###
  • اینترنت
  • برنامه ها
  • بازی ها
  • چالش ها و مسائل
  • پنجره ها
  • رسانه های اجتماعی
  • اندروید
  • iOS

    • نمونه هایی از ابزارهای حفاظت از اطلاعات رمزنگاری طبقه بندی وسایل امنیت اطلاعات از FSTEC و FSB روسیه

    05.12.2023 دستگاه های صوتی

    ابزارهای حفاظت از اطلاعات رمزنگاری (CIPF) شامل سخت افزار، سیستم عامل و نرم افزاری است که الگوریتم های رمزنگاری را برای تبدیل اطلاعات به منظور پیاده سازی می کند:

    حفاظت از اطلاعات در طول پردازش، ذخیره سازی و انتقال آن از طریق محیط حمل و نقل AS؛

    اطمینان از قابلیت اطمینان و یکپارچگی اطلاعات (از جمله استفاده از الگوریتم های امضای دیجیتال) در طول پردازش، ذخیره سازی و انتقال آن از طریق محیط حمل و نقل AS؛

    تولید اطلاعات مورد استفاده برای شناسایی و احراز هویت افراد، کاربران و دستگاه ها؛

    تولید اطلاعات مورد استفاده برای محافظت از عناصر احراز هویت یک AS محافظت شده در طول تولید، ذخیره سازی، پردازش و انتقال آنها.

    فرض بر این است که CIPF در برخی از AS (در تعدادی از منابع - یک سیستم اطلاعاتی و مخابراتی یا شبکه ارتباطی) همراه با مکانیسم هایی برای پیاده سازی و تضمین سیاست امنیتی استفاده می شود.

    تبدیل رمزنگاری دارای تعدادی ویژگی مهم است:

    CIPF یک الگوریتم تبدیل اطلاعات خاص (رمزگذاری، امضای دیجیتال الکترونیکی، کنترل یکپارچگی) را پیاده سازی می کند.

    آرگومان های ورودی و خروجی تبدیل رمزنگاری در AS به شکل مادی (اشیاء AS) وجود دارد.

    CIPF از برخی اطلاعات محرمانه (کلیدها) برای کار استفاده می کند.

    الگوریتم تبدیل رمزنگاری در قالب یک شیء مادی که با محیط تعامل دارد (از جمله موضوعات و اشیاء AS محافظت شده) پیاده سازی می شود.

    بنابراین، نقش CIPF در یک AS محافظت شده، تبدیل اشیا است. در هر مورد خاص، این تحول ویژگی های خاص خود را دارد. بنابراین، روش رمزگذاری از یک شی - متن ساده و یک شی - کلید به عنوان پارامترهای ورودی استفاده می کند، نتیجه تبدیل یک شی - متن رمزی است. برعکس، روش رمزگشایی از متن رمز و کلید به عنوان پارامترهای ورودی استفاده می کند. روش الصاق امضای دیجیتال از یک شی - یک پیام و یک شی - یک کلید امضای مخفی - به عنوان پارامترهای ورودی استفاده می کند؛ نتیجه امضای دیجیتال یک شی است - یک امضا، که معمولاً در یک شی - یک پیام ادغام می شود. می توان گفت که CIPF از اشیاء در سطح معنایی محافظت می کند. در عین حال، اشیاء - پارامترهای تبدیل رمزنگاری، اشیاء AS تمام عیار هستند و می توانند اشیاء برخی از سیاست های امنیتی باشند (به عنوان مثال، کلیدهای رمزگذاری می توانند و باید از دسترسی غیرمجاز محافظت شوند، کلیدهای عمومی برای بررسی امضای دیجیتال از تغییرات) . بنابراین، CIPF به عنوان بخشی از سیستم های محافظت شده دارای یک پیاده سازی خاص است - می تواند یک دستگاه تخصصی جداگانه ساخته شده در رایانه یا یک برنامه تخصصی باشد. نکات زیر ضروری است:

    CIPF اطلاعات را با محیط خارجی مبادله می کند، یعنی: کلیدها در آن وارد می شوند، متن ساده در هنگام رمزگذاری

    CIPF در مورد پیاده‌سازی سخت‌افزار از یک پایه اساسی با قابلیت اطمینان محدود استفاده می‌کند (یعنی قطعاتی که CIPF را تشکیل می‌دهند در معرض نقص یا خرابی هستند)

    CIPF در مورد پیاده سازی نرم افزار بر روی یک پردازنده با قابلیت اطمینان محدود و در یک محیط نرم افزاری حاوی برنامه های شخص ثالث اجرا می شود که می تواند مراحل مختلف عملکرد آن را تحت تاثیر قرار دهد.

    CIPF بر روی یک رسانه ملموس (در مورد پیاده سازی نرم افزار) ذخیره می شود و ممکن است عمدا یا سهوا در طول ذخیره سازی تحریف شود.

    CIPF به طور غیرمستقیم با محیط خارجی تعامل دارد (با برق تغذیه می شود، میدان های الکترومغناطیسی ساطع می کند)

    CIPF توسط شخصی ساخته و/یا استفاده می‌شود که می‌تواند در طول توسعه و بهره‌برداری خطا (عمدی یا تصادفی) کند.

    ابزارهای موجود حفاظت از داده ها در شبکه های مخابراتی را می توان بر اساس اصل ساخت یک سیستم کلیدی و یک سیستم احراز هویت به دو گروه تقسیم کرد. گروه اول شامل ابزارهایی است که از الگوریتم های رمزنگاری متقارن برای ساختن یک سیستم کلیدی و یک سیستم احراز هویت استفاده می کنند و گروه دوم شامل موارد نامتقارن است.

    اجازه دهید تحلیل مقایسه ای این سیستم ها را انجام دهیم. یک پیام اطلاعاتی آماده برای انتقال، در ابتدا باز و بدون محافظت، رمزگذاری شده و در نتیجه به یک رمز نگاری، یعنی به متن بسته یا تصویر گرافیکی یک سند تبدیل می‌شود. در این شکل، پیام از طریق یک کانال ارتباطی منتقل می شود، حتی اگر ایمن نباشد. یک کاربر مجاز، پس از دریافت پیام، آن را رمزگشایی می کند (یعنی آن را باز می کند) با تبدیل معکوس رمزنگاری، و در نتیجه شکل اصلی و واضح پیام، در دسترس کاربران مجاز است. روش تبدیل در یک سیستم رمزنگاری با استفاده از یک الگوریتم خاص مطابقت دارد. عملکرد چنین الگوریتمی توسط یک عدد منحصر به فرد (توالی از بیت ها) آغاز می شود که معمولاً کلید رمزگذاری نامیده می شود.

