本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
加密标准
标准源自您的政策。它们范围较窄,有助于定义实施的框架和架构。例如,如果贵组织的政策是对静态数据进行加密,那么标准将定义所需的加密类型,并就如何遵守该政策提供总体指导。
加密标准通常规定以下内容:
-
应使用的加密类型
-
加密密钥的最低规格
-
谁有权访问加密密钥
-
应将加密密钥存储在哪里
-
选择加密或哈希技术时选择适当密钥强度的标准
-
密钥轮换频率
虽然您很少需要更新加密策略,但加密标准可能会发生变化。网络安全行业不断发展,以应对不断变化的威胁格局。因此,您的标准应进行更改,以采用最新的技术和最佳实践,从而为您的企业数据提供尽可能好的保护。
在企业组织中,副总裁、董事或数据管理员通常会定义加密标准,而合规官员通常会对其进行审查和批准。
在组织中定义和维护加密标准时,请考虑以下几类因素:
成本和性能注意事项
在确定静态数据的加密标准时,请考虑以下操作因素:
-
可用的硬件资源必须能够大规模支持您的标准。
-
加密成本因密钥长度、数据量和执行加密所需的时间而异。例如,与对称加密相比,非对称加密使用的密钥更长,花费的时间也更长。
-
考虑企业应用程序的性能要求。如果您的应用程序需要低延迟和高吞吐量,则可能需要使用对称加密。
密钥访问控制
根据最低权限原则确定加密密钥的访问控制策略。最低权限是授予用户执行其工作职能所需的最低访问权限的安全最佳实践。在您的标准中,定义一个访问控制策略,该策略应:
-
标识管理密钥加密密钥和数据密钥的角色。
-
定义密钥权限并将其映射到角色。例如,它定义了谁拥有密钥管理员权限以及谁拥有和密钥用户权限。密钥管理员可以创建或修改密钥加密密钥,密钥用户可以加密和解密数据并生成数据密钥。
加密类型
在您的标准中,定义哪些加密类型和功能适合您的组织:
-
记录何时使用对称和非对称加密算法。有关更多信息,请参阅常见问题解答部分我什么时候需要非对称加密?中的我什么时候需要对称加密?和。
-
决定是否应使用信封加密,并定义具体情况。有关更多信息,请参阅 我什么时候需要信封加密? “常见问题解答” 部分。
-
定义何时使用加密替代方案(例如标记化和哈希)的标准。
加密密钥规格
定义加密密钥所需的规格,例如密钥强度和算法。这些规范必须符合政策中定义的监管和合规制度。考虑定义以下规范:
-
定义对称和非对称加密类型的最低密钥强度和算法。决定密钥强度的因素包括长度、随机性和唯一性。
-
定义何时要实现新版本的加密算法。例如,您的标准可能规定在算法发布后 30 天内实施最新版本的算法,或者始终使用比最新版本更早的版本。
-
定义轮换加密密钥的间隔。
密钥存储位置
在您的标准中,在决定将加密密钥存储在何处时,请考虑以下几点:
-
合规性和监管要求可能会决定您的加密密钥的存储位置。
-
决定是要将密钥存储在集中的位置,还是将其与相应的数据一起存放。有关更多信息,请参阅 我为什么要集中管理加密密钥? “常见问题解答” 部分。
-
如果您选择集中存储,请决定是将密钥存储在企业管理的基础架构(例如硬件安全模块 (HSM))中,还是将密钥存储在托管服务提供商(例如)中。 AWS Key Management Service有关更多信息,请参阅 我何时需要使用硬件安全模块 (HSM)? “常见问题解答” 部分。
