早就应该而且越来越需要
几年前,我开始撰写和讨论即将出现的数据加密管理问题。我对问题的看法是正确的,但在时机上有点激进。然而,根据我最近看到的情况,加密管理的天空可能最终会下降(或者至少开始下降)。
让我对眼前的问题更具体一点。在过去的5-7年中,大型组织开始认真地加密数据。监管合规是一个重要驱动因素,而公开披露的违规行为只会火上浇油。在这种情况下,CPU性能提高,加密处理器价格降低。这些技术和经济趋势有助于消除关于加密的传统污名——它成本太高,性能太高。更快/更便宜的加密技术导致了加密集成(即磁带驱动器、网络设备、磁盘驱动器等中的加密处理器)。瞧,所有技术中都有更多的加密。
快进到2012年,加密技术以各种形式在整个企业中部署。朋友们,这就是问题所在。风险/合规官、安全专业人员和职能IT人员独立行动,并在临时基础上实施加密技术——没有标准,没有集中的指挥和控制,没有一致的监控和审计——nada。
这种战术方法在冗余任务和流程周围产生了明显的操作问题,但这里还有一个更大的问题,源于无序、非正式和随意的密钥管理。Thik CIA(即机密性、完整性和可用性)。加密数据是保密的,但如果每个人都知道一个加密密钥,则可以轻松解密。在这种情况下,数据的完整性很容易受到损害。最后,如果密钥管理服务器受到攻击和损坏,请永远告别您的数据。
因此,我们需要:
- 1.中央策略管理/指挥和控制/密钥管理
- 2.分布式无中断加密实施
- 3.正式记录的关键管理最佳实践
在技术方面,我们想到了PGP(赛门铁克)、泰雷兹和Vormetric等供应商,但即使是最先进的企业也常常忽略关键管理最佳实践。NIST和PCI指南可能在这里有所帮助。
我毫不怀疑,未来大多数企业数据将在整个技术堆栈中进行加密。在这种情况下,CIO和CISO需要尽快制定企业加密策略。取而代之的是,数据并不像他们认为的那样安全。
本文:https://www.csoonline.com/article/2221916/it-s-time-for-an-enterprise-e…
- 登录 发表评论