1. 传输中数据（网络通信）

1）ADAudit Plus 通过 TLS（传输层安全协议）保障网络通信安全：代理端与服务器之间的通信通道（用于将受监控设备采集的审计数据传输至 ADAudit Plus 服务器）默认采用 TLS 加密。该连接支持 TLS 1.2/1.1/1.0，采用高强度加密套件，包含基于 ECDHE-RSA、RSA 密钥交换算法的 AES-128、AES-256（CBC）加密。

2）浏览器访问管理控制台可通过 HTTPS（TLS）加密，若尚未开启，建议为网页控制台启用 HTTPS。

3）与域控制器的目录交互通信可采用 SSL 加密轻量目录访问协议（LDAPS）进行防护。

4）邮件（SMTP）、短信通知通道均支持 TLS/SSL 加密。

另外，如需强化安全配置，建议禁用老旧的 TLS 1.0、TLS 1.1 协议，仅放行 TLS 1.2。相关设置路径：管理员 → 安全 → 安全加固。

2. 静态存储数据 —— 存储的凭证与机密信息

1）软件管理的敏感凭证，包括域服务账号密码、数据库密码、API 密钥等，均采用 AES-256 算法加密（AES/CBC 加密模式，PKCS5 填充）。

2）加密密钥基于 PBKDF2（HMAC-SHA1）算法生成，每条机密数据均搭配独立随机盐值。SSL 密钥库密码还可通过软件自带的密钥库加密功能二次加密。

3. 静态存储数据 —— 审计数据库与归档数据

我们对审计相关资料存储方案完全透明：

审计事件数据库（默认内置 PostgreSQL，也可部署微软 SQL Server）以及压缩格式存储的审计归档档，不在应用层做加密处理。该产品设计方案统一依托底层存储平台实现静态数据加密。

若需满足此类数据的静态加密合规要求，建议：微软 SQL Server 部署环境开启数据库透明数据加密（TDE）；同时在服务器及存放归档目录的磁盘分区启用全盘 / 分区加密，例如 BitLocker。

4. 加密有效性核验方法

运维团队可自行核验各项加密配置：

传输中数据

1）在服务器配置文件 conf\server.xml 中查看代理通信、控制面板 TLS 配置，文件内会标注支持的协议版本与加密套件；

2）使用标准工具验证实时连接，示例命令：

openssl s_client -connect <服务器地址>:8555（代理通信端口）或 :8444（HTTPS 控制台埠）

nmap --script ssl-enum-ciphers -p 8555 < 服务器地址 >，可输出协商使用的 TLS 版本与加密套件；

3）安全加固面板（管理员 → 安全）会展示加密通信、老旧 TLS 协议、LDAPS、密钥库加密的运行状态。

4）存储凭证：

a.软件数据库配置文件中，数据库密码以加密密文形式保存，不会明文展示。

b.数据库与归档静态数据

直接核查底层存储平台加密管控状态：查看对应磁盘分区的 BitLocker 启用状态，或登录 SQL Server 实例查看 TDE 开启情况。