行业新闻与博客

成熟的公钥基础设施实施有几个关键要素。我们将探讨您可以提出的 5 个问题，以确定您组织的 PKI 的成熟程度。

PKI 联盟（前身为 CA 安全委员会）推出了 PKI 成熟度模型 (PKIMM) 的初稿。该想法受到卡内基梅隆大学能力成熟度模型集成 (CMMI) 的启发，旨在帮助组织评估并更好地了解其公钥基础设施 ( PKI ) 实施的能力，以实现更高的安全性和数字信任。

毫不奇怪，几乎每个组织的安全都在某种程度上依赖于 PKI。毕竟，它是构建互联网安全的基础技术和框架。但创建这个提议的成熟度模型会让人想起每个组织都应该问的一个问题：我的 PKI 实施有多成熟？

让我们来讨论一下。

评估组织 PKI 成熟度时要问自己的 5 个问题

公钥基础设施 (PKI) 是指拥有合适的人员、策略和技术来保护组织的数据并通过加密安全和数字身份创建数字信任。实现成熟的 PKI 需要仔细评估您现有的 PKI 功能、安全状况、流程、工具和性能，以确定需要改进的领域。

该联盟提议的框架通过审查您的 PKI 实施并将其分为四个模块（总共 15 个类别）来评估 PKI 成熟度。每个类别均从五个成熟度级别之一的角度进行评估；计算这些级别以生成所有 PKI 类别的总体平均值。

当然，事情远不止这些，但我们不会深入讨论具体细节。（单击上面的链接可了解有关 PKI 联盟提议的 PKI 成熟度模型的详细信息。）相反，我们将重点讨论您可以提出的一些问题，以评估组织的 PKI 实施的成熟度。

1. PKI 安全性和合规性在您的组织优先事项中排名如何？

强大的 PKI 安全性是从最高层支持和促进的。如果没有强大的、领导力驱动的安全和合规计划，您可能会：

• 无法访问您需要的工具和系统
• 在预算不足的情况下努力实现组织安全目标
• 很难让其他人遵循最佳实践
• 不遵守行业标准和风险监管处罚

如果您不确定如何与您的老板或其他领导谈论 PKI（或一般的网络安全），我们列出了一些需要记住的事项。

2. 如何跟踪和管理证书生命周期（是否足够）？

证书生命周期涵盖从证书的创建方式到证书过期和最终销毁（以及其间的所有内容）的所有内容。此过程的一个基本要素是可见性。这意味着了解与每个证书相关的重要信息以及与其关联的加密密钥对：

• 您拥有哪些 PKI 证书
• 您有多少证书和密钥
• 它们在您的网络中的使用位置
• 证书何时到期
• 谁负责管理它们（以及他们是否有适当的访问权限）

如果您拥有成熟的私有 PKI，您就已经评估了如何最好地优化组织的生命周期管理功能，以提高其安全性、性能和效率。但是，如果您是一家大型企业，仍在使用 Excel 电子表格手动管理和跟踪 IT 环境中存在的数十万个数字证书，则可能表明您的 PKI 成熟度处于开发的早期阶段，需要改进。

3. 您正在采取哪些措施来锁定对公司 PKI 系统的访问？

应仔细管理和保护对 PKI 的访问。只有某些人需要或应该访问您的加密资源。因此，应仅向需要执行特定功能的人员授予访问权限。此外，对所有敏感系统和数据的访问应基于经过授权和验证的数字身份。

如果没有这些数字保护措施，几乎任何人都可以冒充您的员工或其他授权用户来访问您的关键系统和数据。

要详细了解如何保护对 PKI 和 IT 基础设施的访问，请查看以下资源：  

• 访问控制在信息安全中的作用
• 客户端身份验证证书 101：如何使用 PKI 身份验证简化访问

4. 您的加密密钥有多安全？

您是否将私钥存储在具有面向公众的元素的服务器上？您是否将它们安全地存储在兼容的硬件上或基于云的密钥保管库中？您是否使用 CA 层次结构以便可以离线存储您的根密钥？这些方法之间的区别就像白天和黑夜一样。组织如何选择回答这些问题说明了组织所跨越的 PKI 成熟度级别范围。

以下是一些有关密钥管理最佳实践的资源，可能会对您有所帮助：

• 什么是密钥管理服务？
• 密钥管理系统终极指南
• 12 条企业加密密钥管理最佳实践
• 您需要了解的 14 条 SSH 密钥管理最佳实践

5. 员工是否有能力安全地管理组织的 PKI？

我工作过的一所高等教育机构的校长曾经有一句话让我印象深刻：无论你的角色是什么，你都有责任帮助学生以最佳的状态进入课堂学习。

同样的概念也适用于组织及其员工。您对您的客户、员工、董事会成员和其他利益相关者有责任确保您的团队经过培训、装备齐全并做好其他准备，以确保您的 PKI 安全、有效和可运行。帮助他们做好充分准备的一些方法包括：

• 为员工配备必要的工具，帮助员工更有效地履行职责
• 为他们提供信息资源，帮助他们发展新技能并扩展现有技能
• 鼓励员工寻求组织提供之外的其他教育机会

您拥有成熟公钥基础设施的 10 个标志

那么，有哪些迹象表明您的组织跻身 PKI 成熟组织之列呢？

1. 实施可满足您组织未来需求的可扩展 PKI。
2. 使用基于数字身份的身份验证代替安全性较低的安全措施。
3. 拥有一套强大的安全目标，并使用 PKI 自动化来帮助实现这些目标。
4. 采取足够的预算拨款来支持未来的 PKI 相关目标和举措。
5. 拥有强大且最新的政策、文档和相关资源来指导日常活动。
6. 达到（或者最好是超过）标准并遵守相关法律法规。
7. 执行降低风险和降低潜在成本的政策。
8. 提供您的 PKI 团队取得成功所需的专业培训、工具和资源。
9. 教育非技术员工识别并应对潜在的网络威胁。
10. 将可互操作的工具和技术融入您的 IT 环境中

PKI 的成熟度不是任何组织都能一蹴而就的。这是一项对精力、时间和资源的投资，需要一段时间才能建立，但从长远来看会得到回报。您的 PKI 现在越安全、越成熟，您就能更好地应对未来的威胁并最大限度地减少与之相关的风险和成本。  

您是否还有其他相关问题认为应该添加到列表中以更好地衡量组织的 PKI 成熟度？请务必在下面的评论中分享它们。