曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        12個企業加密密鑰管理最佳實踐
        發布時間:2020-06-05 09:46:08   閱讀次數:

        1-200605095003609.png

        從集中化到自動化,這是給您的十二步指南,可以更加主動地使用企業的加密密鑰管理

        “保護存儲在我們服務器上的數據的第一件事是什么?” 如果您向涉及數據安全性的任何人提出這個問題,那么所有人都會說一個單詞:“加密”。那是因為這可能是任何收集敏感數據的人都可以保護它的唯一方法。 


        由于備受矚目的數據丟失和法規遵從標準,各種身材的企業中加密的使用正在上升。單個企業可以在許多不同的級別和渠道上部署加密,包括保護網站,電子郵件通信,用戶和組織數據等的安全。因此,這意味著中型到大型企業可能正在處理潛在的數千個加密密鑰。在任何給定時間。


        坦白說,任何人(甚至一個團隊)都需要處理很多工作。每個密鑰的安全性很重要,這就是為什么必須要有適當的企業加密密鑰管理策略的原因。


        在本文中,我們將討論不同的行業加密密鑰管理標準。之后,我們將介紹在您的組織內管理加密密鑰的11種最佳實踐。


        讓我們對其進行哈希處理。


        為什么強加密密鑰管理很重要?

        1-200605095106400.png

        如您所知,加密是對數據進行加擾的過程,以便只有預期的參與方/組織才能訪問它。通過使用稱為加密密鑰或加密密鑰的安全工具來完成此過程。每個密鑰包含一個隨機生成的比特串,用于加密(和/或解密)數據。因此,如果您將加密視為鎖定數據,則加密密鑰是該過程不可或缺的一部分。


        美國國家標準技術研究院(NIST)在其特別出版物800-57第1部分(修訂版)中給出了最好的評價。

        加密密鑰在加密操作中起著重要的作用。這些鑰匙類似于保險箱的組合。如果對手知道某個保險柜組合,則最強的保險柜不會提供防穿透的安全保護。加密密鑰的正確管理對于有效使用加密技術以確保安全至關重要。密鑰管理不善可能會輕易損害強大的算法。


        如果您的加密密鑰遭到破壞,您將陷入困境。那是因為有人可以使用這些密鑰來:

        • 創建模仿您原始網站的釣魚網站;

        • 冒充您或您的員工來通過您的公司網絡;

        • 以您的名義簽署申請或文件;

        • 提取/篡改服務器上存儲的數據;

        • 閱讀您的加密電子郵件,并做許多邪惡的事情。


        如果網絡犯罪者掌握了您的密鑰,那么他們可以做任何(或全部)操作,這對他們有利,對您不利。他們可以使用您的密鑰通過索要贖金來賺錢,將您的數據賣給競爭對手,在公共平臺上共享它們并破壞您的聲譽。


        任何組織都不想發生任何事情。因此,就數據安全性和隱私性而言,加密密鑰管理應成為您的首要任務之一。


        實施加密密鑰管理工具和策略的優勢

        對系統內存在的所有證書和密鑰的可見性是有效數據安全性不可或缺的一部分。但是除了安全性之外,強大的加密密鑰管理的其他不可否認的優勢包括:

        • 更有效的密鑰分發/移動性。

        • 更好的可見性和密鑰控制能力,可實現有效的密鑰管理。

        • 減少了員工,客戶和IT部門之間的來回交流。

        • 降低自動化成本。

        • 減少停機時間和相關的違規處罰。

        • 減少數據丟失。


        那么,什么是加密密鑰管理?

        對于“加密密鑰管理”一詞,許多人都有誤解,因為他們認為這等同于安全地存儲加密密鑰??赡懿糠终_,因為安全保存加密密鑰是加密密鑰管理的一部分,而不是整個加密過程。加密密鑰管理涉及與加密密鑰有關的所有任務和方法-從密鑰生成到銷毀。


        加密密鑰管理包括:

        • 制定和實施各種用于管理密鑰管理過程的策略、系統和標準。

        • 執行必要的密鑰功能,例如密鑰生成、預激活、激活、到期、后激活、托管和銷毀。

        • 確保對密鑰服務器的物理和虛擬訪問。

        • 限制用戶/角色對加密密鑰的訪問。


        我需要保護我的加密密鑰嗎?

