超级会员免费看
公钥基础设施(PKI)行业的全面解析
1. PKI风险评估与云环境考量
风险评估在任何治理和合规计划中都不可或缺,对于PKI运营亦是如此。风险可能由业务、法律、安全、技术或密码学等团队自行识别,同时,内部审计师、第三方审计师以及行业监管机构(如联邦金融机构检查委员会FFIEC)也会进行风险评估。
在迁移或运营云PKI之前,与内部和外部审计师进行沟通,能在审计过程中节省大量时间和精力。云环境存在云服务提供商(CSP)和云服务客户(CSC)之间的“共享责任”。此外,组织的云架构也是需要考虑的因素,采用多云架构(使用多个CSP)或混合云架构(同时使用私有云和公共云)的组织,其角色和责任可能有所不同。因此,明确内部资源和基于云的资源的角色和责任,可避免混淆,防止在WebTrust审计中出现问题。
例如,对于利用基于云的HSM的组织,原有的内部HSM管理控制需要进行大幅调整。而且,不同CSP提供的HSM选项和服务也会有所差异。许多云提供商为内部审计师提供“审计账户”,这些账户无法对PKI进行更改,便于审计师观察内部和基于云的控制措施。
2. PKI行业发展历程
PKI行业的发展与多个领域的研究和标准制定密切相关,以下是一些重要的发展节点:
- 学术界研究
- 1976年,Diffie - Hellman发表了“New Directions in Cryptography”。
- 随后,RSA发表了“A Method for Obtaining Digital Signatures and Public - Key Cryptosystems”,引入了“Alice and Bob”
订阅专栏 解锁全文
扫一扫
1908
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
