網(wǎng)絡(luò)通信數(shù)據(jù)傳輸與存儲(chǔ)加密規(guī)范一、概述

網(wǎng)絡(luò)通信數(shù)據(jù)傳輸與存儲(chǔ)加密是保障信息安全的重要手段，旨在防止數(shù)據(jù)在傳輸和存儲(chǔ)過程中被竊取、篡改或泄露。本規(guī)范旨在提供一套系統(tǒng)性的加密方法和管理措施，確保數(shù)據(jù)的機(jī)密性、完整性和可用性。主要內(nèi)容包括加密技術(shù)選擇、密鑰管理、傳輸加密和存儲(chǔ)加密等方面。

二、加密技術(shù)選擇

（一）加密算法

1.選擇對(duì)稱加密算法：

-AES（高級(jí)加密標(biāo)準(zhǔn)）是常用對(duì)稱加密算法，支持128位、192位和256位密鑰長(zhǎng)度。

-DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）因密鑰長(zhǎng)度較短（56位）已較少使用，但可作為參考。

2.選擇非對(duì)稱加密算法：

-RSA（非對(duì)稱加密算法）適用于密鑰交換和數(shù)字簽名，常用密鑰長(zhǎng)度為2048位或4096位。

-ECC（橢圓曲線加密）在相同密鑰長(zhǎng)度下提供更高的安全性，適合資源受限環(huán)境。

（二）加密協(xié)議

1.TLS/SSL協(xié)議：

-用于傳輸層加密，支持證書驗(yàn)證和會(huì)話管理。

-常用版本包括TLS1.2、TLS1.3，推薦使用最新版本。

2.IPsec協(xié)議：

-用于網(wǎng)絡(luò)層加密，支持VPN隧道和遠(yuǎn)程訪問。

-支持AH（認(rèn)證頭）和ESP（封裝安全載荷）兩種模式。

三、密鑰管理

（一）密鑰生成

1.對(duì)稱密鑰生成：

-使用密碼學(xué)安全隨機(jī)數(shù)生成器（CSPRNG）生成密鑰。

-示例：AES-256位密鑰長(zhǎng)度需滿足128位安全強(qiáng)度。

2.非對(duì)稱密鑰生成：

-RSA密鑰生成需計(jì)算模數(shù)、公鑰和私鑰。

-示例：RSA-2048位密鑰需使用大素?cái)?shù)分解法確保安全性。

（二）密鑰存儲(chǔ)

1.安全存儲(chǔ)：

-使用HSM（硬件安全模塊）或加密密鑰存儲(chǔ)設(shè)備。

-限制密鑰訪問權(quán)限，僅授權(quán)可信系統(tǒng)訪問。

2.密鑰輪換：

-定期更換密鑰，建議每6個(gè)月輪換一次對(duì)稱密鑰。

-非對(duì)稱密鑰輪換需考慮證書有效期和業(yè)務(wù)連續(xù)性。

四、傳輸加密

（一）端到端加密

1.加密流程：

(1)發(fā)送方使用接收方的公鑰加密數(shù)據(jù)。

(2)接收方使用私鑰解密數(shù)據(jù)。

(3)示例：郵件傳輸可使用PGP（PrettyGoodPrivacy）加密。

2.優(yōu)化措施：

-使用證書頒發(fā)機(jī)構(gòu)（CA）驗(yàn)證公鑰有效性。

-支持壓縮加密數(shù)據(jù)以降低傳輸帶寬消耗。

（二）隧道加密

1.VPN加密：

-使用IPsec或OpenVPN建立加密隧道。

-示例：企業(yè)內(nèi)部員工遠(yuǎn)程訪問需配置IPsec隧道。

2.協(xié)議選擇：

-SSL/TLS隧道適用于Web應(yīng)用加密，如HTTPS。

-SSH隧道適用于命令行工具加密，如SSH端口轉(zhuǎn)發(fā)。

五、存儲(chǔ)加密

（一）文件系統(tǒng)加密

1.加密方法：

-使用全盤加密（FDE）或文件級(jí)加密（FLE）。

-示例：Windows系統(tǒng)支持BitLocker全盤加密。

2.管理措施：

-加密密鑰與用戶賬戶綁定，實(shí)現(xiàn)多因素認(rèn)證。

-定期審計(jì)加密密鑰使用日志。

（二）數(shù)據(jù)庫加密

1.加密技術(shù)：

-使用透明數(shù)據(jù)加密（TDE）或列級(jí)加密。

-示例：Oracle數(shù)據(jù)庫支持TDE加密存儲(chǔ)數(shù)據(jù)。

2.性能優(yōu)化：

-加密索引需考慮性能影響，避免頻繁寫入操作。

-使用硬件加速加密（如AES-NI指令）提升效率。

六、安全運(yùn)維

（一）加密策略

1.最小權(quán)限原則：

-僅授權(quán)必要人員訪問加密密鑰。

-示例：運(yùn)維人員需通過雙因素認(rèn)證獲取密鑰。

2.審計(jì)與監(jiān)控：

-記錄密鑰使用日志，定期審查訪問行為。

-示例：使用SIEM（安全信息與事件管理）系統(tǒng)監(jiān)控異常操作。

（二）應(yīng)急響應(yīng)

1.密鑰丟失處理：

-建立密鑰恢復(fù)機(jī)制，如使用備份私鑰。

-示例：RSA密鑰丟失需重新生成并通知相關(guān)方。

2.安全漏洞修復(fù)：

-及時(shí)更新加密算法和協(xié)議版本。

-示例：發(fā)現(xiàn)TLS1.2漏洞時(shí)需升級(jí)至TLS1.3。

一、概述

網(wǎng)絡(luò)通信數(shù)據(jù)傳輸與存儲(chǔ)加密是保障信息安全的重要手段，旨在防止數(shù)據(jù)在傳輸和存儲(chǔ)過程中被竊取、篡改或泄露。本規(guī)范旨在提供一套系統(tǒng)性的加密方法和管理措施，確保數(shù)據(jù)的機(jī)密性、完整性和可用性。主要內(nèi)容包括加密技術(shù)選擇、密鑰管理、傳輸加密和存儲(chǔ)加密等方面。通過實(shí)施本規(guī)范，組織可以有效降低信息安全風(fēng)險(xiǎn)，滿足合規(guī)性要求，并提升用戶信任度。規(guī)范覆蓋了從技術(shù)選型到運(yùn)維管理的全生命周期，強(qiáng)調(diào)實(shí)用性和可操作性。

