数据安全三十

加密（Encryption）是将纯文本转换为复杂代码，。加密方法主要有3种类型，

即哈希、对称加密、非对称加密，其复杂程度和密钥结构各不相同。

（1）哈希

哈希（Hash）将任意长度数据转换为固定长度数据表示。即使知道所使用的确切算法和应用顺序，也无法解密出原始数据。通常哈希用于对传送完整性或身份的验证。常见的哈希算法有MD5和SHA。

（2）对称加密

对称加密使用一个密钥来加解密数据。发送方和接收方都必须具有读取原始数据的密钥。可以逐个字符加密数据（如在传送中），也可对数据块加密。常见的私钥算法包括数据加密标准（DES）、三重DES（3DES）、高级加密标准（AES）和国际数据加密算法（IDEA）。Cyphers Twofish算法和Serpent算法也被视为安全方法。由于DES现在可被多种攻击手段轻松攻破，因此使用简单的DES是不明智的。

（3）非对称加密

在非对称加密中，发送方和接收方使用不同的密钥。发送方使用公

开提供的公钥进行加密，接收方使用私钥解密显示原始数据。当许多数

据源只需将受保护的信息发送给少数接收方（如将数据提交到清算交易

所）时，这种加密方法非常有用。非对称加密算法包括RSA加密算法和Diffie-Hellman密钥交换协议等。PGP（Pretty Good Privacy）是一个免费的公钥加密应用程序。

数据安全需求和过程分为4个方面，即4A：访问（Access）、审计（Audit）、验证（Authentication）和授权（Authorization）。为了有效遵守数据法规，还增加了一个E，即权限（Entitlement）。信息分类、

访问权限、角色组、用户和密码是实施策略和满足4A的一些常用手段。安全监控对于保障其他进程的正常运行也至关重要。监控和审计都

可连续或定期地进行。正式审计必须由第三方进行才能视为有效。第三方可以来自组织内部，也可以来自组织外部。

（1）4A

1）访问（Access）。使具有授权的个人能够及时访问系统。访问作动词用，意味着主动连接到信息系统并使用数据；作名词用，是指此

人对数据具有有效的授权。

2）审计（Audit）。审查安全操作和用户活动，以确保符合法规和遵守公司制度和标准。信息安全专业人员会定期查看日志和文档，以验

证是否符合安全法规、策略和标准。这些审核的结果会定期发布。

3）验证（Authentication）。验证用户的访问权限。当用户试图登录到系统时，系统需要验证此人身份是否属实。除密码这种方式外，更

严格的身份验证方法包括安全令牌、回答问题或提交指纹。在身份验证过程中，所有传送过程均经过加密，以防止身份验证信息被盗。

4）授权（Authorization）。授予个人访问与其角色相适应的特定数据视图的权限。在获得授权后，访问控制系统在每次用户登录时都会检查授权令牌的有效性。从技术上讲，这是公司活动目录中数据字段中的一个条目，表示此人已获得授权访问数据。它进一步表明，用户凭借其工作或公司地位有权获得此权限，这些权限由相关负责人授予。

5）权限（Entitlement）。权限是由单个访问授权决策向用户公开的所有数据元素的总和。在生成授权请求之前，负责的经理必须决定某

人“有权”访问此信息。在确定授权决策的监管和保密要求时，需要对每个授权所暴露的所有数据进行清点。