。

这样做可以防止数据传输中的机密数据泄露。

文档、文件、消息和所有其他形式的网络通信都可以加密。

加密策略和身份验证服务的结合#xff0c;还能保障企业机密信息只对授权用户开启访问权限。

常见的数据加密包括以下两种还能保障企业机密信息只对授权用户开启访问权限。

常见的数据加密包括以下两种对称加密对称加密指的就是加密和解密使用同一个秘钥所以叫对称加密。

对称加密只有一个秘钥作为私钥。

非对称加密非对称加密指的是加密和解密使用不同的秘钥一把作为公开的公钥另一把作为私钥。

公钥加密的信息只有私钥才能解密反之私钥加密的信息只有公钥才能解密。

一、静态数据在稳定的存储系统中不经常更新的数据;企业通常以加密的形式存储这些数据。

定位和编目存储在整个企业中的敏感信息。

静态数据加密就像是锁在保险箱中的重要文件只有拥有钥匙的人才能访问存储的文件同理也只有拥有加密密钥的人才能访问静态数据。

加密静态数据可保护其免受数据泄露、未经授权的访问和物理盗窃等影响。

因为没有密钥开启数据即使拿到数据也没有用。

如何保护静态数据实施加密解决方案是企业开始保护其静态数据免受员工因素影响的最简单方法。

企业可考虑使用操作系统提供的本机数据加密工具对员工硬盘进行加密例如Windows

BitLocker

macOS的FileVault。

这样即使员工设备被盗在没有加密密钥的情况下数据也不会被泄露即便是使用USB启动计算机也拿被加密的数据无可奈何。

除了从内部因素考虑企业还应该充分考虑物理因素引发的安全问题而首要的工作就是开展完善的物理安全工作保障存储机密数据的设备和存储介质的物理安全让攻击者难以接近并盗取机密数据。

比如说某企业的机密数据都保存在其数据库、机房等场景那么做足该区域的物理安全工作就很有必要。

二、动态数据:通过任何内部或外部网络移动的数据。

如果数据在设备之间传输时未加密则可能会被拦截、窃取或泄露。

所以动态数据需要经过加密以防止中间人攻击。

所以每当数据通过任何内部或外部网络传输时都应始终对其进行加密。

以下方法常用于对动态数据进行加密。

传输安全协议/SSLTLS/SSL是最常用的动态数据加密。

安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性而SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性以实现客户端和服务器之间的安全通讯。

HTTPSHTTPS是一种通过计算机网络进行安全通信的传输协议经由HTTP进行通信利用SSL/TLS建立全信道加密数据包。

HTTPS使用的主要目的是提供对网站服务器的身份认证同时保护交换数据的隐私与完整性HTTPS协议可以保护用户免受中间人(MitM)攻击和窃听。

IPsecIPsec是为IP网络提供安全性的协议和服务的集合是VPN中常用的一种技术。

由于IP报文本身没有集成任何安全特性IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。

通信双方通过IPsec建立一条IPsec隧道IP数据包通过IPsec隧道进行加密传输有效保证了数据在不安全的网络环境如Internet中传输的安全性。

动态数据保护1、在数据通过网络传输之前先对数据进行加密。

2、如果数据通过连接传输我们应该首先使用加密来保护连接。

例如如果数据在两台主机之间传输我们可以使用VPN先在两台主机之间建立安全连接然后再传输数据。

三、使用中的数据正在通过各种端点接口生成、更新、处理、擦除或查看的数据。

如何保护使用中的数据1、应该尽可能使用加密来加密数据。

2、应该采取适当的安全措施以确保使用中的数据不会被未经授权的用户访问。

图片来源百度

建立最佳安全策略

1、SSL解密部分安全设备可能无法解密和检测SSL/TLS流量这会导致这些加密流量直接游走在整个网络中无法被监视到。

以防火墙为例若客户端与服务器之间使用的是HTTPS那么任何数据都已经变为加密数据防火墙上的相关的安全内容的功能可能都不会生效。

例如反病毒功能主要是依靠识别支持的协议从流量中提取特征在病毒库中进行特征匹配之后进行相关的安全内容的检查以及某些IPS生效的原理也与之类似是靠收集来的巨大的签名特征库去对相关的流量进行审查。

所以若数据被SSL层加密像上述这类安全功能便都形同虚设了。

网络中大约有50%的安全攻击会通过SSL通道进行很多传统的安全设备都将会面临严重的挑战——只有将这些加密流量解析出来才能让安全设备很好的防御SSL解密的重要性不言而喻。

2、密钥管理如果密钥和证书得不到保护企业的机密信息就容易受到攻击。

所以相关负责人必须对企业密钥了如指掌他们不仅需要知道密钥和证书授予访问权限的系统、使用方式或负责人还必须了解网络中使用的密钥和证书、有权访问它们的人员以及其他详细信息。

建议通过集中管理密钥和证书让相关人员可以一览企业密钥的整体情况。

3、证书管理为了确保安全每个连接到互联网的系统都需要至少一个数字证书。

也就是说为公司或业务部门维护PKI通常需要管理员管理数百甚至数千个证书。

每个单独的证书还需注意以下几点包括证书日期、多个证书颁发机构颁发等。

为了保持证书有效性管理员还必须不断检查这些证书为防止系统充斥着各类不需要的证书管理员必须控制谁可以申请和批准证书。

所有这些过程都不可能通过手动操作实现因此企业需要专门的证书管理解决方案。

4、HSM硬件安全模块硬件安全模块HSM是一种可用于对密钥进行安全管理/存储且可提供密码计算操作的硬件设备该模块一般通过扩展或外部设备的形式连接到主设备。

HSM是一个可防篡改和入侵的硬件用来保护存储密钥同时允许授权用户使用系统中充当信任锚的角色。

了解更多