    برای اکثر سیستم ها، مدار مولد کلید ممکن است مجموعه ای از دستورالعمل ها و دستورات یا یک قطعه سخت افزار یا یک برنامه کامپیوتری یا همه اینها باشد، اما در هر صورت، فرآیند رمزگذاری (رمزگشایی) تنها توسط این ویژه اجرا می شود. کلید برای اینکه تبادل داده های رمزگذاری شده موفقیت آمیز باشد، هم فرستنده و هم گیرنده باید تنظیمات صحیح کلید را بدانند و آن را مخفی نگه دارند. قدرت هر سیستم ارتباطی بسته با درجه محرمانه بودن کلید استفاده شده در آن تعیین می شود. با این حال، این کلید باید برای سایر کاربران شبکه شناخته شده باشد تا بتوانند آزادانه پیام های رمزگذاری شده را مبادله کنند. از این نظر، سیستم های رمزنگاری به حل مشکل احراز هویت (تثبیت اصالت) اطلاعات دریافتی نیز کمک می کنند. در صورت رهگیری یک پیام، مهاجم فقط با متن رمزگذاری شده برخورد می کند و گیرنده واقعی، با دریافت پیام هایی که خصوصی هستند با کلیدی که او و فرستنده آن را می شناسند، به طور قابل اعتمادی از اطلاعات غلط احتمالی محافظت می شود. علاوه بر این، رمزگذاری اطلاعات به روشی ساده تر - با استفاده از یک مولد اعداد شبه تصادفی امکان پذیر است. استفاده از یک مولد اعداد شبه تصادفی شامل تولید یک گامای رمز با استفاده از یک مولد اعداد شبه تصادفی با یک کلید خاص و اعمال گامای حاصل به داده‌های باز به شیوه‌ای برگشت‌پذیر است. اجرای این روش حفاظت از رمزنگاری بسیار آسان است و سرعت رمزگذاری نسبتاً بالایی را ارائه می دهد، اما به اندازه کافی در برابر رمزگشایی مقاوم نیست.

    رمزنگاری کلاسیک با استفاده از یک واحد مخفی - یک کلید مشخص می شود که به فرستنده اجازه می دهد پیام را رمزگذاری کند و گیرنده آن را رمزگشایی کند. در مورد رمزگذاری داده های ذخیره شده بر روی رسانه های مغناطیسی یا سایر رسانه های ذخیره سازی، کلید به شما امکان می دهد هنگام نوشتن روی رسانه، اطلاعات را رمزگذاری کنید و هنگام خواندن از آن، رمزگشایی کنید.

    "روش های سازمانی و قانونی امنیت اطلاعات"

    اسناد راهنمای نظارتی اساسی مربوط به اسرار دولتی، اسناد نظارتی و مرجع

    امروزه کشور ما یک چارچوب قانونی پایدار در زمینه حفاظت از اطلاعات ایجاد کرده است. قانون اساسی را می توان قانون فدرال فدراسیون روسیه "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" نامید. "تنظیم دولتی روابط در زمینه حفاظت از اطلاعات با ایجاد الزاماتی برای حفاظت از اطلاعات و همچنین مسئولیت نقض قوانین فدراسیون روسیه در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات انجام می شود." قانون همچنین تعیین می کند. مسئولیت های دارندگان اطلاعات و اپراتورهای سیستم های اطلاعاتی.

    در مورد مقررات "مدونی" امنیت اطلاعات، هنجارهای قانون تخلفات اداری فدراسیون روسیه و قانون جزایی فدراسیون روسیه نیز حاوی مواد لازم است. در هنر. 13.12 قانون تخلفات اداری فدراسیون روسیه در مورد نقض قوانین حفاظت از اطلاعات صحبت می کند. همچنین هنر. 13.13، که برای فعالیت های غیرقانونی در زمینه امنیت اطلاعات مجازات تعیین می کند. و هنر. 13.14. که برای افشای اطلاعات محدود مجازات هایی را در نظر می گیرد. ماده 183. قانون جزایی فدراسیون روسیه برای دریافت و افشای غیرقانونی اطلاعاتی که اسرار تجاری، مالیاتی یا بانکی را تشکیل می دهد مجازات تعیین می کند.

    قانون فدرال "در مورد اطلاعات، اطلاعات و حفاظت از اطلاعات" تصریح می کند که منابع اطلاعاتی دولتی فدراسیون روسیه باز و در دسترس عموم است. استثنا اطلاعات مستندی است که طبق قانون به عنوان دسترسی محدود طبقه بندی شده است.

    مفهوم اسرار دولتی در قانون "اسرار دولتی" به عنوان "اطلاعاتی که توسط دولت در زمینه فعالیت های نظامی، سیاست خارجی، اقتصادی، اطلاعاتی، ضد جاسوسی و تحقیقات عملیاتی محافظت می شود که انتشار آنها ممکن است به امنیت آسیب برساند" تعریف شده است. فدراسیون روسیه.» بنابراین، بر اساس توازن منافع دولت، جامعه و شهروندان، دامنه اعمال قانون به انواع خاصی از فعالیت ها محدود می شود: نظامی، سیاست خارجی، اقتصادی، اطلاعاتی، ضد جاسوسی و تحقیقات عملیاتی.

    قانون تعیین کرد که ملاک اصلی این است که اطلاعات طبقه بندی شده متعلق به دولت باشد.

    این قانون همچنین ایجاد تعدادی از ارگان ها در زمینه حفاظت از اسرار دولتی را ایجاد کرد، به ویژه، کمیسیون بین بخشی برای حفاظت از اسرار دولتی، نهاد مقاماتی را معرفی کرد که اختیار دارند اطلاعات را به عنوان اسرار دولتی طبقه بندی کنند، در حالی که در همان زمان زمان واگذاری مسئولیت شخصی به آنها برای فعالیت های حفاظت از اسرار دولتی در حوزه قضایی آنها.

    سازماندهی کلی و هماهنگی کار در کشور برای محافظت از اطلاعات پردازش شده توسط ابزار فنی توسط یک نهاد همگانی - سرویس فدرال برای کنترل فنی و صادرات (FSTEK) روسیه زیر نظر رئیس جمهور فدراسیون روسیه انجام می شود که بر امنیت در این کشور نظارت می کند. ارگان های دولتی و در شرکت هایی که در زمینه دفاع و سایر موضوعات طبقه بندی شده کار می کنند.

