静态加密是网络安全的重要组成部分，可确保存储的数据不会成为黑客的轻松目标。随着网络犯罪分子继续开发更复杂的方法来获取和窃取业务信息，加密静态数据已成为任何具有安全意识的组织的强制性措施。本文介绍静态数据加密。继续阅读以了解加密静态数据的重要性，并了解公司依靠哪些实践来保证存储资产的安全。

什么是静态数据？

静态数据是指以任何数字形式存在于计算机存储中的数据。此数据类型当前处于非活动状态，并且不会在设备或两个网络点之间移动。没有应用程序、服务、工具、第三方或员工正在积极使用此类信息。

静止不是永久的数据状态。一旦有人请求文件，该数据就会通过网络移动并成为传输中的数据。一旦某人（或某物）开始处理文件，数据就会进入使用状态。静态数据包括结构化和非结构化数据。公司可以在哪里存储静态数据的一些示例是：

静态数据是黑客的首选目标。与通过网络移动的单个动态数据包不同，静态数据存储通常具有逻辑结构和有意义的文件名。静态数据通常还包含公司最有价值和最私密的信息，例如：

虽然静态数据是静态的，但这种类型的数据实际上是“移动”的。公司经常在虚拟化环境中复制静态文件，将驱动器备份到异地设施，允许员工将笔记本电脑带回家，通过便携式设备共享数据等。为了维护静态数据的隐私和安全，公司应该依赖数据加密。加密是将一段数据翻译成未经授权的人（或系统）无法破译的看似无意义的文本的过程。

什么是静态数据加密？

静态数据加密是一种对存储数据进行加密以防止未经授权访问的网络安全实践。加密将数据打乱成密文，而将文件恢复到初始状态的唯一方法是使用解密密钥。如果未经授权的人访问加密数据但没有解密密钥，则入侵者必须破坏加密以解密数据。与访问硬盘驱动器上的未加密数据相比，此过程要复杂得多且消耗资源要多得多。加密静态数据对于数据保护至关重要，这种做法可以降低在以下情况下数据丢失或被盗的可能性：

在大多数情况下，静态加密依赖于对称加密。同一个密钥对数据进行加密和解密，这与非对称加密不同，在非对称加密中，一个密钥扰乱数据（公钥），另一个解密文件（私钥）。当速度和响应能力是首要任务时，安全团队通常会选择对称加密，这通常是静态数据的情况。

不幸的是，数据加密不仅仅是一种防御策略。犯罪分子使用密码学来发动勒索软件攻击，这是一种危险的网络攻击，会加密业务数据并迫使公司为解密密钥支付赎金。即使有强大的响应计划，勒索软件攻击也经常导致永久性数据丢失，这就是为什么许多组织在勒索软件预防策略上投入巨资的原因。

静态加密与传输中的加密

虽然静态加密和传输中的加密都依赖于密码学来保证数据的安全，但这两个过程有很大的不同。下表概述了主要区别：

静态加密

传输中的加密

保护存储的静态数据。

保护从一个位置移动到另一个位置的数据（例如通过Internet、通过专用网络或在服务之间）。

通常依靠对称密钥来确保数据存储保持可接受的速度。

通常使用非对称密钥对动态数据进行额外保护。

数据存储包含比单个传输中数据包更有价值的信息，使这些文件成为黑客的目标。

传输中的文件比静态数据更容易受到攻击，因为在通过Internet发送消息时无法可靠地防止窃听。

保持数据加密，直到一个人（或系统）提供访问数据所需的解密密钥。

在传输之前加密消息并在到达目的地时解密它们。

这两种加密类型并不相互排斥。理想情况下，公司应该依靠静态和传输中的加密来保证业务数据的安全。

公司可以在四个不同级别部署静态数据加密：

全盘加密是保护设备上数据的最安全形式。您只能在新磁盘上使用这种类型的加密，因为加密现有磁盘会在此过程中清除设备。

如果没有静态加密，任何全面的数据保护策略都是不完整的。公司应该通过加密来保护有价值的静态数据，因为这个过程：

加密静态数据也有助于遵守法规要求。很好的例子是支付卡行业数据安全标准(?PCI?)或健康保险流通与责任法案(?HIPAA?)，这两项法规需要健全的静态加密。虽然GDPR和CCPA不是必需的，但静态加密也有助于确保客户数据的隐私。

以下是组织在规划、实施和管理其静态加密策略时应遵循的最佳实践列表。

映射和分类有价值的数据

在部署静态加密（或任何其他类型的安全策略）之前，您应该首先映射您最敏感的公司和客户数据。数据分类因企业而异，但一个很好的起点是确定：

这种分析有助于评估哪些数据需要加密，哪些文件不需要如此高的保护级别。有了这些信息，您就可以开始规划您的加密策略，并将努力与您的业务的独特需求和用例保持一致。

数据分类是一个动态过程，不会在第一次评估后结束。公司应不断重新评估数据的敏感度级别，并相应地重新调整其加密策略。

强大的密钥管理

加密策略仅与您的密钥管理一样可靠和安全。在密钥的整个生命周期（创建、存储、使用、管理和删除）中保持密钥安全至关重要，这就是为什么您应该实施以下密钥管理最佳实践：

设置机密计算

如果您的组织依赖云服务并希望通过加密保护数据，您应该考虑机密计算。这种新的云安全模型通过数据在用保护扩展了静态和传输中的加密，确保了端到端的数据安全。

通过在处理过程中加密工作负载，机密计算甚至进一步降低了泄露或泄漏的风险。该策略的一些主要好处包括：

牢记速度

加密组织中的每条数据并不是一个好的解决方案。解密数据是一个比访问纯文本数据花费更多时间的过程。过多的加密会：

限制您加密的数据量以避免性能问题。例如，如果数据库包含敏感数据和非关键文件，您可以使用选择性加密数据库字段（或行或列）而不是加密所有数据。同样，您应该对密钥大小敏感，因为大密钥可能会导致问题。例如，如果您使用AES对称加密，则不需要对所有数据使用顶级AES256加密。相反，您可以战略性地使用更快的128位和192位AES来保护不太敏感但仍然有价值的信息。

使用全盘加密保护设备

虽然应用程序、文件和数据库级别的加密各有所用，但最安全的做法是依赖全盘加密。全盘加密是最安全的策略，因为即使有人窃取或丢失了包含敏感信息的设备，它也能保护数据。如果您的公司依赖BYOD（自带设备）策略，则对全盘加密的需求变得更加重要。

不要忽视基础设施安全

静态数据加密仅与支持该过程的基础设施一样安全。确保团队运行所有相关的正确补丁：

任何全面的网络安全战略的必备条件

通过正确的策略和健全的密钥管理，公司可以使用静态数据加密来降低数据泄露以及所有相关罚款和收入损失的可能性。除了传输中和使用中的加密，静态数据加密应该是您的网络安全策略的基石。