所有其他形式的網(wǎng)絡(luò)通信都可以加密。加密策略和身份驗(yàn)證服務(wù)的結(jié)合，還能保障企業(yè)機(jī)密信息只對(duì)授權(quán)用戶開啟訪問權(quán)限。常見的數(shù)據(jù)加密包括以下兩種：

• 對(duì)稱加密：對(duì)稱加密指的就是加密和解密使用同一個(gè)秘鑰，所以叫對(duì)稱加密。對(duì)稱加密只有一個(gè)秘鑰，作為私鑰。
• 非對(duì)稱加密：非對(duì)稱加密指的是：加密和解密使用不同的秘鑰，一把作為公開的公鑰，另一把作為私鑰。公鑰加密的信息，只有私鑰才能解密，反之，私鑰加密的信息，只有公鑰才能解密。

數(shù)據(jù)的三種形態(tài)  

一、靜態(tài)數(shù)據(jù)：在穩(wěn)定的存儲(chǔ)系統(tǒng)中不經(jīng)常更新的數(shù)據(jù);企業(yè)通常以加密的形式存儲(chǔ)這些數(shù)據(jù)。定位和編目存儲(chǔ)在整個(gè)企業(yè)中的敏感信息。

靜態(tài)數(shù)據(jù)加密就像是鎖在保險(xiǎn)箱中的重要文件，只有擁有鑰匙的人才能訪問存儲(chǔ)的文件；同理，也只有擁有加密密鑰的人才能訪問靜態(tài)數(shù)據(jù)。加密靜態(tài)數(shù)據(jù)可保護(hù)其免受數(shù)據(jù)泄露、未經(jīng)授權(quán)的訪問和物理盜竊等影響。因?yàn)闆]有密鑰開啟數(shù)據(jù)，即使拿到數(shù)據(jù)也沒有用。

如何保護(hù)靜態(tài)數(shù)據(jù)？

實(shí)施加密解決方案是企業(yè)開始保護(hù)其靜態(tài)數(shù)據(jù)免受員工因素影響的最簡(jiǎn)單方法。企業(yè)可考慮使用操作系統(tǒng)提供的本機(jī)數(shù)據(jù)加密工具對(duì)員工硬盤進(jìn)行加密，例如Windows BitLocker 和 macOS的FileVault。這樣即使員工設(shè)備被盜，在沒有加密密鑰的情況下，數(shù)據(jù)也不會(huì)被泄露，即便是使用USB啟動(dòng)計(jì)算機(jī)也拿被加密的數(shù)據(jù)無可奈何。

除了從內(nèi)部因素考慮，企業(yè)還應(yīng)該充分考慮物理因素引發(fā)的安全問題，而首要的工作就是開展完善的物理安全工作，保障存儲(chǔ)機(jī)密數(shù)據(jù)的設(shè)備和存儲(chǔ)介質(zhì)的物理安全，讓攻擊者難以接近并盜取機(jī)密數(shù)據(jù)。比如說，某企業(yè)的機(jī)密數(shù)據(jù)都保存在其數(shù)據(jù)庫(kù)、機(jī)房等場(chǎng)景，那么做足該區(qū)域的物理安全工作就很有必要。

二、動(dòng)態(tài)數(shù)據(jù):通過任何內(nèi)部或外部網(wǎng)絡(luò)移動(dòng)的數(shù)據(jù)。

如果數(shù)據(jù)在設(shè)備之間傳輸時(shí)未加密，則可能會(huì)被攔截、竊取或泄露。所以動(dòng)態(tài)數(shù)據(jù)需要經(jīng)過加密以防止中間人攻擊。所以每當(dāng)數(shù)據(jù)通過任何內(nèi)部或外部網(wǎng)絡(luò)傳輸時(shí)，都應(yīng)始終對(duì)其進(jìn)行加密。以下方法常用于對(duì)動(dòng)態(tài)數(shù)據(jù)進(jìn)行加密。

傳輸安全協(xié)議/SSL

TLS/SSL是最常用的動(dòng)態(tài)數(shù)據(jù)加密。安全傳輸層協(xié)議(TLS)用于在兩個(gè)通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性，而SSL通過互相認(rèn)證、使用數(shù)字簽名確保完整性、使用加密確保私密性，以實(shí)現(xiàn)客戶端和服務(wù)器之間的安全通訊。

HTTPS

HTTPS是一種通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全通信的傳輸協(xié)議，經(jīng)由HTTP進(jìn)行通信，利用SSL/TLS建立全信道，加密數(shù)據(jù)包。HTTPS使用的主要目的是提供對(duì)網(wǎng)站服務(wù)器的身份認(rèn)證，同時(shí)保護(hù)交換數(shù)據(jù)的隱私與完整性，HTTPS協(xié)議可以保護(hù)用戶免受中間人(MitM)攻擊和竊聽。