    هدف و وظایف در زمینه تضمین امنیت اطلاعات در سطح دولتی

    سیاست ایالتی تضمین امنیت اطلاعات فدراسیون روسیه، جهت گیری های اصلی فعالیت نهادهای دولتی فدرال و نهادهای دولتی نهادهای تشکیل دهنده فدراسیون روسیه در این زمینه، روش تجمیع مسئولیت های آنها برای حفاظت از منافع فدراسیون روسیه را تعیین می کند. حوزه اطلاعات در چارچوب فعالیت های خود و مبتنی بر حفظ تعادل منافع فرد، جامعه و دولت در حوزه اطلاعات است. سیاست دولتی تضمین امنیت اطلاعات فدراسیون روسیه بر اساس اصول اساسی زیر است: مطابقت با قانون اساسی فدراسیون روسیه، قوانین فدراسیون روسیه، اصول و هنجارهای عمومی شناخته شده حقوق بین الملل هنگام انجام فعالیت هایی برای اطمینان از اطلاعات. امنیت فدراسیون روسیه؛ گشودگی در اجرای وظایف ارگان های دولتی فدرال، نهادهای دولتی نهادهای تشکیل دهنده فدراسیون روسیه و انجمن های عمومی، فراهم کردن اطلاع رسانی عمومی در مورد فعالیت های آنها، با در نظر گرفتن محدودیت های تعیین شده توسط قانون فدراسیون روسیه. برابری قانونی همه شرکت کنندگان در فرآیند تعامل اطلاعاتی، صرف نظر از وضعیت سیاسی، اجتماعی و اقتصادی آنها، بر اساس حق قانون اساسی شهروندان برای جستجو، دریافت، انتقال، تولید و انتشار آزادانه اطلاعات به هر طریق قانونی؛ اولویت توسعه فناوری های اطلاعاتی و مخابراتی مدرن داخلی داخلی، تولید سخت افزار و نرم افزار قادر به تضمین بهبود شبکه های مخابراتی ملی، اتصال آنها به شبکه های اطلاعات جهانی به منظور مطابقت با منافع حیاتی فدراسیون روسیه.

    دولت در روند اجرای وظایف خود برای تضمین امنیت اطلاعات فدراسیون روسیه: تجزیه و تحلیل عینی و جامع و پیش بینی تهدیدات امنیت اطلاعات فدراسیون روسیه را انجام می دهد، اقداماتی را برای اطمینان از آن ایجاد می کند. سازماندهی کار نهادهای قانونگذاری (نماینده) و اجرایی قدرت دولتی فدراسیون روسیه برای اجرای مجموعه ای از اقدامات با هدف جلوگیری، دفع و خنثی کردن تهدیدات برای امنیت اطلاعات فدراسیون روسیه. از فعالیت های انجمن های عمومی با هدف اطلاع رسانی عینی به مردم در مورد پدیده های اجتماعی مهم زندگی عمومی، محافظت از جامعه در برابر اطلاعات تحریف شده و غیر قابل اعتماد پشتیبانی می کند. اعمال کنترل بر طراحی، ایجاد، توسعه، استفاده، صادرات و واردات ابزارهای امنیت اطلاعات از طریق صدور گواهینامه و مجوز فعالیت در زمینه امنیت اطلاعات. سیاست حمایتی لازم را در قبال تولید کنندگان ابزارهای اطلاعات و حفاظت اطلاعات در قلمرو فدراسیون روسیه دنبال می کند و اقداماتی را برای محافظت از بازار داخلی از نفوذ ابزارها و محصولات اطلاعاتی با کیفیت پایین انجام می دهد. کمک به دسترسی اشخاص حقیقی و حقوقی به منابع اطلاعاتی جهان و شبکه های اطلاعاتی جهانی؛ سیاست اطلاعات دولتی روسیه را تدوین و اجرا می کند. توسعه یک برنامه فدرال برای تضمین امنیت اطلاعات فدراسیون روسیه را سازماندهی می کند و تلاش های سازمان های دولتی و غیر دولتی را در این زمینه ترکیب می کند. بین‌المللی‌سازی شبکه‌ها و سیستم‌های اطلاعاتی جهانی و همچنین ورود روسیه به جامعه اطلاعاتی جهانی با شرایط مشارکت برابر را ترویج می‌کند.

    بهبود مکانیسم های قانونی برای تنظیم روابط عمومی ناشی از حوزه اطلاعات یک جهت اولویت سیاست دولتی در زمینه تضمین امنیت اطلاعات فدراسیون روسیه است.

    این شامل: ارزیابی اثربخشی اعمال قوانین قانونی و سایر قوانین قانونی نظارتی موجود در حوزه اطلاعات و تدوین برنامه ای برای بهبود آنها است. ایجاد سازوکارهای سازمانی و قانونی برای تضمین امنیت اطلاعات؛ تعیین وضعیت حقوقی همه موضوعات روابط در حوزه اطلاعات، از جمله کاربران سیستم های اطلاعاتی و مخابراتی، و تعیین مسئولیت آنها برای انطباق با قوانین فدراسیون روسیه در این زمینه. ایجاد سیستمی برای جمع آوری و تجزیه و تحلیل داده ها در مورد منابع تهدید امنیت اطلاعات فدراسیون روسیه و همچنین پیامدهای اجرای آنها. توسعه اقدامات قانونی هنجاری که سازماندهی تحقیقات و روند محاکمه را برای حقایق اقدامات غیرقانونی در حوزه اطلاعات و همچنین روش از بین بردن عواقب این اقدامات غیرقانونی تعیین می کند. توسعه جرائم با در نظر گرفتن ویژگی های مسئولیت کیفری، مدنی، اداری، انضباطی و گنجاندن هنجارهای قانونی مربوطه در قوانین کیفری، مدنی، اداری و کار، در قوانین فدراسیون روسیه در مورد خدمات عمومی. بهبود سیستم آموزش پرسنل مورد استفاده در زمینه تضمین امنیت اطلاعات فدراسیون روسیه.

