文章总结： 本文介绍微软密码学态势管理实践指南，强调构建密码学资产清单对后量子时代安全的重要性。核心内容包括密码学资产分类、CPM生命周期六阶段（发现、标准化、风险评估、优先排序、修复、持续监控）及四大应用领域（代码、存储、网络、运行时）。提供了基于微软工具（如GitHubAdvancedSecurity、Defender系列）的实施方案和合作伙伴生态，并给出包含建立所有权、定义策略基线等六项落地检查清单。 综合评分： 85 文章分类： 安全建设,解决方案,技术标准,云安全,数据安全

构建密码学资产清单：微软密码学态势管理实践指南

bitbot bitbot

Desync InfoSec

2026年4月29日 18:12 北京

在小说阅读器读本章

去阅读

后量子密码学（PQC）时代正在逼近——对大多数企业而言，最大的挑战并非选择新算法，而是找到密码学在应用、基础设施、设备和服务中的所有使用位置，才能自信地规划、优先排序和现代化改造。

微软认为这是量子就绪的实践基础：你看不到的东西，你无法保护或迁移。

────────────────

为什么需要密码学资产清单？

密码学已嵌入所有现代IT环境：应用、网络协议、云服务和硬件设备。它还在不断演进，以应对新发现的漏洞、NIST和IETF等标准机构的更新，以及新兴监管要求。然而，许多企业面临一个普遍挑战：缺乏全面的资产清单和有效的生命周期管理流程，导致无法获得保持基础设施安全和更新所需的可见性和敏捷性。

密码学资产清单（Cryptographic Inventory）是组织内所有密码学资产和机制的动态目录，涵盖以下类别：

| | | | — | — | | 资产类别 | 示例 | | 证书与密钥 | X.509证书、公私钥对、CA、密钥管理系统 | | 协议与密码套件 | TLS/SSL版本与配置、SSH协议、IPsec实现 | | 密码学库 | OpenSSL、LibCrypt、SymCrypt等 | | 代码中的算法 | RSA、ECC、AES、哈希函数等密码学原语 | | 加密会话元数据 | 使用加密的活跃网络会话、协议握手详情 | | 密钥与凭据 | API密钥、连接字符串、服务主体凭据 | | HSM/TPM | 物理和虚拟HSM、可信平台模块 |

这份清单为何重要？

第一，治理与合规。全球已有15个国家和欧盟建议或要求组织进行密码学资产盘点，这些要求通过DORA、OMB M-23-02、PCI DSS 4.0等法规实施，预计未来范围将持续扩大。

第二，风险优先级排序。密码学资产呈现不同级别的风险。例如，面向互联网的TLS端点使用弱密码套件的威胁，与内部测试证书或使用AES标准的本地磁盘加密完全不同。全面的清单能够有效评估暴露面并优先安排修复工作。

第三，密码学敏捷性。当加密算法中发现漏洞时，清单可以精确告诉你需要更新什么、在哪里更新。

────────────────

密码学态势管理生命周期

密码学态势管理（Cryptographic Posture Management, CPM）不是单一产品，而是组织使用工具、集成和流程组合来构建和维护的持续生命周期。核心流程分为六个阶段：

1. 发现（Discover） — 从代码仓库、运行时环境、网络流量和存储系统中收集密码学信号。

2. 标准化（Normalize） — 将信号聚合为统一格式的资产清单（证书指纹、算法类型、密钥长度、过期日期）。

3. 风险评估（Assess Risk） — 根据策略基线、行业标准和已知漏洞评估密码学资产。识别弱算法、过期证书和不合规配置。

4. 优先排序（Prioritize） — 根据资产关键程度、暴露面（内部 vs 互联网）和合规要求对发现进行风险排序。

5. 修复（Remediate） — 轮换密钥、更新库、重新配置协议、替换弱算法，利用可用的自动化工具。

6. 持续监控（Continuous Monitoring） — 持续跟踪变更：新代码提交、证书更新、配置漂移和新出现的漏洞。

该生命周期可在四个领域横向应用：

| | | | — | — | | 领域 | 覆盖范围 | | 代码（Code） | 源代码中的密码学原语和库 | | 存储（Storage） | 磁盘、数据库、密钥保险库或配置文件中的证书、密钥和机密 | | 网络（Network） | 加密流量会话、TLS/SSH握手、密码套件协商 | | 运行时（Runtime） | 内存中密码学库的使用、活跃密钥材料、进程级加密操作 |