        “是,而且必須!”通過強大的加密管理過程安全地存儲加密密鑰至關重要。如NIST SP 800-57第1部分所述。

        最終,信息的安全保護,通過密碼直接取決于密鑰的力量,加密機制以及與鍵相關聯的協議的有效性,并提供給關鍵的保護。需要保護秘密和私有密鑰,以防止未經授權的泄露,并且還需要保護所有密鑰,以防止修改。


        加密方法的強度可能取決于其應用的數學算法。但是,這并不是一個大問題,因為大多數加密方法都帶有最新的安全算法。但是,更重要的問題是如何存儲和管理密碼密鑰。


        當人們問他們是否需要努力保護和管理其私鑰時,我只是聽不懂。我對任何問這個問題的人都有一個直截了當的問題:“如果您知道犯罪分子想闖入,您是否會將房門鑰匙藏在門墊下?” 關于數據加密的事情是,如果丟失了加密密鑰,它將毫無用處。因此,如果您管理/存儲敏感數據,則需要加密,因此,需要保護加密密鑰。就這么簡單!


        在考慮加密數據之前……

        我的提示將使您的工作更加輕松:并非所有內容都需要加密。因此,找出真正需要加密的數據,因為它們很敏感,并且需要存儲或傳輸。然后,僅加密您真正需要的數據,然后安全地處理其余數據。


        企業加密密鑰管理的要求

        1-20060509561KA.png

        加密是必要的,加密密鑰也是如此。但是,可靠的企業密鑰管理系統的要求不僅僅是保護密鑰。不僅如此。在設計行動計劃之前,需要考慮以下四個基本加密密鑰管理要求:

        1. 安全性:您必須不惜一切代價確保對加密密鑰的保護。威脅不僅來自外部,而且也可能來自內部。您的安全性機制應準備好進行處理。

        2. 可伸縮性:企業擁有的數據量通常僅朝一個方向移動。因此,您的加密密鑰管理系統必須準備好隨著可用信息量的增長而有效地管理加密密鑰。

        3. 訪問:存在加密密鑰以對數據進行加密,因此,必須確保以適當的方式將密鑰授予適當用戶的訪問權限。

        4. 合規性您組織中的加密密鑰管理生態系統必須建立在適當策略和標準的堅實基礎上。您必須確保遵守我們前面提到的美國國家標準技術研究院的密鑰管理建議書(SP 800-57第1部分)。


        企業加密密鑰管理最佳實踐

        現在,這是您一直在等待的部分——我們為您的企業提供的12個密鑰管理最佳實踐列表。我們沒有采用固定的標準或系統,而是嘗試挑選可以實施的最佳實踐,以實現組織內部更好的密鑰管理。讓我們開始吧!


        1.集中您的加密密鑰管理系統

        如今,許多公司都使用數百甚至數千個加密密鑰。根據KeyFactor和Ponemon Institute的2020年報告,“60%的受訪者認為他們在整個組織中使用的證書超過10,000個?!边@些密鑰的安全存儲變得棘手,因為您需要在許多情況下立即訪問。那就是集中存儲加密密鑰的地方。


        理想情況下,公司應采用集中的內部企業密鑰管理服務。但是,由于并非所有組織都具有復雜的技術能力,因此并非總是如此。通過使用第三方加密密鑰管理服務,此類公司可以大大受益。這些服務將所有加密密鑰和數字證書安全地存儲在安全的密鑰庫中,遠離已加密的數據和系統。從安全的角度來看,這是有利的,因為即使數據以某種方式受到破壞,密鑰也仍然受到保護。由于加密密鑰集中存放,因此可以最大程度地減少可能暴露給攻擊者的密鑰數量。


        集中式方法無疑在安全性方面是有益的,但由于加密-解密過程在存儲數據的本地進行,因此它還提高了性能。同時,密鑰的生成、安全存儲、輪換、導出和撤消由密鑰管理器完成,而密鑰管理器與數據不在同一個位置。


        2.利用自動化發揮自己的優勢

        自動化不僅僅用于數字證書管理。加密密鑰管理的最明智的方法之一是使用自動化來生成密鑰對,以設置的間隔更新密鑰和輪換密鑰。僅依靠手動密鑰管理不僅耗時,而且是一個昂貴的過程,常常會導致錯誤-特別是對于企業和其他大型組織而言。 


        3.集中用戶角色和訪問

        一些組織可能正在使用數千個加密密鑰,但并非所有員工都需要訪問所有這些密鑰。因此,僅應將加密密鑰訪問權限授予其工作需要的人員。您應該在集中式密鑰管理器中定義這些角色,以便僅向經過身份驗證的用戶提供憑據,以訪問與該特定用戶配置文件關聯的加密數據。


