加密标准
协议要求
TLS (Transport Layer Security)
| 要求 | 标准 |
|---|---|
| 最低版本 | TLS 1.2 |
| 推荐版本 | TLS 1.3 |
| 禁止版本 | SSL 3.0、TLS 1.0、TLS 1.1 |
| 密码套件 (TLS 1.3) | TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_GCM_SHA256 |
| HSTS | 启用,最少1年,includeSubDomains |
SSH
| 要求 | 标准 |
|---|---|
| 密钥类型 | Ed25519(首选)、RSA-4096(备选) |
| 密码登录 | 禁用 |
| Root登录 | 禁用 |
| 协议版本 | 仅SSH-2 |
电子邮件 (SMTP)
| 要求 | 标准 |
|---|---|
| 传输加密 | STARTTLS(机会性)、MTA-STS(强制) |
| SPF | 所有域名已配置 |
| DKIM | 签名已启用,密钥长度 >= 2048位 |
| DMARC | 策略:reject,报告已启用 |
数据库加密
| 类型 | 方法 | 应用场景 |
|---|---|---|
| 透明数据加密 (TDE) | AES-256 | 整个数据库静态加密 |
| 列级加密 | AES-256 | 特别敏感字段(凭证、PII) |
| 连接加密 | TLS 1.2+ | 所有数据库连接 |
备份加密
| 方面 | 标准 |
|---|---|
| 算法 | AES-256 |
| 密钥管理 | 每个备份集使用独立密钥 |
| 密钥轮换 | 每次完整备份时 |
| 密钥存储 | 与备份分离,存放在加密保险库中 |