数据加密是一种计算过程,它将明文/明文(未经加密、人类可读的数据)编码为密文(加密数据),只有拥有正确密码密钥的授权用户才能访问。简而言之,加密就是将可读数据转换成只有拥有正确密码的人才能解码和查看的其他形式,是数字化转型的重要组成部分。
无论您的企业是生产、汇总还是消费数据,加密都是一项关键的数据隐私保护策略,可防止敏感信息落入未经授权的用户手中。本页提供了有关加密及其工作原理的高级视图。加密使用密码(加密算法)和加密密钥将数据编码成密文。密文传输到接收方后,使用密钥(对称加密使用相同的密钥;非对称加密使用不同的相关值)将密文解码回原始值。加密密钥的工作原理与物理密钥类似,这意味着只有拥有正确密钥的用户才能 "解锁 "或解密加密数据。
加密与标记化
加密和 标记化是相关的数据保护技术;它们之间的区别已经发生了变化。
在通常的用法中,标记化通常是指格式保留数据保护:用标记--一个看起来相似但不同的值--来替代单个敏感值的数据保护。加密通常是指将数据(一个或多个值,或整个数据集)转换成看起来与原始数据截然不同的乱码的数据保护。
令牌化可以基于各种技术。有些版本使用格式保护加密,如 NIST FF1 模式 AES;有些版本生成随机值,将原始数据和匹配令牌存储在安全令牌库中;还有一些版本从预先生成的随机数据集中生成令牌。根据上述加密定义,任何形式的令牌化显然都是一种加密形式;区别在于令牌化的格式保存属性。
加密在保护通过互联网传输或存储在计算机系统中的敏感数据方面发挥着至关重要的作用。它不仅能使数据保密,还能验证数据的来源,确保数据在发送后没有改变,并防止发送者否认他们发送了加密信息(也称为不可抵赖性)。
除了提供强大的数据隐私保护外,加密通常也是维护多个组织或标准机构制定的合规法规所必需的。例如,联邦信息处理标准(FIPS)是美国政府机构或承包商根据《2014 年联邦信息安全现代化法案》(FISMA 2014)必须遵守的一套数据安全标准。在这些标准中,FIPS 140-2要求加密模块的安全设计和实施。
另一个例子是支付卡行业数据安全标准(PCI DSS)。该标准要求商家在存储客户卡数据以及在公共网络上传输时对其进行加密。许多企业必须遵守的其他重要法规包括《通用数据保护条例》(GDPR)和《2018 年加州消费者隐私法案》(CCPA)。
加密主要有两种:对称加密和非对称加密。
对称加密
对称加密算法在加密和解密时使用相同的密钥。这意味着加密数据的发送方或计算机系统必须与所有授权方共享密钥,以便他们能够解密。对称加密通常用于加密大量数据,因为它通常比非对称加密更快、更容易实现。
高级加密标准 (AES) 是最广泛使用的对称加密密码之一,2001 年由美国国家标准与技术研究院 (NIST)定义为美国政府标准。AES 支持三种不同的密钥长度,它们决定了可能的密钥数量:128、192 或 256 位。破解任何 AES 密钥长度都需要很高的计算能力,这在目前是不现实的,以后也不太可能实现。AES 在全球得到广泛应用,包括美国国家安全局(NSA)等政府机构。
非对称加密
非对称加密也称公钥加密,使用两个不同但在数学上相互关联的密钥--公钥和私钥。通常情况下,公开密钥是公开共享的,任何人都可以使用,而私人密钥是安全的,只有密钥所有者才能访问。有时,数据要加密两次:一次使用发送者的私人密钥,另一次使用接收者的公开密钥,从而确保只有预定的接收者才能解密,并确保发送者就是他们声称的那个人。因此,非对称加密在某些使用情况下更为灵活,因为公开密钥可以很容易地共享;但是,它比对称加密需要更多的计算资源,而且这些资源会随着受保护数据的长度而增加。
因此,混合方法很常见:生成对称加密密钥并用于保护数据量。然后使用接收者的公开密钥对该对称密钥进行加密,并将其与对称加密的有效载荷打包在一起。接收者使用非对称加密解密相对较短的密钥,然后使用对称加密解密实际数据。
RSA 是最广泛使用的非对称加密算法之一,它以 1977 年发明者罗恩-里维斯特、阿迪-沙米尔和伦纳德-阿德尔曼的名字命名。RSA 至今仍是使用最广泛的非对称加密算法之一。与当前所有非对称加密算法一样,RSA 密码依赖于质因式分解,即把两个大质数相乘,产生一个更大的数。如果使用正确的密钥长度,破解 RSA 是非常困难的,因为必须从相乘的结果中确定两个原始质数,而这在数学上是很困难的。
与许多其他网络安全策略一样,现代加密技术也可能存在漏洞。现代加密密钥足够长,因此暴力攻击--尝试所有可能的密钥直到找到正确的密钥--是不切实际的。128 位密钥有 2128 个可能值:1,000 亿台计算机每秒测试 100 亿次运算,要尝试所有这些密钥需要超过 10 亿年的时间。
