数据加密综合指南

随着企业越来越依赖技术来促进日常运营，严格的安全控制对于保护敏感或机密数据免遭未经授权的访问至关重要。

未经授权访问数据可能会损害客户隐私并使公司面临重大财务风险。

为了解决这个问题，对不同类型的数据进行加密至关重要。

在本文中，我们将探讨：

• 什么是数据加密和散列
• 静态数据、动态数据和使用中数据之间的差异。
• 保护每种数据类型的最佳实践。

什么是数据加密？

数据加密是使用加密算法将数据转换为不可读代码的过程，以便任何人都无法在未经许可的情况下访问它。

加密算法利用随机生成的秘密密钥来加密数据，只有使用单个相应的解密密钥才能解密并恢复为可读信息。

公司、政府和个人使用加密来保护存储在其计算系统中的数据以及进出其组织的信息。

由于欧盟为美国和欧盟成员国之间交易的数据建立了新的合规标准，最后一个问题对于跨国企业来说尤其重要。

现代加密算法之所以如此强大和安全，是因为它们可以使用大量组合来创建需要数百年才能解密的唯一值。

什么是哈希值？

哈希值或哈希码是通过哈希函数或算法生成的唯一字符串。

哈希函数或哈希算法接收数据输入，并返回固定大小的字节串，这些字节串以数字和字母序列的形式出现。例如，将密码“Password!123”转换为“e1j32GwX45”。

它们被设计为单向操作，这意味着它们不能被逆转为其原始输入，这对于安全至关重要。

网络安全中的散列有多种用途：

• 密码存储——安全系统不存储实际密码，而是创建密码值，使密码无法被破解。
• 数字签名——签名消息经过散列处理，并由私钥签名，然后发送给唯一能够看到签名的收件人。
• 数据完整性验证——通过生成一段数据的哈希值并将其与同一数据的先前哈希值进行比较，我们可以知道它是否被更改。

