企業(yè)通過(guò)巨額投資來(lái)保證安全系統(tǒng)的正確部署和運(yùn)行，以保證可以讓企業(yè)免受網(wǎng)絡(luò)安全威脅的侵?jǐn)_。事實(shí)上，企業(yè)安全系統(tǒng)能夠正常工作的關(guān)鍵前提之一就是流量可讀。也就是說(shuō)，如果通過(guò)該系統(tǒng)的流量是加密的，那么企業(yè)部署的安全系統(tǒng)可能并不能發(fā)揮作用。

VPN(虛擬專(zhuān)用網(wǎng))遠(yuǎn)程接入對(duì)于企業(yè)來(lái)說(shuō)幾乎成為了必備功能。因此，越來(lái)越多的加密流量在企業(yè)網(wǎng)絡(luò)中游走。據(jù)統(tǒng)計(jì)，36%的企業(yè)網(wǎng)流量是加密的。對(duì)于企業(yè)部署的安全系統(tǒng)來(lái)說(shuō)，超過(guò)三分之一的流量是無(wú)法被檢測(cè)的，再加上某些員工知道如何避免安全檢查，所以事實(shí)上企業(yè)面臨很大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

企業(yè)其實(shí)有非常充分的理由對(duì)SSL會(huì)話(huà)進(jìn)行解密，例如預(yù)防惡意軟件中的僵尸網(wǎng)絡(luò)連接或是阻止流氓員工從內(nèi)部泄露敏感業(yè)務(wù)信息等等。但與此同時(shí)，員工們對(duì)于數(shù)據(jù)流解密則畏之如虎，他們激動(dòng)地宣稱(chēng)自己的隱私權(quán)受到威脅。

企業(yè)必須借助SSL解密的力量才能杜絕寶貴知識(shí)產(chǎn)權(quán)通過(guò)網(wǎng)絡(luò)發(fā)生泄露的可能性。因此，處于網(wǎng)絡(luò)邊界的防火墻產(chǎn)品最好具備SSL解密功能，能夠通過(guò)SSL流量檢查實(shí)現(xiàn)SSL解密。

雖然用戶(hù)方對(duì)SSL解密一致稱(chēng)贊，但公司的員工對(duì)于這種踐踏隱私權(quán)的決定表示強(qiáng)烈反對(duì)。企業(yè)若想真正將SSL解密落實(shí)到位，則需要向員工解釋這一措施的必要性，并嘗試取得法律及人力資源部門(mén)的支持與理解。

事實(shí)上，企業(yè)對(duì)于解密員工的特定在線服務(wù)并無(wú)興趣，比如像網(wǎng)上銀行這樣的日常操作并不會(huì)帶來(lái)任何安全威脅。因此，企業(yè)只針對(duì)特定的SSL加密流進(jìn)行破解，而且這么做完全是為了保障公司及員工的合法權(quán)益與可持續(xù)發(fā)展。如此一來(lái)，員工的態(tài)度就會(huì)從“心有余悸轉(zhuǎn)化為平和對(duì)待”。

目前，已經(jīng)有幾家領(lǐng)先廠商的NGFW(下一代防火墻)產(chǎn)品通過(guò)證書(shū)復(fù)制機(jī)制打開(kāi)TLS 1.1會(huì)話(huà)，這種運(yùn)作方式跟中間人攻擊非常相似，只不過(guò)發(fā)起者變成了企業(yè)本身。舉例來(lái)說(shuō)，管理者能夠以關(guān)鍵詞為基礎(chǔ)檢測(cè)源代碼擴(kuò)充內(nèi)容，進(jìn)而針對(duì)潛在的知識(shí)產(chǎn)權(quán)泄露事件發(fā)出警報(bào)。任何方案都不是完全的，因此這種方式也不能百分之百保證數(shù)據(jù)無(wú)泄漏。

SSL解密能夠?qū)⒁鞒黾坝?jì)劃流出的SSL加密數(shù)據(jù)流進(jìn)行檢測(cè)，但仍然有幾個(gè)問(wèn)題需要注意。

SSL解密機(jī)制會(huì)加入特定的處理流程，這就給現(xiàn)有業(yè)務(wù)環(huán)境帶來(lái)了一系列新的限制，例如防火墻每次到底能處理多少SSL解密任務(wù)。由于對(duì)資源的要求，管理者必須有選擇地指定風(fēng)險(xiǎn)最高的檢測(cè)對(duì)象。

SSL解密所使用的證書(shū)復(fù)制機(jī)制在使用中會(huì)在用戶(hù)端彈出“該證書(shū)不受信任”的提示，但經(jīng)過(guò)通知大家可以放心將其忽略。不過(guò)企業(yè)確實(shí)不該鼓勵(lì)員工在面對(duì)虛假證書(shū)提示時(shí)選擇略過(guò)。相反，用醒目的頁(yè)面提示當(dāng)前“不受信證書(shū)”源自SSL解密才更加科學(xué)。