您是否曾经有过某种感觉不对劲的感觉？在进行有关何时需要数据加密的研究时，我注意到似乎有些偏离。法规通常要求采取措施保护数据。许多法规建议使用加密来保护数据，因为它存在于特定状态。加密是一种“安全港”，只要有证据证明数据已加密，它就可以限制公司在数据泄露后的责任。这很清楚，很有意义。

在专门要求加密的法规中，有少数法规，例如Gramm-Leach-Bliley和《纽约金融服务公司的网络安全要求》，传达了公司应“在外部网络传输和静止时加密数据”的信息。对法规的审查发现，当提到数据状态时，仅识别“静止”和“运动中”的数据。令人惊讶的是，他们没有提到数据的第三阶段-“正在使用的数据”。没有政府标准或行业文档引用此阶段，是否表示使用中的数据不需要法规？进一步查看这些规定，它们也无法定义数据何时处于特定状态。尽管传输中的数据或静态数据似乎很明显，但仍需要考虑一些细微差别。

数据状态

任何处理数据并担心保护数据的人都会辩称，存在三个阶段，而不仅仅是两个阶段。尽管对运动中的数据构成有充分的低估，并认为他们知道静止数据涵盖了哪些内容，但是在考虑实际使用的数据意味着什么时，这三种状态之间的界限不太明显。将使用中的数据添加到方程式中会产生关于分界线在休息与使用之间的区别的歧义。

许多人将静止数据定义为静态和稳定的数据状态，该状态被被动存储在设备或数据存储介质上。静态数据被假定为非活动状态，未被主动修改或更改。

• 静态数据可以同时存在于通电实例和断电实例中。

• 另一方面，当系统加电并驻留在系统的易失性内存中时，存在使用中的数据。

• 使用中的数据将处于不断变化的状态，因为一个或多个正在读取，修改或处理用于特定任务的数据的应用程序会利用它们。

有问题吗？

何时移动数据通常是很清楚的，但是何时静止数据和何时使用数据之间的界限引发了一些争论。关于在任何给定时刻存在哪个状态数据的模棱两可，是沿着休息与使用之间的界限而发生的。当系统专门访问静态数据时，就会发生混乱（请参见图1）。

图1：数据状态

有些人认为，如果没有积极地读取或处理数据，则无论数据存储是否可用，都应充分考虑其处于静止状态。此外，仅当应用程序专门调用静态数据并将其移入某种形式的易失性存储时，静态数据才转换为活动状态。其他人则争辩说，当设备开机时，理论上数据是可用的。从本地数据存储介质或网络连接的存储或云存储库中检索数据的能力使一些人争辩说，这种可用性会改变状态，从闲置到使用。

产生模糊性的一种可访问数据空间是位于网络连接存储上的数据。使用文件共享协议可用于远程用户的已存储数据可能会导致数据状态更改。当文件可访问时，有人认为它们正在使用中，因此不再被认为处于静止状态。或者，另一个阵营争辩说，在特定文件被打开之前，特定文件将保持静止状态。另一个示例是与网站关联的数据库-动态查询数据库会导致多个数据状态。由于应用程序正在请求数据，因此现在正在使用它；但是，数据只能间歇性地访问，因此在这些停机期间，它会转换为静态数据。

如图所示，数据状态是动态的并且令人难以置信的细微差别，并引发了关于如何准确分类的争论。似乎明确的决定已经演变为管理员，分析师和高管所苦苦挣扎的事情：数据状态取决于观点。出于明显的原因，这可能会对您的安全状况产生重大影响。

这很重要，因为…

了解数据状态对于整体数据保护策略至关重要。信息安全至关重要，保护数据需要了解数据所处的不同状态以及数据如何在模式之间转换。知道如何以及何时传输，处理和存储数据可以更好地了解所需的保护。对数据状态未正确分类会导致安全技术欠佳。还考虑到该公司可能对违反合规性持开放态度。更糟糕的结果是使数据容易受到恶意软件，勒索软件或操作远程攻击的不良行为的影响。

大多数数据完全处于静态或可访问状态，都处于静止状态。由于数字数据的自然规律因此，除非特别需要使用，否则必须对至关重要的敏感数据进行加密。当设备断电时，全盘加密在保护数据方面非常有效。在开机状态下，用户登录到系统后，它无法提供主动的，精细的文件级保护。在启动过程中输入密码或密码短语的行为使系统有权解密请求的任何文件，直到再次关闭计算机为止。因此，文件是完全可访问的。这与其他类型的存储级加密系统相同，这些类型的存储级加密系统在用户验证系统身份时会自动解密。加密不再有效，因此对立即攻击无效。

因此，法规应进一步努力规定定义数据状态的参数。如果某个解决方案使用自动身份验证过程（例如为设备加电）对静态数据进行加密，那么它是否真的对静态数据进行了加密？要充分保护信息并遵守监管机构的要求，就需要建立旨在保护数据处于适当状态的解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规