本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 加密标准
<a name="standards"></a>

标准源自您的政策。它们范围较窄，有助于定义实施的框架和架构。例如，如果贵组织的政策是对静态数据进行加密，那么标准将定义所需的加密类型，并就如何遵守该政策提供总体指导。

加密标准通常规定以下内容：
+ 应使用的加密类型
+ 加密密钥的最低规格
+ 谁有权访问加密密钥
+ 应将加密密钥存储在哪里
+ 选择加密或哈希技术时选择适当密钥强度的标准
+ 密钥轮换频率

虽然您很少需要更新加密策略，但加密标准可能会发生变化。网络安全行业不断发展，以应对不断变化的威胁格局。因此，您的标准应进行更改，以采用最新的技术和最佳实践，从而为您的企业数据提供尽可能好的保护。

在企业组织中，副总裁、董事或数据管理员通常会定义加密标准，而合规官员通常会对其进行审查和批准。

在组织中定义和维护加密标准时，请考虑以下几类因素：
+ [成本和性能注意事项](#cost-performance)
+ [密钥访问控制](#access-control)
+ [加密类型](#encryption-types)
+ [加密密钥规格](#encryption-key-specifications)
+ [密钥存储位置](#key-storage-location)

## 成本和性能注意事项
<a name="cost-performance"></a>

在确定静态数据的加密标准时，请考虑以下操作因素：
+ 可用的硬件资源必须能够大规模支持您的标准。
+ 加密成本因密钥长度、数据量和执行加密所需的时间而异。例如，与对称加密相比，非对称加密使用的密钥更长，花费的时间也更长。
+ 考虑企业应用程序的性能要求。如果您的应用程序需要低延迟和高吞吐量，则可能需要使用对称加密。

## 密钥访问控制
<a name="access-control"></a>

根据最低权限原则确定加密密钥的访问控制策略。*最低权限*是授予用户执行其工作职能所需的最低访问权限的安全最佳实践。在您的标准中，定义一个访问控制策略，该策略应：
+ 标识管理密钥加密密钥和数据密钥的角色。
+ 定义密钥权限并将其映射到角色。例如，它定义了谁拥有密钥管理员权限以及谁拥有和密钥用户权限。密钥管理员可以创建或修改密钥加密密钥，密钥用户可以加密和解密数据并生成数据密钥。

## 加密类型
<a name="encryption-types"></a>

在您的标准中，定义哪些加密类型和功能适合您的组织：
+ 记录何时使用对称和非对称加密算法。有关更多信息，请参阅*常见问题解答*部分[我什么时候需要非对称加密？](faq.md#faq-asymmetric-encryption)中的[我什么时候需要对称加密？](faq.md#faq-symmetric-encryption)和。
+ 决定是否应使用信封加密，并定义具体情况。有关更多信息，请参阅 [我什么时候需要信封加密？](faq.md#faq-envelope-encryption) “*常见问题解答*” 部分。
+ 定义何时使用加密替代方案（例如标记化和哈希）的标准。

## 加密密钥规格
<a name="encryption-key-specifications"></a>

定义加密密钥所需的规格，例如密钥强度和算法。这些规范必须符合政策中定义的监管和合规制度。考虑定义以下规范：
+ 定义对称和非对称加密类型的最低密钥强度和算法。决定密钥强度的因素包括长度、随机性和唯一性。
+ 定义何时要实现新版本的加密算法。例如，您的标准可能规定*在算法发布后 30 天内实施最新版本的算法*，或者*始终使用比最新版本更早的*版本。
+ 定义轮换加密密钥的间隔。

## 密钥存储位置
<a name="key-storage-location"></a>

在您的标准中，在决定将加密密钥存储在何处时，请考虑以下几点：
+ 合规性和监管要求可能会决定您的加密密钥的存储位置。
+ 决定是要将密钥存储在集中的位置，还是将其与相应的数据一起存放。有关更多信息，请参阅 [我为什么要集中管理加密密钥？](faq.md#faq-central-management) “*常见问题解答*” 部分。
+ 如果您选择集中存储，请决定是将密钥存储在企业管理的基础架构（例如硬件安全模块 (HSM)）中，还是将密钥存储在托管服务提供商（例如）中。 AWS Key Management Service有关更多信息，请参阅 [我何时需要使用硬件安全模块 (HSM)？](faq.md#faq-hsm) “*常见问题解答*” 部分。