数据加密是一种将明文数据转换为称为密文的加密数据的方法。加密可用于解密加密的消息。静态数据和使用中数据都是加密文件的方法。加密策略可以与身份验证服务相结合，以保证只有授权用户才能访问您组织的数据。

数据加密典型的有两种

1. 对称加密

   单个密钥用于数据加密和解密。所有授权用户都可以访问密钥，从而实现数据访问。

2. 非对称加密

   使用两个数学密钥对数据进行加密和解密。公钥用于加密数据，私钥用于解密数据。私钥保密；另一方面，公钥与所有人共享。

数据状态

任何组织内的数据都存在三种基本状态。如果要确保数据安全，就必须在其整个生命周期内保护数据。

1. 静态数据

   静态数据加密可防止数据在未经授权的访问情况下可见。组织可以在移动敏感文件之前对其进行加密，或者使用全盘加密来加密整个存储介质。用户需要加密密钥才能读取加密数据。

2. 动态数据

   它用于大数据分析，因为数据处理可以帮助组织分析和洞察趋势的发生。

3. 使用中的数据

   加密在保护使用中或移动中的数据方面起着重要作用。数据在穿越任何外部或内部网络时都应始终加密。

例如：假设 Bob 想给 Alice 发送一张芝士汉堡的图片。Bob 在他的智能手机上拍了这张照片，从那以后它就一直保存着这张照片——这张芝士汉堡照片目前是静态数据。Bob 查看照片并将其附加到电子邮件中，这会将照片加载到内存中——它成为正在使用的数据（特别是通过他手机的照片查看器和电子邮件应用程序）。Bob 点击“发送”，附有照片的电子邮件通过互联网传送到 Alice 的电子邮件服务；它已成为传输中的数据。

静态数据

静态数据加密就像将重要文件锁在保险箱中。只有拥有钥匙的人才能访问存储的文件；同样，只有拥有加密密钥的各方才能访问静态数据。加密静态数据可保护其免受数据泄露、未经授权的访问和物理盗窃等负面结果的影响。没有密钥，数据就没有用。

有不同类型的技术来保护数据，如下所示

FDE（全盘加密）

对于可能丢失或被盗的 PC、笔记本电脑和便携式电子设备，FDE 非常有帮助。即使设备被拿走，小偷也无法访问加密数据。由于使用一个密钥来加密整个硬盘驱动器，FDE 要求网络管理员执行强密码策略并提供加密密钥备份过程，以防员工忘记密码或意外离开公司。

FDE 的工作原理是将硬盘驱动器上的数据自动转换为任何没有撤消转换密钥的人都无法理解的格式。尤其是，硬盘从可以读取的明文变成了需要密钥转换回明文后才能读取的密文。即使将硬盘取出并放入另一个系统，如果没有正确的身份验证密钥，也无法访问数据。

FDE 通常在制造时安装在计算设备上。例如，某些版本的 Microsoft Windows 中存在的 BitLocker 和 macOS 操作系统的一部分的 FileVault 都启用了 FDE。BitLocker 和 FileVault 的用户可以找回忘记的密码。FileVault 将加密密钥备份到 Apple iCloud，而 BitLocker 将恢复数据保存在 Active Directory 上。

在所有基于 Windows 的设备上，Microsoft 还提供设备加密，通过加密驱动器来保护数据。

MDM（移动设备管理）

MDM 技术管理移动设备上的数据。它们允许限制对某些公司应用程序的访问、限制对设备的访问或加密移动或平板设备上的数据。如果设备丢失，它们的作用与常规加密相同，但当数据传输到设备外部时，它不会保持加密状态。

静态数据仍然是攻击者的一个有吸引力的目标，他们的目标可能是加密数据并持有它以索取赎金、窃取数据、破坏或擦除数据。无论采用何种方法，最终目标都是访问静态数据并采取恶意行动

