组织有太多不同类型的敏感信息，存储和共享这些信息的方式也太多，无法采用一种放之四海而皆准的方法。保护数据的每一种常用方法——加密、标记化、屏蔽和编辑——都可能是特定用例的正确解决方案。

加密

典型用途：安全数据交换；保护静态数据；结构化和非结构化数据

加密是保护敏感数据的最强大和最常用的方法。如果实施得当，任何已知技术都无法破解加密。

加密使用复杂的算法将原始数据（明文）转换为不可读的文本块（密文），如果没有适当的解密密钥，这些文本块将无法转换回可读形式。

加密可以通过多种不同的方式实现，每种方式都适用于不同的用例。网络加密在数据传输过程中保护数据，使数据在传输的任何一端保持明文状态。透明加密保护静态数据，在数据被授权用户访问之前解密数据。无论数据存储或复制在何处，持久加密都会保护数据，从而最大限度地防止不当使用。格式保留加密保护数据，同时保持数据的原始格式和长度。

Token化

典型用途：支付处理系统；结构化数据

与加密一样，标识化是一个可逆过程，它用未经授权方无法使用的数据替换敏感数据。加密使用算法从明文生成密文，而token化则用相同格式（标记值）的随机生成字符替换原始数据。原始值和token值之间的关系存储在token服务器上。当用户或应用程序需要正确的数据时，token化系统会查找标识值并检索原始值。

token化通常用于保护信用卡号或支付处理系统、客户服务数据库和其他结构化数据环境中的其他敏感信息。但是，保留长度和格式的加密可以解决相同的用例，而且复杂性通常较低。

屏蔽

典型用途：测试环境；结构化数据

屏蔽本质上是永久标记化。敏感信息被替换为与原始数据格式相同的随机字符，但没有检索原始值的机制。这是测试环境中的常见做法，它需要看起来逼真的数据，但不能填充实际的客户或员工数据。

屏蔽也可用于根据权利控制对敏感数据的访问。这种称为动态数据屏蔽的方法允许授权用户和应用程序从数据库中检索未屏蔽的数据，同时向未被授权查看敏感信息的用户提供屏蔽数据。

编辑

典型用途：非结构化数据；遗留数据

编辑是永久删除敏感数据——相当于在印刷材料中“涂黑”文本的数字版本。可以通过简单地从文件或数据库记录中删除字符，或者用星号或其他占位符替换字符来完成编辑。

自动数据编辑是一种从文档、电子表格和其他文件中删除敏感数据而不更改其余文件内容的有效方法。组织通常采用这种方法来防止从数据库中提取并保存在文件服务器、笔记本电脑或台式机上的敏感信息的传播。

选择解决方案

对于涉及在用户、团队或组织之间共享敏感信息的用例，持久加密是最有效的选择。没有其他技术能够提供足够的保护以防止滥用，同时允许授权方访问。加密密钥管理的详细策略 ，包括密钥创建、存储、交换和轮换，对于维护加密系统的安全性至关重要。

对于其他用例，加密、token化、屏蔽和编辑之间的选择应基于您组织的数据配置文件和合规性目标。在某些情况下，技术组合可能是最好的方法。