分析常见的数据存储加密技术（上）

大家好，欢迎来到IT知识分享网。

前 言

如今全球范围内的数据泄露事件不断发生，面对新的安全挑战与新的合规要求，政企单位的内部安全防护体系正在从“以网络为中心的安全”，升级到“以数据为中心的安全”，数据存储加密技术的应用成为大势所趋。下面将带大家了解常见的数据存储加密技术都有哪些：

DLP终端加密

原理：

DLP终端加密技术，目的是管理企业终端上的敏感数据，其原理是在受管控的终端上安装代理程序，由代理程序与后台管理平台交互，并结合企业的数据管理要求和分级分类策略，对下载到终端的敏感数据进行加密，从而将加密应用到企业数据的日常流转和存储中。信息被读取到内存中时会进行解密，而未授权复制到管控范围外则是密文形式，主要适用于非结构化数据的保护。

应用场景：

DLP终端加密技术主要适用于企业终端数据的安全管理，在原有安全防护能力之上，可有效增强以下场景的数据防护能力：

1. 操作失误或无意识外发导致技术数据泄露；

2. 通过打印、剪切、复制、粘贴、另存为、重命名等操作泄露数据；

3. 离职人员通过U盘、移动硬盘等方式随意拷走机密资料；

4. 移动笔记本被盗、丢失或维修等造成数据泄露。

CASB代理网关

原理：

CASB代理网关是一种委托式安全代理技术，将网关部署在目标应用的客户端和服务端之间，无需改造目标应用，只需通过适配目标应用，对客户端请求进行解析，并分析出其包含的敏感数据，结合用户身份，并根据设置的安全策略对请求进行脱敏等访问控制，可针对结构化数据和非结构化数据同时进行安全管控。

应用场景：

随着云的普及，传统的IT架构正在发生变化。企业很多业务系统都托管在云服务商处，日常的很多工作，比如HR、社保、报销、OA等工作事务的管理都有相应的SaaS服务可以采用，企业想要享受便捷的云服务，又不想失去对自身数据的控制权，则可以采用CASB代理网关技术。例如，最常见的一种安全防护场景是：能够识别出一个用户访问云资源是使用的私人账号还是企业账号，以防止敏感数据从企业资源转移到私人资源。

应用内加密（集成密码SDK）

原理：

应用内加密（集成密码SDK）是指应用系统通过开发改造的方式，与封装了加密业务逻辑的密码SDK进行集成，并调用其加解密接口，使目标应用系统具备数据加密防护能力。

应用场景：
通常情况下，当应用系统仅对数量有限的敏感数据存在加密需求时，适用于使用应用内加密（集成密码SDK）技术。这里主要包含场景：需要加密处理的敏感数据代码逻辑在业务系统中分布不多，或者需要加密处理的敏感数据对应的表或字段相对较少。