• 勒索软件是一种恶意软件，一旦进入系统，就会加密静态数据，使其无法使用。一旦受害者支付费用，勒索软件攻击者就会解密数据。

• 如果静态数据被移动或泄漏到不安全的环境中，则可能会发生数据泄露。数据泄露可能是故意的，例如当外部攻击者或恶意内部人员有意访问数据以复制或泄露数据时。它们也可能是偶然的，例如当服务器暴露在公共互联网上时，会泄露其中存储的数据。

• 如果有人偷了笔记本电脑、平板电脑、智能手机或静态数据所在的其他设备，物理盗窃可能会影响静态数据。

如何保护静态数据

• 实施加密解决方案是企业开始保护其静态数据免受员工疏忽影响的最好和最简单的方法之一。组织可以使用操作系统提供的本机数据加密工具对员工硬盘进行加密，例如 Windows BitLocker 和 macOS 的 FileVault。这保证了如果有人偷了设备，那么他将无法在没有加密密钥的情况下访问它，即使是在使用 USB 启动计算机时也是如此。

• 我们还应该为存储数据的设备和存储介质提供物理安全性。攻击者应该很难物理访问设备或存储介质并窃取数据。例如，如果一家公司将敏感数据保存在文件服务器、数据库或工作站中，那么建筑物的物理安全性就至关重要。

动态数据

如果数据在设备之间传输时未加密，则可能会被拦截、窃取或泄露。例如，动态数据经常被加密以防止拦截，因为它容易受到中间人攻击。每当数据通过任何内部或外部网络传输时，都应始终对其进行加密。

可以使用以下方法对动态数据进行加密：

1. 传输安全协议/SSL

   TLS / SSL是两个最著名的 Motion 数据加密应用程序。TLS 提供传输层作为消息传输代理或电子邮件服务器之间的加密管道。另一方面，SSL 证书使用公钥和私钥来加密通过 Internet 发送的私人对话。

2. HTTPS

   HTTP的安全变体是 HTTPS。该协议保护用户免受中间人 (MitM) 攻击和窃听。HTTPS 通常用于保护互联网连接。尽管如此，它还是将自己确立为一种通用的加密方法，用于 Web 主机和浏览器之间以及云环境和非云环境中的主机之间的通信。HTTPS 是用于 HTTP 通信的 SSL 证书。

3. IPSEc

   互联网小型计算机系统接口传输层使用互联网协议安全来保护动态数据 (IPsec)。为了防止黑客看到在两个设备之间发送的数据内容，IPsec 可以对数据进行加密。因为 IPsec 采用了三重数据加密标准 (Triple DES) 和高级加密标准等加密技术。它被广泛用作虚拟专用网络隧道的传输加密协议。IPsec 还使用 SSL 证书。为了确保 Motion 中的数据安全，加密技术还可以与现有的企业资源规划系统集成。

如何保护动态数据

1. 在数据通过网络传输之前加密数据本身。例如，如果我们在互联网上传输数据，我们应该先对数据进行加密，然后再传输。

2. 如果数据通过连接传输，我们应该首先使用加密来保护连接。例如，如果数据在两台主机之间传输，我们可以使用VPN先在两台主机之间建立安全连接，然后再传输数据。

使用中的数据

在使用密钥或数据的环境中，通常会提供替代控制，因为攻击者必须完全无法使用解密密钥和解密数据进行加密以提供安全性。在使用云服务时，企业应该寻找像HSM这样的分布式解决方案，以确保其密钥安全并独立于服务提供商。

