什么是存储加密？

存储加密涉及在将数据传递到存储设备（例如单个硬盘，磁带驱动器或包含它们的库和阵列）时对数据进行加密。将存储级加密与数据库和文件加密一起使用，可以大大弥补丢失数据的风险。与网络加密一样，存储加密是一种相对较钝的工具，通常可以保护每个磁带或磁盘上的所有数据，而不管数据的类型或敏感性如何。

尽管使用存储加密是确保数据在丢失时默认安全的一种好方法，但是采用更细化的方法并可能需要在数据库中单个文件，卷或列的级别进行加密，尤其是在数据与其他用户共享或受特定审核要求。

什么是网络加密？

网络加密可保护通过通信网络传输的数据。SSL标准（浏览器中挂锁符号后面的技术，更恰当地称为TLS）是Internet通信的网络数据保护的默认形式，它通过其熟悉的图标为客户提供安心的状态。许多具有安全意识的公司走了一个台阶，不仅通过网络级加密保护了他们的Internet流量，而且还保护了他们的内部网络，公司骨干网和虚拟专用网（VPN）。

但是，与任何低级安全技术一样，网络级数据加密是一种相当钝的工具。网络几乎完全看不到流过它的数据的价值，并且缺少这种上下文通常会被配置为保护所有内容或什么都不保护。即使采用“保护一切”的方法，潜在的攻击者也可以从网络流量模式中收集有价值的信息。

在网络上传输数据时对其进行加密只是全面的网络数据加密策略的一部分。组织还必须考虑信息的起源-在信息移动之前-在信息的最终目的地。高速行驶时，在停车场或私人车库中偷车要比在高速公路上容易得多！

什么是透明加密？

加密是使用算法将数据编码为密文的过程。如果访问数据的个人或应用程序具有解密密文的工具（加密密钥），则只能使该密文再次有意义。因此，如果数据被盗或意外共享，则由于其不可识别，因此将受到保护。尽管“透明”的含义可能因提供者而异，但Vormetric透明加密管理加密和对加密密钥的访问，以使整个过程对用户“透明”。这意味着，有凭据的数据用户在从存储中检索数据之前甚至都不知道该数据已加密，或者返回存储后再次加密。Vormetric透明加密是Thales eSecurity产品，联系揽阁信息，可以获取到该产品的详细信息和解决方案。

合规

对于几乎所有合规性和数据隐私标准和要求，包括PCI DSS，HIPAA / Hitech，GDPR和许多其他要求，加密都是建议的最佳实践。

什么是端到端加密？

在端到端加密中，默认情况下，数据在其整个生命周期中的任何地方都受到保护。例如，敏感数据在零售商店的销售点（POS）设备中被捕获后即被加密，并在系统和安全域之间移动时保持加密或重新加密。这种始终作为数据对象（文件、文档、记录等）附带的数据“保镖”的加密概念颇具吸引力，但在密钥管理方面引发了有关在不同域之间建立信任关系和互操作性的问题。

什么是点对点加密？

点对点加密（P2PE）是应用程序级加密的一种特殊情况，其中加密是在业务应用程序中有选择地应用的，在这种情况下，是零售销售点（POS）终端。如果正确实施了P2PE流程，并且帐户数据在POS终端等经过批准的安全密码设备（SCD）中进行了加密，而在商户环境中根本没有进行解密，则商户几乎有可能被带走完全超出了PCI DSS的范围。

为了使P2PE能够按预期工作，必须采取严格的控制措施来保护和访问解密密钥。当前指南要求使用具有适当安全等级的硬件安全模块（HSM），以保护对这些密钥的访问。支付链中的收购方和其他参与者已经开始销售利用P2PE来降低其商家合规成本的增值服务。从PCI DSS的角度来看，任何具有解密帐户数据能力的系统都会立即发挥作用，因此，通过保护HSM中的密钥来隔离商家的能力可以为所有相关人员带来重大利益。

什么是应用加密（Application Encryption）？

应用加密是一种数据安全性解决方案，该解决方案在应用程序级别对敏感数据进行加密，因此只有授权方才能读取它。当在此级别进行加密时，数据将在多个（包括磁盘，文件和数据库）层中进行加密。这种应用层加密方法通过减少潜在攻击向量的数量来提高安全性。应用程序加密的另一个优点是，由于它在应用程序层对特定字段进行加密，因此组织可以在将敏感数据存储到数据库，大数据或云环境中之前对其进行保护。