二、加密技術(shù)選擇

（一）加密算法

1.選擇對(duì)稱加密算法：

-AES（高級(jí)加密標(biāo)準(zhǔn)）是目前最廣泛使用的對(duì)稱加密算法，具有高效、安全的特點(diǎn)。

(1)AES-128位：提供256倍次方（2^128）的可能密鑰組合，適合大多數(shù)應(yīng)用場(chǎng)景。

(2)AES-192位：提供65536倍次方（2^192）的可能密鑰組合，提供更高安全性。

(3)AES-256位：提供約1.6億億倍次方（2^256）的可能密鑰組合，被認(rèn)為是當(dāng)前最安全的對(duì)稱加密標(biāo)準(zhǔn)之一。

-DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）因密鑰長(zhǎng)度較短（56位）且計(jì)算速度慢，已被逐漸淘汰，僅適用于特定遺留系統(tǒng)或兼容性需求。

2.選擇非對(duì)稱加密算法：

-RSA（Rivest-Shamir-Adleman）算法基于大數(shù)分解難題，適用于密鑰交換和數(shù)字簽名。

(1)密鑰長(zhǎng)度選擇：常用2048位或4096位。2048位在當(dāng)前計(jì)算能力下被認(rèn)為是安全的，但4096位提供了更長(zhǎng)的有效期，適合長(zhǎng)期密鑰或高安全需求場(chǎng)景。

(2)應(yīng)用場(chǎng)景：常用于HTTPS中的SSL/TLS握手階段，用于服務(wù)器公鑰的分發(fā)和驗(yàn)證。

-ECC（EllipticCurveCryptography，橢圓曲線加密）算法在相同密鑰長(zhǎng)度下提供比RSA更高的安全強(qiáng)度，且計(jì)算效率更高，適合資源受限的環(huán)境。

(1)常用密鑰長(zhǎng)度：256位ECC密鑰的安全強(qiáng)度相當(dāng)于3096位RSA密鑰。

(2)應(yīng)用場(chǎng)景：適用于移動(dòng)設(shè)備、物聯(lián)網(wǎng)設(shè)備等場(chǎng)景，以減少計(jì)算和存儲(chǔ)開銷。

（二）加密協(xié)議

1.TLS/SSL協(xié)議：

-TLS（TransportLayerSecurity）是SSL（SecureSocketsLayer）的后繼協(xié)議，用于在兩個(gè)通信端點(diǎn)之間提供安全通信。

(1)TLS版本選擇：推薦使用TLS1.3版本，因?yàn)樗峁┝烁鼜?qiáng)的安全性（如更強(qiáng)的加密套件、更短的握手時(shí)間）和更好的性能。TLS1.2仍被廣泛使用，但存在已知漏洞，應(yīng)逐步淘汰。TLS1.1和1.0已不推薦使用。

(2)工作流程：TLS握手過程包括客戶端身份驗(yàn)證、服務(wù)器身份驗(yàn)證、密鑰交換和加密套件協(xié)商。

(3)密碼套件：選擇包含AES加密和ECC/DH密鑰交換的密碼套件（如TLS_AES_128_GCM_SHA256）。避免使用弱加密算法（如DES、MD5）。

2.IPsec協(xié)議：

-IPsec（InternetProtocolSecurity）用于在網(wǎng)絡(luò)層提供端到端的加密和認(rèn)證。

(1)主要模式：

-主模式（MainMode）：提供完整的身份驗(yàn)證和加密，需要6個(gè)消息交換，安全性較高，適用于端到端通信。

-快速模式（QuickMode）：僅用于重新協(xié)商安全關(guān)聯(lián)（SA），需要3個(gè)消息交換，效率更高。

(2)承載協(xié)議：IPsec可以承載IP、IPX等協(xié)議，常用于VPN（虛擬專用網(wǎng)絡(luò)）場(chǎng)景。

(3)規(guī)范組件：AH（AuthenticationHeader）提供數(shù)據(jù)完整性驗(yàn)證，ESP（EncapsulatingSecurityPayload）提供數(shù)據(jù)加密和完整性驗(yàn)證。推薦使用ESP模式，因?yàn)樗峁└鼜?qiáng)的安全性。

三、密鑰管理

（一）密鑰生成

1.對(duì)稱密鑰生成：

-使用密碼學(xué)安全隨機(jī)數(shù)生成器（CSPRNG）生成密鑰，確保密鑰的隨機(jī)性和不可預(yù)測(cè)性。

(1)工具選擇：操作系統(tǒng)內(nèi)置的加密庫（如Windows的CryptoAPI、Linux的/dev/urandom或libgcrypt）或?qū)Ｓ肏SM設(shè)備。

(2)密鑰格式：生成后密鑰應(yīng)轉(zhuǎn)換為標(biāo)準(zhǔn)格式（如DER或PEK），并確保在存儲(chǔ)和傳輸過程中的安全性。

2.非對(duì)稱密鑰生成：

-使用密鑰生成算法（如RSA的密鑰派生函數(shù)、ECC的曲線參數(shù)）生成密鑰對(duì)。

(1)算法參數(shù)：生成密鑰時(shí)需選擇安全的素?cái)?shù)（RSA）或曲線參數(shù)（ECC）。

(2)工具選擇：OpenSSL、GNUPG等加密工具庫提供了密鑰生成命令行工具。

（二）密鑰存儲(chǔ)

1.安全存儲(chǔ)：

-使用HSM（HardwareSecurityModule，硬件安全模塊）或TPM（TrustedPlatformModule，可信平臺(tái)模塊）等專用硬件設(shè)備存儲(chǔ)密鑰。

(1)HSM優(yōu)勢(shì)：提供物理隔離、訪問控制、操作日志等功能，防止密鑰被未授權(quán)訪問或復(fù)制。

(2)TPM優(yōu)勢(shì)：集成在主板上，提供平臺(tái)啟動(dòng)認(rèn)證和密鑰存儲(chǔ)功能。

-對(duì)于非專用硬件環(huán)境，應(yīng)使用加密存儲(chǔ)（如使用LUKS加密的磁盤分區(qū)、數(shù)據(jù)庫加密功能）存儲(chǔ)密鑰文件。