如何保护使用中的数据

1. 我们应该尽可能使用加密来加密数据。

2. 我们应该采取适当的安全措施，以确保使用中的数据不会被非法或意外地与未经授权的各方共享。

电子邮件加密

非对称或公钥基础设施加密(PKI) 是电子邮件安全或管理密钥分发和验证的最常用方法，PKI 经常使用，由以下部分组成。

1. 颁发和验证数字证书或证书颁发机构 (CA)的组织。证书是证明公钥所有权的数字记录。

2. 在向请求者颁发数字证书之前，注册机构 (RA) 作为证书机构的验证者。

3. 基于称为密码的数学技术的加密过程可以使信息保密或隐藏。需要代码（或密钥）来为预期的接收者解密信息以执行加密。未加密的数据称为纯文本，而加密数据称为密文。

电子邮件加密是如何工作的

公钥密码术，也称为非对称加密，是电子邮件加密的基础。一组密钥（公钥和私钥）将分配给每个电子邮件地址。公钥在消息发送时对消息进行加密，并且每个人都可以使用。电子邮件帐户的所有者是唯一有权访问私钥的人。一旦公钥将消息加密成不可读的混乱，只有关联的私钥才能解密消息。

为了保护他们免受攻击者故意攻击，我们必须加密我们所有的电子邮件，而不仅仅是那些包含关键信息的电子邮件。随着网络钓鱼和欺骗等诈骗变得越来越普遍，电子邮件加密可防止潜在有害链接或冒充身份。通过电子邮件发送的数据受到端到端电子邮件加密的保护，因此只有发件人和收件人才能访问和阅读它。

电子邮件加密的应用

1. 窃听

   您的 PC 和无线路由器之间的无线电通信被使用计算机的攻击者拦截。使用加密电子邮件时，只有持有私钥的人才能解密邮件。

2. 垃圾邮件和网络钓鱼

   网络钓鱼电子邮件会带来严重的安全风险，这与您在未经请求的情况下从广告中收到的垃圾邮件形成对比。发送网络钓鱼是为了获取您的敏感信息，如银行信息、登录凭据等。他们经常冒充信誉良好的公司。通过将密码存储为散列、实施 DMARC（基于域的消息身份验证、报告和一致性）以及加密敏感数据，增加了一层安全性。

3. 欺骗

   电子邮件服务，如邮政服务，不需要精确的返回地址来发送消息。网络罪犯可以伪造电子邮件的返回地址，使其看起来好像是从信誉良好的帐户发送的，即使事实并非如此。通过确保组织内的每个人都签署他们的电子邮件以表明信任，您可以使用电子邮件签名证书来阻止此类攻击。

建立你的策略

七个基本组成部分可能有助于制定成功的端到端战略

1. SSL解密

   加密是保护数据的绝佳方式，但也是隐藏危险的绝佳方式。不同的加密技术具有不同的数据处理能力和解密的密钥要求。大多数网络安全工具无法解密和检查 HTTPS (SSL) 通信。

   随着越来越多的服务（例如 Facebook、Twitter、YouTube、Google 搜索和 DropBox 等）利用 SSL 加密来帮助保护消费者，它们无意中使企业更难确保有害代码不会泄漏到网络流量中. 网络攻击者正在利用这一弱点；因此，在为您的企业选择合适的加密解决方案时考虑 SSL 解密技术至关重要，以确保在入口点和流出点对关键数据的可见性。

   用于解密SSL 证书的工具有：

• Giga SMART SSL TLS 解密

• Fidelis解密

• A10 网络 Thunder SSLi。

2. 密钥管理

   保护您的钥匙。无论采用何种安全措施，如果密钥和证书得不到安全保护，公司就容易受到攻击。许多公司需要更清楚地了解他们的库存并拥有数以千计的密钥和证书。

   他们需要知道密钥和证书授予访问权限的系统、它们的使用方式或负责人。组织必须了解网络中使用的密钥和证书、有权访问它们的人员以及使用它们的方式和时间。通过集中管理密钥和证书，作为获取此数据的第一步，可以获得组织库存的全面概览。您将能够检测异常活动，例如流氓自签名证书。

• 加密密钥生命周期管理

  虽然管理加密密钥的生命周期对于拥有许多密钥的组织来说可能很困难，但有必要验证密钥的完整性，从而验证数据本身的完整性。从创建密钥到启动、分发、激活、停用和终止的整个生命周期，必须使用可信赖的密钥管理解决方案来保护密钥。

