执行摘要

当今企业内日益普遍的数据保护机制带来了重大的影响。其中一个最为深远的影响就是与密钥管理及其相关复杂性和成本相关的挑战。这份白皮书是为公司管理层和安全设计师而编写的，文中研究了密钥管理的过去、现在与未来，揭示出新兴趋势与方法如何最终让企业优化密钥材料管理工作的效率和安全性。

简介

企业今天需要平衡一些相当的重要商业强制要求：

•  强化安全性。公司需要增强数据安全性以最大程度降低患者、客户或员工的敏感个人识别信息丢失或破坏的风险。公司也必须对知识产权进行保护，这包括兼并和收购相关的法律记录、文件与通信内容、有商标的数字媒介等等。可以在诸如数据库的结构化系统和诸如文字处理文档、电子表格、图像、设计和PDF的非结构文件中找到此类敏感信息。作为这种努力的一部分，安全团队需要持续强化公司安全政策，同时应对动态性日益提高的基础架构、员工、外包关系与组织结构，而不会影响用户体验或公司性能。

• 确保法规合规性。公司对符合所有相关法规要求有义不容辞的责任，这意味着公司需要遵守地区隐私与破坏通知规则，包括美国州法律和欧盟数据保护指令要求；零售商需要遵守支付卡行业数据安全标准（PCI-DSS）要求；金融机构需要符合萨班斯-奥克斯利法案（Sarbanes- Oxley）要求；医疗单位需要满足健康保险流通与责任法案（HIPAA）所规定的标准要求。符合相关法规要求并不是一个一次性的静态事件，而是一种持续的行为，这意味着公司必须敏捷地适应不断变化的标准、规定与审查发现要求。

• 控制成本并充分利用投资。在一个不确定的艰难经济形势下，公司需要严密地管理成本，并且需要最大程度发挥投资的价值。在这种环境下，公司更多地依赖于基于云的服务和外包服务以改进灵活性、实现规模经营并减少资本和运营费用。对于内部基础架构来说，封闭且专有的系统架构日益地与公司金融目标和行政管理目标相冲突。保护、管理和充分利用一个异构型环境要求通过开放标准实现集成灵活性与互操作性的组合优势。

公司强制要求导致提高对加密的依赖性

近些年来，加密日益变得普遍。加密是对上面安全性和合规性两个公司强制要求的直接应对方式，安全最佳实践、竞争性需求和合规性强制要求都要求对信用卡、个人识别信息和其他私有信息进行加密，而无论这些敏感数据存放于何处。

这种不断增加的加密应用常常会与诸如成本削减和确保互用性之类的公司其他主要目标背道而驰。最初采用加密方案在本质上是战术性的，例如，一般是为了应对数据破坏问题或匆忙为一次即将到来的审查做准备。通常情况下，这些工作是由一个部门或工作组而不是公司整体驱动的。因此，这些工作一般成本都会比较高昂，初期费用和持续维护与一般管理费用都比较高。此外，在这些情境下公司一般会采用不能提供完整数据保护的点解决方案。例如，一套加密方案也许可以保护一个特定平台或设备内所存放的数据，如一个数据库中的数据，但是当这些数据在公司内不同系统之间流动时就不能提供保护了。

采用加密的重要意义

密钥管理是加密持续成本与工作量要求最为明显的方面。采用加密后，必须对加密密钥进行保护—如果不进行保护，那么整个加密基础架构就会受到破坏。此外，密钥管理需要承担诸如持续轮转、删除和创建密钥的任务，这些都是敏感且耗时的任务，如果不能正确地进行管理，这些任务也可能造成安全漏洞和毁灭性的业务影响。例如，密钥丢失是一个重要问题： 如果密钥丢失，那么就等于加密数据也就丢失了。

本文研究了企业内密钥管理的演变，说明了早期加密工作的一些具体阻碍因素。然后描述更先进的加密方式如何缓解诸多密钥管理难题。本文研究了企业密钥管理工作，描述了为什么企业密钥管理方案才是对那些寻求优化自身加密密钥管理工作效率和安全性的企业的终极解决之道。最后，本文探索了公司今天可以采用的为企业密钥管理项目做准备的一些实践方法。