(1)文件系統(tǒng)權(quán)限：密鑰文件應(yīng)存儲(chǔ)在受保護(hù)的目錄中，僅授權(quán)給必要的系統(tǒng)賬戶訪問。

(2)文件權(quán)限：設(shè)置嚴(yán)格的文件權(quán)限（如600），防止其他用戶讀取。

2.密鑰輪換：

-定期更換密鑰是減少密鑰泄露風(fēng)險(xiǎn)的關(guān)鍵措施。

(1)輪換頻率：對(duì)稱密鑰建議每6個(gè)月至1年輪換一次；非對(duì)稱密鑰（特別是用于簽名的私鑰）可根據(jù)證書有效期或風(fēng)險(xiǎn)評(píng)估結(jié)果輪換，一般建議每1-2年輪換一次。

(2)輪換流程：制定密鑰輪換計(jì)劃，包括生成新密鑰、替換舊密鑰、更新依賴該密鑰的系統(tǒng)配置、通知相關(guān)方等步驟。

(3)自動(dòng)化工具：使用密鑰管理工具（如HashiCorpVault、AWSKMS）實(shí)現(xiàn)密鑰的自動(dòng)化輪換和生命周期管理。

四、傳輸加密

（一）端到端加密

1.加密流程：

(1)生成密鑰對(duì)：發(fā)送方和接收方各自生成非對(duì)稱密鑰對(duì)（公鑰/私鑰）。

(2)分發(fā)公鑰：發(fā)送方獲取接收方的公鑰（通過證書、安全通道等）。

(3)加密數(shù)據(jù)：發(fā)送方使用接收方的公鑰加密要傳輸?shù)臄?shù)據(jù)（或?qū)ΨQ密鑰）。

(4)傳輸數(shù)據(jù)：將加密后的數(shù)據(jù)通過不安全的網(wǎng)絡(luò)傳輸給接收方。

(5)解密數(shù)據(jù)：接收方使用自己的私鑰解密數(shù)據(jù)，獲取原始信息或?qū)ΨQ密鑰。

(6)示例：郵件加密可使用PGP（PrettyGoodPrivacy）或S/MIME協(xié)議實(shí)現(xiàn)。PGP通過GnuPG工具，S/MIME通過郵件客戶端支持。

2.優(yōu)化措施：

-證書頒發(fā)：使用CA（CertificateAuthority，證書頒發(fā)機(jī)構(gòu)）簽發(fā)的數(shù)字證書來驗(yàn)證公鑰的真實(shí)性，防止中間人攻擊。

(1)證書類型：SSL/TLS證書用于Web服務(wù)器，代碼簽名證書用于軟件分發(fā)，郵件簽名證書用于郵件加密。

-壓縮加密：在加密前對(duì)數(shù)據(jù)進(jìn)行壓縮，可以減少傳輸帶寬的消耗，但需注意壓縮算法本身可能存在的安全風(fēng)險(xiǎn)（如壓縮爆破攻擊）。

(1)常用壓縮算法：Gzip、Zlib等。

（二）隧道加密

1.VPN加密：

-使用IPsec或OpenVPN等協(xié)議建立加密隧道，將所有流量封裝在安全的隧道中傳輸。

(1)IPsecVPN：

-主模式（MainMode）：適用于點(diǎn)對(duì)點(diǎn)或站點(diǎn)到站點(diǎn)連接，需要6個(gè)消息交換建立安全關(guān)聯(lián)（SA）。

-快速模式（QuickMode）：用于已建立SA后的快速重新協(xié)商。

-配置步驟：

a.配置本地和遠(yuǎn)程VPN網(wǎng)關(guān)的IP地址和預(yù)共享密鑰或證書。

b.配置安全策略，指定加密算法（如AES-256）、認(rèn)證算法（如SHA-256）和協(xié)議（ESP）。

c.啟用并啟動(dòng)VPN接口。

(2)OpenVPN：

-優(yōu)點(diǎn)：支持UDP/TCP傳輸、靈活的認(rèn)證方式（用戶名密碼、證書、預(yù)共享密鑰）、可跨平臺(tái)使用。

-配置步驟：

a.生成CA證書、服務(wù)器證書和客戶端證書/密鑰。

b.配置服務(wù)器端和客戶端的OpenVPN配置文件，指定加密算法（如AES-256-CBC）、認(rèn)證方式、端口等。

c.啟動(dòng)OpenVPN服務(wù)器和客戶端，建立連接。

2.協(xié)議選擇：

-SSL/TLS隧道：適用于Web應(yīng)用（HTTPS）、遠(yuǎn)程桌面（HTTPSRDP）、安全文件傳輸（SFTP通過SSL隧道）等場(chǎng)景。

(1)HTTPS：Web瀏覽器與服務(wù)器之間的安全通信標(biāo)準(zhǔn)，使用TLS協(xié)議。

(2)配置要點(diǎn)：

a.服務(wù)器安裝SSL/TLS證書（推薦使用Let'sEncrypt獲取免費(fèi)證書）。

b.配置Web服務(wù)器（如Nginx、Apache）啟用SSL/TLS監(jiān)聽端口，并配置加密套件優(yōu)先級(jí)。

c.客戶端瀏覽器自動(dòng)處理證書驗(yàn)證和TLS握手。

-SSH隧道：使用SSH協(xié)議建立加密通道，可用于命令行工具或傳輸文件。

(1)命令行使用：

-本地端口轉(zhuǎn)發(fā)：`ssh-Llocal_port:remote_host:remote_portuser@ssh_server`（將本地端口的數(shù)據(jù)轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器，通過SSH加密）。

-遠(yuǎn)程端口轉(zhuǎn)發(fā)：`ssh-Rremote_port:local_host:local_portuser@ssh_server`（將遠(yuǎn)程端口的數(shù)據(jù)轉(zhuǎn)發(fā)到本地主機(jī)，通過SSH加密）。

(2)應(yīng)用場(chǎng)景：

-安全地訪問內(nèi)部Web服務(wù)（如`ssh-L8080:localhost:80user@ssh_server`）。

-通過公司網(wǎng)絡(luò)安全訪問外部服務(wù)（如`ssh-R443:external_service:443user@company_gateway`）。

五、存儲(chǔ)加密

（一）文件系統(tǒng)加密

1.加密方法：

-全盤加密（FDE，F(xiàn)ullDiskEncryption）：對(duì)整個(gè)硬盤（包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)）進(jìn)行加密。

