加密標準

標準衍生自您的政策。這些範圍較窄，有助於定義實作的架構和架構。例如，如果您組織的政策是加密靜態資料，則標準會定義所需的加密類型，並提供有關如何遵守政策的一般指示。

加密標準通常會指定下列項目：

• 應使用的加密類型

• 加密金鑰的最低規格

• 誰有權存取加密金鑰

• 應存放加密金鑰的位置

• 選擇加密或雜湊技術時，選擇適當金鑰強度的條件

• 金鑰輪換頻率

雖然您很少需要更新加密政策，但加密標準可能會有所變更。網路安全產業不斷發展，以滿足不斷變化的威脅態勢。因此，您的標準應變更為採用最新的技術和最佳實務，以便為企業資料提供最佳的保護。

在企業組織中，副總裁、主管或資料管理員通常會定義加密標準，而合規主管通常會審查和核准加密標準。

在您的組織中定義和維護加密標準時，請考慮以下幾類因素：

• 成本和效能考量

• 金鑰存取控制

• 加密類型

• 加密金鑰規格

• 金鑰儲存位置

成本和效能考量

在判斷靜態資料的加密標準時，請考慮下列操作因素：

• 可用的硬體資源必須能夠大規模支援您的標準。

• 加密成本會根據金鑰的長度、資料量，以及執行加密所需的時間而有所不同。例如，與對稱加密相比，非對稱加密使用較長的金鑰，需要更多時間。

• 考慮企業應用程式的效能需求。如果您的應用程式需要低延遲和高輸送量，則您可能想要使用對稱加密。

金鑰存取控制

根據最低權限原則識別加密金鑰的存取控制政策。最低權限是授予使用者執行工作職能所需的最低存取權的安全最佳實務。在您的標準中，定義存取控制政策：

• 識別管理金鑰加密金鑰和資料金鑰的角色。

• 定義金鑰許可並將其對應至角色。例如，它會定義誰具有金鑰管理員權限，以及誰具有 和金鑰使用者權限。金鑰管理員可以建立或修改金鑰加密金鑰，而金鑰使用者可以加密和解密資料並產生資料金鑰。

加密類型

在您的標準中，定義哪些加密類型和功能適合您的組織：

• 記錄何時使用對稱和非對稱加密演算法。如需詳細資訊，請參閱常見問答集何時需要非對稱加密？一節中的 何時需要對稱加密？和 。

• 決定您是否應使用信封加密，並定義情況。如需詳細資訊，請參閱常見問答集一節何時需要信封加密？中的 。

• 定義何時使用加密替代方案的條件，例如權杖化和雜湊。

加密金鑰規格

定義加密金鑰的必要規格，例如金鑰強度和演算法。這些規格必須符合 政策中定義的法規和合規機制。請考慮定義下列規格：

• 定義對稱和非對稱加密類型的最小金鑰強度和演算法。金鑰強度的因素包括長度、隨機性和唯一性。

• 定義何時要實作新版本的加密演算法。例如，您的標準可能狀態為在發行後的 30 天內實作最新版本的演算法，或一律使用比最新版本舊的版本。

• 定義輪換加密金鑰的間隔。

金鑰儲存位置

在您的標準中，決定要存放加密金鑰的位置時，請考慮下列事項：

• 合規和法規要求可能會決定您的加密金鑰可存放的位置。

• 決定您要將金鑰存放在集中位置，還是使用其對應的資料。如需詳細資訊，請參閱常見問答集為什麼我應該集中管理加密金鑰？一節中的 。

• 如果您選擇集中式儲存，請決定要將金鑰存放在企業受管基礎設施中，例如硬體安全模組 (HSM) 或受管服務供應商，例如 AWS Key Management Service。如需詳細資訊，請參閱常見問答集何時需要使用硬體安全模組 (HSM)？一節中的 。