早期密钥管理

如上所述，最初采用加密很大程度上是战术性的短期行为。下面是一些常见情境：

>> 为了对一次即将到来的PCI审查做准备，要求一名数据库管理员（DBA）在公司客户数据库上部署加密。

>> 在一名财务部门员工丢失了含有员工记录的笔记本电脑并广泛报告了这种破坏情况之后，公司对财务团队的笔记本电脑部署了全盘加密。

>> 在一个厂区外带存储设施将含有零售商财务记录（其中包含诸如信用卡数据的敏感客户详细信息）的备份存储带放错地方之后，公司决定在将文件备份到存储带之前对文件部署加密。

在一家大企业内，这些分散的工作会积攒起来，有数十个不同的加密实施方案是很常见的情况。在很多公司中，密钥材料（包括密钥、数字签名、证书等等）的数量每年都会翻倍。随着这些部署数量的不断增加，挑战也在增加：

>> 管理。不仅凭公司自身的实力这些初始部署工作成本是比较高昂的，而且只有在部署完成之后，IT管理层才能意识到这些部署工作是多么的“烧钱”。因为已经采用一种独立分散的方式完成了这些实施工作，因此也必须以这种独立分散的方式进行管理。必须在每个点系统上完成诸如备份、轮转和撤消密钥的工作，所以开始消耗大量管理员时间，随着加密范围的扩大，所花费的时间也只能会增长。此外，令牌化解决方案也会要求进行密钥管理以将令牌数据库与相关密文对应起来。

>> 较差的可用性与性能。加密密钥的可用性是至关重要的；如果密钥不可用，那么其所保护的数据与资产也就不可用。通常情况下，当采用了早期加密方式后，加密密钥会在没有将备份机制部署就位的服务器上结束，所以它们就会因疏忽而被删除并中断供应。此外，这些密钥可能会被保存在有许多其他同时处理需求的服务器上，这会导致不可预知的或缓慢的响应。

>> 复杂的审查与记录。采用一种分散方式管理密钥，这会导致审查、记录与补救方案也分散部署，造成了长期持续的管理工作复杂性难题，同时也提高了成本，并且降低了对安全破坏与威胁的响应速度。

>> 安全漏洞。因为密钥被保存在分散的通用系统中—通常会在含有敏感数据的系统上—它们很容易被窃取和误用。密钥的存放位置越多，公司面临的风险就越普遍。此外，在将密钥备份之后，如果不能在转移过程中对密钥进行保护，那么就会导致密钥被进一步暴露在外。

图1：分散的密钥管理

今天的密钥管理

近些年来，公司部署了更为先进的安全解决方案，与过去的方案相比，这些方案可以提供更多优势。

这些解决方案可以提供更为全面的生命周期密钥管理功能，这意味着它们可以在包括创建、轮转、存储、备份和删除在内的整个生命周期内为密钥提供支持。通常情况下，这些解决方案在本质上是更为集中化的，这意味着公司能够更为一致且高效地管理并保护密钥。但是，如果单独部署这些方案就会带来一些挑战。下面是一些最大程度减少这些挑战的建议：

>> 选择能涵盖最大范围使用情境的密钥管理以限制独立密钥库的数量，因此减少管理一般费用、漏洞点数量和成本。

>> 创建一份总报告以总结来自多个数据保护方案的日志记录，帮助优化合规性证据并识别整个公司范围内的发展趋势。

>> 根据从单个分散解决方案所学到的经验教训预测一名真正的企业密钥管理者会遇到的实际情况，从而确定访问政策与密钥生命周期管理最佳实践。

密钥生命周期（NIST SP800-57）

随着密钥在整个生命周期内进化的同时，密钥访问策略也在变化！

图2： 加密密钥的生命周期

企业密钥管理： 它是什么

企业密钥管理代表一种在整个企业范围内控制所有加密密钥的集中化管理方式。企业密钥管理包括对公司的所有密钥材料进行保护，尤其是管控与加密相关的所有“秘密”。这包括以下密钥材料：

