随着企业信息化越来越来普遍，内部办公系统、业务系统、对外服务系统已经普遍存在企业内部，这些系统也会产生大量的数据，而随着数据安全越来越严格，企业内部合规化审查也提上日程。
    这篇文档主要介绍一个特定场景，业务系统在开发初期已经考虑到数据安全的重要性，对敏感数据进行加密处理，但进行加密所需要的密钥没有进行妥善保管：
a.作为配置文件明文存储；
b.在程序中明文传参固化。
以上这种方式在安全思维中是一大忌：密钥与数据存储一起。

     为了满足上面场景合规性要求，且不会更改企业原有系统架构，现在提供KEK的解决方案。如下 Ciphertrust Manager可信密码管理平台对REST API支持图：

1.  Ciphertrust Manager生成KEK；
2.  各应用系统调用Rest API对原有明文密钥进行加密，然后密文存储在各应用系统配置文件中；
3.  当业务需要数据处理的时候，调用REST API，获取明文数据加密密钥DEK，对数据处理，此时明文数据加密密钥DEK只存在于内存中，当处理数据中断，内存中密钥清除。

      CipherTrust Manager使组织能够集中管理泰雷兹（Thales）和第三方产品的加密密钥。

      它简化了密钥生命周期管理任务，包括安全密钥生成、备份/恢复、集群、归档和销毁。

      它提供了对密钥和策略的基于角色的访问控制、多租户支持，以及对所有密钥管理和加密操作的可靠审计和报告。CipherTrust Manager中的统一管理控制台可以轻松发现和分类数据，并使用Thales提供的一套全面的数据保护连接器来保护任何位置的敏感数据。

      CipherTrust Manager有虚拟和物理两种形式，可以使用FIPS 140-2验证设备安全地存储具有提升信任根的主密钥。这些设备既可以部署在本地，也可以部署在私有或公共云基础设施中。这使客户能够满足数据安全的合规性要求、法规要求和行业安全实践需求。

      CipherTrust Manager安全的保证了KEK的安全性，并且可以记录业务调用的日志信息。对于KEK，CipherTrust Manager实现对KEK的密钥轮转功能，满足企业对密钥生命周期管理的需求。

企业业务系统在开发初期已经考虑到数据安全的重要性，对敏感数据进行加密处理，但进行加密所需要的密钥没有进行妥善保管？针对这些问题，安策提供密码可信安全管理的解决方案供大家参考。