数据加密是网络安全的重要组成部分。标准数据状态(静止、传输和使用中)都存在独特且具有挑战性的漏洞,可能会将数据暴露给未经授权的各方。没有比数据被不该看的人窃取和查看更明显的漏洞了。
这就是传输加密发挥作用的地方。借助传输加密,您可以满足合规性要求,并确保您的数据以及患者和客户的数据保持机密。
传输中加密技术如何工作?
虽然我们之前已经讨论过保护存储数据的概念,但专业人士和消费者使用的实际信息很少留在服务器中。在任何给定时刻,PB 级的数据都会通过网络从一个点移动到另一个点——而这些数据很容易受到攻击。 这就是为什么世界上每个安全框架都包含一个规范,规定合规组织必须在数据存储和从一个地方传输到另一个地方时对其进行加密。
然而,这种做法面临一些挑战:
困惑:与任何形式的加密一样,传输中加密必须确保黑客在拦截和查看数据时无法读取数据。
诚信:由于传输中的数据存在被拦截的风险,因此还必须进行检查以确保数据的完整性,以便外部用户无法修改它。
协调:网络通信协议通常使用“握手”之类的机制来建立数据交换。加密数据也不例外;交互的这一部分通常包括加密/密钥的交换。
考虑到这一点,加密数据传输的几种方法可以解决这些问题:
对称密钥加密:使用对称密钥加密技术,单个密钥可处理加密和解密。这些密钥与有权访问加密数据的各方共享。最常见和最成熟的对称密钥加密形式是高级加密标准 (AES),由美国国家标准与技术研究所支持。AES 通常用于传输加密,但通常作为更强大的方法(如传输层安全性 (TLS))的一部分。
非对称密钥加密:使用非对称加密,用户可以创建两个密钥——一个公钥和一个私钥。任何用公钥加密的数据只能用私钥解密,因此只要收件人的私钥没有被泄露,任何发送消息的人都可以放心,他们的消息是安全的。非对称密钥在多个应用程序中用作独立的端到端解决方案或其他协议的一部分。
加密隧道: 隧道技术通过将数据封装在模糊数据中来在机器或网络之间建立安全连接。这意味着私有网络数据将像在私有网络一样通过公共网络(如互联网)传输。这确保了这些数据通过加密得到保护,最终用户可以像在本地连接一样与私有网络资源进行通信。这种方法通常用于文件共享协议,如 SFTP 和虚拟专用网络 (VPN)。
证书:证书是一种非对称密钥加密形式,由“证书颁发机构”维护,其中包含认证用户的公钥和私钥。这些证书可用于生成唯一且快速的对称“会话”密钥,允许 sixers 通过颁发机构连接并验证您的系统资源是否合法属于您。证书最常用于 TLS/HTTPS 应用程序。
传输中加密的一些例子有哪些?
正如我们之前提到的,有几种不同的方法可以 加密,其中许多方法以某种方式相互补充。工程师和密码科学家将战略性地使用不同的方法来保护数据,确保用户真实性并保护加密密钥免遭泄露。
而且, 类型 加密应用程序的性质必然会决定要使用的加密类型。这些因素也往往会重叠,因此不同的加密方法通常会包含多个层。
广义上讲,许多此类示例都将使用基础加密算法进行操作。一些标准算法包括:
高级加密标准(AES): AES 是一种对称分组密码,它采用 128 位数据块,并使用 128、192 或 256 位密钥(每个密钥的复杂度都会增加)对其进行加密。这是 NIST 支持的算法。
Twofish的:使用 128 位块大小和最多 256 位密钥的对称分组密码。此算法可与 AES 相媲美,是较旧(且受限)的 Blowfish 算法的演化版本。
Rivest-Shamir-Adleman (RSA) 加密: RSA 是一种非对称加密方法,既允许公钥加密,也允许数字签名内容。强 RSA 通常使用相当大的 2048 位密钥。2021 年有传言称 RSA 已被破解,但这些传言毫无根据——尽管现在许多安全专家认为,随着量子计算机成为现实,这是一个放弃标准的信号。
一些最常见的传输中加密方法包括:
传输层安全性(TLS)
TLS 使用对称和非对称加密方法的组合为网络传输提供端到端安全性。TLS 是安全套接字层 (SSL) 的后继者,它涉及机器之间的非对称“握手”,依靠证书颁发机构来促进服务器的加密和身份验证,从而实现对称密钥的安全交换,以维持受保护且快速的连接。
TLS 的优势在于其灵活性,即它支持加密来自各种应用程序的流量。使用 TLS,您可以加密电子邮件服务器、IP 语音 (VoIP) 应用程序之间的流量,或从浏览器到 Web 服务器的请求。
缺点是,TLS 仅适用于传输过程中,一旦数据到达目的地,它就不再保护数据。
安全超文本传输协议 (HTTPS)
HTTPS 是 HTTP 的扩展,HTTP 是处理网站数据交换的原始协议。
还记得我们说过 TLS 支持其他应用程序吗?HTTPS 在基础 HTTP 流程中添加了 TLS 安全性,以保护基于证书的非对称和对称加密。
安全/多用途互联网邮件扩展 (S/MIME)
S / MIME 是另一种基于证书的非对称加密形式,主要用于电子邮件客户端,其中加密直接发生在相关电子邮件上。与可以在机器之间创建安全通道以支持不同应用程序的 TLS 不同,S/MIME 专门用于加密电子邮件和电子邮件元数据。