散列和加密都是网络安全中使用的关键技术，但它们的用途不同。散列在数据完整性检查、密码安全和数字取证中起着至关重要的作用，而加密则保护传输中和静止数据的机密性。

数据的三种状态是什么？

数字数据的类型和用途多种多样。然而，所有数据都可以分为三种不同的状态：

• 静态数据
• 动态数据
• 正在使用的数据

这些状态代表数据在系统中的位置以及在给定时刻如何使用它。

重要的是要知道数据可以快速改变其状态，并且深入了解每个状态对于为每个状态选择正确的加密策略非常重要。

我们来分析一下每个数据状态。

什么是静态数据？

静态数据是指未在设备或网络之间主动传输，也未进行任何使用的数据。这类数据通常存储在硬盘、个人电脑或数据库中。

由于它通常保存在冷藏库或受保护的服务器中，因此被黑客入侵或被未经授权的人员访问的可能性很小。

然而，由于大多数关键数据处于静止状态，因此对于想要伤害您的黑客来说，它是最有价值的数据类型。

静态数据可以是保存在数据库中的信息，也可以是保存在硬盘、计算机或便携式设备上的数据。

什么是动态数据？

移动数据或传输中的数据是指从一个点移动到另一个点的信息，包括电子邮件、即时消息、协作工具或任何其他通信渠道。

由于其传输的性质，这种类型的数据容易受到拦截攻击，这是数据被盗最常见的方式。

这使得动态数据成为最脆弱的数据类型之一，必须采用最复杂的加密算法进行保护。

什么是正在使用的数据？

使用中数据是指用户或其他软件正在主动访问和处理的数据。

数据在这个阶段最容易受到攻击，无论是被读取、处理还是更新，因为个人可以立即获取数据，从而容易受到攻击或人为错误，所有这些都可能造成严重后果。

虽然每个软件都有自己的加密方法，但保护此类数据免受任何未经授权的访问至关重要。

如何保护动态数据、静态数据和使用中的数据

保护您的数据非常重要，需要为每种数据类型设置正确的隐私系统。

所有数据类型都涉及不同的风险。例如，使用中和传输中的数据比静态数据的风险要大得多。

了解如何保护每种数据类型是关键。

在我们介绍保护三种形式数据的具体策略之前，您应该记住两件事。

首先，被动的数据保护是无效的。一旦公司的数据受到损害，重点就会从保护转向风险管理和损害控制。

您不应该采取追赶措施，而应该评估哪些数据处于危险之中，并实施主动保护方法来防止攻击的发生。

其次，智能分类对于智能防护至关重要。如果公司能够对所有数据进行分类，并了解其在各个阶段的风险状况，那么他们就更有可能采用最有效的安全方法。

您可以采取以下措施来保护您正在处理的每种数据类型。

动态数据的最佳实践

• 创建坚实的基础——防火墙和身份验证是防御恶意攻击和企图入侵的基本但强大的网络安全技术。
• 实施自动化策略和控制——如今的数据安全解决方案包含自动化规则，可以阻止危险文件，在文件存在危险时向用户发出警告，并自动加密传输中的数据。这有助于企业安全地管理日益增多的电子邮件附件、便携式磁盘和信息传输。
• 实施电子邮件加密——加密电子邮件可确保其内容安全，且所有附件均已加密。加密可用于辅助电子邮件传递、目录同步和电子邮件归档的安全性和分类。
• 使用 DLP 解决方案— 数据丢失防护 (DLP) 解决方案可帮助企业防止 IP、客户数据和其他敏感信息的丢失。DLP 通过基于关键字、文件哈希值和字典的可配置规则来监控所有电子邮件，以发现潜在的泄漏。然后，可以根据组织的规定，禁止或通过安全的消息网关发送可疑电子邮件。为了辅助此系统，您需要实施适当的数据丢失防护策略。

使用中数据的最佳实践

• 使用前实施数据控制——在任何人访问信息之前，都应实施数据使用安全措施。敏感文档被黑客入侵后，黑客如何处理这些数据将无法监管。
• 加强身份管理力度——身份盗窃案件日益增多，尤其是在人们比以往任何时候都更频繁地在网上分享个人信息的情况下。身份管理系统可以帮助组织在授权访问任何文件之前，确保用户的身份与其声称的身份相符，从而降低欺诈风险。
• 管理访问权限——使用数字版权保护、信息权限管理(IRM) 或其他方式，您应该部署安全解决方案来限制用户对其访问的数据的操作。

静态数据的最佳实践

• 使用完整的磁盘加密确保安全——丢失的笔记本电脑或平板电脑可能只值几百美元，但如果落入不法之徒之手，其硬盘上的数据可能价值不菲。由于完整的磁盘加密，恶意用户在没有正确登录的情况下无法访问丢失驱动器上的数据。
• 实施 DLP — 除了保护传输中的数据之外，DLP 解决方案还使组织能够搜索和发现其网络上的敏感材料，以及禁止某些个人访问。
• 将损失预防扩展到云端——云访问安全代理 (CASB)允许企业将DLP 策略应用于云中存储和共享的数据。这可以在后端系统和协作平台（例如 Slack 和 Microsoft 365）中看到。CASB 的工作方式与 DLP 类似，但其策略和功能是针对云量身定制的。
• 保护移动设备——手机和平板电脑在现代工作场所中十分常见，而移动设备管理 (MDM) 是管理这些设备上存储数据的一种常用方法。MDM 技术可以限制对企业应用程序的数据访问，禁止落入不当之手的设备，并对设备中包含的所有数据进行加密，使除授权用户以外的任何人都无法解密。