>> 身份。这包括最终用户、端点与服务。这些是在采用非对称加密时使用的公共密钥基础架构秘密。

>> 信息。这包括数据以及含有此数据的容器与介质。在此情况下，就会对对称加密保护秘密进行管理。

企业密钥管理的固有特性就是标准化和集中管理，所以安全团队可以获得比此前分散密钥管理部署与方法更好的可见性与控制力。真正的企业密钥管理方案意味着将会采用一种统一的方式管理与基于加密的每个数字保护系统相关的所有秘密。在此背景下，数字保护被定义为数据加密、通信加密与身份密钥。

图3：企业密钥管理基础架构

企业密钥管理： 仍是一个初期市场

什么是企业密钥管理？

这是一种在整个企业范围内控制所有加密密钥的集中化方式。企业密钥管理包括对公司的所有密钥材料进行保护，尤其是管控与加密相关的所有“秘密”信息。

虽然企业密钥管理理论是十分引人注目的，事实是很多公司至今尚未部署企业密钥管理方案。为什么会出现这种情况呢？首先是因为缺乏通用标准，整个行业发展也受到了阻碍，确立通用标准是在多个供应商之间实现解决方案互用性的重要要求。最初，电气与电子工程师协会（IEE）在建立密钥管理标准时做出了很大的努力。IEEE 1619.3密钥管理项目始于2007年初，所开发标准预期用于定义“保护已存储数据所用加密密钥的存储、管理与分配的方法。” 但是，这些标准是过于综合性的，因此实际上是很难实施的。

2009年初，成立了OASIS“密钥管理互用性协议”（KMIP）技术委员会。KMIP组织利用了一些IEEE 1619.3组织的一些工作成果，同时保持关注更具体事项的初始目标，所以能够更快地发布一项标准以满足某些立即使用案例要求，特别是存储领域的要求。因此，KMIP承诺提供一项在真实世界环境中更易于实施和管理的标准。

最后，需要指出的很重要一点就是密钥管理标准的一项重要驱动因素就是要满足身份管理需求。因为数据加密的使用量会持续增加，企业密钥管理需求和使用足以涵盖大范围资产类型以及身份标准的需求也会显著增加。因此，市场需求决定了在不久将来采用企业密钥管理功能的需求。

今天实现有效密钥管理与未来实现成功的企业密钥管理的关键

关注于全面的主动安全性

如前文所述，先前的安全投资与部署工作在本质上都是被动的，要么是为了应对数据破坏，要么是为即将到来的一次审查做准备，还有就是修改政策以满足不断变化的法规要求。随着企业安全团队的不断进步，他们的主动性和工作方式也有了进步。考虑到这种情况，企业密钥管理将会是一套全盘战略性安全计划的组成部分，这套计划是基于最佳实践和优化安全性的，而不是对问题和法规的一系列持续的战术性应对措施。作为这种转变的一部分，安全团队必须拥有更多授权并且更有效地开展工作，将工作重心放在更为重要的工作和资产上面，确保实现优化的安全性。

持续的以数据为中心的方式

从历史角度来看，很多加密解决方案都采用二元和/或方法来保护资源。例如，在存储加密情况下，这意味着解决方案会让安全团队只能加密或解密整个备份带或存储带上的备份工作。在笔记本电脑加密情况下，整个硬盘都会被加密起来。但是，公司采用这类加密方案时遇到了一些明显的局限性，因为在任何时候需要获得数据时都需要对整个存储带或系统进行解密。此外，这些战术性部署中所采用的点方案只能应对一个具体威胁。例如，一套带加密解决方案只能针对存储带丢失或被盗提供保护，而全盘加密只能针对磁盘丢失提供防护。今天，需要采用更为持久且更具颗粒度的基于资产的加密替代方案。持久的加密可以提供一种针对大范围威胁和风险的全面保护方法。这些加密机制需要能够让管理员和最终用户以一种颗粒级方式部署加密，让他们可以选择按用户与团体许可、资产类型和具体资产部署加密。这意味着不仅要能够对数据库中信用卡列进行解密，同时也要能够对有敏感工资单信息的电子表格进行加密。这种方法的另一个额外好处就是获得更具颗粒度的加密效果，颗粒度更高，那么就能提供一份更好的审查跟踪信息证实合规性，方便进行监督与补救。

