最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 加密就安全了?一览用户的数据安全盲点


    即将开播:5月14日,Jenkins在K8S下的三种部署流程和实战演示

    追溯至网络通信安全起始之初,数据安全人员就不得不面对证书使用这一挑战。网页证书是传输层安全通信的基础,增加了网络站点连接的安全性,通常显示为“https”中的“s”。作为用户、服务器、机器、物联网设备和访问点的验证核心部分,是用户在各个场合下安全防护的第一步。

    现在,当谈及加密风险,人们似乎也越来越难以绕过证书、加密秘钥和保护数据的算法等话题。

    加密就安全了?一览用户的数据安全盲点

    什么是加密风险?

    加密风险是一种度量标准,用于表示加密手段下用户数据的安全程度。在上下文中,专家使用“数据风险”来代表未受保护的敏感数据,使用“平台风险”或者“基础架构风险”来表示计算机系统中尚未修复的漏洞所处的实际位置或者是系统内部的安全性。

    为了评定这些风险标准,企业采取了一系列工具进行检测,从未被保护的用户敏感数据,比如社会保险号、信用卡等信息,再到运营体系和应用的未被修补的漏洞。然而,很多企业组织却没有一套有效的风险测量工具,检测加密保护手段下的数据安全程度。换句话说,当前衡量加密风险标准还没有一种合适的方法。

    创建加密风险标准有助于进一步推进数据安全的发展。该标准应考虑到所有导致加密数据不安全的因素,这或许涉及以下一些问题的回答:

    • 使用哪种算法可以保证密码的完整性?(比如MD-5,SHA-1,SHA-236,SHA-3等)
    • 保护用户数据和企业业务相一致的的加密秘钥长度有哪些?(例如AES-128,AES-256等)
    • 使用哪种算法使得加密具有完整性(例如,MD-5,SHA-1,SHA-236,SHA-3等)?
    • 您的证书什么时候到期(例如12月31日午夜)?
    • 谁签发了您的证书、如何对其进行验证以及可以(或已经)将其吊销?
    • 企业当前的系统和应用程序上安装了哪些加密库或软件?它们足以保护数据吗?

    就像恶意软件和事件管理一样,这类问题不胜枚举。然而,知道这个问题答案的企业则懂得如何长期使用和管理他们的加密资产,能够持续地评估真正保护企业数据的有效资产有哪些。

    “量子计算机来了!”

    或许在加密风险评估方面,量子的发展已然落后了,但是故事并没有就此戛然而止。在刚触及算力的门槛,安全团队就面临了加密方面的巨大挑战。量子时代,再进一步来说是计算时代,有望解决传统二进制计算机目前无法解决的实际问题。

    量子计算机备受期待的一个原因在于,他们可以有效实现 Shor算法和Grover算法。

    Shor算法即舒尔算法,于1994年被发现,是一种针对整数分解的量子算法。Grover算法是Grover于1996年提出的量子搜索算法,这是一种对空间进行完全搜索的优化算法。

    这两种算法在追踪加密秘钥方面比传统计算方法省时得多。当量子计算机能够实现这两种算法时,并且以合理价格在消费者之间推广开来,这时我们将看到攻击者会削弱现有对称算法(如AES)的加密强度并能够有效消除现有非对称算法(如今常用的如RSA或者ECC)。

    目前,我们尚未发展到那个程度,事实上,连一台量子计算机也没有,更别说消除RSA秘钥强度了。尽管有些专家认为再过20年就能实现,但是也只是预测。美国国家标准技术研究院(NIST)已着手引入新的抗量子加密算法。这些后量子密码术(PQC)算法有望抵抗量子计算机的强大功能。

    目前,IBM和NIST开展CRYSTALS项目合作,正在评估两种算法,希望能在未来几年内能够使用新算法并且标准化。使用能承受下一代计算机强大功能的加密算法,有助于为专业人员保护关键数据甚至是存档数据提供新的方法。

    当今的加密风险

    即使没有量子计算机问世带来的风险,其他加密风险也迫在眉睫,比如包含一些简单却长期存在的问题,比如使用过时的加密算法、简短的密钥和来源不明或者即将过期的证书等。如果这些问题检测不到或者不加管理,那么对于数据保护和企业的业务持久性来说就是一个紧迫的、现存的威胁。

    微软和Let’s Encrypt近期强调了证书管理不当会对企业业务连续性产生不利影响。因此,随着业务深入,问题会越来越复杂,采取合适的方法来处理这个问题十分重要。比如,苹果的做法是主动屏蔽任何超过一年的信任证书。否则黑客可以充分利用企业不系统的证书管理,伪造证书安全警示感染企业计算机。

    因此,加密资产(比如证书、密钥、算法和库)的管理不当或者是没有管理是一个很严重的问题,这不仅会影响业务的连续性,还会给黑客机会找到企业数据安全的漏洞。加密风险是一个很普遍的问题,需要人们加以重视,予以解决。

    加强数据安全

    数据安全这扇大门,我们上锁了、加链条了,但是现在,锁旧了、链条锈了,保护强度也很薄弱。如果企业数据面临风险,那么数据安全团队有责任测试每个环节的保护强度并采取措施进行整个链条的强化。

    提及加密,我们有很多个部分需要加强,比如算法、变化的密钥大小、证书、非对称密钥对、对称密钥、轮替密钥、密钥分发等。为了处理加密风险,需要一种以简化的组合视图显示与加密相关的风险整体趋势的方法。如果没有一种方法来衡量这种加密风险,安全团队将无法对其进行管理。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 加密就安全了?一览用户的数据安全盲点

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 702会员总数(位)
    • 5270资源总数(个)
    • 89本周发布(个)
    • 20 今日发布(个)
    • 213稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情