x

【数据加密】什么是数据加密

Chinese, Simplified
SEO Title
imperva - Data Encryption

什么是数据加密

数据加密是一种将数据从可读格式(明文)转换为不可读编码格式(密文)的方法。加密数据只有在使用解密密钥或密码进行解密后才能读取或处理。只有数据的发送方和接收方才能访问解密密钥。

在部署加密解决方案时,您应该意识到加密很容易受到来自以下几个方向的攻击:

  • 使用计算机程序破解某些加密算法并访问加密内容是可能的,尽管更强的加密需要大量的计算资源才能破解。
  • 传输中的加密数据可能存在漏洞。授权设备可能会被恶意软件感染,当数据在网络中传播时,恶意软件会“嗅探”数据或“窃听”数据。
  • 闲置的加密数据可能会被存储设备上的恶意软件或未经授权的用户泄露,这些用户可以访问用户密码或密钥。

尽管如此,数据加密可以阻止黑客访问敏感信息,并且对大多数安全策略至关重要。但是,您的安全策略不应该仅仅依赖于加密。

DES和其他流行的加密算法

数据加密标准(DES)是一种现已过时的对称加密算法——您可以使用相同的密钥来加密和解密消息。DES使用56位加密密钥(从完整的64位密钥中剥离出8个奇偶校验位),并以64位的块对数据进行加密。这些尺寸通常不足以满足今天的使用。因此,其他加密算法已经成功地实现了DES:

  • Triple DES——曾经是标准的对称算法。三重DES采用三个单独的密钥,每个密钥有56位。总密钥长度加起来有168位,但根据大多数专家的说法,其有效密钥强度只有112位。
  • RSA——一种流行的公钥(非对称)加密算法。它使用一对密钥:用于加密消息的公钥和用于解密消息的私钥。
  • Blowfish——一种对称密码,将消息分成64位的块,并一次加密一个。Blowfish是一种遗留算法,它仍然有效,但Twofish已经成功了。
  • Twofish——一种对称密码,利用长度高达256位的密钥。Twofish用于许多软件和硬件环境。它是快速的,免费提供和非专利的。
  • 高级加密标准(AES)——该算法是目前美国政府和其他组织接受的标准。它在128位形式下工作良好,然而,AES可以使用192和256位的密钥。AES被认为可以抵抗除暴力之外的所有攻击。
  • 椭圆曲线密码(ECC)——该算法是SSL/TLS协议的一部分,用于加密网站与其访问者之间的通信。它通过更短的密钥长度提供更好的安全性;256位ECC密钥提供与3072位RSA密钥相同级别的安全性。

静止数据与数据库加密

静止数据是指不在网络或设备之间传输的数据。它包括笔记本电脑、硬盘、闪存驱动器或数据库上的数据。静止数据对攻击者很有吸引力,因为它通常具有有意义的文件名和逻辑结构,可以指向个人信息、信用卡、知识产权、医疗保健信息等。

如果您的公司没有正确处理其数据资产,可能会给自己和客户带来安全风险。始终假设攻击者可以在休息时访问数据。最大限度地减少休息时的数据量,保留所有剩余数据的清单并对其进行保护,是防止数据泄露的关键。

数据库加密

在大多数现代应用程序中,数据由用户输入,由应用程序处理,然后存储到数据库中。在较低级别上,数据库由操作系统管理的文件组成,这些文件存储在物理存储器(如闪存驱动器)上。

加密可以在四个级别执行:

  • 应用程序级加密——数据在写入数据库之前,由修改或生成数据的应用程序进行加密。这使得可以根据用户角色和权限为每个用户自定义加密过程。
  • 数据库加密——可以对整个数据库或其中的一部分进行加密,以确保数据的安全。加密密钥由数据库系统存储和管理。
  • 文件系统级加密--允许计算机用户加密目录和单个文件。文件级加密使用软件代理,软件代理中断对磁盘的读写调用,并使用策略查看数据是否需要解密或加密。与全磁盘加密一样,它可以对数据库以及存储在文件夹中的任何其他数据进行加密。
  • 全磁盘加密--自动将硬盘上的数据转换为没有密钥就无法解密的形式。存储在硬盘驱动器上的数据库与任何其他数据一起被加密。

data-encryption

四级数据加密

加密技术

  • 列级加密--对数据库中的各个数据列进行加密。每个列都有一个单独且唯一的加密密钥,可提高灵活性和安全性。
  • 透明数据加密--加密整个数据库,有效地保护静止的数据。加密对使用数据库的应用程序是透明的。数据库的备份也经过加密,以防止备份介质被盗或被破坏时数据丢失。
  • 字段级加密--加密特定数据字段中的数据。创建者可以标记敏感字段,以便对用户在这些字段中输入的数据进行加密。这些可以包括社会保险号码、信用卡号码和银行账号。
  • 哈希——将字符串更改为与原始字符串相似的更短的固定长度键或值。哈希通常用于密码系统。当用户最初定义密码时,它会存储为哈希。当用户重新登录到网站时,他们使用的密码会与唯一的哈希进行比较,以确定其是否正确。
  • 对称密钥加密——将私钥应用于数据,对其进行更改,使其在未解密的情况下无法读取。如果用户或应用程序提供密钥,数据在保存时会被加密,在检索时会被解密。对称加密被认为不如非对称加密,因为需要将密钥从发送方传输到接收方。
  • 非对称加密--包含两个加密密钥:私钥和公钥。公钥可以由任何人检索,并且对一个用户是唯一的。私钥是一种只有一个用户知道的隐藏密钥。在大多数情况下,公钥是加密密钥,私钥是解密密钥。

数据库加密的缺点

数据库加密可能会导致性能下降,尤其是在使用列级加密时。因此,组织可能不愿意使用数据加密或将其应用于所有闲置数据。

许多RDBMS系统提供内置的加密和密钥管理设施。因此,如果数据中心只使用一个供应商的数据库,则数据库加密更容易执行。如果管理来自多个供应商的数据库,密钥管理可能会成为一个问题,密钥管理的失误可能会导致安全漏洞。

另外一个风险是意外数据丢失。如果使用强密码对数据进行加密,并且密钥丢失,则无法检索数据。钥匙的意外丢失或管理不善可能会带来灾难性的后果。

Imperva如何帮助保护您的数据

  • Imperva的数据安全解决方案为您的数据添加了多层保护,补充了数据加密策略。
  • Imperva保护数据存储以确保合规性,并保留您从云投资中获得的灵活性和成本效益:
  • 云数据安全–简化云数据库的安全保护,以赶上并跟上DevOps。Imperva的解决方案使云管理服务用户能够快速获得云数据的可见性和控制权。
  • 数据库安全性–Imperva在您的数据资产、内部部署和云中提供分析、保护和响应,为您提供风险可见性,以防止数据泄露并避免合规事件。与任何数据库集成以获得即时可见性、实施通用策略并加快实现价值的速度。
  • 数据风险分析--自动检测企业范围内所有数据库中的不合规、有风险或恶意数据访问行为,以加快补救。
原文地址
https://www.imperva.com/learn/data-security/data-encryption/
本文地址
https://architect.pub

Tags

Article

微信

知识星球

微信公众号

视频号