Tôi cảm thấy rằng không ai trong nhóm tôi làm việc, kể cả bản thân tôi, thực sự tìm hiểu về mã hóa và bảo mật, hoặc lý do đằng sau việc đưa ra quyết định nhất định. Ví dụ, gần đây chúng tôi đã có một cuộc trò chuyện về mã hóa dữ liệu mà chúng tôi xử lý cho một nhóm khác mà chúng tôi làm việc cùng - dữ liệu kết thúc trong cơ sở dữ liệu trên mạng công ty bảo mật của chúng tôi (Tôi làm việc trong một nhóm nhỏ trong một công ty phần mềm lớn, vì vậy tính toàn vẹn của mạng công ty rất cao), cùng với mọi thứ khác mà chúng tôi xử lý. Tất nhiên, hướng dẫn tiêu chuẩn yêu cầu "mã hóa" dữ liệu này.
Rõ ràng, điều đó có thể có nghĩa là nhiều thứ - IPSec / kết nối được mã hóa, tập tin được mã hóa, mã hóa được triển khai trong DB (toàn bộ DB hoặc cột), mã hóa các bit thực tế trong tệp, v.v. - và một số người trong nhóm nằm dưới ấn tượng rằng loại mã hóa duy nhất thực sự được tính là mã hóa trực tiếp các bit được lưu trữ, lập luận rằng mọi thứ khác quá dễ dàng để phá vỡ - "nếu DB được mã hóa, tôi vẫn có thể đăng nhập vào đó và xem dữ liệu ở đó; nếu chia sẻ tệp được mã hóa, miễn là tôi có quyền đối với thư mục, tôi chỉ có thể lấy tệp đó, nhưng nếu các bit được mã hóa trực tiếp, tôi sẽ không thể đọc được ". Bản năng của tôi nói rằng tuyên bố đó dựa trên sự hiểu biết hạn chế: họ có thể thấy mình đăng nhập vào SQL Server Management Studio để xem dữ liệu, nhưng vì họ không biết cách lấy một luồng hoặc mảng dữ liệu được mã hóa và sử dụng chứng chỉ mà họ có thể có quyền truy cập để giải mã nó, nên có thể an toàn. Họ có đúng không? Tôi có đúng không Không ai có vẻ thực sự biết, vì vậy các quyết định có được dựa trên ý kiến của người được trả lương cao nhất hoặc cao nhất.
Dù sao, đó chỉ là một ví dụ mở rộng về những gì tôi đang nói. Tôi cảm thấy như đó là người mù dẫn dắt người mù ở đây, với những quyết định dựa trên sự hiểu biết hạn chế, và điều đó thật khó chịu. Tôi không phải là chuyên gia về các bit kỹ thuật của mã hóa, nhưng tôi biết cách sử dụng các thư viện tiêu chuẩn để mã hóa các luồng và mảng và tương tự - nơi tôi thực sự cần nhiều kiến thức hơn về kiến trúc bảo mật dữ liệu và thông tin mà tôi có thể dựa trên các quyết định như ở trên. Tôi có thể đọc về loại công cụ này ở đâu?