全球网络安全攻击数量的激增凸显了遵循加密和安全最佳实践的迫切需要。 领养 由内而外的心态 是一回事; 将其付诸实践是另一回事。
为了提供帮助,Cryptomathic 团队编制了一份包含五个关键指标的列表,旨在更好地进行加密密钥管理,以帮助组织快速启动这一旅程。
更好的加密密钥管理技巧
1. 从真正好的钥匙开始——并扫描库存。 毫无疑问,您可以做的最重要的事情是确保您的组织使用高质量的密钥。 如果你不使用好的钥匙,那还有什么意义呢? 你正在建造一座纸牌屋。
创建好的密钥需要知道密钥从哪里来以及它们是如何生成的。 您是在笔记本电脑上或使用袖珍计算器创建它们,还是使用专门为该工作设计的专用工具? 它们有足够的熵吗? 从生成、使用到存储,密钥永远不应离开硬件安全模块 (HSM) 或类似设备的安全边界。
您的组织很可能已经在使用密钥和证书 - 您知道它们驻留在哪里吗? 谁可以访问它们,为什么? 它们存储在哪里? 他们是如何管理的? 创建您拥有的清单,然后开始优先考虑这些密钥、证书和机密的清理和集中生命周期管理。
2. 分析整个环境中的整个风险状况。 您可以制定最出色、最彻底、最全面的网络安全策略,但最终,只有组织中的每个人都接受并遵守它,它才会成功。 这就是为什么根据整个企业代表的意见制定风险管理策略非常重要。 从一开始就包括合规人员和风险人员,以保持流程诚实。 为了使安全流程和协议有意义,它们必须包括从 IT 人员到业务部门的所有人,他们提供用例并可以回过头来向同事解释为什么安全步骤是必要的。
3. 将合规作为结果,而不是最终目标。 这听起来可能违反直觉,但请听我说完。 尽管合规性非常重要,但将合规性作为战略的唯一驱动因素存在固有的风险。 当系统设计为简单地勾选监管清单上的方框时,组织会忽略更广泛、更重要的一点:设计和构建以获得更好的安全性。
相反,使用法规和安全标准作为最低要求集的指南,然后确保您的努力实际上 满足您未来的安全和业务需求。 不要让合规性分散我们对真正目标的注意力。
4. 平衡安全性和可用性。 安全性如何影响可用性? 您是否创建了一个过于安全以至于对大多数用户来说不切实际的系统? 必须在安全性和用户体验之间找到平衡,并确保安全流程不会妨碍人们实际工作。 例如,多因素身份验证可能是提高访问安全性的好方法,但如果实施不正确,可能会导致工作流程崩溃和效率急剧下降。
5. 成为专家……知道何时需要寻求专家的帮助。 密钥管理是一件严肃的事情,应该如此对待。 您组织中的某个人应该真正精通了解工具和技术,以便在组织所做的一切工作的核心建立良好的关键管理实践。
同时,认识到您何时需要专家支持也同样重要,例如当您的组织有太多密钥需要管理时。 美国国家标准与技术研究所 (NIST) 发布了 巨大的文件 它为建立良好的关键管理实践应该和不应该做的一切提出了建议。 密码学专业人士深入研究这些建议,以确保提供的密码工具和密钥管理解决方案符合这些标准。 这样,当您的组织需要密钥管理流程的额外支持时,您将拥有评估选项并找到有效保护资产所需的专业知识的框架。
