技术的双刃剑效应日益显现,量子计算的崛起对传统加密体系形成威胁,跨境旅行中的电子设备搜查对隐私边界构成挑战,全球数据监管和隐私保护面临诸多法律和技术障碍。
加密咨询公司(Encryption Consulting,EC)于2025年初对外发布《2025加密趋势报告》,深度剖析全球加密技术发展沿革,重点介绍网络安全战略影响因素,人工智能(AI)、后量子密码(PQC)以及证书生命周期调整等领域的变革仍处于行业转型的前沿。报告从介绍数据泄露成本到逐步分析实施加密的关键驱动因素,列举各行业采用加密相关技术的差异与关键数据,强调了自动化、量子准备和监管一致性的重要性,为各行业机构识别漏洞、确定需要改进的领域提供参考。
美国移民律师协会(American Immigration Lawyers Association,AILA)于2025年发布《美国入境口岸的电子设备搜查:你需要知道什么》。该文件明确指出,美国海关边境保护局依法享有对入境旅客电子设备进行搜查的广泛权限,这一做法可能涉及重大隐私风险。为此,文件提出在美国边境保护数据的十个步骤,为美国入境者提供参考。
本期简报结合这两篇报告,围绕加密技术和数据安全在当今数字化时代的重要性主题,进行了编译整理。
一、2025年三大加密趋势
在技术环境变化与数字威胁增加的双重驱动下,各行业机构显著增加加密预算,预计其中很大一部分将用于加强安全基础设施建设以及处理云加密解决方案。
(一)PQC准备就绪
NIST于2024年正式确定了四种PQC标准算法,这标志着向后量子密码迁移的一个重要里程碑。
当前,金融、国防和医疗保健行业正成为量子计算的主要采用者。随着量子能力的进步,开发PQC技术正成为各行业关注的重点,主动准备是确保数据长期安全的关键。然而,技能短缺,转型成本高,成为PQC实施面临的两大挑战。
(二)人工智能驱动的加密增强
2025年,人工智能在加密管理中的作用日益增强,实时威胁检测、自动化密钥生命周期管理和自适应加密技术逐步实现,优化加密策略、自动化密钥流程和改善整体安全管理得到重视。
尽管其潜力巨大,但在实施层面,面临一定难度。比如,众多行业机构正遭遇数据隐私保护、监管政策模糊以及人工智能威胁识别可靠性等挑战。其中,法律框架的缺失增加了技术部署的复杂性,人工智能专业人才亦是供不应求。此外,高实施成本造成了财务障碍,迫使机构权衡人工智能带来的潜在收益与必要投资。
(三)云原生加密解决方案
云原生加密解决方案为流动、静态和使用中的数据提供强大保护,能有效应对云环境带来的独特安全挑战。2025年,先进加密技术将更多地被采用,使行业机构能更好控制其加密密钥和敏感数据。许多行业机构继续采用混合模式,平衡云存储与本地基础设施,以满足安全、合规和运营需求。
行业机构主要将业务数据、密码和个人信息存储在云中,而对生物特征等高度敏感数据则应采取更为审慎的云端存储策略,这在很大程度上是由监管要求和安全问题双重驱动所致。安全风险、监管合规性、数据主权和运营复杂性仍然是社会关注重点。
二、数据泄露风险:成本和边境检查
(一)2024年数据泄露
数据泄露给行业机构造成了沉重的财务负担。与2023年相比,2024年数据泄露成本上升约10%,反映出网络威胁态势的持续恶化。据使用人工智能驱动安全保护的机构称,与未使用人工智能的机构相比,其数据泄露成本显著降低。然而,行业面临严峻的人才缺口,39%的受访机构称缺乏足够资质的专业人员来有效应对安全事件。
前瞻性加密策略,尤其是整合人工智能技术、为量子计算潜在威胁做准备的相关策略受到重视。其中,静态数据加密仍占主要地位,云加密紧随其后。此外,通过保护电子邮件通信来防止动态数据泄露的行业机构也在显著增加。