(1)實(shí)現(xiàn)方式：

-操作系統(tǒng)級(jí)：如Windows的BitLocker、macOS的FileVault、Linux的LUKS（LinuxUnifiedKeySetup）。

-硬件級(jí)：部分硬盤廠商提供自帶的加密芯片（如IntelAES-NI指令集支持）。

(2)工作原理：數(shù)據(jù)寫入磁盤時(shí)實(shí)時(shí)加密，讀取時(shí)實(shí)時(shí)解密。密鑰通常存儲(chǔ)在安全啟動(dòng)芯片或可移除介質(zhì)（如智能卡）中。

-文件級(jí)加密（FLE，F(xiàn)ile-LevelEncryption）：僅對(duì)特定文件或目錄進(jìn)行加密，而不是整個(gè)磁盤。

(1)實(shí)現(xiàn)方式：

-應(yīng)用級(jí)：如使用加密軟件（如VeraCrypt）創(chuàng)建加密文件容器，或使用支持文件加密的數(shù)據(jù)庫（如SQLServerTransparentDataEncryption）。

-操作系統(tǒng)級(jí)：如Windows的EFS（EncryptingFileSystem）、macOS的FileVault（可擴(kuò)展到文件級(jí)別）。

(2)優(yōu)點(diǎn)：更靈活，按需加密，不影響未加密文件訪問速度。

(3)缺點(diǎn)：管理更復(fù)雜，需要明確哪些文件需要加密。

2.管理措施：

-密鑰綁定：加密密鑰應(yīng)與用戶賬戶或設(shè)備綁定，確保只有授權(quán)用戶才能訪問加密數(shù)據(jù)。

(1)示例：BitLocker密鑰與TPM或恢復(fù)介質(zhì)綁定；EFS密鑰與用戶SID綁定。

-定期審計(jì)：定期檢查加密策略的執(zhí)行情況，確保所有敏感數(shù)據(jù)都按要求加密。

(1)審計(jì)內(nèi)容：加密驅(qū)動(dòng)器列表、加密文件系統(tǒng)設(shè)置、密鑰恢復(fù)請(qǐng)求日志等。

（二）數(shù)據(jù)庫加密

1.加密技術(shù)：

-透明數(shù)據(jù)加密（TDE，TransparentDataEncryption）：在數(shù)據(jù)庫層面自動(dòng)加密存儲(chǔ)在磁盤上的數(shù)據(jù)文件和日志文件。

(1)工作原理：數(shù)據(jù)庫引擎在寫入和讀取數(shù)據(jù)時(shí)自動(dòng)進(jìn)行加密和解密操作，用戶無需修改應(yīng)用程序代碼。

(2)實(shí)現(xiàn)方式：

-SQLServer：使用TDE功能，需要配置加密文件組或文件。

-Oracle：使用TDE功能，需要使用DBMS_CRYPTO包和DBMS_CRYPTO包中的加密函數(shù)。

-PostgreSQL：可以使用pgcrypto擴(kuò)展實(shí)現(xiàn)列級(jí)加密。

-列級(jí)加密（Column-LevelEncryption）：僅對(duì)數(shù)據(jù)庫中的特定列（如密碼、信用卡號(hào)）進(jìn)行加密。

(1)實(shí)現(xiàn)方式：

-應(yīng)用層加密：在應(yīng)用程序中加密數(shù)據(jù)后再存儲(chǔ)到數(shù)據(jù)庫，讀取時(shí)再解密。

-數(shù)據(jù)庫層加密：使用數(shù)據(jù)庫提供的加密函數(shù)對(duì)特定列進(jìn)行加密。

(2)優(yōu)點(diǎn)：僅加密敏感數(shù)據(jù)，性能影響較小。

(3)缺點(diǎn)：需要修改應(yīng)用程序邏輯，管理加密密鑰。

2.性能優(yōu)化：

-索引優(yōu)化：加密索引會(huì)降低查詢性能，應(yīng)謹(jǐn)慎使用。如果必須使用，考慮只對(duì)少量常用查詢列加密。

(1)策略：盡量使用未加密列建立索引，或?qū)用芰惺褂霉Ｋ饕ㄈ绻麛?shù)據(jù)庫支持）。

-硬件加速：利用CPU的加密指令集（如AES-NI）可以顯著提高加密和解密速度。

(1)配置：確保數(shù)據(jù)庫服務(wù)器使用支持AES-NI的CPU，并在數(shù)據(jù)庫配置中啟用硬件加速選項(xiàng)（如SQLServer的“透明數(shù)據(jù)加密”設(shè)置中的“使用硬件加密加速”選項(xiàng)）。

六、安全運(yùn)維

（一）加密策略

1.最小權(quán)限原則：

-密鑰訪問控制：僅授權(quán)必要人員（如系統(tǒng)管理員、安全運(yùn)營(yíng)團(tuán)隊(duì)）訪問加密密鑰。

(1)方法：使用角色基訪問控制（RBAC）或?qū)傩曰L問控制（ABAC），結(jié)合多因素認(rèn)證（MFA）增強(qiáng)訪問安全性。

(2)審計(jì)：記錄所有密鑰訪問和操作日志，定期審查。

-數(shù)據(jù)訪問控制：對(duì)加密數(shù)據(jù)實(shí)施嚴(yán)格的訪問控制，確保用戶只能訪問其授權(quán)的數(shù)據(jù)。

(1)方法：使用基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABAC）或數(shù)據(jù)標(biāo)簽（如DCI標(biāo)簽，區(qū)分?jǐn)?shù)據(jù)所有者、分類、敏感度）。

(2)示例：在數(shù)據(jù)庫中設(shè)置行級(jí)安全策略，根據(jù)用戶角色限制數(shù)據(jù)可見性。

2.審計(jì)與監(jiān)控：

-日志記錄：?jiǎn)⒂盟屑用芟嚓P(guān)組件的詳細(xì)日志記錄，包括密鑰生成、存儲(chǔ)、使用、輪換和刪除操作。

(1)工具：使用SIEM（安全信息與事件管理）系統(tǒng)（如Splunk、ELKStack）收集和分析加密日志。

(2)內(nèi)容：記錄操作者、時(shí)間戳、操作類型、受影響的資源、操作結(jié)果等。

-異常檢測(cè)：配置告警規(guī)則，檢測(cè)異常的加密操作，如深夜的密鑰訪問、大量密鑰輪換請(qǐng)求等。

(1)示例：設(shè)置告警，當(dāng)檢測(cè)到非工作時(shí)間密鑰訪問時(shí)通知安全團(tuán)隊(duì)。

（二）應(yīng)急響應(yīng)

