什么是存储加密?
存储加密是指对传输中和存储介质里的数据进行加密。数据会在传递给存储设备(例如硬盘、磁带驱动器或保存密钥的存储库和阵列)的过程中被加密。把存储层面的加密与数据库和文件加密结合使用,可以大大降低数据丢失的风险。与网络加密一样,存储加密是一种相对比较生硬的一种工具,通常不问数据类型或敏感度如何就一股脑把每个磁带或硬盘上的所有数据全部保护起来。
从防止数据丢失的角度说,存储加密当然不失为确保数据安全的好办法。然而,对于数据库中的数据,逐个在文件、卷或列的层面进行加密,其实才更安全。如果数据是与其他用户共享的或者必须满足特定审计要求,这么做甚至可能是合规所必需的。
什么是网络加密?
网络加密保护在通信网络上移动的数据。SSL(安全套接字层)协议(浏览器中挂锁符号背后的技术,更恰当的应该是指传输层安全[TLS]协议)是互联网通信中网络数据保护的默认形式;它通过人们熟悉的图标让用户放心使用网络。许多有良好安全意识的公司更进一步,不仅保护自己的互联网通信流,还用网络层面的加密手段保护内部网络、企业骨干网和虚拟专用网(VPN)。
然而与任何低级安全技术一样,网络层面数据加密也是一种相当生硬的工具。网络几乎完全不清楚流经它的数据究竟价值几何,并且这种上下语境的缺乏往往导致网络被配置成要么什么都保护,要么什么都不保护。即便采用“保护一切”的方法,潜在攻击者也可以从网络通信流模式中挖掘出有价值的信息。
在数据通过网络移动的过程中对其加密只是全面网络数据加密策略的一部分。机构还必须考虑信息在其源头(信息开始移动之前)和最终目的地的风险。要想偷窃一辆汽车,在停车场或私人车库下手,总比汽车在公路高速行驶时要容易百倍!
什么是端到端加密?
在端到端加密中,数据默认在整个生命周期的任何时候都受保护。例如,在零售店的POS机中,敏感数据从被捕捉到的那一刻就被加密,并且在系统与安全域之间移动的过程中始终保持加密或重新加密。这种把加密当作数据“保镖”始终伴随数据对象(文件、文档、记录等)的加密理念确实很吸引人,但也在涉及密钥管理时引发了有关在不同域之间建立信任关系和互操作性的问题。
什么是点对点加密?
点对点加密(P2PE)是支付卡行业安全标准委员会制定的一个加密标准。它规定持卡人的信息输入商家POS机后必须立即加密,并且在接受支付处理器处理之前不得解密。如果P2PE流程执行正确,账户数据将在得到批准的安全密码设备(SCD,例如POS机)中加密,而且不会在商户环境中解密,那么商家有可能几乎被完全排除在PCI DSS范围之外。
要想让P2PE发挥预期效力,就必须对解密密钥的保护和访问实施严格控制。当前的指南要求用达到适当安全级别的硬件安全模块(HSM)来保护对这些密钥的访问。支付链中的收单方和其他参与者已开始销售采用了P2PE的增值服务来降低商家的合规成本。从PCI DSS的角度看,任何具有解密账户数据能力的系统都会立即进入范围,因此以保护HSM里密钥的方式隔离商家的能力可以为所有相关者带来显著好处。
什么是应用层加密?
应用层加密是一种数据安全解决方案,可以对流经应用程序的几乎任何类型数据进行加密。在这个层面执行加密时,数据将被在多个层级(包括硬盘、文件和数据库)加密。这种应用层加密法通过减少潜在攻击向量的数量来提高安全性。应用程序加密的另一优点在于,由于它是在应用层加密特定字段的,机构可以在敏感数据被存储到数据库、大数据或云环境之前对其实施安全保护。