        此外,請確保沒有單個用戶或管理員擁有對該密鑰的唯一訪問權。這是一種備份機制,以防用戶丟失其憑據或意外離開公司。


        4.支持多種加密標準

        每個加密和/或存儲數據的組織都必須為加密和解密過程選擇特定的加密標準。但是,這并不意味著其他標準將無用。對于合并、收購或合伙制,您可能需要與需要支持不同加密標準(例如AES、RSA等)的組織合作。這就是為什么您選擇的安全解決方案必須支持多種加密標準的原因。


        5.實施健壯的日志記錄和審核

        當您處理大量數據并使用大量的加密密鑰時,您無法時刻關注每個密鑰和用戶。因此,盡管您將密鑰存儲在中央位置,但必須進行日志記錄和審核以支持這些密鑰的民主化。


        必須支持這種民主化,以確保有一個順暢的加密密鑰管理系統。但是,這并不意味著您對此無能為力。您可以(并且必須)對用戶執行的所有活動進行廣泛的自動日志記錄。這應該包括訪問敏感數據,用戶,使用的加密資源,訪問的數據,時間等的詳細信息。萬一發生問題,這些日志將極大地幫助您。


        6.為員工創建加密密鑰管理策略

        通過分配用戶角色及其加密密鑰訪問權限,您可以限制暴露位置。但是,這只是完成工作的一半,因為要訪問密鑰的人員必須有一套說明/政策來指導他們做什么和不做什么。這些政策必須像達成協議那樣堅決地執行,以便人們仔細考慮每一個決定。最好設置一個單獨的培訓課程來重點交流每個觀點。


        7.實行最低特權原則

        組織應避免為應用程序分配盡可能多的管理特權,因為這會使應用程序極易遭受內部和外部威脅。相反,他們應該做的是根據用戶角色授予訪問權限。這稱為“最低特權原則”,或簡稱為POLP。這樣,訪問受到限制,潛在的損壞也受到限制。


        8.與第三方設備集成

        每個組織都將使用大量或較小的外部設備。這些設備分布在網絡上,以使用專有工具執行特定功能。通常,它們沒有面向數據庫的應用程序,因此不會與數據庫進行交互。因此,為了簡化這些工具的功能,您部署的加密機制必須兼容才能與這些第三方工具或應用程序一起使用。


        9.備份您的加密密鑰

        如果丟失了加密密鑰,則很可能將無法恢復使用該密鑰加密的數據。因此,擁有有效的密鑰備份功能非常重要。備份數據時,必須確保已使用最先進的加密標準對數據進行了加密。此外,還必須確保定期刪除過期的密鑰。


        10.密鑰管理器的保護和已刪除密鑰的恢復

        您存儲在集中式密鑰管理器中的密鑰是您的寶藏,您必須不惜一切代價保護它們。因此,您必須實施健壯的安全機制,以確保您的密鑰受到保護,免受各種威脅和攻擊。但是,如果您面臨的威脅之一是您自己的錯誤,該怎么辦?


        這就是為什么必須提供加密密鑰恢復的關鍵所在。加密密鑰的丟失會導致數據丟失。因此,無論惡意行為者是刪除密鑰還是您誤將其刪除,都應該有一項措施來恢復所有已刪除的密鑰。


        11.做好處理事故的準備

        無論您實施多少策略或所應用的機制,在某些時候都會出錯。并且您的組織必須準備好處理它們。例如:

        • 用戶可能會丟失其密鑰的憑據,

        • 員工可以離開公司(或被解雇)。

        • 密鑰可能會被泄露。

        • 加密算法可能存在缺陷。

        • 您可能不小心在GitHub上發布了私鑰。


        可能會發生此類事故,您應在實際發生之前確定所有可能性,并采取預防措施。應該對安全基礎結構進行連續審核,以最大程度地減少此類事件。


        12.輪換密鑰:不解密/重新加密

        在處理大型數據庫的組織中出現的一大問題是加密密鑰的到期/更改。為解決此問題,我們建議為每個加密的數據字段或文件分配一個密鑰配置文件。這樣,此密鑰概要文件將使您能夠識別必須用于解密數據庫的加密資源。因此,當密鑰更改或到期時,不必先解密然后重新加密數據。


        每當密鑰過期或被替換時,密鑰配置文件將確保使用新密鑰來加密數據。對于已經存在的數據,密鑰配置文件將標識原始密鑰。


        關于加密密鑰管理的最終決定

        從遠處看,企業密鑰管理似乎就像在吃大象。但是,它不必那么復雜(或很累)。如果您能夠創建強大的策略,啟用強大的訪問控制并實施集中式管理,那么即使在最復雜的環境中也可以實現強大的加密密鑰管理。


        畢竟,您的組織、員工和客戶應該得到強大的企業密鑰管理所提供的效率、安全性和私密性。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精