许多组织出于多种原因而在加密密钥管理方面苦苦挣扎。但是，这些痛点可以通过正确的工具解决。

根据2020年全球加密趋势研究，许多组织在管理密码密钥时经常会遇到的这样8个痛点。这里对8个痛点进行了总结，并提出了解决这些痛点的建议和工具。

1.密钥所有权尚不清楚

在管理密码密钥时，最不容易理解的是不知道谁有权访问密钥。作为一般原则，应将密钥提供给最少的人员或过程，这与提供可靠且可用的服务相一致。

2.缺乏技术人员

密钥管理是一个专业领域，通常，组织通过获得和保留具有适当知识和专长的可信赖员工来限制速率。

3.隔离和分散的系统

 孤立和孤立的系统将经常发展自己的独立密钥管理解决方案。这种行为增加了密钥管理的挑战并使风险成倍增加。通过集中密钥管理（类似于密钥环上的物理密钥），可以降低这种风险。

4.密钥管理工具不足

通常，密码系统将具有其自己的用于本地密钥管理的基本工具。虽然功能齐全，但它们可能缺乏企业级的密钥材料逻辑或物理保护，仅提供“本地”密钥存储——使其有遭受意外或恶意丢失或盗窃的风险。

5.缺乏资源

即使组织有雄心壮志和资源去做到这一点，实现一个新的系统来管理密码密钥也可能是一个挑战。

除了合格人员的问题（第2点）之外，密钥管理项目还很难获得成功实施所需的预算和时间。

6.不了解要求

组织可以意识到它在密钥管理领域存在问题和风险，但是仅凭这种理解不足以建立成功的项目。深入了解项目范围，包括确定用例的优先级，是与供应商合作并选择解决方案的必要基础。 

7.新技术与标准

密码领域正在不断发展。有关算法和密钥长度的最新技术是根据学术研究，攻击媒介和核心技术而变化的。理想的情况下，密钥管理策略应该通过与研究和标准化计划保持同步来预见不可避免的变化。 

8.不可靠且有错误的手动流程

企业遇到的大多数数据安全漏洞都是人为错误的结果。相对于自动流程，手动流程的使用增加了无辜的人为错误和故意进行恶意行为的风险。

选择集中式、自动化和银行级密钥管理

国际参与者，金融机构甚至政府组织的现代基础架构通常分布在混合云中。它包括本地数据中心，通常包括公共和私有云体系结构，提供计算或存储环境以及外部软件服务。

考虑到如此广泛的环境，下面概述了集中式和自动化的密钥管理解决方案如何帮助组织重新确立对密钥密钥管理操作的控制并帮助解决上述许多难题：

• 集中式密钥管理将分散的体系结构集成到一个集中控制且可审核的安全系统中。除了重新获得对密钥的控制权和所有权外，它还使公司能够灵活地采取行动并迅速采取行动，以适应战略变化或市场需求。

  
  

• 密钥管理过程中的自动化程度越高，则对其进行管理并保持数据和过程安全所需的资源就越少。专业密钥管理系统应基于清晰，简单的程序来管理密钥，并按照公司的法规要求汇总审核数据。密钥管理中的高度自动化和经过验证的技术将手动干预的比例降低到最低限度。KMS还必须足够灵活，以支持广泛的硬件和软件集成，以实现更好的资源利用。

  
  

• 要满足高企业安全性的要求，密钥管理应围绕高质量的密钥管理软件和硬件进行设计，并符合FIPS 140-2 / -3和PCI-DSS之类的安全标准。密钥管理系统（KMS）提供商应能够证明所提供的解决方案将确保符合要求的法规和标准。在每个行业或服务领域以及管辖区域中都对安全要求进行了明确定义。作为集中式KMS解决方案的一部分，实施硬件安全模块（HSM）是解决管理密钥的特定于安全性的痛点的最佳选择，因为它们为加密密钥提供了物理和逻辑保护。

  
  

• 关于后量子计算（PQC）的问世，集中式密钥管理解决方案将提供更高级别的加密敏捷性，从而允许以较少的努力采用抗量子算法。
  

  密钥管理解决方案也可以采用集中式加密平台的形式，该平台充当加密服务和加密策略管理的控制中心，以进一步降低成本和工作量，同时提高加密敏捷性水平以支持技术变革和标准。 

  
  

• 技术正在迅速发展，目前受到面向服务和基于云的业务模型和平台的强劲趋势的推动。提供公司的密钥管理需要证明它能够承受一段时间的变化。关于云和BYOK（自带密钥），专业的密钥管理系统应使公司能够拥有和管理加密密钥的生命周期，无论数据位于何处。因此，它们将对数据安全性保持高度控制，并保留数据所有权-意味着在需要时可以自由更改主机环境。 
  

通过集中式KMS缓解风险

如果单个加密密钥被泄露，则有很多风险，因为这意味着该密钥保护的所有公司安全和数据也可能受到破坏。从长远来看，除了数据安全漏洞造成的直接财务损失和补救成本外，企业声誉和信任的损失甚至可能更加严重。

减轻管理不善的密钥所带来的风险的唯一有效方法是使用专用的集中式KMS，这是信誉良好的提供商的可靠解决方案，具有良好的客户参考。任何此类KMS都应利用HSM来生成和保护密钥，并加强整个系统的安全性。如果设计合理，这样的系统将提供以下好处：

• 密钥的完整生命周期管理（本地和云中）
  

• 使用FIPS认证的RNG和硬件熵源生成强密钥

• 使用防篡改的HSM保护密钥

• 严格的基于策略的控制，以防止密钥的滥用/重用

• 自动密钥轮换

• 自动安全密钥分发

• 在组件中或在传输密钥下安全导入/导出密钥的能力

• 在密钥生命周期结束时安全销毁密钥的能力

• 强大的用户身份验证，职责分离以及对密钥操作的双重控制
  

• 直观的用户界面和安全的工作流程管理，可最大程度减少人为错误的风险

• 支持高可用性和业务连续性

• 防篡改审核日志，使用情况日志和密钥历史记录，用于证明合规性

• 能够快速响应发现的任何威胁

这样的系统不仅可以帮助保护您的密钥，还可以提高效率，减少对高技能人员的依赖，并简化对PCI-DSS等众多标准和法规的遵守、维护和证明。

总结

安全架构和公司业务模型越来越交织在一起。密码编排是每个现代业务流程的基础。受加密（和加密密钥）保护的所有数据和过程的货币和声誉价值甚至可能超过组织本身的价值。 

密码学正成为灵活和以客户为导向的公司发展的推动力。在短期和长期内，控制住常见的加密痛点并将其转变为优势而不是负担将是有回报的。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 汽车领域的密钥管理

• 保护您的数字堡垒 - SSH密钥：现代网络安全中的安全4.0

• SOC 2合规性：您需要了解的内容和需要做的事情

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• 硬件安全模块供应商已做好应对量子安全需求激增的准备