    حمایت قانونی از امنیت اطلاعات فدراسیون روسیه باید اول از همه بر اساس رعایت اصول قانونی، تعادل منافع شهروندان، جامعه و دولت در حوزه اطلاعات باشد. پیروی از اصل قانونی بودن مستلزم آن است که ارگان های دولتی فدرال و ارگان های دولتی نهادهای تشکیل دهنده فدراسیون روسیه، هنگام حل و فصل تعارضات ناشی از حوزه اطلاعات، به شدت توسط قوانین قانونی و سایر قوانین نظارتی حاکم بر روابط در این زمینه هدایت شوند. رعایت اصل توازن منافع شهروندان، جامعه و ایالت در حوزه اطلاعات مستلزم تثبیت قانونی اولویت این منافع در حوزه های مختلف جامعه و همچنین استفاده از اشکال کنترل عمومی بر فعالیت های دولت فدرال است. ارگان ها و ارگان های دولتی نهادهای تشکیل دهنده فدراسیون روسیه. اجرای ضمانت‌های قانون اساسی حقوق و آزادی‌های انسان و شهروند در ارتباط با فعالیت‌های حوزه اطلاعات، مهمترین وظیفه دولت در زمینه امنیت اطلاعات است. توسعه مکانیسم هایی برای حمایت قانونی از امنیت اطلاعات در فدراسیون روسیه شامل اقداماتی برای اطلاع رسانی حوزه حقوقی به طور کلی است. به منظور شناسایی و هماهنگ کردن منافع ارگان های دولتی فدرال، نهادهای دولتی نهادهای تشکیل دهنده فدراسیون روسیه و سایر موضوعات روابط در حوزه اطلاعات و اتخاذ تصمیمات لازم، دولت از تشکیل شوراها، کمیته ها و کمیسیون های عمومی حمایت می کند. با نمایندگی گسترده انجمن های عمومی و سازماندهی کار موثر آنها را تسهیل می کند.

    ویژگی های صدور گواهینامه و استانداردسازی خدمات رمزنگاری

    تقریباً در تمام کشورهایی که فناوری‌های رمزنگاری پیشرفته دارند، توسعه CIPF تابع مقررات دولتی است. مقررات دولتی، به عنوان یک قاعده، شامل مجوز فعالیت های مربوط به توسعه و بهره برداری از ابزارهای رمزنگاری، صدور گواهینامه CIPF و استانداردسازی الگوریتم های تبدیل رمزنگاری است.

    انواع فعالیت های زیر مشمول صدور مجوز هستند: توسعه، تولید، آزمایش صدور گواهینامه، فروش، بهره برداری از ابزارهای رمزگذاری در نظر گرفته شده برای حفاظت رمزنگاری اطلاعات حاوی اطلاعات تشکیل دهنده یک دولت یا سایر رازهای قانونی محافظت شده در طول پردازش، ذخیره سازی و انتقال آن از طریق کانال های ارتباطی، و همچنین ارائه خدمات در زمینه رمزگذاری این اطلاعات؛ توسعه، تولید، آزمایش صدور گواهینامه، بهره برداری از سیستم های مخابراتی و مجتمع های بالاترین ارگان های دولتی فدراسیون روسیه؛ توسعه، تولید، آزمایش صدور گواهینامه، اجرا، بهره برداری از سیستم های بسته و مجتمع های مخابراتی مقامات نهادهای تشکیل دهنده فدراسیون روسیه، مقامات اجرایی مرکزی فدرال، سازمان ها، شرکت ها، بانک ها و سایر موسسات واقع در قلمرو فدراسیون روسیه، صرف نظر از وابستگی دپارتمان آنها و تشکیل اموال (از این پس به عنوان سیستم های بسته و مجتمع های مخابراتی نامیده می شود) که برای انتقال اطلاعات تشکیل دهنده یک دولت یا سایر رازهای محافظت شده توسط قانون است. انجام آزمایش‌های صدور گواهینامه، پیاده‌سازی و بهره‌برداری از ابزارهای رمزگذاری، سیستم‌های بسته و مجتمع‌های مخابراتی در نظر گرفته شده برای پردازش اطلاعاتی که حاوی اطلاعات دولتی یا سایر رازهای حفاظت شده قانونی در طول پردازش، ذخیره‌سازی و انتقال آن از طریق کانال‌های ارتباطی نیستند و همچنین ارائه اطلاعات خدمات در زمینه رمزگذاری این اطلاعات

    ابزارهای رمزگذاری عبارتند از: سخت‌افزار، نرم‌افزار و ابزارهای سخت‌افزاری-نرم‌افزاری که الگوریتم‌های رمزنگاری را برای تبدیل اطلاعات، تضمین امنیت اطلاعات در حین پردازش، ذخیره‌سازی و انتقال آن از طریق کانال‌های ارتباطی، از جمله فناوری رمزگذاری، پیاده‌سازی می‌کنند. سخت افزار، نرم افزار و سخت افزار-نرم افزار ابزار محافظت در برابر دسترسی غیرمجاز به اطلاعات در طول پردازش و ذخیره سازی آن که الگوریتم های رمزنگاری را برای تبدیل اطلاعات پیاده سازی می کند. پیاده‌سازی الگوریتم‌های رمزنگاری برای تبدیل اطلاعات، سخت‌افزار، نرم‌افزار و ابزارهای سخت‌افزاری-نرم‌افزاری برای محافظت در برابر تحمیل اطلاعات نادرست، از جمله ابزارهای حفاظت تقلیدی و «امضای دیجیتال»؛ سخت افزار، سخت افزار-نرم افزار و نرم افزار برای تولید اسناد کلیدی برای ابزارهای رمزگذاری، صرف نظر از نوع حامل اطلاعات کلیدی.

    سیستم های بسته و مجتمع های مخابراتی شامل سیستم ها و مجتمع های مخابراتی است که حفاظت از اطلاعات را با استفاده از ابزارهای رمزگذاری، تجهیزات ایمن و اقدامات سازمانی تضمین می کند.

    به‌علاوه، انواع فعالیت‌های زیر مشمول صدور مجوز هستند: بهره‌برداری از ابزارهای رمزگذاری و/یا ابزارهای امضای دیجیتال، و همچنین ابزارهای رمزگذاری برای محافظت از پرداخت‌های الکترونیکی با استفاده از کارت‌های اعتباری پلاستیکی و کارت‌های هوشمند؛ ارائه خدمات حفاظت از اطلاعات (رمزگذاری)؛ نصب، نصب، تنظیم ابزارهای رمزگذاری و/یا ابزارهای امضای دیجیتال، ابزارهای رمزگذاری برای محافظت از پرداخت های الکترونیکی با استفاده از کارت های اعتباری پلاستیکی و کارت های هوشمند؛ توسعه ابزارهای رمزگذاری و/یا ابزارهای امضای دیجیتال، ابزارهای رمزگذاری برای محافظت از پرداخت های الکترونیکی با استفاده از کارت های اعتباری پلاستیکی و کارت های هوشمند

    روش صدور گواهینامه CIPF توسط سیستم صدور گواهی برای ابزارهای حفاظت از اطلاعات رمزنگاری ROSS.R11.0001.030001 استاندارد دولتی روسیه ایجاد شده است.

