浅谈保护数据的加密策略

加密是一种将信息从可读格式转换为混乱字符串的技术。这样做可以防止数据传输中的机密数据泄露。文档、文件、消息和所有其他形式的网络通信都可以加密。加密策略和身份验证服务的结合，还能保障企业机密信息只对授权用户开启访问权限。常见的数据加密包括以下两种：

对称加密

对称加密指的就是加密和解密使用同一个秘钥，所以叫对称加密。对称加密只有一个秘钥，作为私钥。

非对称加密

非对称加密指的是：加密和解密使用不同的秘钥，一把作为公开的公钥，另一把作为私钥。公钥加密的信息，只有私钥才能解密，反之，私钥加密的信息，只有公钥才能解密。

数据的三种形态

一、静态数据：在稳定的存储系统中不经常更新的数据;企业通常以加密的形式存储这些数据。定位和编目存储在整个企业中的敏感信息。

静态数据加密就像是锁在保险箱中的重要文件，只有拥有钥匙的人才能访问存储的文件；同理，也只有拥有加密密钥的人才能访问静态数据。加密静态数据可保护其免受数据泄露、未经授权的访问和物理盗窃等影响。因为没有密钥开启数据，即使拿到数据也没有用。

如何保护静态数据

实施加密解决方案是企业开始保护其静态数据免受员工因素影响的最简单方法。企业可考虑使用操作系统提供的本机数据加密工具对员工硬盘进行加密，例如Windows BitLocker 和 macOS的FileVault。这样即使员工设备被盗，在没有加密密钥的情况下，数据也不会被泄露，即便是使用USB启动计算机也拿被加密的数据无可奈何。

除了从内部因素考虑，企业还应该充分考虑物理因素引发的安全问题，而首要的工作就是开展完善的物理安全工作，保障存储机密数据的设备和存储介质的物理安全，让攻击者难以接近并盗取机密数据。比如说，某企业的机密数据都保存在其数据库、机房等场景，那么做足该区域的物理安全工作就很有必要。

二、动态数据:通过任何内部或外部网络移动的数据。

如果数据在设备之间传输时未加密，则可能会被拦截、窃取或泄露。所以动态数据需要经过加密以防止中间人攻击。所以每当数据通过任何内部或外部网络传输时，都应始终对其进行加密。以下方法常用于对动态数据进行加密。

传输安全协议/SSL

TLS/SSL是最常用的动态数据加密。安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性，而SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。

HTTPS

HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性，HTTPS协议可以保护用户免受中间人(MitM)攻击和窃听。

IPsec

IPsec是为IP网络提供安全性的协议和服务的集合，是VPN中常用的一种技术。由于IP报文本身没有集成任何安全特性，IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道，IP数据包通过IPsec隧道进行加密传输，有效保证了数据在不安全的网络环境如Internet中传输的安全性。

动态数据保护

1、在数据通过网络传输之前先对数据进行加密。

2、如果数据通过连接传输，我们应该首先使用加密来保护连接。例如，如果数据在两台主机之间传输，我们可以使用VPN先在两台主机之间建立安全连接，然后再传输数据。

三、使用中的数据：正在通过各种端点接口生成、更新、处理、擦除或查看的数据。

如何保护使用中的数据

1、应该尽可能使用加密来加密数据。

2、应该采取适当的安全措施，以确保使用中的数据不会被未经授权的用户访问。

图片来源：百度

建立最佳安全策略

1、SSL解密

部分安全设备可能无法解密和检测SSL/TLS流量，这会导致这些加密流量直接游走在整个网络中，无法被监视到。

以防火墙为例，若客户端与服务器之间使用的是HTTPS，那么任何数据都已经变为加密数据，防火墙上的相关的安全内容的功能可能都不会生效。

例如，反病毒功能主要是依靠识别支持的协议，从流量中提取特征在病毒库中进行特征匹配之后，进行相关的安全内容的检查；以及某些IPS生效的原理也与之类似，是靠收集来的巨大的签名特征库去对相关的流量进行审查。所以若数据被SSL层加密，像上述这类安全功能便都形同虚设了。

网络中大约有50%的安全攻击会通过SSL通道进行，很多传统的安全设备都将会面临严重的挑战——只有将这些加密流量解析出来才能让安全设备很好的防御，SSL解密的重要性不言而喻。

2、密钥管理

如果密钥和证书得不到保护，企业的机密信息就容易受到攻击。所以相关负责人必须对企业密钥了如指掌，他们不仅需要知道密钥和证书授予访问权限的系统、使用方式或负责人，还必须了解网络中使用的密钥和证书、有权访问它们的人员以及其他详细信息。建议通过集中管理密钥和证书，让相关人员可以一览企业密钥的整体情况。

3、证书管理

为了确保安全，每个连接到互联网的系统都需要至少一个数字证书。也就是说，为公司或业务部门维护PKI通常需要管理员管理数百甚至数千个证书。每个单独的证书还需注意以下几点，包括证书日期、多个证书颁发机构颁发等。

为了保持证书有效性，管理员还必须不断检查这些证书，为防止系统充斥着各类不需要的证书，管理员必须控制谁可以申请和批准证书。所有这些过程都不可能通过手动操作实现，因此企业需要专门的证书管理解决方案。

4、HSM硬件安全模块

硬件安全模块HSM是一种可用于对密钥进行安全管理/存储，且可提供密码计算操作的硬件设备，该模块一般通过扩展或外部设备的形式连接到主设备。HSM是一个可防篡改和入侵的硬件，用来保护存储密钥，同时允许授权用户使用，系统中充当信任锚的角色。

了解更多