Saya merasa bahwa tidak ada seorang pun di grup tempat saya bekerja, termasuk saya, benar-benar menyukai enkripsi dan keamanan, atau alasan di balik membuat keputusan tertentu. Misalnya, kami baru-baru ini melakukan percakapan mengenai enkripsi data yang kami tangani untuk kelompok lain yang bekerja dengan kami - data tersebut berakhir di database yang ada di jaringan perusahaan aman kami (saya bekerja dalam kelompok kecil di perusahaan perangkat lunak besar, jadi integritas jaringan perusahaan sangat tinggi), bersama dengan semua hal lain yang kami tangani. Tentu saja, pedoman standar membutuhkan "enkripsi" data ini.
Jelas, itu dapat berarti banyak hal - koneksi IPSec / terenkripsi, file dienkripsi, enkripsi diimplementasikan dalam DB (seluruh-DB atau kolom), enkripsi bit aktual dalam file, dll - dan beberapa orang dalam grup berada di bawah kesan bahwa satu-satunya jenis enkripsi yang benar-benar penting adalah secara langsung mengenkripsi bit yang disimpan, argumennya adalah bahwa segala sesuatu yang lain terlalu mudah untuk dielakkan - "jika DB dienkripsi, saya masih bisa masuk ke dalamnya dan melihat data di sana; jika berbagi file dienkripsi, selama saya memiliki izin ke folder saya hanya dapat mengambil file; tetapi jika bit secara langsung dienkripsi, saya tidak akan bisa membacanya ". Insting saya mengatakan bahwa pernyataan itu didasarkan pada pemahaman yang terbatas: mereka dapat melihat diri mereka masuk ke SQL Server Management Studio untuk melihat data, tetapi karena mereka tidak akan tahu cara mengambil aliran atau array data terenkripsi dan menggunakan sertifikat yang mereka mungkin memiliki akses untuk mendekripsi, mungkin aman. Apakah mereka benar Apakah saya benar? Sepertinya tidak ada yang benar-benar tahu, jadi keputusan didasarkan pada pendapat orang yang paling keras atau paling bergaji tinggi.
Bagaimanapun, itu hanya semacam contoh panjang dari apa yang saya bicarakan. Saya merasa seperti orang buta yang memimpin orang buta di sini, dengan keputusan berdasarkan pemahaman yang terbatas, dan itu membuat frustrasi. Saya bukan ahli dalam bit teknis enkripsi, tapi saya tahu bagaimana menggunakan perpustakaan standar untuk mengenkripsi stream dan array dan sejenisnya - di mana saya benar-benar membutuhkan lebih banyak pengetahuan tentang merancang keamanan data dan informasi di mana saya dapat mendasarkan keputusan seperti atas. Di mana saya bisa membaca tentang hal-hal semacam ini?