诸子云的首场沙龙活动虽规模不大，低调内敛，来参会的都是深耕于安全行业的重量级专家。

上一期内容中，唯品会黄承以“CSO养成记之基础篇”为主题分享CSO的成长经历；这一期内容，快钱科技风险负责人赵锐以“密钥安全两三事”为题进行分享，聊聊在安全管理中，密钥那些事儿。 

说起来，赵锐是安全圈的老熟人，因其年少有为，圈内大多称呼一声“锐少”。如今，锐少从事安全工作已有13年，担任快钱的科技风险负责人、IT风控高级经理。

此前，锐少先后任职银联、上海农商银行的内控管理和信息安全技术主管，国际电信联盟（ITU-T）DevOps国际标准核心编写专家，CSA云安全联盟专家......多次代表单位组队参加ISG中国信息安全技能竞赛并获二、三等奖。

快钱锐少

在信息安全管理中，风险管理是极为重要的部分；而如何有效管理企业资产，了解相对应的风险与威胁是企业安全部门需要考虑的事情；这在监管和等保中也有相应的要求。

搞安全的人都知道，风险管理有三要素：Cnfidentiality（保密性）、Integrity（完整性）、Aailability（可用性）；其中最主要而又最基础的要素则是Cnfidentiality，这也是本次锐少分享的主题——密钥。

首先，锐少强调，目前国内受监管的金融机构需要使用国内生产的、经过保密局、国密局、公安认证的加密设备和系统；以及相关的算法。

然而目前企业中多多少少存在密钥清单没有管理好，密钥管理体系存在问题：密钥管理者不清晰，密钥版本和现有加密系统是否一致......

这些问题将会是企业安全管理的致命隐患，一旦发生相关安全事件，后果将不堪设想。

密钥生命周期

想要做好密钥安全工作，就必须要先了解密钥生命周期。密钥管理和信息、数据管理有点类似，都有生成、分发、灌注、保管、更新、销毁等过程。

生成：在密钥生成阶段，技术部门负责制定相应的标准，并提供相应的技术服务。密钥主管部门、保管部门负责密钥的生成，按照技术部门提供的工具来生成密钥，在不联网的情况下通过打印机打印，并交给技术部门保管。

分发：密钥生成好后需要进行传递和保管。早期，企业在保管时十分粗糙，给密钥的传递和保管造成严重的工作量。因此，技术部门需要先对一遍，然后按照统一的命名格式进行命名，然后再进行封装、存储。

灌注、保管：密钥灌注工作需要技术、运维、业务等多个部门协同合作，业务部门灌注、其他部门协助和监督，这样也符合监管要求。在完成这些工作后就把密钥放入存储设备中，并对相应的信息进行登记。

更新：做完上述工作后，接下来是密钥更新工作，和之前的生成、分发、灌注的工作差不多。值得注意的是，在进行密钥保管时，需要把更新好的新密钥以及替换的旧密钥分类保管好，防止需要恢复旧数据时没有密钥。

销毁：密钥的销毁其实和硬盘的销毁相似。如果因为某些事件需要销毁密钥，那么一定要按照密钥的销毁流程进行：技术、运维、业务三个部门一起，做好相应的记录工作并确认。

存储设备：早期的密钥存储设备是保险箱，把密钥用信封装好放入保险柜中分类存储好。为了密钥管理工作更加规范，现在往往采用防火、防磁的存储设备，放在监控室中，并设有数字密钥。

密钥类型及工作

想要了解密钥管理工作，安全工作人员首先要了解密钥的大致类型以及相应具体情况。本次分享以加密机为例进行说明。

就加密机而言，最重要的是主密钥。主密钥是加密机最初确定好、灌注进去的密钥，并由主密钥来保护后续第三方密钥、工作密钥、终端密钥等一系列密钥。

主密钥我们一般称之为MK、LMK，英文名称Local Master Key，并依靠主密钥来管理各个分密钥。在信息安全管理工作中，密钥清单、密钥保管者一定要清晰。

在梳理密钥管理工作中，首先要做的是了解密钥是存储在什么地方，早期很多企业使用加密机来存储密钥，现在很多企业已经更换新型的密钥存储设备。

其次要梳理相应的密钥系统，比如使用到的密钥会有哪些系统。以银行为例，核心、银行卡系统，外围的网银、手机银行等等，都会使用到密钥。

最后是梳理密钥函件。一般而言，在密钥到期需要更换时，银联都会有相应的提醒。在此之前，银联会将密钥函件以加密的方式传输给企业。

在实际工作中，比较困难的点在于各部门是否能够合作，其中涉及多个业务部门，甚至在灌注时还要第三方、网点配合。如果业务部门之间有矛盾，工作就很难推进下去。

此外，密钥管理属于资产工作，其实是很难出直观的成绩；人们通常认识是“基础工作做好是应该的”。

当然，也有相应的解决办法。首先是要明确监管的要求，这是刚性条件。同时参考业界其他企业是如何进行的，看看别人是怎么做的。其次，配合实际出现的各种安全事件，增加密钥安全工作的份量。最后，也要和业务部门积极沟通，毕竟密钥管理完善可以有效的减少业务部门的工作量。

做完上述工作，具体实施办法相对来说简单一些。首先是收集和梳理工作，向其他部门发送文件，说清本次工作需要完成哪些事情。其次，还要到业务部门进行访谈以及查找相关资料，这其中可能会涉及到许多资料。再者是完善密钥管理流程，按照密钥的生命周期管理起来。最后还要采取必要的技术手段，比如可以建设相应的加密平台，用更好的技术手段保管密钥。

上述都是硬件加密密钥，企业还有不少软密钥。

早期，很多软密钥常常是被写死在代码里的，一旦出现问题，修改起来就特别麻烦。因此，在开发规范中便要求开发者在编写代码时要有可修改的地方，并写入相关的配置文件中，并由专门的设备进行密钥的生成和分发。

以上便是密钥管理工作中可能出现的问题以及相应的解决办法。通过对密钥工作的梳理，可以将企业的密钥管理流程建立起来，同时将相应的密钥工作统一完善，制定出相应的密钥管理标准流程，并督促员工严格按照相应的流程进行密钥管理工作。

「推荐阅读」