加密是一种对数据进行加扰的方法,这样除了授权方之外,任何人都无法读取数据。加密过程使用加密密钥将明文转换为密文。加密密钥是发送者和接收者已知并同意的一组数值。
任何拥有正确密钥的人都可以解密或翻译加密数据。这就是为什么密码学专家不断开发更复杂的密钥的原因。更安全的加密会使用足够复杂的密钥,黑客将会发现,彻底解密(也称为“暴力破解”)的过程在功能上是不可能的。
数据可以在“静止时”(存储中)或“传输时”(传输中)进行加密。加密有两大类:对称加密和非对称加密。
隐私性 : 只有数据的所有者和接收者才能读取数据,从而防止攻击者、互联网服务提供商甚至政府拦截敏感数据。
安全性 : 加密有助于防止数据泄露;如果公司设备丢失或被盗,但其内容已加密,则数据仍然是安全的。
数据完整性 : 加密还可以防止诸如路径攻击(在传输中拦截信息)之类的恶意行为,因为加密的数据在传输过程中无法被查看或篡改。
法规 : 许多行业和政府法规要求公司对用户数据进行加密,如 HIPAA、PCI-DSS 和 GDPR。美国政府机构和承包商必须使用 FIPS(联邦信息处理标准)。
加密算法是指如何将数据转换为密文。算法使用加密密钥来一致地更改数据,这样即使数据看起来是随机的,解密密钥也可以很容易地将其转换回明文。常见的加密算法包括 AES、3-DES、SNOW(均为对称)、椭圆曲线密码术和 RSA(均为非对称)。
与所有非对称加密一样,RSA 使用素数分解(将两个非常大的素数相乘)。破解它非常困难,因为必须确定原始素数,这在数学上很费力。暴力破解 RSA 密钥几乎是不可能的。
当一台计算机试图破解密码或解密密钥时,被称为暴力破解攻击。现代计算机可以非常迅速地完成这些可能的排列。现代加密需要能够抵御这种攻击。密码学领域是一场持续不断的军备竞赛,既有开发更快破解加密方法的,也有开发更复杂加密方法的。
云存储加密 : 数据或文本通过加密算法进行转换,然后放入云存储。与内部加密类似,只是客户需要弄清楚提供商的不同加密级别如何在安全性/数据敏感性方面与他们的需求相匹配。
可拒绝加密 : 使用多种可能的加密手段进行加密,如果数据可能或预期会在传输中被拦截,则用于误报目的。
FDE(全磁盘加密): 硬件级加密。硬盘上的数据会自动加密,如果没有正确的身份验证密钥,任何人都无法辨认。没有钥匙将无法使用电脑中的硬盘。
BYOE(自带加密): 云计算安全模型允许客户在云托管应用程序的同时显示他们自己加密软件的虚拟实例。也称为 BYOK。
EaaS(加密即服务): 为无法管理自己加密的云客户提供的订阅服务。包括 FDE、数据库加密或文件加密。
E2EE(端到端加密): 保护传输中的数据。WhatsApp 等消息由客户端软件加密,传递到网络客户端,然后由接收者解密。
字段级加密 : 加密的特定网页字段中的数据(例如,SSN、信用卡号、健康相关/财务数据)。所选字段中的所有数据都将自动加密。
列级加密 : 同一列中的所有单元格都有相同的访问和读/写密码。
链路级加密 : 当数据离开主机时对其进行加密,在下一个链路上解密,然后在再次发送时对其重新加密。无需每个环节都是相同的密钥/算法。
网络级加密 : 网络传输级别的加密服务是通过互联网协议安全 (IPSec) 实现的,它为 IP 网络上的通信创建了一个专用框架。
同态加密 : 将数据转换为密码文本,仍然允许进行分析和工作,就好像它没有被加密一样。适用于可以在不破坏加密的情况下完成的数学运算。
HTTPS: 允许通过 TLS 协议运行 HTTP 进行网站加密。对于要加密其发送的内容的 web 服务器,必须安装公钥。
量子密码学: 采用量子力学来保护数据。如果不更改这些属性(位置和动量)的值,则无法测量量子编码的数据。任何复制或访问数据的尝试也会更改数据,提醒授权方发生攻击。
网络安全战略需要纳入数据加密,尤其是越来越多的企业采用云计算。加密可以通过多种方式支持公司运营。
电子邮件加密: 由于电子邮件是组织范围内沟通和业务运营的基础,不良行为者会将其作为攻击或无意披露的目标。金融服务或医疗保健等行业受到高度监管,但执法可能很困难,尤其是在电子邮件方面,最终用户往往拒绝更改标准操作程序。可以使用加密软件来增强操作系统和常见的电子邮件客户端,这样发送加密的电子邮件就像发送未加密的电子邮件一样容易。
大数据: 用于隐私合规性的持续数据保护、安全的云分析、加密以及用于云传输的标记化技术,加密可以通过集中以数据为中心的保护来简化多云操作。每当敏感数据穿越多云环境时,都会通过这些技术进行加密。
支付安全性: 商户、支付处理商和企业都面临着保护高价值敏感数据(如支付持卡人数据)的巨大挑战,以使其能够遵守 PCI DSS(支付卡行业数据安全标准)和数据隐私法。但加密软件可以保护零售 POS、网络和移动电子商务交易。
除了加密提供的上述服务和保护外,它还提供机密性(对消息内容进行编码)、身份验证(验证消息的来源)、不可否认性(防止可信地拒绝加密消息的发送)和完整性(证明消息内容不受影响)。
加密的目的是将未经授权的实体锁定在无法理解错误获取的数据之外。但在某些情况下,它也可以锁定数据所有者。对于企业来说,密钥管理很棘手,因为它们需要存放在某个位置,而攻击者往往善于寻找密钥。密钥管理增加了备份和恢复的复杂性,因为在发生灾难时,密钥检索和添加到备份服务器都很耗时。管理员必须制定密钥管理系统保护计划,例如在发生大规模灾难时易于检索的单独备份。
存在简化密钥管理的软件,例如密钥封装。这会对组织的加密密钥进行单独或批量加密。它们可以在需要时打开,通常使用对称加密。
虽然暴力破解攻击对高位密钥可能无效,但确实存在漏洞。许多尝试都集中在通过社会工程方法获得未经授权的密钥访问。也就是说,攻击的不是系统,而是维持系统并与之互动的人类。网络钓鱼、恶意软件、BadUSB 攻击:有很多方法可以让黑客利用人类易犯的错误来规避为保护网络免受外部攻击而采取的安全措施。
基于软件的加密 基于软件的加密也被认为不如基于硬件的加密安全。基于软件的加密被一些人称为“可移动加密”,因为它可能会被进行物理攻击的不良行为者规避。 基于硬件的加密 通常被认为更安全,因为它包括防止篡改的物理防御。
#KingstonIsWithYou #KingstonIronKey
规划合适的解决方案时需要了解项目的安全目标。让金士顿专家为您提供指导。
基于硬件(而非软件)的密码保护是保护文件和硬盘的最佳方式。
即便成本有所降低,医疗数据泄露现象仍屡禁不止
考虑用于数据保护的 USB 安全功能清单。
3-2-1数据备份法是什么,以及为什么它是您防御勒索软件的最佳手段。
David Clarke 谈加密、超级用户保护、漏洞管理和培训。
了解 Kingston IronKey 的解决方案如何帮助 EgoMind 提升其数据安全防护能力。
我们讨论了 NIS2 和 DORA,以及组织如何将合规转化为机遇。
我们讨论了组织在存储和加密敏感数据方面的转变。