• 异构密钥管理

  对所有加密密钥的统一访问和 360 度“单一管理平台”调查通过集中式密钥管理平台实现的总体策略。可以详细了解密钥的使用方式，更重要的是，通过要求从同一位置以相同方式控制所有密钥，可以了解密钥是否被不当访问。

如果没有针对异构密钥管理的全面解决方案，公司将不断寻找流氓密钥，并努力确保加密数据的可靠性并在需要时可以解密。

3. 证书管理

   为了安全运行，每个连接到互联网或其他系统的系统都需要至少一个数字证书。也就是说，为公司或业务部门维护 PKI 通常需要管理员管理数百甚至数千个证书。每个单独的证书都与几个因素相关联，每个因素都是独一无二的，包括：

   为了保持其有效性，还必须不断检查这些证书。为防止系统充满不需要的证书，管理员必须控制谁可以申请和批准证书。所有这些过程都不可能在电子表格等手动系统上处理，因此需要专门的证书管理过程。

• 不同的到期日期（因此需要更新）

• 由多个证书颁发机构颁发。

• 由需要单独监控和解决的独特系统漏洞组成。

4. 与 HSM 的通信

   硬件安全模块 (HSM) 是经过强化的防篡改硬件设备，可通过生成密钥、加密和解密数据以及创建和验证数字签名来加强加密实践。一些硬件安全模块 (HSM) 通过了各种 FIPS 140-2 级别的认证。与 HSM 连接的访问控制机制和程序必须非常安全，因为它包含最敏感的数据（加密密钥）。

   HSM 用于关键基础设施，因为它非常昂贵且维护成本高，并且不应向所有人提供访问权限。因此，PKCS #11 是业界最著名、使用最广泛和公认的标准。PKCS #11 标准，也称为“PKCS #11 加密令牌接口基本规范”，由 RSA Labs 于 1994 年创建。最新版本 2.40 是与 OASIS 合作创建的

   PKCS #11 是一种更为狭隘的技术标准，它概述了通用公钥加密操作及其独立于平台的编程接口的具体规范。它定义了一个与平台无关的加密令牌 API，并与 HSM 和智能卡一起使用。所有销售 HSM 的企业都实施了对 PKCS #11 标准的支持。

   对于基于 Microsoft Windows 的部署环境，API 可以作为 DLL 文件访问；对于基于 Linux 的部署环境，它以 SO 文件的形式提供。最流行的对称和非对称令牌和密钥（DES/Triple DES、AES、RSA、DSA 等密钥和 X.509 数字证书），以及创建、修改和丢弃这些密码所需的散列和加密方法令牌，都在 API 中实现。

5. 合作

   加密方案的开发需要协调。处理它的最佳方法是将其作为一项涉及管理、IT 和运营的主要任务。通过首先从利益相关者那里收集基本数据，确定将影响购买和实施新技术决策的规则、立法、政策和外部因素。下一步是确定高风险位置，包括笔记本电脑、便携式电子产品、无线网络和数据备份。此外，可以开发加密策略以减轻已识别的差距。

结论

有多种软件解决方案可以帮助和保护数据，尽管它们具有不同的漏洞和攻击途径。动态和静态数据都受到防火墙、防病毒软件、DLP 工具和加密策略的保护。数据以三种状态存在：静止数据、使用中数据和运动中数据，具体取决于其运动。未从一个设备传输到另一个设备或从一个网络传输到另一个网络的数据称为静态数据。计算机硬盘驱动器上的本地数据、数据库、文件系统和存储基础设施中的存档数据都包括在内。

保存在 IT 基础设施（如 RAM、数据库或 CPU）中的系统当前正在更新、处理、擦除、访问或读取的数据称为正在使用的数据。这种数据是主动存储的，不是被动存储的。另一方面，数据从一个位置传输到另一个位置，无论是在计算机还是虚拟机之间，从端点到云存储，还是通过私有或公共网络。运动中的数据一旦到达目的地就变成静止的数据

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置