密码物料清单 (CBOM)是清晰理解数字安全的重要工具，尤其是在强大的新型计算能力即将问世的背景下。组织需要思考的一个关键问题是：这份宝贵的 CBOM 究竟是如何创建的？

虽然构建 CBOM 是一项重大的任务，但请放心，既定的指导方针和智能自动化工具将使这一过程比以往更易于管理和更高效。

第一步：设定目标并利用现有资源

在深入研究之前，最好先明确 CBOM 项目的范围。您是否计划记录整个企业的每一项加密资产？或者，作为第一步，您是否会关注最关键的系统以及最容易受到未来安全挑战影响的区域？

至关重要的是，不要从零开始！最大化现有资源的价值：

• 您的现有资产清单：首先检查所有现有的 IT 资产管理系统或配置数据库。这些系统和应用程序清单提供了您的基础系统和应用程序。

• 您的软件组件清单：如果您已经维护了软件组件清单（通常称为SBOM，即软件物料清单），那么您就处于有利地位！CBOM 专门设计用于在 SBOM 的基础上构建，并添加了专门的加密细节。如果您还没有 SBOM，请考虑同时开发它们；它们为您的 CBOM 提供了坚实的起点。

第二步：查找所有加密元素

这通常是整个流程中最耗费资源，但绝对关键的环节。它需要系统地发现所有系统中使用的所有加密算法、密钥、证书和安全通信协议，无论它们是嵌入在应用程序中、驻留在硬件上、作为设备固件的一部分，还是配置在网络设置中。密码技术可以深深嵌入数字系统中，如果没有正确的方法，很难揭开它。

鉴于大多数IT环境的规模和复杂性，使用电子表格手动进行这些操作根本不切实际，而且很容易出错。这时，智能自动化工具就变得不可或缺了：

• 代码和二进制扫描器：这些工具会“读取”您的软件代码或编译程序，以识别加密技术的调用和使用方式。虽然通用代码分析工具可以提供一些线索，但专业的加密发现工具可以提供更深入的洞察。例如，有些工具可以深入挖掘软件包（例如容器）和目录，以挖掘其中的加密片段。

• 观察实时系统：对于某些加密用途，尤其是在运行时配置或涉及动态协商的加密用途（例如安全的网站连接），观察系统的运行情况非常有益。这些工具会监控网络流量或系统行为，以捕获实时加密细节。

• 融入您的日常工作流程：为了确保您的 CBOM 持续准确，最好将其创建直接融入您的软件开发和部署流程中。自动化操作可以在您的团队每次更改代码时生成更新的 CBOM，确保您的库存始终保持最新状态。

• 现有工具的插件：如果您的团队使用流行的代码质量平台，则专门的插件可以直接检测源代码中的加密资产，并在常规质量检查中生成 CBOM。

第三步：您的 CBOM 包含哪些内容？

强大的 CBOM 会在标准软件组件数据的基础上添加关键的加密属性。需要捕获的关键信息类别包括：

1. 核心软件信息：这包括基本软件组件列表中的所有标准详细信息，例如库名称、依赖项、版本和供应商。
2. “加密资产”名称：任何加密实体的特定类型。
3. 深度加密属性：这就是神奇之处，其属性按资产类型分类：
   • 算法：除了名称（例如AES）之外，还包括其原语（它执行什么样的数学运算）、其变体（例如 AES-128-GCM）、其实现的平台（例如 x86_64）、其持有的任何认证级别（例如fips140-3 -11）、其操作模式（例如 cbc）、填充方案（例如 pkcs7 填充）以及使用的特定加密函数（例如 keygen）。
   • 证书：全面的详细信息，例如证书的主题和颁发者名称、证书的有效期、证书中使用的算法、证书的格式（例如X.509）以及任何特殊扩展。
   • 相关加密材料：有关私钥或公钥等项目的信息，包括它们的大小（以位为单位）、格式（例如 PEM）以及它们是否安全。
   • 协议：对于通信规则，它指定诸如系统支持的 TLS 密码套件之类的详细信息。
4. 安全强度评级
   • 经典安全级别：加密资产抵御当今已知攻击方法的强度。
   • NIST 量子安全级别：一个关键指标，范围从 0 到 6，表明它与现有的安全类别在抵御强大的新计算威胁方面的一致性如何。
5. 可追溯性：您的 CBOM 还会跟踪哪个工具（“扫描仪”）找到了加密资产以及检测到它的确切位置（文件路径、行号等），这对于验证和补救非常有帮助。
6. 关系清晰：一个关键特征是区分软件组件何时仅拥有可用的加密算法（例如，一个库）与何时在实际中主动使用该算法。这种区分对于理解现实世界的风险至关重要。

