企业加密系统在企业中有三个基本的部署方向,分别是存储、传输和认证。因为互联网并非可信传输渠道,有可能存在监听、拦截和恶意修改等多种威胁,因此传输方向为企业对加密系统需求最大的方向。随着企业内部对本地数据安全的日益重视,存储方面尤其是移动设备的存储在加密市场也越来越热,大有后来居上的势头。
存储方面
加密系统的主要作用是通过加密来保证敏感数据不被未授权者访问和通过Hash算法保证数据的完整性,加密常用的算法是3DES/Blowfish/AES,在操作的数据量比较小时,也常常采用RSA等分对称加密算法,校验常用的算法是MD5。目前市场上常见的产品包括软件实现的对特定目标(文件、文件夹、数据库等)和全盘加密,如商业的PGP、开源的TrueCrypt、GPG等,及集成加密芯片的加密存储设备,如Seagate等厂商的产品。
传输方面
加密系统的主要作用是保证用户传输的数据在非可信传输渠道传输时不受攻击者的威胁,并保证传输数据的完整性和真实性。应用在这方面的加密系统比用在存储方面的更复杂一些,还需要考虑密钥的分发问题,所以传输方面的加密系统的一种常见形式是同时使用对称加密和非对称加密算法,先通过非对称加密来加密分发对称加密的密钥,再用对称加密的方法来保证数据处理和传输的速度。另外,用在传输方面的加密系统还按连接加密的网络层次分为连接加密和端对端加密,连接加密会把特定数据连接的所有数据进行加密,通常用在有较高安全级别的通讯中,端对端加密则只加密数据本身,包括路由信息等网络数据并不进行加密,它更适合用在互联网等安全级别较低的场合。用在传输方面的加密系统包括软件实现的各种加密隧道如SSH、IPsec、VPN等、应用级别的端对端加密如PGP、HTTPS、SMIME、PEM等,硬件方面则有各种带VPN功能的防火墙、带加密功能的网卡等。
认证方面
加密系统的主要作用是确认信息发送者的身份、校验收到信息的完整性以及提供不可否认性。这些功能的实现依赖于非对称加密和Hash算法的结合使用,以公钥对比对方私钥的签名来确认信息发送者的身份,用Hash算法对信息进行校验。目前认证方面的加密系统以软件实现为主,如各种PKI、PGP、GPG等,少量的加密系统实现中还使用写入私钥或安全证书的智能卡、闪存等来增加加密系统的安全性。