1.密鑰丟失處理：

-預(yù)防措施：確保有可靠的密鑰備份和恢復(fù)機(jī)制。

(1)備份：定期備份密鑰，并將備份存儲(chǔ)在安全、異地、可訪問的位置（如HSM、安全云存儲(chǔ)）。

(2)恢復(fù)流程：制定詳細(xì)的密鑰恢復(fù)操作手冊(cè)，明確恢復(fù)步驟和負(fù)責(zé)人。

-應(yīng)急流程：如果密鑰丟失，立即啟動(dòng)恢復(fù)流程，評(píng)估受影響的數(shù)據(jù)和系統(tǒng)，限制訪問直到密鑰恢復(fù)。

(1)步驟：

a.確認(rèn)密鑰丟失事件，隔離受影響的系統(tǒng)。

b.使用備份密鑰恢復(fù)密鑰。

c.通知所有相關(guān)方（用戶、系統(tǒng)管理員）。

d.重新啟用加密服務(wù)，驗(yàn)證數(shù)據(jù)訪問是否正常。

e.事后分析，改進(jìn)密鑰管理措施。

2.安全漏洞修復(fù)：

-漏洞管理：定期更新加密組件（操作系統(tǒng)、數(shù)據(jù)庫、加密庫、協(xié)議），并及時(shí)應(yīng)用安全補(bǔ)丁。

(1)流程：

a.監(jiān)控安全公告（如CVE數(shù)據(jù)庫、廠商安全公告）。

b.評(píng)估漏洞影響，確定修復(fù)優(yōu)先級(jí)。

c.測(cè)試補(bǔ)丁或升級(jí)方案，確保兼容性。

d.部署補(bǔ)丁，并驗(yàn)證修復(fù)效果。

-協(xié)議升級(jí)：對(duì)于過時(shí)的或不安全的加密協(xié)議（如SSLv3、TLS1.0/1.1），應(yīng)逐步淘汰并強(qiáng)制使用最新版本。

(1)步驟：

a.評(píng)估現(xiàn)有系統(tǒng)對(duì)協(xié)議的兼容性。

b.制定遷移計(jì)劃，分階段禁用舊協(xié)議。

c.通知用戶和系統(tǒng)管理員相關(guān)變更。

d.完全停用舊協(xié)議，并監(jiān)控系統(tǒng)穩(wěn)定性。

-密鑰重新生成：如果發(fā)現(xiàn)使用的加密算法或密鑰存在漏洞，應(yīng)立即重新生成安全的密鑰。

(1)步驟：

a.確定受影響的系統(tǒng)和數(shù)據(jù)。

b.生成新的密鑰對(duì)，確保使用安全的算法和足夠長(zhǎng)的密鑰長(zhǎng)度。

c.更新系統(tǒng)配置，使用新密鑰替換舊密鑰。

d.通知相關(guān)方，并驗(yàn)證系統(tǒng)功能。

一、概述

網(wǎng)絡(luò)通信數(shù)據(jù)傳輸與存儲(chǔ)加密是保障信息安全的重要手段，旨在防止數(shù)據(jù)在傳輸和存儲(chǔ)過程中被竊取、篡改或泄露。本規(guī)范旨在提供一套系統(tǒng)性的加密方法和管理措施，確保數(shù)據(jù)的機(jī)密性、完整性和可用性。主要內(nèi)容包括加密技術(shù)選擇、密鑰管理、傳輸加密和存儲(chǔ)加密等方面。

二、加密技術(shù)選擇

（一）加密算法

1.選擇對(duì)稱加密算法：

-AES（高級(jí)加密標(biāo)準(zhǔn)）是常用對(duì)稱加密算法，支持128位、192位和256位密鑰長(zhǎng)度。

-DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）因密鑰長(zhǎng)度較短（56位）已較少使用，但可作為參考。

2.選擇非對(duì)稱加密算法：

-RSA（非對(duì)稱加密算法）適用于密鑰交換和數(shù)字簽名，常用密鑰長(zhǎng)度為2048位或4096位。

-ECC（橢圓曲線加密）在相同密鑰長(zhǎng)度下提供更高的安全性，適合資源受限環(huán)境。

（二）加密協(xié)議

1.TLS/SSL協(xié)議：

-用于傳輸層加密，支持證書驗(yàn)證和會(huì)話管理。

-常用版本包括TLS1.2、TLS1.3，推薦使用最新版本。

2.IPsec協(xié)議：

-用于網(wǎng)絡(luò)層加密，支持VPN隧道和遠(yuǎn)程訪問。

-支持AH（認(rèn)證頭）和ESP（封裝安全載荷）兩種模式。

三、密鑰管理

（一）密鑰生成

1.對(duì)稱密鑰生成：

-使用密碼學(xué)安全隨機(jī)數(shù)生成器（CSPRNG）生成密鑰。

-示例：AES-256位密鑰長(zhǎng)度需滿足128位安全強(qiáng)度。

2.非對(duì)稱密鑰生成：

-RSA密鑰生成需計(jì)算模數(shù)、公鑰和私鑰。

-示例：RSA-2048位密鑰需使用大素?cái)?shù)分解法確保安全性。

（二）密鑰存儲(chǔ)

