之前的文章(天安学院 | 密码行业名词解析之加密)我们讲了几种加密方式,这篇从“我”的角度来聊聊加密。加密是什么呢?是把明文数据通过某种算法转换成密文,转换成让人看不懂的信息,起到保护数据机密性的作用。
近年来随着加密技术不断发展进步,加密形式从静态加密进入到了动态加密,那什么是动态加密呢?动态加密(也称实时加密、透明加密等,encrypt on-the-fly),是指数据在使用过程中自动对数据进行加密或解密操作,无需用户干预,合法用户在使用加密文件前,也不需要进行解密操作即可使用,表面看来,访问加密文件和访问未加密文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其他非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。
由于动态加密技术不仅不改变用户使用习惯,而且无需用户太多干预操作即可实现文档安全,因而近年来得到了广泛的应用。动态加密既保证了数据的机密性,也保证了数据的可用性,但其实现技术也是非常复杂的,当然成本也是高高的。
那对于我们普通用户来说加密意味着什么呢?我们每天在网上冲浪,我们的个人信息在网上畅游,怎么来保证这些数据的安全呢?那数据加密就是一个很好的保护措施。大家有没有发现,以前我们访问的网站是以http打头的,而现在我们去访问一个网站它是以https打头的,这多了一个“s”就不一样了,多了这一个“s”我们从与网站建立连接开始,我们与网站之间的数据就是加密的,这里使用的技术就是之前TaSSL那篇文章(特别报道 | 江南天安为用户送上新年开源大礼包——TaSSL1.1.1k闪亮发布)所讲到的SSL协议和TLS协议,通过使用这两个安全协议,就保证了我们与网站之间的会话的机密性。
比如,我们去访问新浪微博网站,看看它是不是以https打头的,我们在登录页面输入的登录账号与密码,这是非常重要的数据,必须要进行加密保护,不管是会话中还是在数据库中,这些信息都必须是密文的,因为一旦有黑客进行会话攻击或者数据库攻击,如果传输或者存储是明文的,那黑客将很容易获得用户信息,而这除了给企业造成很大损失外对数据主体即用户本人来讲也将会造成很大的困扰。所以在这个注重信息安全的时代,加密是最好的办法,当然这个过程对于用户来说必须是无感的、透明的,这将保证用户活动良好的使用体验。
那对于企业来说呢,加密可能就意味着合规,意味着降低风险。随着计算机和网络技术飞速发展,越来越多的信息是以电子形式存储的,并且通过网络进行广泛地传递,在大量的信息存储和交换中,信息的安全问题越来越引起企业运营者的重视。
任何企业对于关键信息的保护那都是必须的,对于企业运营的机密信息,丢失泄漏则是最大的风险,一旦机密被不法份子获取,轻则企业利益受损,重则危及企业生命,那采用数据加密就是最好的防范手段。
对于企业的运营数据,比如客户数据、财务数据等这些也是非常重要的数据,一旦泄漏对于企业来说风险也是致命的,最直接的影响则是在合作伙伴那里失去可信度,对后续的影响那也是可想而知的,所以也需要我们去采取必要的加密保护措施。
那具体的实施办法就需要根据实际情况去进行周密的部署了,需要综合考虑数据价值与保护成本,而要保证这些工作的合理性就需要做一些基本但很重要的工作,对资产进行一个清点,确定数据所有者,对数据进行一个分类,根据不同数据的价值进行相应级别的保护。这既要保证企业信息的安全,也要保证成本的合理性,既要保证数据的机密性,也要保证数据的可用性。
古往今来,对信息的保护始终是一个重要议题,而在对数据的保护方法中加密技术始终是最重要的技术。从古典密码(凯撒密码)加密到近代密码(DES)加密再到现代密码(公钥密码)加密,无不体现着人类对密码技术的精进追求。不管是硬加密(使用硬件加密技术,比如:加密机),还是软加密(使用软件进行加密,比如:使用加密软件对文件进行加密),人们一步步加强算法的强度,使加密后的信息被破解的几率成为零。
信息保护任重道远,加密技术研发道阻且长,而信息安全是我们每一个安全人所追求的目标。习总书记说没有网络安全就没有信息安全,没有信息安全就没有人民安全。保护信息安全,保护网络安全,为国家安全!