现代加密漏洞通常表现为加密强度的轻微减弱。例如,在某些条件下,128 位密钥的强度只有 118 位密钥的强度。虽然发现这些弱点的研究对于确保加密强度非常重要,但在实际使用中却并不重要,因为这往往需要不切实际的假设,例如对服务器不受限制的物理访问。因此,对现代强加密的成功攻击主要集中在未经授权访问密钥上。
数据加密是稳健的网络安全战略的关键要素,尤其是在越来越多的企业转向云计算并不熟悉云安全最佳实践的情况下。
OpenText™ Data DiscoveryCyberRes、保护和合规性解决方案使企业能够加速云计算、实现 IT 现代化,并通过全面的数据加密软件满足数据隐私合规性的要求。CyberResVoltage 组合解决方案使企业能够发现、分析和分类各种类型的数据,从而实现数据保护和降低风险的自动化。Voltage SecureData 提供以数据为中心的持久性结构化数据安全,而Voltage SmartCipher 则简化了非结构化数据安全,并提供跨多个平台的文件使用和处置的完全可见性和控制。
电子邮件加密
电子邮件在企业的通信和日常业务中一直发挥着重要作用,同时也是企业防御系统中的一个关键漏洞。通过电子邮件传输的敏感数据往往容易受到攻击和无意中泄露。电子邮件加密是解决这些漏洞的重要防御手段。
在 医疗保健和 金融服务等高度受监管的环境中 ,合规是强制性的,但公司却很难执行。电子邮件尤其如此,因为最终用户强烈抵制对其标准电子邮件工作流程进行任何更改。SecureMail 可在所有平台(包括电脑、平板电脑和本地移动平台支持)上提供简单的用户体验,并具备安全发送、发起、阅读和共享邮件的全部功能。例如,在 Outlook、iOS、Android 和黑莓系统中,发件人可以访问现有联系人,只需点击 "安全发送 "按钮即可发送加密电子邮件。收件人会在其现有收件箱中收到安全信息,就像收到明文电子邮件一样
加密大数据、数据仓库和云分析
释放大数据安全的威力,利用持续数据保护实现隐私合规,并在云端和企业内部实现大规模安全分析。企业正越来越多地将其工作负载和敏感数据转移到云中,将其 IT 环境转变为混合云或多云环境。根据MarketsandMarkets发布的市场研究报告,云分析市场规模将从2020年的232亿美元增长到2025年的654亿美元。
OpenText™ Data Discovery云计算、保护和合规性解决方案通过确保云迁移中敏感数据的安全,帮助客户降低采用云计算的风险,并安全地实现用户访问和数据共享以进行分析。加密和标记化技术通过发现和保护云仓库和应用中静态、动态和使用中的受监管数据,帮助客户遵守隐私要求。这些解决方案还通过以数据为中心的保护集中控制,确保敏感数据在多云环境中流动时的安全,从而最大限度地降低多云的复杂性。
与Snowflake、Amazon Redshift、Google BigQuery 和 Azure Synapse 等云数据仓库 (CDW) 集成,使客户能够在云中使用格式保存的标记化数据进行大规模安全分析和数据科学,从而降低业务敏感信息泄露的风险,同时遵守隐私法规。
PCI 安全合规性和支付安全
企业、商家和支付处理商在确保其网络和高价值敏感数据(如支付卡持卡人数据)安全以遵守支付卡行业数据安全标准(PCI DSS)和数据隐私法方面面临着严峻而持续的挑战。利用我们的格式保留加密和令牌化功能,简化零售点、网络和移动电子商务网站的 PCI 安全合规性和支付安全性。
Voltage 安全无状态令牌化(SST)是一种先进的、已获专利的数据安全解决方案,为企业、商家和支付处理商提供了一种新的方法,有助于确保支付卡数据得到保护。SST是SecureData企业数据安全平台的一部分,该平台将市场领先的格式保存加密(FPE)、SST、数据屏蔽和无状态密钥管理整合在一个单一的综合解决方案中,以保护敏感的企业信息。
保护 POS 支付数据
在刷卡、插卡、点击或手动输入时对 零售点信用卡数据进行加密或 标记。
SST 支付技术
我们的Voltage 安全无状态令牌化(SST)可在受保护状态下使用和分析支付数据。
保护网络浏览器数据
OpenText™ Voltage™ SecureData在浏览器中输入支付数据时对其进行加密或标记,从而减少 PCI 审计范围。
PCI 移动安全
Voltage SecureData适用于在整个支付流程中从移动终端获取的数据。
保护高价值数据,同时保持其在混合 IT 中的可用性
在结构化数据的生命周期内对其进行管理,降低应用基础设施的总体拥有成本
针对 Windows 的静态数据加密技术
了解并保护数据,以降低风险、支持合规性并管理数据访问