    استانداردسازی الگوریتم‌های تبدیل رمزنگاری شامل تحقیق و انتشار جامع در قالب استانداردهای عناصر رویه‌های رمزنگاری با هدف استفاده از تبدیل‌های قوی رمزنگاری شده توسط توسعه‌دهندگان CIPF، اطمینان از امکان عملیات مشترک CIPF‌های مختلف و همچنین امکان آزمایش است. و انطباق اجرای CIPF با الگوریتم مشخص شده توسط استاندارد را تأیید کنید. استانداردهای زیر در روسیه پذیرفته شده است: الگوریتم تبدیل رمزنگاری 28147-89، الگوریتم های هش، الصاق و تأیید امضای دیجیتال R34.10.94 و R34.11.94. در بین استانداردهای خارجی، الگوریتم های رمزگذاری DES، RC2، RC4، الگوریتم های هش MD2، MD4 و MD5 و الگوریتم های الصاق و تأیید امضای دیجیتال DSS و RSA به طور گسترده ای شناخته شده و مورد استفاده قرار می گیرند.

    چارچوب قانونی برای امنیت اطلاعات

    مفاهیم اساسی، الزامات، روش ها و ابزارهای طراحی و ارزیابی یک سیستم امنیت اطلاعات برای سیستم های اطلاعاتی (IS) در اسناد اساسی زیر منعکس شده است:

    «کتاب نارنجی» مرکز ملی امنیت رایانه

    "معیارهای هماهنگ کشورهای اروپایی (ITSEC)"؛

    مفهوم حفاظت در برابر فعالیت های غیرقانونی کمیسیون دولتی زیر نظر رئیس جمهور فدراسیون روسیه.

    مفهوم امنیت اطلاعات

    مفهوم امنیتی سیستم در حال توسعه عبارت است از "مجموعه ای از قوانین، قوانین و هنجارهای رفتاری که تعیین می کند یک سازمان چگونه اطلاعات را پردازش، محافظت و توزیع می کند. به ویژه، قوانین تعیین می کنند که در چه مواردی کاربر حق دارد با موارد خاصی کار کند. مجموعه‌ای از داده‌ها. هر چه سیستم قابل اعتمادتر باشد، مفهوم امنیتی باید متنوع‌تر و دقیق‌تر باشد. بسته به مفهوم فرمول‌بندی شده، می‌توانید مکانیسم‌های خاصی را انتخاب کنید که امنیت سیستم را تضمین می‌کند. مفهوم امنیتی یک جزء فعال حفاظت است. از جمله تجزیه و تحلیل تهدیدات احتمالی و انتخاب اقدامات متقابل."

    با توجه به کتاب نارنجی، مفهوم امنیتی سیستم در حال توسعه باید شامل عناصر زیر باشد:

    کنترل دسترسی تصادفی؛

    امنیت استفاده مجدد از شی.

    برچسب های امنیتی؛

    کنترل دسترسی اجباری

    بیایید محتوای عناصر ذکر شده را در نظر بگیریم.

    کنترل دسترسی تصادفی روشی است برای محدود کردن دسترسی به اشیا، بر اساس در نظر گرفتن هویت موضوع یا گروهی که موضوع به آن تعلق دارد. خودسری کنترل این است که شخصی (معمولاً صاحب یک شی) می تواند به صلاحدید خود حق دسترسی به آن شی را از سایر افراد سلب کند.

    مزیت اصلی کنترل دسترسی تصادفی انعطاف پذیری است ، معایب اصلی پراکندگی کنترل و پیچیدگی کنترل متمرکز و همچنین جداسازی حقوق دسترسی از داده ها است که به شما امکان می دهد اطلاعات محرمانه را در پرونده های عمومی کپی کنید.

    امنیت استفاده مجدد از اشیاء یک افزودنی مهم به کنترل های دسترسی در عمل است که از بازیابی تصادفی یا عمدی اطلاعات حساس از زباله محافظت می کند. امنیت استفاده مجدد باید برای مناطق رم (به ویژه برای بافرهایی با تصاویر صفحه، رمزهای رمزگشایی شده و غیره)، برای بلوک های دیسک و رسانه های مغناطیسی به طور کلی تضمین شود.

    برچسب‌های امنیتی برای اعمال کنترل دسترسی با موضوعات و اشیاء مرتبط هستند. برچسب موضوع، قابل اعتماد بودن آن را توصیف می کند، برچسب شی، میزان محرمانه بودن اطلاعاتی را که در آن وجود دارد، توصیف می کند. طبق کتاب نارنجی، برچسب‌های امنیتی از دو بخش تشکیل شده‌اند - یک سطح امنیتی و یک لیست از دسته‌ها. مسئله اصلی که باید با برچسب ها برطرف شود، اطمینان از یکپارچگی آنها است. اولاً، هیچ سوژه یا شی بدون برچسب نباید وجود داشته باشد، در غیر این صورت حفره هایی به راحتی قابل بهره برداری در امنیت برچسب گذاری شده وجود خواهد داشت. ثانیاً، در طول هر عملیات با داده ها، برچسب ها باید درست باقی بمانند. یکی از راه های اطمینان از یکپارچگی برچسب های امنیتی، تفکیک دستگاه ها به دستگاه های چند سطحی و تک سطحی است. دستگاه های چند سطحی می توانند اطلاعات سطوح مختلف رازداری (به طور دقیق تر، در محدوده مشخصی از سطوح) را ذخیره کنند. دستگاه تک سطحی را می توان به عنوان یک مورد منحط از یک دستگاه چند سطحی در نظر گرفت که محدوده مجاز از یک سطح واحد تشکیل شده است. با دانستن سطح دستگاه، سیستم می تواند تصمیم بگیرد که آیا نوشتن اطلاعات با برچسب خاصی روی آن مجاز است یا خیر.

    کنترل دسترسی اجباری بر اساس تطبیق برچسب های امنیتی سوژه و شی است. این روش کنترل دسترسی اجباری نامیده می شود زیرا به اراده افراد (حتی مدیران سیستم) بستگی ندارد. کنترل دسترسی اجباری در بسیاری از نسخه‌های سیستم‌عامل و DBMS اجرا می‌شود که دارای اقدامات امنیتی پیشرفته‌تر هستند.

    پمشکل محافظت از اطلاعات با تبدیل آن به گونه ای که توسط یک فرد خارجی قابل خواندن نباشد، از زمان های قدیم ذهن انسان را نگران کرده است. تاریخ رمزنگاری همسان با تاریخ زبان بشری است. علاوه بر این، نوشتن خود در اصل یک سیستم رمزنگاری بود، زیرا در جوامع باستانی فقط تعداد معدودی بر آن تسلط داشتند. کتب مقدس مصر باستان و هند باستان نمونه هایی از این دست هستند.