下面是一些加密要求：

>> 持久。需要能够持久地实施加密，也就是说，不管是通过电子邮件发送一份敏感文件，还是将电子邮件保存到闪存盘，抑或是保存到一个基于云的应用程序或转移到其他任何地方，安全策略始终都保持有效。

>> 自上而下的政策实施。管理员需要采用一种自上而下的方式实施政策，这样就可以持续一致地在企业范围内实施公司加密政策，无论是否选择加密或令牌化作为数据保护方法，管理员都能向下具体到特定资产和用户水平实施加密政策。

>> 最终用户透明度。为了最大程度提高采用率，企业密钥管理会以一种对最终用户完全透明的方式部署加密，确保实现优化安全性与生产力。

在采用了更具颗粒度的加密替代方案后，企业密钥管理将会变成一个更为迫切的需求。现在密钥管理方式可以帮助促进并支持实现上述目标。

集中密钥管理与政策实施

从实际角度来说，企业密钥管理需要体现出向在企业范围内集中管理密钥的方案的转变，这种企业范围涵盖不同的数据库平台、应用程序环境、端点等等。下面是这种方式的一些益处：

>> 减少密钥暴露。集中式密钥管理方案可以提供一些基础性的安全优势，它可以限制密钥存放的位置数量，最大程度减少暴露可能性。

>> 一贯的政策实施。集中式密钥管理让管理员能够切实地在企业范围内更一致地实施公司标准与政策。例如，一名管理员可以马上围绕一套特定资产设置用户凭证与政策，然后确保无论数据是否被保存到数据库服务器、框架或笔记本电脑，都能有效地部署这些政策。

>> 优化管理。与此同时，集中密钥管理方案也会优化管理，让管理员能够马上做出改变和更新，并在所有相关区域内传播所做改变与更新。

>> 加密效率。这也代表一种更为有效的模式：与点加密正好相反，在将一个平台上所存储的数据转移到另一个平台时必须对这些数据进行解密并再加密处理，一个特定资产可以被加密一次并分配到多个系统，只需要在授权用户访问该资产时进行解密即可。

>> 统一审查与补救。最后，集中管理加密管理所有密钥可以通过保存包含所有密钥相关活动的审查日志而显著优化审查与补救措施。

>> 令牌化支持。虽然令牌化方案作为保护某些应用程序所访问结构化数据以减少合规性范围的一个可行选择，集中化密钥管理在加密和令牌化之间持续实施访问政策方面发挥了一种重要的作用。

针对内部威胁提供保护

为了针对内部威胁提供保护，公司减少信任圈范围是至关重要的，这样可以最大程度减少可以破坏或利用加密密钥的员工数量。

虽然对密钥的访问应当限制到最少数量的安全团队成员身上，公司应当确保不会存在拥有“超级用户”管理权限的个人用户。因此，安全团队应当实施责任分离，例如，可以授权一名管理员进行网络配置，同时赋予另一名用户证书管理权限。此外，系统应当允许管理员继续不受影响地开展自身工作，这常常意味着要处理敏感数据，同时限制他们访问明文敏感数据的能力。采用这种方式，IT部门可以在无需访问数据文件内信息的情况下管理数据资源。

此外，应当记录所有与敏感数据的交互情况。在公司转而采用企业密钥管理方案并集中实现更多密钥管理控制力后，针对内部威胁提供保护的能力会变得更为重要。

利用为特定目标而构建的安全产品与服务

为了最大程度提高密钥管理基础架构的保护水平，公司需要将密钥管理从通用系统上转移出来。例如，一个基于软件的密钥管理程序会将相同位置的密钥作为加密数据进行保存。这样就存在可用性风险，例如，如果系统崩溃，密钥和数据都会丢失。此外，这可能导致一种安全风险，因为这些基于软件的机制通常更易于被大量内部用户访问。