第四步：将信息转化为行动

一旦构建并填充了 CBOM，您就可以采取强有力的战略步骤来增强数字安全性：

1. 发现漏洞：利用 CBOM 中的详细信息，尤其是安全评级，您可以系统地识别系统中哪些部分最容易受到未来安全挑战的影响。这有助于您将精力集中在最需要的地方。请注意，在较旧的遗留系统中升级加密技术有时会很复杂！

2. 与供应商沟通：您的 CBOM 提供清晰的数据，方便您与软件和硬件提供商进行知情沟通。您可以直接询问他们升级到更具弹性的加密解决方案的计划。这些信息对于决定是否需要更换产品或合作伙伴以满足您自己的安全时间表至关重要。

3. 规划您的资源：拥有详细的 CBOM 可以帮助您准确估算在整个组织内升级加密系统所需的财务投资，包括潜在的软件许可证、硬件更新和开发工作。

4. 明智地确定优先级：通过清晰地了解您的加密环境，您可以战略性地决定哪些系统需要最紧急的加密升级（例如，处理最敏感数据或关键操作的系统）以及哪些系统可以稍后解决。

务必记住，您的 CBOM 并非一次性项目，而是一份需要持续关注的动态文档。随着软件和系统的变化、新应用程序的添加、旧应用程序的淘汰以及更新的安装，您的 CBOM 也必须进行相应的更新。自动化工具在此至关重要，它们可以确保您的加密环境保持准确、强大，并为数字世界的未来发展做好准备。

通过精心构建和维护您的 CBOM，您的组织将获得必要的清晰度和远见，以主动管理加密挑战并在未来几年内保护您宝贵的数字资产。

揽阁信息如何帮助您？

创建加密清单是一项复杂的任务，但您无需独自完成。我们可以在以下几个方面为您提供帮助：

• PQC 评估：我们将帮助您找到所有密钥和数字资产，让您清楚地了解您的量子风险以及首先关注的地方。

• PQC 战略和路线图：根据我们的发现，我们将帮助您构建一个定制的、循序渐进的计划，以便在不影响您的业务的情况下过渡到量子安全算法。

• 供应商选择：我们将在您最重要的系统上运行概念验证，帮助您选择正确的工具和技术。

• PQC 实施：我们将帮助您将新的量子安全算法顺利集成到您现有的安全设置中，确保无缝和安全的过渡。

结论

构建和维护 CBOM 是增强组织安全态势的重要一步。它能帮助您清晰地发现漏洞，自信地与供应商沟通，确定升级优先级，并为后量子时代做好准备。但创建 CBOM 只是整个过程的一部分，保持其最新状态并将其集成到您的长期加密策略中才是真正的韧性所在。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 组织如何成功过渡到后量子密码学（PQC）
• 抵抗“先信任，后伪造”指南
• Thales在Live Networks上验证后量子密码（PQC）技术，实现持续保护
• 量子时代即将到来，准备好迎接它了吗？
• 从设计上就做到量子安全：为什么香港金融业必须在量子时代到来之前采取行动
• 2026 年，为何首选 Thales HSM 与揽阁信息？