    بهروش‌های رمزنگاری حفاظت از اطلاعات، روش‌های خاصی برای رمزگذاری، رمزگذاری یا تغییر شکل دیگر اطلاعات هستند که در نتیجه محتوای آن بدون ارائه کلید رمزنگاری و تبدیل معکوس غیرقابل دسترس می‌شود. روش رمزنگاری محافظت مطمئناً قابل اعتمادترین روش محافظت است، زیرا خود اطلاعات محافظت می شود و دسترسی به آن نیست (به عنوان مثال، یک فایل رمزگذاری شده حتی در صورت سرقت رسانه قابل خواندن نیست). این روش حفاظتی در قالب برنامه ها یا بسته های نرم افزاری پیاده سازی می شود.

    رمزنگاری مدرن شامل چهار بخش عمده است:

      سیستم های رمزنگاری متقارن. در سیستم های رمزنگاری متقارن، هم برای رمزگذاری و هم برای رمزگشایی از یک کلید استفاده می شود. (رمزگذاری یک فرآیند تبدیل است: متن اصلی که به آن متن ساده نیز می گویند، با متن رمزی جایگزین می شود، رمزگشایی فرآیند معکوس رمزگذاری است. بر اساس کلید، متن رمز شده به اصلی تبدیل می شود).

      سیستم های رمزنگاری کلید عمومی. سیستم های کلید عمومی از دو کلید عمومی و خصوصی استفاده می کنند که از نظر ریاضی با یکدیگر مرتبط هستند. اطلاعات با استفاده از یک کلید عمومی که برای همه در دسترس است رمزگذاری می شود و با استفاده از یک کلید خصوصی که فقط گیرنده پیام می شناسد رمزگشایی می شود.

      امضای الکترونیک. سیستم امضای الکترونیکی تبدیل رمزنگاری متصل به متن نامیده می شود، که به هنگام دریافت متن توسط کاربر دیگری، اجازه می دهد تا نویسندگی و صحت پیام را تأیید کند.

      مدیریت کلیدی. این فرآیند سیستم های پردازش اطلاعات است که محتوای آن جمع آوری و توزیع کلیدها بین کاربران است.

    در بارهزمینه های اصلی استفاده از روش های رمزنگاری عبارتند از انتقال اطلاعات محرمانه از طریق کانال های ارتباطی (به عنوان مثال، ایمیل)، ایجاد صحت پیام های ارسال شده، ذخیره اطلاعات (اسناد، پایگاه های داده) در رسانه ها به صورت رمزگذاری شده.

    الزامات برای سیستم های رمزنگاری

    پفرآیند بسته شدن داده های رمزنگاری می تواند هم در نرم افزار و هم در سخت افزار انجام شود. پیاده سازی سخت افزار به طور قابل توجهی گران تر است، اما مزایایی نیز دارد: عملکرد بالا، سادگی، امنیت و غیره. پیاده سازی نرم افزار کاربردی تر است و امکان انعطاف پذیری خاصی را در استفاده فراهم می کند. الزامات عمومی پذیرفته شده زیر برای سیستم های امنیتی اطلاعات رمزنگاری مدرن فرموله شده است:

      پیام رمزگذاری شده باید فقط در صورتی قابل خواندن باشد که کلید موجود باشد.

      تعداد عملیات مورد نیاز برای تعیین کلید رمزگذاری استفاده شده از قسمتی از یک پیام رمزگذاری شده و متن ساده مربوطه نباید کمتر از تعداد کل کلیدهای ممکن باشد.

      تعداد عملیات مورد نیاز برای رمزگشایی اطلاعات با جستجو در تمام کلیدهای ممکن باید دارای یک کران پایینی دقیق باشد و فراتر از قابلیت های رایانه های مدرن باشد (با در نظر گرفتن امکان استفاده از محاسبات شبکه).

      دانش الگوریتم رمزگذاری نباید بر قابلیت اطمینان حفاظت تأثیر بگذارد.

      تغییر جزئی در کلید باید منجر به تغییر قابل توجهی در ظاهر پیام رمزگذاری شده شود، حتی با استفاده از همان کلید.

      عناصر ساختاری الگوریتم رمزگذاری باید بدون تغییر باشد.

      بیت های اضافی وارد شده به پیام در طول فرآیند رمزگذاری باید به طور کامل و ایمن در متن رمزگذاری شده پنهان شوند.

      طول متن رمزی باید برابر با طول متن اصلی باشد.

      هیچ وابستگی ساده و به راحتی بین کلیدهایی که به طور متوالی در فرآیند رمزگذاری استفاده می شوند، وجود نداشته باشد.

      هر یک از کلیدهای متعدد ممکن باید حفاظت اطلاعات قابل اعتماد را ارائه دهد.

      الگوریتم باید اجازه اجرای نرم افزار و سخت افزار را بدهد، در حالی که تغییر طول کلید نباید منجر به زوال کیفی الگوریتم رمزگذاری شود.

    سیستم های رمزنگاری متقارن

    که درهمه انواع روش های رمزنگاری موجود در سیستم های رمزنگاری متقارن را می توان به 4 کلاس تبدیل زیر کاهش داد:

      جایگزینی - طبق یک قانون از پیش تعیین شده، کاراکترهای متن رمزگذاری شده با حروف الفبای مشابه یا دیگر جایگزین می شوند.

      جایگشت - کاراکترهای متن رمزگذاری شده بر اساس قاعده خاصی در یک بلوک معین از متن ارسال شده بازآرایی می شوند.

      تبدیل تحلیلی - متن رمزگذاری شده بر اساس برخی از قوانین تحلیلی، به عنوان مثال گاما، تبدیل می شود - شامل تحمیل تعدادی دنباله شبه تصادفی بر اساس کلید بر متن مبدا است.

      تبدیل ترکیبی - نشان دهنده دنباله ای (با تکرار و تناوب احتمالی) از روش های تبدیل اولیه اعمال شده در بلوک (بخشی) از متن رمزگذاری شده است. در عمل، رمزهای بلوکی به دلیل قدرت رمزنگاری بالاتر، نسبت به تبدیل‌های «خالص» یک کلاس یا کلاس دیگر رایج‌تر هستند. استانداردهای رمزگذاری روسیه و آمریکا بر اساس این کلاس است.

