企业加密注意事项

Question

企业加密策略需要考虑哪些不同方面？

到目前为止，我拥有的资源是：

https://www.owasp.org/index.php/Cryptographic_存储_作弊_板材

http://esj.com/articles/2008/07/01/8-best-practices-for-encryption-key-management-and-data-security.aspx

http://securosis.com/reports/Securosis_理解_DBEncryption.V_.1_.pdf

http://jdcmg.isc.ucsb.edu/docs/secpresent/Oracle-Secure-SSN-Vault-White-Paper-MAY2007.pdf

其中大部分涉及对数据库中敏感数据的加密。对于组织中加密标准的内部审计，还应该考虑什么？

将其缩小到关键管理方面的这些因素，最佳做法是什么：

1. 在源代码中存储密钥
2. 在配置文件中存储密钥
3. 在硬件安全模块中存储密钥
4. 密钥存储库中的密钥存储
5. 关键轮换策略
6. 钥匙的备份
7. 对密钥的限制访问

NIST提供了以下指南：http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_PART3_密钥管理_Dec2009.pdf

从企业的角度来看，什么是相关的？

Answer 1

我认为，作为第一步，您应该创建一个数据分类策略，在这个策略中，您将定义不同级别的数据敏感性(例如，公开的、内部的、机密的、秘密的等等)。然后，您将有一个明确的指南，哪些数据是足够有价值的加密保护，无论是在静止或在传输。定义数据分类将极大地帮助企业员工(知道要保护哪些数据以及保护得有多好)以及内部和外部审计员。

就加密策略本身而言，我建议明确禁止创建自己的加密方案--每个人都应该使用行业标准的加密库和机制。