密钥管理实践方法和经验.docx
《密钥管理实践方法和经验.docx》由会员分享,可在线阅读,更多相关《密钥管理实践方法和经验.docx(7页珍藏版)》请在第一文库网上搜索。
1、密钥管理实践策略及方法采用合理的密钥管理策略,可以确保加密密钥在整个密钥生命周期内的安全,能够确保网络安全措施不会缺乏适当的密钥管理而造成危害。通过规范和最佳实践的密钥管理策略,有助于企业防止数据泄露、避免违反合规带来的处罚,确保数据加密安全有效。实施下面列出的做法将确保密钥管理不会成为安全策略的弱点,使用强大的策略、强大的访问控制和集中化来保护和控制你的加密密钥。1 .使用适当的算法和密钥长度为每个加密密钥选择正确的算法和密钥长度,要根据场景和实例,并且需要考虑以下几个要素:1安全风险2 .密钥有效期3 .加密的数据的数量和价值4 .性能要求根据场景和实例,我们一般可以选择使用:对称密码算法
2、(如:AES、SM4)非对称密码算法(如:rsa、SM2)一般来说对于静态数据保护,选择对称密码算法是比较不错,用这对称密码算法来保证数据库的安全。而非对称机密算法更适合保护一些动态数据,比如电子邮件或Web内容。选择正确的密钥长度需要平衡,但对于那些已经明显被警示的国外算法一定要选择合适的长度,比如rsa,要选择rsa2048位。较大的密钥会导致更安全的加密,但密钥长度会造成对应用系统的性能影响。对密钥大小要合理选择,在考虑安全性同时要判断性能要求。2 .最小特权原则制定访问密钥的管理办法和策略,根据策略,每个用户应该只能访问他们执行职责和任务所需的密钥。同样道理也适合用于应用程序,确保只有
3、授权用户和应用程序才能访问密钥。这样的好处在于:1 .限制具有泄露密钥的攻击者的选择2 .减少或降低攻击面3 .发生违规行为,可以快速追溯4 .降低内部威胁的风险5 .组织系统之间的横向移动一般我们建议每次访问、管理或使用加密密钥时候都对用户进行适当的身份认证,可以使用基于角色的访问控制根据每个用户的特定职责限制权限。最好是采用双岗制,两个或多个人授权批准过程才能使用密钥。3 .定期更换密钥每个密钥应该定义一个加密周期,在密钥有效使用期限内可以正常工作。一般我们可以通过两个因素来计算密钥期限:发起人使用周期:对系统应用加密保护的时间。收件人使用周期:用户可以使用特定密钥解密数据的时间。通过这两
4、个时间可以同时开始,再根据以下条件定义密钥的使用生命周期:1 .加密算法的强度2 .加密数据的价值3 .密钥长度4 .安全风险5 .法律规定一旦加密期限到期后,采用更换策略启用新密钥,限制使用一个密钥加密的数据量可以降低凭据丢失或被盗的风险,理论情况下,密钥定期更换应采用自动的策略过程,以防止人为错误同时将密钥管理员从重复性任务中解放出来。4.通过集中统一的管理密钥用户业务系统规模越大越复杂,会涉及数百或成千个加密密钥,通过集中统一的管理(例如采用密钥管理系统)有助于组织、保护、管理和使用所有密钥。采用集中统一的密钥管理系统的好处:1 .简化管理,无需使用不通的工具2 .简化和安全的生成、存储
5、和分发流程3 .全面直观了解当前密钥使用情况采用集中式密钥管理能够降低风险、提高效率并简化管理任务,同时大部分密钥管理系统可以使用以下策略实现密钥的集中统一管理:1 .为所有与关键数据相关的操作(访问控制、职责分离、知识分割等)建立策略和程序2 .通过自动化策略消除手动任务3 .进行全面日志审计和跟踪活动4 .使用用户配置文件、角色和凭据控制对有价值密钥的访问5 .确保密钥管理可以扩展6 .通过自动化任务和减少必要工作人员的数量降低成本五、充分利用自动化依靠手动密钥管理既费时又费钱,而且容易出错。自动化的好处: 消除重复性任务。 加快所有与密钥相关的操作。 限制人为错误的空间。 减少所需工作人
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 密钥 管理 实践 方法 经验