────────────────

用微软工具构建资产清单

许多组织已经部署了微软安全和Azure功能，可以在代码、端点、云工作负载和网络中生成密码学信号。关键是连接和标准化这些信号以支持基于风险的决策：

| | | | | — | — | — | | 工具 | 密码学信号 | 领域 | | GitHub Advanced Security (GHAS) | 通过CodeQL识别代码中的密码学算法 | 代码 | | Microsoft Defender for Vulnerability Management (MDVM) | 端点证书清单、密码学库漏洞检测 | 运行时、存储 | | Microsoft Defender for Endpoint (MDE) | 识别TLS/SSH加密流量会话 | 运行时、网络 | | Microsoft Defender for Cloud (MDC) | 云基础设施上的私钥暴露扫描 | 存储、代码 | | Azure Key Vault | 集中管理Azure中的密钥、机密和证书 | 存储 | | Azure Networking (Firewall, Network Watcher) | 加密流量协议信息（TLS等） | 网络 |

初始阶段建议：

代码领域：启用GHAS，使用CodeQL查询扫描密码学算法使用情况，导出结果进行集中审查。

运行时与存储领域：在端点部署MDE和MDVM，使用证书清单功能发现证书及其关联算法，审查MDVM标记的脆弱密码学库。

网络领域：在MDE中启用网络保护以识别加密会话，配置Azure Network Watcher捕获流量元数据。

存储领域：审计Azure Key Vault实例以盘点机密、密钥和证书，使用Defender for Cloud的机密扫描检测IaaS和PaaS资源中暴露的密钥。

标准化与集中化：将各领域输出整合到统一视图（如Microsoft Sentinel），构建单一可查询的资产清单。

────────────────

合作伙伴生态系统加速落地

微软与多家领先CPM提供商合作，为企业提供覆盖代码、基础设施、设备、应用以及云和本地环境的全面解决方案：

Keyfactor AgileSec — 发现并持续监控所有密码学实例，标记漏洞并通过集成工作流高效修复风险，为密码学敏捷性和量子就绪奠定基础。

Forescout Cyber Assurance — 在Azure上运行，实时确定企业资产的网络风险，包括PQC和非PQC通信使用情况，覆盖IT、IoT和OT环境。

Entrust Cryptographic Security Platform — 在PKI、密钥和证书生命周期管理以及HSM方面提供可见性、自动化和控制。

Isara Advance — 部署在Azure上，自动化发现和盘点、量化风险、优先排序和修复。部署数小时内即可发现因过时协议、密钥强度和算法弱点导致的密码学威胁。

────────────────

落地检查清单

1. 建立所有权 — 为密码学治理分配明确职责，通常跨越安全、基础设施和开发团队。

2. 启动资产收集 — 使用现有微软工具从代码、运行时、网络和存储四个领域开始收集信号。

3. 定义密码学策略基线 — 记录组织的密码学标准（批准的算法、最小密钥长度、证书有效期、协议版本），与行业标准和合规要求对齐。

4. 优先排序暴露面 — 根据资产关键程度、暴露面和合规要求进行排序，并非所有发现都同等重要。

5. 规划修复 — 为高优先级发现识别修复方案：库更新、证书轮换、协议重新配置，构建运行手册和自动化。

6. 利用合作伙伴加速 — 如需更广覆盖、更快部署或专业能力，探索Azure Marketplace上的合作伙伴生态系统。

密码学态势管理是一段旅程，而非终点。随着标准演进、新漏洞出现和量子计算发展，资产清单和运营模型都需要持续适应。但只要现在就开始——用你已有的工具、能帮助你的合作伙伴、以及清晰的运营模型——你就能为量子时代和未来数年的密码学卫生做好充分准备。

────────────────

来源：Microsoft Security Blog | 原文链接：Building your cryptographic inventory

本文由比特波特 ⚡ 自动翻译整理发布

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《构建密码学资产清单：微软密码学态势管理实践指南》