1.安全存儲(chǔ)：

-使用HSM（硬件安全模塊）或加密密鑰存儲(chǔ)設(shè)備。

-限制密鑰訪問權(quán)限，僅授權(quán)可信系統(tǒng)訪問。

2.密鑰輪換：

-定期更換密鑰，建議每6個(gè)月輪換一次對(duì)稱密鑰。

-非對(duì)稱密鑰輪換需考慮證書有效期和業(yè)務(wù)連續(xù)性。

四、傳輸加密

（一）端到端加密

1.加密流程：

(1)發(fā)送方使用接收方的公鑰加密數(shù)據(jù)。

(2)接收方使用私鑰解密數(shù)據(jù)。

(3)示例：郵件傳輸可使用PGP（PrettyGoodPrivacy）加密。

2.優(yōu)化措施：

-使用證書頒發(fā)機(jī)構(gòu)（CA）驗(yàn)證公鑰有效性。

-支持壓縮加密數(shù)據(jù)以降低傳輸帶寬消耗。

（二）隧道加密

1.VPN加密：

-使用IPsec或OpenVPN建立加密隧道。

-示例：企業(yè)內(nèi)部員工遠(yuǎn)程訪問需配置IPsec隧道。

2.協(xié)議選擇：

-SSL/TLS隧道適用于Web應(yīng)用加密，如HTTPS。

-SSH隧道適用于命令行工具加密，如SSH端口轉(zhuǎn)發(fā)。

五、存儲(chǔ)加密

（一）文件系統(tǒng)加密

1.加密方法：

-使用全盤加密（FDE）或文件級(jí)加密（FLE）。

-示例：Windows系統(tǒng)支持BitLocker全盤加密。

2.管理措施：

-加密密鑰與用戶賬戶綁定，實(shí)現(xiàn)多因素認(rèn)證。

-定期審計(jì)加密密鑰使用日志。

（二）數(shù)據(jù)庫加密

1.加密技術(shù)：

-使用透明數(shù)據(jù)加密（TDE）或列級(jí)加密。

-示例：Oracle數(shù)據(jù)庫支持TDE加密存儲(chǔ)數(shù)據(jù)。

2.性能優(yōu)化：

-加密索引需考慮性能影響，避免頻繁寫入操作。

-使用硬件加速加密（如AES-NI指令）提升效率。

六、安全運(yùn)維

（一）加密策略

1.最小權(quán)限原則：

-僅授權(quán)必要人員訪問加密密鑰。

-示例：運(yùn)維人員需通過雙因素認(rèn)證獲取密鑰。

2.審計(jì)與監(jiān)控：

-記錄密鑰使用日志，定期審查訪問行為。

-示例：使用SIEM（安全信息與事件管理）系統(tǒng)監(jiān)控異常操作。

（二）應(yīng)急響應(yīng)

1.密鑰丟失處理：

-建立密鑰恢復(fù)機(jī)制，如使用備份私鑰。

-示例：RSA密鑰丟失需重新生成并通知相關(guān)方。

2.安全漏洞修復(fù)：

-及時(shí)更新加密算法和協(xié)議版本。

-示例：發(fā)現(xiàn)TLS1.2漏洞時(shí)需升級(jí)至TLS1.3。

一、概述

網(wǎng)絡(luò)通信數(shù)據(jù)傳輸與存儲(chǔ)加密是保障信息安全的重要手段，旨在防止數(shù)據(jù)在傳輸和存儲(chǔ)過程中被竊取、篡改或泄露。本規(guī)范旨在提供一套系統(tǒng)性的加密方法和管理措施，確保數(shù)據(jù)的機(jī)密性、完整性和可用性。主要內(nèi)容包括加密技術(shù)選擇、密鑰管理、傳輸加密和存儲(chǔ)加密等方面。通過實(shí)施本規(guī)范，組織可以有效降低信息安全風(fēng)險(xiǎn)，滿足合規(guī)性要求，并提升用戶信任度。規(guī)范覆蓋了從技術(shù)選型到運(yùn)維管理的全生命周期，強(qiáng)調(diào)實(shí)用性和可操作性。

二、加密技術(shù)選擇

（一）加密算法

1.選擇對(duì)稱加密算法：

-AES（高級(jí)加密標(biāo)準(zhǔn)）是目前最廣泛使用的對(duì)稱加密算法，具有高效、安全的特點(diǎn)。

(1)AES-128位：提供256倍次方（2^128）的可能密鑰組合，適合大多數(shù)應(yīng)用場(chǎng)景。

(2)AES-192位：提供65536倍次方（2^192）的可能密鑰組合，提供更高安全性。

(3)AES-256位：提供約1.6億億倍次方（2^256）的可能密鑰組合，被認(rèn)為是當(dāng)前最安全的對(duì)稱加密標(biāo)準(zhǔn)之一。

-DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）因密鑰長(zhǎng)度較短（56位）且計(jì)算速度慢，已被逐漸淘汰，僅適用于特定遺留系統(tǒng)或兼容性需求。

2.選擇非對(duì)稱加密算法：

-RSA（Rivest-Shamir-Adleman）算法基于大數(shù)分解難題，適用于密鑰交換和數(shù)字簽名。

(1)密鑰長(zhǎng)度選擇：常用2048位或4096位。2048位在當(dāng)前計(jì)算能力下被認(rèn)為是安全的，但4096位提供了更長(zhǎng)的有效期，適合長(zhǎng)期密鑰或高安全需求場(chǎng)景。

(2)應(yīng)用場(chǎng)景：常用于HTTPS中的SSL/TLS握手階段，用于服務(wù)器公鑰的分發(fā)和驗(yàn)證。

-ECC（EllipticCurveCryptography，橢圓曲線加密）算法在相同密鑰長(zhǎng)度下提供比RSA更高的安全強(qiáng)度，且計(jì)算效率更高，適合資源受限的環(huán)境。

(1)常用密鑰長(zhǎng)度：256位ECC密鑰的安全強(qiáng)度相當(dāng)于3096位RSA密鑰。

(2)應(yīng)用場(chǎng)景：適用于移動(dòng)設(shè)備、物聯(lián)網(wǎng)設(shè)備等場(chǎng)景，以減少計(jì)算和存儲(chǔ)開銷。

（二）加密協(xié)議

1.TLS/SSL協(xié)議：

-TLS（TransportLayerSecurity）是SSL（SecureSocketsLayer）的后繼協(xié)議，用于在兩個(gè)通信端點(diǎn)之間提供安全通信。

(1)TLS版本選擇：推薦使用TLS1.3版本，因?yàn)樗峁┝烁鼜?qiáng)的安全性（如更強(qiáng)的加密套件、更短的握手時(shí)間）和更好的性能。TLS1.2仍被廣泛使用，但存在已知漏洞，應(yīng)逐步淘汰。TLS1.1和1.0已不推薦使用。