通过Vormetric应用加密（Vormetric Application Encryption）可以有效实现和满足您对于应用加密的的需求。

什么是令牌化（Tokenization）？

令牌化通过替换非敏感数据来保护敏感数据。令牌化会创建一种无法识别的令牌化形式的数据，该形式将维护源数据的格式。例如，标记为（2754-7529-6654-1987）的信用卡号码（1234-5678-1234-5678）看起来与原始号码相似，可用于许多要求以这种格式进行数据操作的操作中而没有风险将其链接到持卡人的个人信息。标记化数据也可以与原始数据相同的大小和格式存储。因此，存储标记化数据不需要更改数据库架构或过程。

数据令牌化使您可以在迁移到云、大数据和外包环境时保持控制和合规性。

如果要存储的数据类型不具有这种结构（例如：文本文件、PDF、MP3等），则令牌化化不是适当的假名化形式。相反，文件系统级别的加密将是适当的。它将原始数据块更改为数据的加密版本。

什么是动态屏蔽（Dynamic Masking）？

动态数据屏蔽是一种通过动态屏蔽部分数据字段来保护数据的技术。例如，安全团队可以建立策略，以便具有客户服务代表凭据的用户将只收到显示最后四位数字的信用卡号，而客户服务主管可以以明码方式访问完整的信用卡号。此功能使带有动态掩码的标记化对PCI DSS合规性特别有用。

什么是静态数据？

当数据收集在一个地方时，称为静态数据。对于黑客来说，静止的数据（数据库、文件系统和存储基础结构中的数据）可能比通过网络的单个数据包更具吸引力。这些环境中的静态数据倾向于具有逻辑结构，有意义的文件名或其他线索，这表明此位置是“金钱”所在的位置，即信用卡，知识产权，个人信息，医疗保健信息，财务信息等等。

当然，即使“静止”的数据也实际上在移动。由于许多操作原因，数据是在虚拟化存储环境中复制和处理的，并且经常“驻留”在便携式介质上。备份磁带被转移到异地存储设施，而笔记本电脑则被带回家或出差，所有这些都增加了风险。无论信息实际上是否受到破坏，组织都不能冒任何机会，而必须采取行动以应对潜在的违规行为，这通常会导致巨大的成本，并在某些情况下会导致强制性的公开披露，从而使公司陷入尴尬和客户不满。

什么是全盘加密（FDE）和什么是自加密驱动器（SED）？

全盘加密（FDE）和自加密驱动器（SED）在将数据写入磁盘时对其进行加密，并在从磁盘读取数据时对其进行解密。FDE对笔记本电脑很有意义，因为笔记本电脑很容易丢失或被盗。但是FDE不适合数据中心和云环境中面临的最常见风险。

全盘加密/自加密驱动器（FDE / SED）的优点包括：

• 部署加密的最简单方法
  

• 对应用程序，数据库和用户透明。

• 高性能，基于硬件的加密

全盘加密/自加密驱动器（FDE / SED）的限制包括：

• 解决一组非常有限的威胁（仅防止物理丢失存储介质）
  

• 缺乏针对高级持续性威胁（APT），恶意内部人员或外部攻击者的防护措施

• 符合最低合规要求

• 不提供详细的访问审核日志

什么是数据中心互连（DCI）第2层加密？

第2层是开放系统互连（OSI）模型指定的数据链路层，该模型标准化了全球电信和计算系统的功能。当在网络的两个点之间传输信息时，第2层加密可确保数据链路级别的信息安全。

未加密的网络数据面临的挑战

• 网络罪犯可以“窃听”通过网络传输的未加密数据。这损害了隐私，并使这些犯罪分子可以修改或替代数据以进行更复杂的攻击。

• 许多行业法规要求对移动中的数据进行保护，因此未实施此保护措施的组织可能会面临罚款，并需要披露数据泄露。

• 取决于应用程序，路由器和交换机中嵌入的加密功能可能无法提供企业所需的安全性和性能的组合。

第2层加密的优点

第2层加密可保护传输中的数据，因此在传输线不安全时很有用。但是，由于消息是在传输路径中的每个主机上解密的，因此第2层加密最适合每个传输主机都安全的系统。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 托管HSM（硬件安全模块）和后量子加密（PQC）的密钥管理

• 借助Thales Sovereign Solutions for AWS确保AI之旅的安全

• 为后量子时代打造面向未来的加密策略：来自CNSA 2.0和FIPS 140-3的见解

• 什么是 SafeNet Luna Network HSM 7 和 Thales Luna Network HSM 7？

• 被勒索软件攻击后，如何调查和恢复