IPsec

IPsec是為IP網(wǎng)絡(luò)提供安全性的協(xié)議和服務(wù)的集合，是VPN中常用的一種技術(shù)。由于IP報(bào)文本身沒有集成任何安全特性，IP數(shù)據(jù)包在公用網(wǎng)絡(luò)如Internet中傳輸可能會(huì)面臨被偽造、竊取或篡改的風(fēng)險(xiǎn)。通信雙方通過IPsec建立一條IPsec隧道，IP數(shù)據(jù)包通過IPsec隧道進(jìn)行加密傳輸，有效保證了數(shù)據(jù)在不安全的網(wǎng)絡(luò)環(huán)境如Internet中傳輸?shù)陌踩浴?/span>

動(dòng)態(tài)數(shù)據(jù)保護(hù)

1、在數(shù)據(jù)通過網(wǎng)絡(luò)傳輸之前先對(duì)數(shù)據(jù)進(jìn)行加密。

2、如果數(shù)據(jù)通過連接傳輸，我們應(yīng)該首先使用加密來保護(hù)連接。例如，如果數(shù)據(jù)在兩臺(tái)主機(jī)之間傳輸，我們可以使用VPN先在兩臺(tái)主機(jī)之間建立安全連接，然后再傳輸數(shù)據(jù)。

三、使用中的數(shù)據(jù)：正在通過各種端點(diǎn)接口生成、更新、處理、擦除或查看的數(shù)據(jù)。

如何保護(hù)使用中的數(shù)據(jù)？

1、應(yīng)該盡可能使用加密來加密數(shù)據(jù)。

2、應(yīng)該采取適當(dāng)?shù)陌踩胧源_保使用中的數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶訪問。

建立最佳安全策略  

1、SSL解密

部分安全設(shè)備可能無法解密和檢測(cè)SSL/TLS流量，這會(huì)導(dǎo)致這些加密流量直接游走在整個(gè)網(wǎng)絡(luò)中，無法被監(jiān)視到。

以防火墻為例，若客戶端與服務(wù)器之間使用的是HTTPS，那么任何數(shù)據(jù)都已經(jīng)變?yōu)榧用軘?shù)據(jù)，防火墻上的相關(guān)的安全內(nèi)容的功能可能都不會(huì)生效。

例如，反病毒功能主要是依靠識(shí)別支持的協(xié)議，從流量中提取特征在病毒庫(kù)中進(jìn)行特征匹配之后，進(jìn)行相關(guān)的安全內(nèi)容的檢查；以及某些IPS生效的原理也與之類似，是靠收集來的巨大的簽名特征庫(kù)去對(duì)相關(guān)的流量進(jìn)行審查。所以若數(shù)據(jù)被SSL層加密，像上述這類安全功能便都形同虛設(shè)了。

網(wǎng)絡(luò)中大約有50%的安全攻擊會(huì)通過SSL通道進(jìn)行，很多傳統(tǒng)的安全設(shè)備都將會(huì)面臨嚴(yán)重的挑戰(zhàn)——只有將這些加密流量解析出來才能讓安全設(shè)備很好的防御，SSL解密的重要性不言而喻。

2、密鑰管理

如果密鑰和證書得不到保護(hù)，企業(yè)的機(jī)密信息就容易受到攻擊。所以相關(guān)負(fù)責(zé)人必須對(duì)企業(yè)密鑰了如指掌，他們不僅需要知道密鑰和證書授予訪問權(quán)限的系統(tǒng)、使用方式或負(fù)責(zé)人，還必須了解網(wǎng)絡(luò)中使用的密鑰和證書、有權(quán)訪問它們的人員以及其他詳細(xì)信息。建議通過集中管理密鑰和證書，讓相關(guān)人員可以一覽企業(yè)密鑰的整體情況。

3、證書管理

為了確保安全，每個(gè)連接到互聯(lián)網(wǎng)的系統(tǒng)都需要至少一個(gè)數(shù)字證書。也就是說，為公司或業(yè)務(wù)部門維護(hù)PKI通常需要管理員管理數(shù)百甚至數(shù)千個(gè)證書。每個(gè)單獨(dú)的證書還需注意以下幾點(diǎn)，包括證書日期、多個(gè)證書頒發(fā)機(jī)構(gòu)頒發(fā)等。

為了保持證書有效性，管理員還必須不斷檢查這些證書，為防止系統(tǒng)充斥著各類不需要的證書，管理員必須控制誰可以申請(qǐng)和批準(zhǔn)證書。所有這些過程都不可能通過手動(dòng)操作實(shí)現(xiàn)，因此企業(yè)需要專門的證書管理解決方案。

4、HSM硬件安全模塊

硬件安全模塊HSM是一種可用于對(duì)密鑰進(jìn)行安全管理/存儲(chǔ)，且可提供密碼計(jì)算操作的硬件設(shè)備，該模塊一般通過擴(kuò)展或外部設(shè)備的形式連接到主設(shè)備。HSM是一個(gè)可防篡改和入侵的硬件，用來保護(hù)存儲(chǔ)密鑰，同時(shí)允許授權(quán)用戶使用，系統(tǒng)中充當(dāng)信任錨的角色。

重要聲明：本文來自公鑰密碼開放社區(qū)，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識(shí)和信息。