公司需要确保在设计时对安全性特别加以考虑的基础架构内保存和管理密钥。对于云供应商和企业来说，这意味着采用符合现成合规性相关强制要求（如通用标准和联邦信息处理标准（FIPS））的软件、硬件与服务。

在采用硬件的情况下，要求采用防篡改硬件安全模块，这样可以确保不能通过从设备移除物理密钥存储设备而盗取密钥材料。例如，一家寻求利用云供应商弹性存储能力的企业可以对敏感资产进行加密并将相关加密密钥保存在一个为特定目标而构建的硬件安全模块内，在将数据迁移到云之前完成这些操作，这样可以确保即使在将数据从企业内转移出来后也能保持实施既定访问政策。

此外，为特定目标而构建的系统和解决方案应当支持公司证明并确保合规性的能力。

通过板集成最大化投资

密钥管理是整个安全与IT基础架构的内在关键部分，因此，密钥管理计划和流程会在整个企业范围内贯穿一系列系统与服务。企业密钥管理代表了一种在整个企业范围内集中且一致地管理密钥的方法。对此而开展的准备工作要求投资部署能够在一系列领域内提供最广泛集成的解决方案：

>> 点解决方案密钥管理。点加密技术，如只能在一个特定数据库平台上运行的本地数据库加密解决方案，将会被更普遍地用在很多企业中，而且多数技术都会持续应用一段时间。公司需要能够利用一套能够集中管理密钥和进行政策管理并保护密钥安全的解决方案。这样可以提供管理效率和安全性优势。

>> 与IT系统集成。只有通过与相关IT系统实现广泛高效的集成才能实现企业范围的控制力，其中包括ID管理、资产管理、全球政策管理、公共密钥基础架构和令牌管理。密钥管理方案与相关系统的集成度越深越无缝，那么就可以在一个安全框架内更为一致地对密钥进行管理。

>> 支持异构型环境与资产。企业IT基础架构在本质上将会变的更具异构性。在一家给定企业内，会使用多种平台、操作系统、服务器和不同类型的设备，而这些统统都必须要进行安全保护。数据会被存放在一系列虚拟环境和云环境中。此外，敏感信息无处不在 — 数据库、移动设备、非结构化文件、框架和备份带中都可能存有敏感数据。密钥管理方案需要能够对实现这种标准和资产类型广度的安全性提供支持。

数据的暴露点在哪里？

     已暴露       有风险       安全

结论

加密和密钥管理方式近年来有了极大的进步。但是，从成本和管理角度来看，为了最终提供所要求的紧密安全性，加密和密钥管理仍需要持续进步。因此，公司需要这对企业密钥管理进行规划和准备，企业密钥管理可以对所有加密密钥实现一种一致的管理方式。为了对此做好准备，公司需要部署能够提供开放标准与灵活集成、颗粒级和持久控制以及中央管理功能的方法和解决方案。

SafeNet密钥管理方案简介

SafeNet KeySecure是广受客户信任和使用的加密密钥集中管理与保护平台，它可以支持广泛的加密生态体系—其中包括SafeNet和第三方产品—保护在传统的和虚拟化数据中心以及公共云环境中的数据库、文件服务器和存储、虚拟工作负载以及应用程序中的敏感数据。

此外，SafeNet硬件安全模块（HSM）也可以为企业和政府机构的应用程序、交易和信息资产提供可靠的保护，确保法规合规性，降低违法风险并提高盈利能力。SafeNet HSM是安全且性能极佳的解决方案，它可以保护加密密钥，控制加密、解密、认证与数字签名服务的供应以及对付款交易和PIN生成进行保护。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 保护您的组织免受网络犯罪即服务（CaaS）攻击

• 云安全的 5 个支柱：保护您的数字视野

• 保护您的企业数据免受即将到来的网络风暴的影响

• 新的CA/B论坛代码签名要求生效 – 您的组织合规吗？