企業(yè)通過巨額投資來保證安全系統(tǒng)的正確部署和運行，以保證可以讓企業(yè)免受網(wǎng)絡(luò)安全威脅的侵?jǐn)_。事實上，企業(yè)安全系統(tǒng)能夠正常工作的關(guān)鍵前提之一就是流量可讀。也就是說，如果通過該系統(tǒng)的流量是加密的，那么企業(yè)部署的安全系統(tǒng)可能并不能發(fā)揮作用。

VPN(虛擬專用網(wǎng))遠(yuǎn)程接入對于企業(yè)來說幾乎成為了必備功能。因此，越來越多的加密流量在企業(yè)網(wǎng)絡(luò)中游走。據(jù)統(tǒng)計，36%的企業(yè)網(wǎng)流量是加密的。對于企業(yè)部署的安全系統(tǒng)來說，超過三分之一的流量是無法被檢測的，再加上某些員工知道如何避免安全檢查，所以事實上企業(yè)面臨很大的數(shù)據(jù)泄露風(fēng)險。

企業(yè)其實有非常充分的理由對SSL會話進(jìn)行解密，例如預(yù)防惡意軟件中的僵尸網(wǎng)絡(luò)連接或是阻止流氓員工從內(nèi)部泄露敏感業(yè)務(wù)信息等等。但與此同時，員工們對于數(shù)據(jù)流解密則畏之如虎，他們激動地宣稱自己的隱私權(quán)受到威脅。

企業(yè)必須借助SSL解密的力量才能杜絕寶貴知識產(chǎn)權(quán)通過網(wǎng)絡(luò)發(fā)生泄露的可能性。因此，處于網(wǎng)絡(luò)邊界的防火墻產(chǎn)品最好具備SSL解密功能，能夠通過SSL流量檢查實現(xiàn)SSL解密。

雖然用戶方對SSL解密一致稱贊，但公司的員工對于這種踐踏隱私權(quán)的決定表示強(qiáng)烈反對。企業(yè)若想真正將SSL解密落實到位，則需要向員工解釋這一措施的必要性，并嘗試取得法律及人力資源部門的支持與理解。

事實上，企業(yè)對于解密員工的特定在線服務(wù)并無興趣，比如像網(wǎng)上銀行這樣的日常操作并不會帶來任何安全威脅。因此，企業(yè)只針對特定的SSL加密流進(jìn)行破解，而且這么做完全是為了保障公司及員工的合法權(quán)益與可持續(xù)發(fā)展。如此一來，員工的態(tài)度就會從“心有余悸轉(zhuǎn)化為平和對待”。

目前，已經(jīng)有幾家領(lǐng)先廠商的NGFW(下一代防火墻)產(chǎn)品通過證書復(fù)制機(jī)制打開TLS 1.1會話，這種運作方式跟中間人攻擊非常相似，只不過發(fā)起者變成了企業(yè)本身。舉例來說，管理者能夠以關(guān)鍵詞為基礎(chǔ)檢測源代碼擴(kuò)充內(nèi)容，進(jìn)而針對潛在的知識產(chǎn)權(quán)泄露事件發(fā)出警報。任何方案都不是完全的，因此這種方式也不能百分之百保證數(shù)據(jù)無泄漏。

SSL解密能夠?qū)⒁鞒黾坝媱澚鞒龅腟SL加密數(shù)據(jù)流進(jìn)行檢測，但仍然有幾個問題需要注意。

SSL解密機(jī)制會加入特定的處理流程，這就給現(xiàn)有業(yè)務(wù)環(huán)境帶來了一系列新的限制，例如防火墻每次到底能處理多少SSL解密任務(wù)。由于對資源的要求，管理者必須有選擇地指定風(fēng)險最高的檢測對象。

SSL解密所使用的證書復(fù)制機(jī)制在使用中會在用戶端彈出“該證書不受信任”的提示，但經(jīng)過通知大家可以放心將其忽略。不過企業(yè)確實不該鼓勵員工在面對虛假證書提示時選擇略過。相反，用醒目的頁面提示當(dāng)前“不受信證書”源自SSL解密才更加科學(xué)。