5、云环境下的数据与资产安全管理

云环境下的数据与资产安全管理

1. 量子安全加密

量子计算机在某些任务上预计比经典计算机表现更出色，而其中一些任务对加密安全有着重要影响。例如，若能快速分解大数字，就能破解重要的加密算法。尽管目前量子计算机还无法实施此类攻击，但攻击者可能会提前收集加密数据，待未来有能力时再进行解密。因此，业界正积极推动在实际攻击可行之前，转向使用量子安全算法。

数据传输过程中的加密算法面临的风险最大，未来的TLS版本有望采用量子安全算法。虽然在可预见的未来，通过AES - 256对静态数据进行加密是安全的，但许多方案使用非量子安全算法来加密AES对称密钥。这样做是为了让多个用户能使用同一密钥，而无需用不同AES密钥对数据进行多次加密。然而，采用这种方式的产品需要更新，使用量子安全算法重新加密AES密钥，否则静态数据也可能面临风险。

为了更深入了解量子安全加密，可参考正在开发中的NIST SP 1800 - 38。在设计系统时，采用深度防御策略很有帮助。例如，设计系统时要确保即使加密数据在无密钥的情况下公开，理论上也无人能读取。此外，要尽可能保护加密数据，以防假设情况不成立时，数据仍能保持安全。

1.1 云策略规划中的数据管理

在规划云策略时，需要明确自己拥有的数据，包括明显和不明显的数据。根据攻击者读取、修改或删除数据对自身造成的影响，对各类数据进行分类。在组织内部就“标签标准”中使用的标签达成一致，并利用云提供商提供的标签功能，对包含数据的资源进行标记。

如果可能，应在创建存储数据的云资源之前确定加密策略，因为后期更改可能会很困难。大多数情况下，应使用云提供商的密钥管理系统来管理加密密钥，并在数据库和存储服务中使用内置加密。对于非