    سیستم های کلید عمومی

    بهمهم نیست که سیستم های رمزنگاری چقدر پیچیده و قابل اعتماد هستند، نقطه ضعف آنها در اجرای عملی مشکل توزیع کلید است. برای اینکه تبادل اطلاعات محرمانه بین دو موضوع IP امکان پذیر باشد، باید کلید توسط یکی از آنها تولید شود و سپس به نحوی، دوباره به صورت محرمانه، به دیگری منتقل شود. آن ها به طور کلی، انتقال مجدد کلید مستلزم استفاده از نوعی سیستم رمزنگاری است. برای حل این مشکل، سیستم های کلید عمومی بر اساس نتایج به دست آمده از جبر کلاسیک و مدرن پیشنهاد شده است. ماهیت آنها این است که هر مخاطب IP دو کلید تولید می کند که طبق قانون خاصی به یکدیگر متصل می شوند. یک کلید عمومی و دیگری خصوصی اعلام می شود. کلید عمومی منتشر شده و در دسترس هر کسی است که مایل به ارسال پیام به گیرنده است. کلید مخفی مخفی نگه داشته می شود. متن اصلی با کلید عمومی گیرنده رمزگذاری شده و به او منتقل می شود. متن رمز در اصل نمی تواند با همان کلید عمومی رمزگشایی شود. رمزگشایی یک پیام تنها با استفاده از کلید خصوصی امکان پذیر است که فقط گیرنده آن را می شناسد. سیستم های رمزنگاری کلید عمومی از توابع غیر قابل برگشت یا یک طرفه استفاده می کنند که دارای ویژگی زیر هستند: با توجه به مقدار x، محاسبه مقدار f(x) نسبتا آسان است، اما اگر y=f(x)، پس هیچ راه آسانی برای محاسبه مقدار x وجود ندارد. مجموعه ای از کلاس های توابع برگشت ناپذیر باعث ایجاد انواع سیستم های کلید عمومی می شود. با این حال، هر تابع برگشت ناپذیری برای استفاده در آی سی های واقعی مناسب نیست. عدم قطعیت در تعریف برگشت ناپذیری وجود دارد. برگشت ناپذیری به معنای برگشت ناپذیری نظری نیست، بلکه به معنای عدم امکان عملی محاسبه مقدار متقابل با استفاده از ابزارهای محاسباتی مدرن در یک بازه زمانی قابل پیش بینی است. بنابراین، به منظور تضمین حفاظت اطلاعات قابل اعتماد، سیستم های کلید عمومی (PKS) مشمول دو الزام مهم و واضح هستند:

    1. تبدیل متن منبع باید غیرقابل برگشت باشد و بر اساس کلید عمومی قابل بازیابی نیست.

      2. تعیین کلید خصوصی بر اساس کلید عمومی نیز باید در سطح فعلی فناوری غیرممکن باشد. در این مورد، یک کران پایینی دقیق برای پیچیدگی (تعداد عملیات) شکستن رمز مطلوب است.

    آالگوریتم‌های رمزگذاری کلید عمومی در سیستم‌های اطلاعاتی مدرن رایج شده‌اند. بنابراین، الگوریتم RSA به استاندارد جهانی برای سیستم های باز تبدیل شده است. به طور کلی، تمام سیستم‌های رمزنگاری کلید عمومی که امروزه ارائه می‌شوند بر یکی از انواع تبدیل‌های برگشت‌ناپذیر زیر متکی هستند:

    • فاکتورگیری اعداد بزرگ در فاکتورهای اول؛
    • محاسبه لگاریتم در یک میدان محدود.
    • محاسبه ریشه معادلات جبری.

    زدر اینجا لازم به ذکر است که الگوریتم های سیستم رمزنگاری کلید عمومی (PSC) را می توان برای اهداف زیر استفاده کرد:

    1. به عنوان وسیله ای مستقل برای محافظت از داده های منتقل شده و ذخیره شده.
    2. به عنوان وسیله ای برای توزیع کلید.

    آالگوریتم‌های RNS نسبت به سیستم‌های رمزنگاری سنتی کار فشرده‌تری دارند. بنابراین، در عمل اغلب منطقی است که از RNS برای توزیع کلیدها استفاده کنیم که حجم آنها به عنوان اطلاعات ناچیز است. و سپس با استفاده از الگوریتم‌های مرسوم، جریان‌های اطلاعاتی بزرگی را مبادله کنید. یکی از رایج ترین آنها سیستم کلید عمومی - RSA است. سیستم رمزنگاری RSA در سال 1977 توسعه یافت و به نام سازندگان آن: ران ریوست، آدی شامیر و لئونارد ایدلمن نامگذاری شد. آنها از این واقعیت استفاده کردند که یافتن اعداد اول بزرگ از نظر محاسباتی آسان است، اما فاکتورگیری حاصلضرب دو عدد از این قبیل عملاً غیرممکن است. ثابت شده است (قضیه رابین) که شکستن رمز RSA معادل این تجزیه است. بنابراین، برای هر طول کلید، می‌توانیم تخمین کمتری از تعداد عملیات شکستن رمز بدهیم و با در نظر گرفتن عملکرد رایانه‌های مدرن، زمان لازم برای این کار را تخمین بزنیم. توانایی ارزیابی مطمئن امنیت الگوریتم RSA به یکی از دلایل محبوبیت این RSA در مقایسه با ده ها طرح دیگر تبدیل شده است. بنابراین الگوریتم RSA در شبکه های کامپیوتری بانکی به ویژه برای کار با مشتریان راه دور (خدمات کارت اعتباری) استفاده می شود.

    امضای الکترونیک

    که درمشکل احراز هویت داده ها چیست؟ معمولاً در پایان نامه یا سند معمولی مجری یا مسئول امضای خود را می گذارد. چنین اقدامی معمولاً دو هدف را دنبال می کند. اولاً گیرنده این فرصت را دارد که با مقایسه امضا با نمونه ای که در اختیار دارد صحت نامه را تأیید کند. ثانیاً، امضای شخصی ضمانت قانونی تألیف سند است. آخرین جنبه به ویژه هنگام انعقاد انواع معاملات تجاری، تنظیم وکالتنامه، تعهدات و غیره اهمیت دارد. اگر جعل امضای یک شخص روی کاغذ بسیار دشوار است و ایجاد امضا با استفاده از روش های مدرن پزشکی قانونی یک جزئیات فنی است، در این صورت با امضای الکترونیکی وضعیت متفاوت است. هر کاربری می‌تواند با کپی کردن صرفاً یک رشته بیت را دستکاری کند یا بدون توجه به یک سند اصلاحات غیرقانونی را انجام دهد. با استفاده گسترده در دنیای مدرن از اشکال الکترونیکی اسناد (از جمله موارد محرمانه) و ابزار پردازش آنها، مشکل ایجاد اصالت و تألیف اسناد بدون کاغذ بسیار مهم شده است. در بخش سیستم‌های رمزنگاری کلید عمومی، نشان داده شد که با وجود تمام مزایای سیستم‌های رمزنگاری مدرن، اجازه احراز هویت داده‌ها را نمی‌دهند. بنابراین، ابزارهای احراز هویت باید همراه با الگوریتم های رمزنگاری استفاده شوند.

