在当今数字化和信息化高度融合的时代,网络安全的重要性日益凸显。加密技术作为保障数据安全和数字信任的基石,其稳定性和可靠性直接影响到企业乃至整个社会的信息安全。近日,来自汇丰银行、赛勒斯以及InfoSec Global的多位安全与金融服务领域专家发出严正警告,称传统的加密基础设施正“摇摇欲坠”,难以满足现代数字经济的安全需求。多位权威专家,包括安全套接层(SSL)协议设计者Taher Elgamal在内,均指出现有加密体系多为三十多年前设计,面对如今复杂多变的数字环境,已经显得捉襟见肘,不仅存在配置错误导致安全漏洞,更难以抵御量子计算带来的未来威胁。 随着量子计算技术的飞速发展,传统公钥加密体系面临着被攻破的潜在风险,预测显示量子计算在未来五至十五年内可能具备破解大部分现有加密方法的能力。例如“存储后解密”攻击(store-now-decrypt-later),黑客今日窃取加密数据,待量子计算技术成熟后解密利用,对企业和个人隐私安全构成巨大威胁。
面对这样严峻的安全形势,专家呼吁全球网络安全领域要尽快适应新形势,更新和强化加密方案。 为有效应对当前及未来的安全挑战,业界专家建议企业首要任务是建立全面的加密资产清单。这不仅仅是列出所使用的软件组件中的加密功能,更要动态监控加密资产在企业环境中的实际配置与使用情况。兼顾本地部署、云端服务、第三方系统的复杂生态,建立准确的加密库和管理体系,是确保加密安全的关键。自动化发现工具结合网络安全专家的专业判断,依托管理层的有力支持,是实施加密资产管理的最佳路径。 此外,管理加密资产也需视为核心的商业议题。
信息安全主管(CISO)和信息主管(CIO)必须能够用财务语言与董事会沟通加密风险,将技术问题转化为影响资产负债表与业务运营的风险因素。只有这样,安全投入才能获得足够的关注和资源支持。加密风险管理的价值,在于其对降低财务风险、规避运营风险以及为风险缓解提供实用洞察的贡献。企业如果忽视加密管理,可能面临数据保护法如欧盟通用数据保护条例(GDPR)的罚款,甚至影响声誉和网络保险的获得。 明确责任也是实现加密资产有效管理的关键。建议通过RACI矩阵定义职责,将CISO或CIO指定为加密管理的最终责任人。
虽然部分加密管理功能可以外包,但风险终究属于企业自己。加密必须成为企业的战略资产和关键基础设施,确保安全策略得到持续落实和更新。 除了传统加密体系本身的问题,技术更新的速度与合规要求也给企业带来了巨大压力。随着后量子密码学(PQC)研究的推进,业界正积极探索适应量子计算威胁的新型加密算法。微软等科技巨头已经开始将PQC算法集成到其基础安全产品中,促进企业提前布局量子安全架构。此外,推动加密灵活性和敏捷性变得尤为重要。
企业应超越“必须使用加密”的理念,转向“必须使用适当且安全的加密”,实现加密方案的动态调整与优化,以应对不断变化的威胁和业务需求。 数字经济的增长对加密基础设施提出了更高的要求。金融、医疗、物联网等领域数据敏感度高,加密技术是保护个人隐私和保障业务安全的关键屏障。若不能及时升级和强化加密体系,不仅可能导致数据泄露、业务中断,更可能动摇整个数字信任体系的根基。 业内专家强调,企业不仅要意识到量子计算带来的挑战,还应重视现有加密技术的配置和使用是否符合最佳实践;对加密资产进行全面评估、实时监控以及风险分析,对于构建坚实的安全防护体系至关重要。与此同时,强化跨部门合作、提升员工安全意识、完善加密政策,也都是保障加密安全不可或缺的环节。
随着技术演进和威胁升级,加密基础设施的衰老和脆弱性将更加凸显。企业唯有积极调整安全策略,加快部署新一代加密技术,建立科学高效的管理体系,才能真正守护数字资产安全,应对瞬息万变的网络威胁环境。未来的数字世界需要更健壮、更灵活、更智能的加密基础设施作为坚实支撑,行业专家呼吁全球企业和安全社区共同努力,拥抱变革,迎接挑战,确保数字信任不被侵蚀。
