021-54410609
介绍
密钥和证书在维护组织内部的数字秩序方面悄然发挥着至关重要的作用。这些组件是公司安全基础设施的基石,需要通过定期审核进行警惕的监督,以持续增强。以下是为这些保护者注入新活力的各种重要步骤,确保他们保持抵御不断变化的威胁的能力。
确保每年审查政策
一项基本步骤是建立并定期审查SSL和SSH策略。这涉及定义证书和密钥属性阈值、指定最小密钥长度以及批准加密算法。此外,组织应设置证书和私钥的最长有效期,确定批准的证书颁发机构 (CA),并为其选择制定指南。管理证书管理、注册程序和私钥管理的策略至关重要,包括依赖方系统的撤销检查等方面。
有条理的密钥库存管理
维护密钥和证书的全面清单同样重要。这涉及定期进行网络和登录扫描,确保定义明确的注册证书和私钥的程序无法通过扫描发现。清单应包括证书的所有位置、所有者和相关属性,形成有效安全管理的基础数据库。Thales(泰雷兹) Luna HSM将私钥永远保存在被认证过(FIPS、CC)的安全芯片当中,即便授权用户也无法获取私钥的明文值,确保私钥无法被第三方扫描发现。
确保密钥和证书的策略遵守
利用先进的密钥和证书管理工具生成的综合报告来评估对组织策略的遵守情况。应在这些报告中系统地检查属性阈值、加密算法和更新周期等参数。战略性地纳入主动措施,特别是吊销检查,加强了对密钥和证书合规性的持续审查。
私钥管理流程的全面审查
定期审查私钥管理流程是安全的一个重要方面。这包括禁止管理员直接访问私钥以及替换被重新分配或离开组织的管理员访问的密钥。实施强有力的凭证、职责分离和双重控制机制,以及将所有管理操作记录在安全的审核日志中,可确保政策合规性并加强安全措施。Thales Luna HSM的多级管理员和用户的设置,完美的实现了密钥管理的权责分离能力,各级别管理员和用户只能在自己权限范围内进行操作,比如:Security Officer管理员仅可对HSM进行初始化级别的管理,如需使用HSM内部的密钥,则需使用Crypto Officer或Crypto User。
防范迁移风险
为了降低风险,组织应实施保护措施,防止非生产密钥和证书迁移到生产环境。这涉及限制对非生产环境中的密钥和证书的访问,以及限制在非生产系统中使用测试 CA。通过这样做,组织可以保持测试和生产环境之间的明确分离,从而减少潜在的安全漏洞。Thales Luna Network HSM 提供多Partion(分区)能力,每个分区有独立的管理员和用户,且管理员和用户无法跨分区访问密钥。通过这一能力,将不同的业务密钥放置在对应分区内,从而实现业务密钥的明确分离。
为 CA 妥协做好准备
为 CA 妥协做好准备至关重要。这包括对内部和外部 CA 的安全和运营进行定期审核。组织应维护与外部 CA 供应商保持有效合同关系的备份 CA,或为内部 CA 提供离线激活选项。为 CA 泄露建立准备和恢复计划可确保快速响应,包括替换每个当前使用的 CA 颁发的所有证书的程序,以及在根 CA 泄露时从适用的信任存储中删除受信任的根证书。CA 妥协响应期间的监控技术和明确的角色和责任进一步加强了安全措施。
结论
定期审核是该安全生态系统的心跳,针对不断变化的威胁形势提供持续改进和适应性。从政策审查到预防迁移风险等主动措施,每一步都融入了强大的安全框架的结构中。然而,正如我们得出的结论,认识到保护密钥和证书的安全不仅仅与审计过程有关,也很重要。我们应该承诺始终保护它们,使我们的数字防御变得强大而持久。
揽阁信息如何提供帮助?
我们经过二十年的从业经验,通过整合各种资源为您提供完善的的加密和密钥管理方案,确保与监管标准和行业最佳实践保持一致,以增强您的安全等级和安全信心。欢迎联系我们,与我们的专家交流和讨论您所面临的问题。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话