(2)工作流程：TLS握手過程包括客戶端身份驗(yàn)證、服務(wù)器身份驗(yàn)證、密鑰交換和加密套件協(xié)商。

(3)密碼套件：選擇包含AES加密和ECC/DH密鑰交換的密碼套件（如TLS_AES_128_GCM_SHA256）。避免使用弱加密算法（如DES、MD5）。

2.IPsec協(xié)議：

-IPsec（InternetProtocolSecurity）用于在網(wǎng)絡(luò)層提供端到端的加密和認(rèn)證。

(1)主要模式：

-主模式（MainMode）：提供完整的身份驗(yàn)證和加密，需要6個(gè)消息交換，安全性較高，適用于端到端通信。

-快速模式（QuickMode）：僅用于重新協(xié)商安全關(guān)聯(lián)（SA），需要3個(gè)消息交換，效率更高。

(2)承載協(xié)議：IPsec可以承載IP、IPX等協(xié)議，常用于VPN（虛擬專用網(wǎng)絡(luò)）場(chǎng)景。

(3)規(guī)范組件：AH（AuthenticationHeader）提供數(shù)據(jù)完整性驗(yàn)證，ESP（EncapsulatingSecurityPayload）提供數(shù)據(jù)加密和完整性驗(yàn)證。推薦使用ESP模式，因?yàn)樗峁└鼜?qiáng)的安全性。

三、密鑰管理

（一）密鑰生成

1.對(duì)稱密鑰生成：

-使用密碼學(xué)安全隨機(jī)數(shù)生成器（CSPRNG）生成密鑰，確保密鑰的隨機(jī)性和不可預(yù)測(cè)性。

(1)工具選擇：操作系統(tǒng)內(nèi)置的加密庫（如Windows的CryptoAPI、Linux的/dev/urandom或libgcrypt）或?qū)Ｓ肏SM設(shè)備。

(2)密鑰格式：生成后密鑰應(yīng)轉(zhuǎn)換為標(biāo)準(zhǔn)格式（如DER或PEK），并確保在存儲(chǔ)和傳輸過程中的安全性。

2.非對(duì)稱密鑰生成：

-使用密鑰生成算法（如RSA的密鑰派生函數(shù)、ECC的曲線參數(shù)）生成密鑰對(duì)。

(1)算法參數(shù)：生成密鑰時(shí)需選擇安全的素?cái)?shù)（RSA）或曲線參數(shù)（ECC）。

(2)工具選擇：OpenSSL、GNUPG等加密工具庫提供了密鑰生成命令行工具。

（二）密鑰存儲(chǔ)

1.安全存儲(chǔ)：

-使用HSM（HardwareSecurityModule，硬件安全模塊）或TPM（TrustedPlatformModule，可信平臺(tái)模塊）等專用硬件設(shè)備存儲(chǔ)密鑰。

(1)HSM優(yōu)勢(shì)：提供物理隔離、訪問控制、操作日志等功能，防止密鑰被未授權(quán)訪問或復(fù)制。

(2)TPM優(yōu)勢(shì)：集成在主板上，提供平臺(tái)啟動(dòng)認(rèn)證和密鑰存儲(chǔ)功能。

-對(duì)于非專用硬件環(huán)境，應(yīng)使用加密存儲(chǔ)（如使用LUKS加密的磁盤分區(qū)、數(shù)據(jù)庫加密功能）存儲(chǔ)密鑰文件。

(1)文件系統(tǒng)權(quán)限：密鑰文件應(yīng)存儲(chǔ)在受保護(hù)的目錄中，僅授權(quán)給必要的系統(tǒng)賬戶訪問。

(2)文件權(quán)限：設(shè)置嚴(yán)格的文件權(quán)限（如600），防止其他用戶讀取。

2.密鑰輪換：

-定期更換密鑰是減少密鑰泄露風(fēng)險(xiǎn)的關(guān)鍵措施。

(1)輪換頻率：對(duì)稱密鑰建議每6個(gè)月至1年輪換一次；非對(duì)稱密鑰（特別是用于簽名的私鑰）可根據(jù)證書有效期或風(fēng)險(xiǎn)評(píng)估結(jié)果輪換，一般建議每1-2年輪換一次。

(2)輪換流程：制定密鑰輪換計(jì)劃，包括生成新密鑰、替換舊密鑰、更新依賴該密鑰的系統(tǒng)配置、通知相關(guān)方等步驟。

(3)自動(dòng)化工具：使用密鑰管理工具（如HashiCorpVault、AWSKMS）實(shí)現(xiàn)密鑰的自動(dòng)化輪換和生命周期管理。

四、傳輸加密

（一）端到端加密

1.加密流程：

(1)生成密鑰對(duì)：發(fā)送方和接收方各自生成非對(duì)稱密鑰對(duì)（公鑰/私鑰）。

(2)分發(fā)公鑰：發(fā)送方獲取接收方的公鑰（通過證書、安全通道等）。

(3)加密數(shù)據(jù)：發(fā)送方使用接收方的公鑰加密要傳輸?shù)臄?shù)據(jù)（或?qū)ΨQ密鑰）。

(4)傳輸數(shù)據(jù)：將加密后的數(shù)據(jù)通過不安全的網(wǎng)絡(luò)傳輸給接收方。

(5)解密數(shù)據(jù)：接收方使用自己的私鑰解密數(shù)據(jù)，獲取原始信息或?qū)ΨQ密鑰。

(6)示例：郵件加密可使用PGP（PrettyGoodPrivacy）或S/MIME協(xié)議實(shí)現(xiàn)。PGP通過GnuPG工具，S/MIME通過郵件客戶端支持。

2.優(yōu)化措施：

-證書頒發(fā)：使用CA（CertificateAuthority，證書頒發(fā)機(jī)構(gòu)）簽發(fā)的數(shù)字證書來驗(yàn)證公鑰的真實(shí)性，防止中間人攻擊。

(1)證書類型：SSL/TLS證書用于Web服務(wù)器，代碼簽名證書用于軟件分發(fā)，郵件簽名證書用于郵件加密。

-壓縮加密：在加密前對(duì)數(shù)據(jù)進(jìn)行壓縮，可以減少傳輸帶寬的消耗，但需注意壓縮算法本身可能存在的安全風(fēng)險(xiǎn)（如壓縮爆破攻擊）。

