公司财务部的李工最近被审计组问了个问题:SSL/TLS 解密流量时,有没有完整记录解密操作?他一愣——平时只管防火墙策略和证书续期,谁会专门存这个?
解密本身不等于留痕
很多设备(比如下一代防火墙、DLP 系统)支持 SSL 解密,但默认只做“解—检—放”三步,解密动作瞬间完成,日志里最多记一句“HTTPS 流量已解密”,不会保存原始密文、私钥调用时间、解密后明文摘要这些细节。这就跟快递员拆包裹查违禁品一样,只登记“已开箱检查”,却不拍开箱过程、不记谁开的、不开箱前后包裹状态——审计时一问三不知。
审计真正要查什么?
不是看“有没有解密”,而是查“解密是否可控、可追溯、可验证”。比如:
• 解密行为是否经授权?有无审批单或配置变更工单?
• 解密密钥由谁管理?是否轮换?密钥使用是否绑定具体设备+时间戳?
• 解密后的明文数据是否落地?如果落地,存储位置、访问权限、保留周期是否符合《网络安全法》第37条?
怎么让记录真能过审?
以 Suricata + TLS 解密为例,光开 tls: enabled 不够,还得配日志输出:
tls:
enabled: yes
# 开启详细会话记录
extended: yes
# 记录密钥交换类型、证书指纹、SNI、解密时间戳
log-tls-handshake: yes
log-tls-session: yes再配合 SIEM 工具(如 ELK),把解密日志里的 tls.session_id、tls.client_hello.sni、app_layer_protocol 和操作日志中的管理员账号、命令行输入时间对上,才能形成闭环证据链。
别踩这两个坑
一是把解密日志和普通访问日志混在一起存。审计要看的是“谁在何时用何密钥解了哪个域名的流量”,不是“用户访问了百度”。建议单独建 tls-decrypt-audit 索引,字段精简到5个以内:timestamp、src_ip、sni、key_id、operator。
二是以为开了 FIPS 模式就自动合规。FIPS 只管加密算法强度,不管日志记不记、记多少、存多久。某银行去年就被指出:FIPS 合规,但解密操作日志仅保留48小时,不符合等保2.0要求的180天留存。