(二)美国入境电子设备搜查:隐私危机与技术防御
美国海关边境保护局依法享有对入境人员电子设备的检查权限,在有合理理由怀疑入境者涉嫌违法或可能危害国家安全,并经管理人员批准后,可以深入搜查,将外部设备连接到受检电子设备上,审查、复制、分析其内容。但该操作可能涉及个人隐私、商业机密等敏感信息。入境者拒绝配合设备检查,将面临设备被依法扣押、被拒绝入境等不利后果。
为保护相关数据,美国移民律师协会提出旅行前将重要文件备份至云端或外部驱动器中,使用独特、复杂的密码加密设备等建议。
三、实施加密的关键驱动因素
(一)不断上升的网络安全威胁和不断攀升的攻击成本
不断攀升的网络攻击频率和复杂性,导致重大财务损失和运营中断等后果。随着犯罪分子改进攻击方法,加密仍是确保数据机密性、防止未经授权的访问以及将安全事件造成的财务和声誉影响降至最低的重要工具。
(二)监管合规和数据隐私授权
越来越多的行业机构认识到,合规成本远低于不合规(违法)成本。因此,遵守法规成为采用加密的关键驱动力。合规支出包括监管审计、供应商选择、安全升级、员工培训和持续监控等,以确保遵守行业标准。
(三)云端运用的快速增长
到2025年,预计92%的机构将采用混合云战略,推动对强大云安全解决方案的需求。随着云端存储的敏感数据量不断增加,加密技术作为数据保护的核心机制,其重要性已上升至前所未有的高度。
(四)量子计算的威胁
量子计算算法的进步对广泛使用的加密方法构成了重大威胁,突显了采取后量子安全措施的紧迫性。
(五)客户信任与品牌声誉
数据泄露会对机构的声誉和客户信任造成不可挽回的损害。在数据安全和透明度成为消费者核心关切的时代,行业机构必须实施强大的加密技术来保护敏感信息,维护信誉。
四、2025的趋势和洞察
(一)密钥管理解决方案
对于依赖加密保护数据的行业来说,密钥管理是关键组成部分,因为任何密钥泄露都可能导致严重的财务和声誉损失。
金融行业始终走在密钥管理技术应用的前沿,这主要源于其面临的严苛合规要求和高度数据安全敏感性。医疗健康领域正经历着去中心化、可扩展密钥管理方案的快速普及,以满足包括美国《健康保险流通与责任法案》(HIPAA)等在内的各国要求,并保护患者数据。纵观各行业,密钥管理解决方案的广泛部署与应用,充分彰显了其在2025年保护敏感数据和确保监管合规方面的关键作用。
(二)2025年新兴趋势和行业亮点
1.2025年新兴趋势
(1)后量子密码学。本次调查中,金融、医疗保健和国防领域30%的机构已经开始过渡到后量子密码算法。
(2)AI驱动的密钥管理。15%的早期采用者正在利用人工智能驱动的工具来自动化关键生命周期管理、检测异常并增强威胁响应。
(3)安全托管服务。由于成本上升和内部专业人员的缺乏,35%的中小企业正积极与安全托管服务提供商合作,以获得全面、经济有效的密钥管理解决方案。
2.2025年调查要点
(1)行业特定驱动因素:监管合规和数据敏感性仍是影响各行业密钥管理的主要力量。
(2)混合模型:混合密钥管理解决方案日益受到青睐,兼顾安全性、可扩展性和运营效率。
(3)新兴技术:人工智能自动化和后量子密码学正在成为安全密钥管理的重要组成部分。
(4)监管合规:有效的密钥管理是满足合规标准的关键因素。
(三)2025年关键趋势:硬件安全模块
在关键密钥管理方面,首席信息安全官依旧看重硬件安全模块。随着网络安全环境发生变化,硬件安全模块正作为安全加密实践的支柱,加强数据完整性并增强整体网络安全弹性。将硬件安全模块和加密密钥管理系统相结合的方法备受青睐。
受数据敏感性、监管要求和机构规模等因素的影响,硬件安全模块的采用情况因行业而异。
