在当今的数字世界中，强大的加密技术是有效数据保护的基础。对于处理信用卡数据等敏感信息的行业来说，实施强大的加密控制并非可有可无，而是强制性的。随着PCI DSS v4.0的发布，一个全新的合规时代已经到来，它强调灵活性、基于风险的方法以及更高的透明度。

有助于实现这种透明度的新兴概念之一是加密物料清单 (CBOM)，它是系统、应用程序或基础设施中使用的所有加密组件的综合清单。假设您已经了解 PCI DSS 和 CBOM 这两个主题，我们将简单介绍一下，然后直接跳到需求部分。

什么是 PCI DSS？

支付卡行业数据安全标准 (PCI DSS)是一套安全标准，旨在确保所有处理、存储或传输信用卡信息的公司都能维护安全的环境。该标准由 Visa、MasterCard、American Express、Discover 和 JCB 等主要信用卡公司于 2004 年制定。

PCI DSS 4.0.1是 PCI 安全标准委员会 (PCI SSC) 发布的 4.0 版的一个小修订版。它旨在处理实施反馈、修复排版错误，并提供更清晰的控制措施，同时不改变 4.0 版的核心意图。

PCI DSS 4.0.1 的重点关注领域：

1. 增强实施灵活性

2. 强调持续的安全和监控

3. 更严格的身份验证要求

4. 更清晰的加密操作指南

5. 改进范围界定和细分预期

什么是加密物料清单 (CBOM)？

加密物料清单 (CBOM) 是系统、应用程序或软件环境中使用的所有加密资产的综合清单。它在概念上与软件物料清单 (SBOM)类似，但 CBOM 更侧重于加密组件及其依赖关系。它包括：

1. 加密库和模块（例如 OpenSSL、BouncyCastle）

2. 正在使用的算法（例如 AES-256、RSA-2048）

3. 证书和密钥对

4. 密钥管理机制

5. 硬件安全模块 (HSM) 或可信平台模块 (TPM)

有些用户经常混淆 CBOM 和 SBOM。两者的区别非常明显——软件物料清单 (SBOM)是构成软件应用程序的所有软件组件的清单，而加密物料清单 (CBOM)仅关注加密资产及其相关依赖项，而忽略其余软件组件。

要求 12.3.3

“正在使用的加密密码套件和协议至少每 12 个月记录并审查一次”

此要求是为了确保您不会部署加密后就忘记它。相反，您必须持续跟踪和评估您的加密环境，这是 CBOM 的核心原则。

现在让我们分解这 3 个子要求，并分析每个要求如何与 CBOM 最佳实践保持一致：

1. 所有正在使用的加密密码套件和协议的最新清单，包括用途和使用地点。

PCI DSS 的期望：您必须确切地知道在您的环境中部署了什么加密技术、为什么使用它以及在何处使用它，包括在应用程序、系统、API、设备和第三方服务中。

CBOM 相关性：这是 CBOM 的核心，即拥有所有加密组件的结构化、版本化的清单。

一份强大的 CBOM 应该包含：

• 密码套件（例如，TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384）

• 协议（例如 TLS 1.2、TLS 1.3、IPsec、SSH）

• 算法（例如RSA、ECDSA、AES、SHA-256）

• 密钥长度和配置

• 用途（例如，“用于传输 REST API 数据”）

• 使用位置（例如“Web 负载均衡器、SFTP 服务器、移动应用后端”）

2. 积极监测有关所有正在使用的加密密码套件和协议的持续可行性的行业趋势。

PCI DSS 的期望：您不只是记录一次您的加密，您还要不断关注可能使今天的算法明天变得不安全的弃用、已知攻击和密码分析研究。

CBOM 相关性：CBOM 并非静态的，它必须是动态的、自适应的。这意味着：

• 监控NIST、IETF、ISO 和安全公告等来源

• 了解算法何时从“批准”变为“不鼓励”或“弃用”

• 识别 CBOM 中依赖于即将变弱的加密货币的风险点

3.应对加密漏洞预期变化的计划文档

PCI DSS 的预期：如果正在使用的密码或协议出现漏洞，您有什么应对措施？您应该在漏洞被利用之前就制定好应对计划。

CBOM 相关性：CBOM 通过以下方式实现主动补救：

• 帮助您立即找到已弃用算法的使用位置

• 根据暴露程度和严重程度确定补救措施的优先顺序

• 映射加密依赖关系（例如，“我们的主要登录门户和 6 个微服务使用 TLS 1.2”）

您的计划可能包括：

• 时间表：例如，在 30 天内弃用TLS 1.0

• 后备方案：支持强密码协商的 TLS 1.3

• 利益相关者：谁负责测试和部署变更

• 验证步骤：上线前确保加密强度

组织如何实施 CBOM？

为了遵守要求 12.3.3 并实现真正的加密可见性，组织必须将 CBOM 作为其安全和合规生命周期的一部分来实施。

1. 发现和库存
   • 使用 nmap、sslscan 或自定义 API 钩子等工具扫描环境
   • 记录所有密码套件、证书、密钥、算法和库
2. 分类和背景
   • 定义每个加密组件的用途
   • 将组件链接到应用程序、服务、API 或端点
3. 版本控制和存储
   • 将 CBOM 存储在版本控制的存储库中
   • 跟踪一段时间内的所有变更、补丁和升级
4. 验证和确认
   • 使用自动化工具定期测试配置
   • 将加密验证集成到 CI/CD 管道中
5. 监控和警报
   • 订阅威胁情报来源（例如 NIST、IETF、CVE 源）
   • 自动发出针对已弃用或不安全算法的警报
6. 治理与所有权
   • 将责任分配给密码所有者
   • 安排与 PCI DSS 评估一致的年度审查

7. 加密敏捷性计划

   • 确保系统设计能够轻松切换密码和协议

   • 制定过时组件的退役计划

揽阁信息能做什么？

专业的产品：作为Thales中国区的重要合作伙伴，揽阁信息为您提供经过FIPS140-2、FIPS 140-3、CC EAL4+等认证的 HSM 和数据安全平台 产品，可有效确保您的加密密钥安全、数据保护安全，提供符合您业务场景的高速加解密性能要求的解决方案。

专业的服务：揽阁信息的专业团队拥有20年信息安全行业从业经验，可以为您的技术团队提供咨询服务、技术支持、制作定制化解决方案。

结论

PCI DSS 4.0.1 要求 12.3.3 不仅仅是一个复选框，更是理解、监控和管理加密风险的战略性要求。在算法快速老化、攻击者日益精明的时代，加密透明度不容置疑。

CBOM 是您加密环境的动态蓝图。它支持安全团队、合规性审计员、开发人员和高管利益相关者就加密安全做出明智的、基于风险的决策。

通过实施 CBOM：

• 您将更好地准备遵守 PCI DSS 4.0.1

• 您将减少响应加密相关漏洞的时间

• 您将提升整体加密治理成熟度

欢迎联系我们，获取更多信息和资料。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 专题介绍：支付系统的HSM
• 利用加密库存保障未来
• 后量子时代的密码学清单
• 构建您的 CBOM，增强数字安全
• 为什么加密物料清单 (CBOM) 现在比以往任何时候都更加重要
• CBOM 与 SBOM 有何不同？CBOM 对行业至关重要