安全文件传输协议 (SFTP)
文件传输协议 (FTP) 是一种有趣的协议,因为它在促进消息交换的同时,还明确地允许用户访问系统以远程执行特定命令。例如,连接到服务器的 FTP 用户可能能够下载文件或有权上传文件、创建文件和目录或操作现有文件和目录。
然而,FTP 本质上是不安全的,在整个过程的任何步骤中都使用纯文本身份验证而没有加密。 SFTP,采用 SSH 加密隧道来利用 FTP 命令,允许管理员和用户在所有中转点安全地使用带有加密的大型可扩展文件传输。
端到端 (E2E) 加密
E2E 加密在传输加密领域独一无二。我们之前提供的示例都基于这样的概念:它们仅通过直接混淆或在网络上移动时创建加密通道来保护数据。一旦数据到达其端点,管理员必须采用额外的安全措施,例如静态加密。
这是一个信任问题……如果你通过 TLS 向某人发送你认为是安全的电子邮件,那么你无法知道谁会在另一端访问这些信息。这就是为什么许多安全法规(如 HIPAA)不认为 TLS 或 S/MIME 是可以证明通过电子邮件共享个人信息合理的端到端解决方案。
E2E 加密方法,例如 良好的隐私性 (PGP),允许用户使用公钥/私钥对直接加密和解密内容。不同之处在于,实际消息从发送的那一刻到读者解密的那一刻都是加密的。也就是说,在预期收件人阅读之前,它仍然是安全的。
端到端解决方案可用,并且通过正确的密钥管理非常安全。但是,它也比较慢,并且要求所有用户都使用内置于其应用程序中的相同协议和算法。最后,它在许多不同的使用领域(如文件共享)中都没有得到认真使用,而在用户想要保护特定消息(如电子邮件)的地方更合理地使用。
使用 Continuum GRC 维护正确的加密
任何安全法规和框架都包含一些传输加密要求。您需要确保使用正确的加密方式,并确保所有应用程序都以正确的方式得到保护。
然而,当需要采用新技术、升级安全措施并考虑新的传输加密方法时,很容易失去思路。这就是为什么我们的客户依赖我们的 Continuum GRC 云平台来帮助他们了解他们的加密算法和模块如何在他们的系统中实施,以及它们与合规性和风险标准的比较情况。
连续 GRC 基于云,始终可用并接入我们的专家团队。我们为市场上每项主要法规和合规框架提供风险管理和合规支持,包括:
联邦RAMP
StateRAMP
NIST 800-53
DFARS NIST 800-171
中国移动通信集团
SOC 1、SOC 2、SOC 3
HIPAA
数据安全标准 4.0
国税局1075
加拿大福利管理委员会
ISO 27000 系列
ISO 9000 系列
还有更多。我们也是世界上唯一获得 FedRAMP 和 StateRAMP 授权的合规和风险管理解决方案。
Continuum GRC 是主动式网络安全®,也是全球唯一获得 FedRAMP 和 StateRAMP 授权的网络安全审计平台。请致电 1-888-896-6207 讨论贵组织的网络安全需求,并了解我们如何帮助贵组织保护其系统并确保合规性。
公司简介 *姓名 *(名)(姓)电子邮件 *电子邮件确认电子邮件联系手机我们该如何帮助你? *您想要托管服务还是准备服务? *风险管理服务合规管理服务准备服务和技术写作有些什么没有列出?您对哪种类型的订阅感兴趣? *MSP(管理多个客户的提供商)企业(管理你的公司)DIY(有限访问预配置模块)有些什么没有列出?您想成为集成合作伙伴吗?是没有你有什么问题? *您偏好哪种托管方式? *AWS 托管(商业)FedRAMP 授权 AWS GovCloud 托管(联邦和州政府)
什么?我们
您对哪些审计、监管和风险订阅模块感兴趣? *StateRAMP联邦RAMPSOC 1 和 SOC 2CMMC、NIST 800-171 和 800-172NIST 800-53,SCA-VPCI DSS QSA 和 SAQISO健康保险隐私及责任法 NIST 800-66工业标准IRS 1075 和 4812二甲基甲酰胺NVLAP NIAP 通用标准美国国家标准技术研究所脑脊液欧盟CSENSC5隐私、CCPA、CPRA、GDPR、PIPEDA、DPIAFTC 保障措施FDA 21 CFR 第 11 部分 GxP欧洲能源委员会 CIPCBFP。FFIEC、SEC、NFA 和 FINRACIS加拿大福利管理委员会MPA 内容安全最佳实践 (TPN)NIST RMF。800-30、800-37、第三方风险有些什么没有列出?您对哪些治理与政策订阅模块感兴趣? *StateRAMP联邦RAMPSOC 1 和 SOC 2CMMC 或 NIST 800-171欧洲共同体、C5、ENSPCIISOHIPAA隐私、CCPA、CPRA、GDPR、PIPEDA、DPIA工业标准NIST 800-53欧洲能源委员会 CIPSEC、NFA 和 FINRA有些什么没有列出?
下载我们的公司宣传册。我同意接收额外的营销信息。提交