要点总结

• 数据加密使用加密算法和密钥将可读信息转换为安全的编码内容，以防止未经授权的访问，无论数据存储还是传输。
• 哈希算法会生成固定大小、不可逆的值，用于密码、数字签名和数据完整性检查。与加密不同，哈希算法无法逆向计算以显示原始数据。
• 加密和散列具有不同的安全作用——加密保护机密性，而散列确保真实性和完整性，尤其是在网络安全和取证领域。
• 数字数据存在于三种状态——静止、移动和使用中，每种状态都存在不同的安全风险，需要定制加密和保护策略。
• 静态数据存储在物理系统或云系统中，虽然暴露风险较低，但由于其价值高，常成为网络犯罪分子的目标。全盘加密和数据丢失防护工具有助于降低此类风险。
• 动态数据包括任何通过网络传输的数据，因此极易被拦截。电子邮件加密、安全文件传输和 DLP 工具对于保护动态数据至关重要。
• 使用中的数据正在被用户或软件主动处理，并可能面临内部威胁或意外泄露。这需要强大的访问控制、身份验证和权限管理。
• 主动保护比被动安全更有效，组织必须根据风险对数据进行分类，并在发生违规之前相应地应用加密。
• 最佳实践包括构建分层防御，如防火墙、自动加密策略、移动设备管理、云环境的 CASB 以及跨所有系统的安全监控。

常问问题

哪些数据应该加密？

许多类型的数据应始终加密，以确保防止未经授权的访问。这包括个人身份信息、财务记录、客户信息、机密业务数据以及任何其他可能导致隐私泄露或法律影响的信息。加密应应用于所有这三种数据状态，以提供最大程度的保护。

什么时候应该加密数据？

数据在存储或传输时应加密，以防止未经授权的访问或拦截。只有在主动使用时才能解密，并在使用后立即重新加密，以保证安全。

有哪些类型的数据加密？

数据加密有三种类型：对称加密（使用一个密钥进行加密和解密）、非对称加密（使用公私密钥对）和散列加密（一种单向方法，会创建不可逆的值以用于数据验证和完整性）。每种加密方式在保护敏感信息方面都发挥着不同的作用。

哪种加密最安全？

目前，AES 256 位加密是目前最安全的加密标准。它使用 256 位密钥长度，广泛应用于对称加密，是一种高度安全可靠的数据保护方案。AES 256 是 AES 128 位加密标准的演进版本，该标准过去从未被破解过，即使破解也需要数百年时间。这意味着，AES 256 更加先进，能够确保任何数据的安全，且不会出现任何可靠的破解方法。

数据加密昂贵吗？

数据加密的成本取决于加密方法、实施规模以及数据和密钥管理所需的资源。加密带来的好处远远大于数据泄露的潜在风险以及数据未加密所带来的法律风险。

加密数据会被黑客入侵吗？

理论上是的。任何数据加密都可能被黑客入侵，但破解需要大量的时间和计算能力。加密技术可以大大降低黑客入侵的几率，几乎为零。然而，没有任何安全措施是坚不可摧的，而且黑客技术也越来越先进，因此使用最新的加密方法来防止黑客入侵至关重要。

数据加密和散列有什么区别？

加密是一个双向过程，数据被编码后可以使用密钥解密。哈希算法是一个单向过程，它将数据转换为不可逆的固定大小值，通常用于验证数据完整性和安全存储密码。

如果加密数据被盗会发生什么？

如果强加密措施得当，且解密密钥未被泄露，被盗数据将无法读取，对攻击者来说几乎毫无用处。然而，密钥被盗或弱加密仍然可能导致数据泄露。

哪些行业有法律义务加密数据？

根据《健康保险隐私及责任法》(HIPAA)、《支付卡行业数据安全标准》(PCI-DSS)、《通用数据保护条例》(GDPR) 和《金融服务法》(GLBA) 等法律规定，许多受监管行业（包括医疗保健、金融、政府和教育）必须加密敏感的个人和财务数据。不遵守规定可能会导致罚款、法律诉讼和声誉损害。

About the Author

Bojana Krstic

Bojana Krstic is the Head of Content and SEO at Jatheon and an experienced writer on topics like data archiving, ediscovery, and compliance. When AFK, you’ll find her hiking, discovering new music, or road-tripping.