(四)新兴趋势和关键见解
1.关注要点
(1)云集成安全:预计到2026年,超50%的行业机构将采用硬件安全模块与加密密钥管理系统结合的模式,来实现本地安全性和云的可扩展性。
(2)后量子硬件安全模块:随着量子计算的进步,15%的企业正在过渡到后量子硬件安全模块。
(3)经济高效的安全性:20%的中小型企业倾向订阅制的托管硬件安全模块服务模式来降低前期成本,并保持强大安全性。
(4)区块链安全性:当下10%的行业机构利用硬件安全模块来保护区块链环境中的私钥,特别是在金融和供应链管理等行业。
2.代码签名
随着软件安全威胁的日益复杂化,代码签名仍是确保真实性和完整性的重要实践。行业机构越来越多地认识到软件附加代码签名的重要性,以验证其来源的可信度。87%的受访者表示2025年关于代码签名的采用率将继续上升,这反映出云计算在安全软件分发与认证领域日益凸显的重要作用。
但在实现有效的代码签名协议方面,行业机构亦面临着关键的挑战。最紧迫的问题仍然是保护私钥,其次是与开发、测试、生产(Development and Operations,DevOps)环境的集成。现代软件开发的分散性使得部署进一步复杂化。
3.调查的主要发现
(1)日益加剧的供应链脆弱性担忧。40%的企业在过去一年均遭遇过不同程度的供应链网络安全事件,单次事件造成的平均经济损失高达420万美元,供应链安全已成为首要任务。
(2)供应链安全中的加密技术。加密是供应链安全的基石,尽管大多数企业逐步认识到未来潜在的威胁,但当前仍依赖传统的加密方法。随着量子计算的发展,需提前做好规划。
(3)监管合规驱动加密策略。2025年更严密的网络安全法规即将到来。以日本为例,金融厅于3月7日正式向第217届国会提交了《关于部分修改〈支付服务法〉的法案》,核心内容包括强化资产保全义务等,旨在加强对加密资产和跨境支付等新兴金融服务的监管框架,提升用户保护与市场透明度。为适应网络安全法规的不断发展,66%的公司已着手强化供应商加密要求,确保第三方安全措施与内部政策高度协同。此外,48%的企业已对供应商进行强制性加密审计,这标志着向主动风险管理的转变。
在确定合规优先级时,80%的行业机构强调特定行业法规,这表明加密要求通常是由特定行业的安全需求决定的。75%的受访者强调了加密策略必须兼顾区域法律和跨境合规要求。跨平台管理加密和保持有效的加密密钥管理是两大主要问题。云环境和本地之间加密做法的不一致,增加了合规风险,亦导致潜在的数据泄露、安全事件和财务处罚。
(4)采用新兴加密技术。机构逐步采用先进加密技术来加强供应链的安全性,如区块链技术、人工智能加密技术、量子密钥分发等。
五、小结
2025加密趋势报告突出了影响网络安全战略的关键趋势,强调了对安全自动化、量子准备和监管一致性的需求。综合来看,行业机构应重点关注:
1.优先考虑证书管理自动化。实施自动化证书生命周期管理解决方案,防止服务中断和安全漏洞,从而降低运营风险和合规挑战。
2.为后量子时代做准备。着手评估加密资产并计划迁移到后量子算法,以确保长期数据安全。
3.加强密钥管理和软件完整性。使用硬件安全模块保护加密密钥,并执行严格的代码签名策略,以减轻供应链攻击。
4.加强合规框架。将安全策略与不断发展的法规保持一致,以避免处罚并增强风险抵御能力。
5.构建可扩展的云安全策略。在混合云和多重云环境中实现一致的加密、访问控制和策略实施。
(方潇颖,审核:原浩 朱莉欣 方婷)
完
作者编译观点仅代表个人
不代表密码法治实践创新基地
为方便排版,已略去脚注
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