(1)常用壓縮算法：Gzip、Zlib等。

（二）隧道加密

1.VPN加密：

-使用IPsec或OpenVPN等協(xié)議建立加密隧道，將所有流量封裝在安全的隧道中傳輸。

(1)IPsecVPN：

-主模式（MainMode）：適用于點(diǎn)對(duì)點(diǎn)或站點(diǎn)到站點(diǎn)連接，需要6個(gè)消息交換建立安全關(guān)聯(lián)（SA）。

-快速模式（QuickMode）：用于已建立SA后的快速重新協(xié)商。

-配置步驟：

a.配置本地和遠(yuǎn)程VPN網(wǎng)關(guān)的IP地址和預(yù)共享密鑰或證書。

b.配置安全策略，指定加密算法（如AES-256）、認(rèn)證算法（如SHA-256）和協(xié)議（ESP）。

c.啟用并啟動(dòng)VPN接口。

(2)OpenVPN：

-優(yōu)點(diǎn)：支持UDP/TCP傳輸、靈活的認(rèn)證方式（用戶名密碼、證書、預(yù)共享密鑰）、可跨平臺(tái)使用。

-配置步驟：

a.生成CA證書、服務(wù)器證書和客戶端證書/密鑰。

b.配置服務(wù)器端和客戶端的OpenVPN配置文件，指定加密算法（如AES-256-CBC）、認(rèn)證方式、端口等。

c.啟動(dòng)OpenVPN服務(wù)器和客戶端，建立連接。

2.協(xié)議選擇：

-SSL/TLS隧道：適用于Web應(yīng)用（HTTPS）、遠(yuǎn)程桌面（HTTPSRDP）、安全文件傳輸（SFTP通過SSL隧道）等場(chǎng)景。

(1)HTTPS：Web瀏覽器與服務(wù)器之間的安全通信標(biāo)準(zhǔn)，使用TLS協(xié)議。

(2)配置要點(diǎn)：

a.服務(wù)器安裝SSL/TLS證書（推薦使用Let'sEncrypt獲取免費(fèi)證書）。

b.配置Web服務(wù)器（如Nginx、Apache）啟用SSL/TLS監(jiān)聽端口，并配置加密套件優(yōu)先級(jí)。

c.客戶端瀏覽器自動(dòng)處理證書驗(yàn)證和TLS握手。

-SSH隧道：使用SSH協(xié)議建立加密通道，可用于命令行工具或傳輸文件。

(1)命令行使用：

-本地端口轉(zhuǎn)發(fā)：`ssh-Llocal_port:remote_host:remote_portuser@ssh_server`（將本地端口的數(shù)據(jù)轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器，通過SSH加密）。

-遠(yuǎn)程端口轉(zhuǎn)發(fā)：`ssh-Rremote_port:local_host:local_portuser@ssh_server`（將遠(yuǎn)程端口的數(shù)據(jù)轉(zhuǎn)發(fā)到本地主機(jī)，通過SSH加密）。

(2)應(yīng)用場(chǎng)景：

-安全地訪問內(nèi)部Web服務(wù)（如`ssh-L8080:localhost:80user@ssh_server`）。

-通過公司網(wǎng)絡(luò)安全訪問外部服務(wù)（如`ssh-R443:external_service:443user@company_gateway`）。

五、存儲(chǔ)加密

（一）文件系統(tǒng)加密

1.加密方法：

-全盤加密（FDE，F(xiàn)ullDiskEncryption）：對(duì)整個(gè)硬盤（包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)）進(jìn)行加密。

(1)實(shí)現(xiàn)方式：

-操作系統(tǒng)級(jí)：如Windows的BitLocker、macOS的FileVault、Linux的LUKS（LinuxUnifiedKeySetup）。

-硬件級(jí)：部分硬盤廠商提供自帶的加密芯片（如IntelAES-NI指令集支持）。

(2)工作原理：數(shù)據(jù)寫入磁盤時(shí)實(shí)時(shí)加密，讀取時(shí)實(shí)時(shí)解密。密鑰通常存儲(chǔ)在安全啟動(dòng)芯片或可移除介質(zhì)（如智能卡）中。

-文件級(jí)加密（FLE，F(xiàn)ile-LevelEncryption）：僅對(duì)特定文件或目錄進(jìn)行加密，而不是整個(gè)磁盤。

(1)實(shí)現(xiàn)方式：

-應(yīng)用級(jí)：如使用加密軟件（如VeraCrypt）創(chuàng)建加密文件容器，或使用支持文件加密的數(shù)據(jù)庫（如SQLServerTransparentDataEncryption）。

-操作系統(tǒng)級(jí)：如Windows的EFS（EncryptingFileSystem）、macOS的FileVault（可擴(kuò)展到文件級(jí)別）。

(2)優(yōu)點(diǎn)：更靈活，按需加密，不影響未加密文件訪問速度。

(3)缺點(diǎn)：管理更復(fù)雜，需要明確哪些文件需要加密。

2.管理措施：

-密鑰綁定：加密密鑰應(yīng)與用戶賬戶或設(shè)備綁定，確保只有授權(quán)用戶才能訪問加密數(shù)據(jù)。

(1)示例：BitLocker密鑰與TPM或恢復(fù)介質(zhì)綁定；EFS密鑰與用戶SID綁定。

-定期審計(jì)：定期檢查加密策略的執(zhí)行情況，確保所有敏感數(shù)據(jù)都按要求加密。

(1)審計(jì)內(nèi)容：加密驅(qū)動(dòng)器列表、加密文件系統(tǒng)設(shè)置、密鑰恢復(fù)請(qǐng)求日志等。

（二）數(shù)據(jù)庫加密

1.加密技術(shù)：

-透明數(shù)據(jù)加密（TDE，TransparentDataEncryption）：在數(shù)據(jù)庫層面自動(dòng)加密存儲(chǔ)在磁盤上的數(shù)據(jù)文件和日志文件。

(1)工作原理：數(shù)據(jù)庫引擎在寫入和讀取數(shù)據(jù)時(shí)自動(dòng)進(jìn)行加密和解密操作，用戶無需修改應(yīng)用程序代碼。

(2)實(shí)現(xiàn)方式：

-SQLServer：使用TDE功能，需要配置加密文件組或文件。

-Oracle：使用TDE功能，需要使用DBMS_CRYPTO包和DBMS_CRYPTO包中的加密函數(shù)。

-PostgreSQL：可以使用pgcrypto擴(kuò)展實(shí)現(xiàn)列級(jí)加密。

-列級(jí)