加密密钥管理和数据安全的10个最佳实践

视频: Windows 上最好用的文件夹加密软件！免费、安全！值得推荐 | 零度解说

内容

分散加密和解密过程
具有分布式执行的中央密钥管理
支持多种加密机制
集中的用户配置文件进行身份验证
密钥轮换或过期时不解密或重新加密
维护全面的日志和审核记录
没有错误，没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南
整个应用程序的通用加密/解密解决方案
第三方整合
最小特权原则
频繁备份
结论

资料来源：叶记灿/ Dreamstime

带走：

数据安全的新威胁不断出现。这十个技巧可以帮助您通过加密确保数据安全。

在现代应用程序中，数据加密已成为开发的重要组成部分。每条数据都有自己的重要性，如果没有任何加密机制或安全功能，我们就无法让它们容易受到攻击。数据加密已成为驻留在数据库，文件系统和其他传输数据的应用程序中的数据的主要保障。考虑到数据安全性的重要性，在实施加密机制和数据安全性时必须遵循最佳实践。

这里很好地介绍了在实施加密机制和数据安全性时应遵循的一些最佳实践。

分散加密和解密过程

这是设计和实施数据安全计划的重要方面。选择是在本地级别实施它，并将其分布在整个企业中，还是在单独的加密服务器上的中央位置实现它。如果加密和解密过程是分布式的，则密钥管理器必须确保密钥的安全分发和管理。众所周知，在文件级别，数据库级别和应用程序级别执行加密的软件可提供最高级别的安全性，同时允许用户完全访问应用程序。加密和解密的分散方法具有以下优点：

更高的性能
较低的网络带宽
更高的可用性
更好地传输数据

具有分布式执行的中央密钥管理

任何基于中心辐射架构的解决方案都被认为是一个好的架构。这种体系结构使加密和解密节点可以存在于企业网络内的任何位置。辐条密钥管理组件可以轻松地部署到不同的节点上，并且可以与任何加密应用程序集成。一旦部署完毕并且辐条组件准备就绪，所有加密/解密机制就可以在执行加密/解密任务的节点级别使用。这种方法减少了数据网络行程。由于集线器组件发生故障，该方法还降低了应用程序停机的风险。密钥管理器应负责管理辐条使用的密钥的生成，安全存储和到期。同时，过期的密钥需要在节点级别刷新。

支持多种加密机制

即使我们实现了最好的可用加密机制，也总是建议支持不同的加密技术。这对于合并和收购而言至关重要。在这两种情况下，我们都需要与生态系统中的业务伙伴合作。拥有支持主要行业标准加密算法的安全系统，可确保组织已做好充分准备，可以接受任何新的政府法规。（有时，您不仅仅需要加密来保证数据安全。还请问加密还不够：关于数据安全性的3个关键事实。）

集中的用户配置文件进行身份验证

考虑到数据的敏感性，必须具备适当的身份验证机制。对这些数据的访问应基于密钥管理器中定义的用户配置文件。将仅分配和颁发经过身份验证的用户凭据，以访问与用户配置文件关联的加密资源。这些用户配置文件在具有密钥管理器中管理权限的用户的帮助下进行管理。通常，最佳实践是遵循一种方法，在该方法中，没有任何单个用户或管理员可以唯一访问密钥。

密钥轮换或过期时不解密或重新加密

每个加密的数据字段或文件都应具有与其关联的密钥配置文件。此密钥配置文件具有使应用程序能够识别应用于解密数据字段或文件的加密资源的能力。因此，不需要解密一组加密数据，然后在密钥过期或更改时将其重新加密回去。新加密的数据将使用最新密钥解密，而对于现有数据，将搜索用于加密的原始密钥配置文件并用于解密。

维护全面的日志和审核记录

日志记录是任何应用程序的重要方面。它有助于跟踪应用程序中发生的事件。对于分布式应用程序，广泛的日志记录总是很有帮助，并且是密钥管理的重要组成部分。由于其高度的敏感性，对加密数据集的每次访问都应详细记录以下信息：

没有错误，没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南

当没有人关心软件质量时，您就无法提高编程技能。

访问敏感数据的功能的详细信息
访问敏感数据的用户的详细信息
用于加密数据的资源
正在访问的数据
数据访问时间

整个应用程序的通用加密/解密解决方案

遵循通用的加密机制来加密字段，文件和数据库始终是最佳实践。加密机制不需要知道它正在加密或解密的数据。我们必须确定需要加密的数据以及机制。一旦加密，数据将变得不可访问，并且只能基于用户权限进行访问。这些用户权限是特定于应用程序的，需要由管理用户控制。（要了解有关加密的更多信息，请参阅“更加困难地信任加密”。）