私が所属するグループの誰も、私も含めて、暗号化とセキュリティ、または特定の決定を行う背後にある理由を実際に理解していないと感じています。たとえば、私たちは最近、私たちが扱う別のグループのために処理するデータの暗号化について会話しました。したがって、企業ネットワークの整合性は非常に高いです)、私たちが扱う他のすべてと一緒に。もちろん、標準のガイドラインでは、このデータの「暗号化」を求めています。
明らかに、それは多くのことを意味する可能性があります-IPSec /暗号化された接続、暗号化されたファイル共有、DBに実装された暗号化(DB全体または列)、ファイル内の実際のビットの暗号化など-およびグループの一部の人々は実際にカウントされる唯一の種類の暗号化は、格納されているビットを直接暗号化することであるという印象です。議論は、他のすべては簡単に回避できるというものです-「DBが暗号化されている場合でも、ログインしてそこにデータを表示できます。ファイル共有が暗号化されている場合は、フォルダーへのアクセス許可がある限り、ファイルを取得できますが、ビットが直接暗号化されている場合は読み取ることができません。」私の本能は、そのステートメントは限られた理解に基づいていると言います:彼らはSQL Server Management Studioにログインしてデータを見ることができ、しかし、暗号化されたデータのストリームまたは配列を取得し、おそらくそれを解読するためにアクセスできる証明書を使用する方法を彼らは知らないので、それはおそらく安全です。彼らは正しいですか?私は正しいですか?誰も本当に知っているようには見えないので、決定は最も声の大きい人や最も高額な人の意見に基づいて行われます。
とにかく、それは私が話していることの単なる拡張例です。私は、ここでブラインドをリードしているブラインドであり、限られた理解に基づいて決定を下しているように感じ、それはイライラさせられます。私は暗号化の技術的なビットについては専門家ではありませんが、標準ライブラリを使用してストリームやアレイなどを暗号化する方法を知っています-データセキュリティの設計と、そのような決定の基礎となる情報についての知識が本当に必要な場合は、上記。この種のものについてどこで読むことができますか?