    مدیریت کلیدی

    بهعلاوه بر انتخاب یک سیستم رمزنگاری مناسب برای یک IS خاص، موضوع مهم مدیریت کلید است. مهم نیست که خود سیستم رمزنگاری چقدر پیچیده و قابل اعتماد است، مبتنی بر استفاده از کلیدها است. اگر برای اطمینان از تبادل محرمانه اطلاعات بین دو کاربر، فرآیند مبادله کلیدها بی اهمیت است، در سیستم اطلاعاتی که تعداد کاربران آن ده ها و صدها کاربر است، مدیریت کلید یک مشکل جدی است. اطلاعات کلیدی به عنوان مجموع تمام کلیدهای فعال در IS درک می شود. اگر مدیریت به اندازه کافی قابل اعتماد اطلاعات کلیدی تضمین نشود، مهاجم با در اختیار گرفتن آن، دسترسی نامحدودی به تمام اطلاعات به دست می آورد. مدیریت کلید یک فرآیند اطلاعاتی است که شامل سه عنصر است:

    • تولید کلید؛
    • انباشته شدن کلیدها؛
    • توزیع کلید

    آربیایید ببینیم که چگونه باید آنها را پیاده سازی کرد تا از امنیت اطلاعات کلیدی در IS اطمینان حاصل شود.

    تولید کلید

    که دردر همان ابتدای گفتگو در مورد روش های رمزنگاری گفته شد که برای سهولت در به خاطر سپردن از کلیدهای غیر تصادفی استفاده نکنید. سیستم های اطلاعاتی جدی از روش های سخت افزاری و نرم افزاری ویژه ای برای تولید کلیدهای تصادفی استفاده می کنند. به عنوان یک قاعده، از سنسورهای PSCH استفاده می شود. با این حال، درجه تصادفی بودن نسل آنها باید بسیار بالا باشد. ژنراتورهای ایده‌آل دستگاه‌هایی هستند که مبتنی بر فرآیندهای تصادفی «طبیعی» هستند. به عنوان مثال، یک شیء تصادفی ریاضی، ارقام اعشاری اعداد غیر منطقی است که با استفاده از روش‌های ریاضی استاندارد محاسبه می‌شوند.
    5.3.5.2. انباشته شدن کلیدها

    پانباشت کلیدها به سازماندهی ذخیره سازی، حسابداری و حذف آنها اشاره دارد. از آنجایی که کلید جذاب ترین شی برای مهاجم است و راه را برای اطلاعات محرمانه باز می کند، باید به تجمع کلیدها توجه ویژه ای شود. کلیدهای خصوصی هرگز نباید به صراحت بر روی رسانه ای که قابل خواندن یا کپی است نوشته شود. در یک سیستم اطلاعاتی نسبتاً پیچیده، یک کاربر می تواند با حجم زیادی از اطلاعات کلیدی کار کند و حتی گاهی اوقات نیاز به سازماندهی پایگاه های کوچک اطلاعات کلیدی وجود دارد. چنین پایگاه‌های اطلاعاتی مسئولیت پذیرش، ذخیره، ضبط و حذف کلیدهای استفاده شده را بر عهده دارند. بنابراین، هر اطلاعات در مورد کلیدهای مورد استفاده باید به صورت رمزگذاری شده ذخیره شود. کلیدهایی که اطلاعات کلیدی را رمزگذاری می کنند، کلید اصلی نامیده می شوند. مطلوب است که هر کاربر کلیدهای اصلی را از روی قلب بداند و اصلاً آنها را در هیچ رسانه ملموسی ذخیره نکند. یک شرط بسیار مهم برای امنیت اطلاعات، به روز رسانی دوره ای اطلاعات کلیدی در IS است. در این حالت، هم کلیدهای معمولی و هم کلیدهای اصلی باید دوباره اختصاص داده شوند. در سیستم‌های اطلاعاتی به‌ویژه حیاتی، توصیه می‌شود اطلاعات کلیدی را روزانه به‌روزرسانی کنید. موضوع به روز رسانی اطلاعات کلیدی نیز با عنصر سوم مدیریت کلید - توزیع کلید - مرتبط است.

    توزیع کلید

    آرتوزیع کلید حیاتی ترین فرآیند در مدیریت کلید است. دو الزام برای آن وجود دارد:

    • کارایی و دقت توزیع؛
    • محرمانه بودن کلیدهای توزیع شده

    که دراخیراً تغییر محسوسی به سمت استفاده از سیستم های رمزنگاری کلید عمومی صورت گرفته است که در آن مشکل توزیع کلید ناپدید می شود. با این وجود، توزیع اطلاعات کلیدی در سیستم اطلاعاتی نیازمند راه حل های موثر جدید است. توزیع کلید بین کاربران در دو رویکرد مختلف اجرا می شود:

      با ایجاد یک یا چند مرکز توزیع کلیدی. نقطه ضعف این روش این است که مرکز توزیع می داند چه کلیدهایی به چه کسی اختصاص داده شده است و این امکان خواندن همه پیام های در حال گردش در IS را فراهم می کند. سوء استفاده های احتمالی تاثیر قابل توجهی بر حفاظت دارند.

      تبادل مستقیم کلید بین کاربران سیستم اطلاعاتی. چالش پس از آن این است که به طور قابل اعتماد احراز هویت موضوعات است. سیستم های رمزنگاری کلید عمومی را می توان برای مبادله کلیدها با استفاده از همان الگوریتم RSA استفاده کرد.

    که دربه عنوان تعمیم آنچه در مورد توزیع کلید گفته شد، باید موارد زیر بیان شود. مشکل مدیریت کلید به یافتن یک پروتکل توزیع کلید برمی‌گردد که ارائه دهد:

      امکان رها کردن مرکز توزیع کلید؛

      تایید متقابل صحت شرکت کنندگان در جلسه؛

      تأیید صحت جلسه توسط مکانیسم درخواست پاسخ، با استفاده از نرم افزار یا سخت افزار برای این.

      استفاده از حداقل تعداد پیام در هنگام مبادله کلیدها.

    پیاده سازی روش های رمزنگاری

    پمشکل پیاده سازی روش های امنیت اطلاعات دو جنبه دارد:

      توسعه ابزارهایی که الگوریتم های رمزنگاری را پیاده سازی می کنند.

      روش استفاده از این وجوه

    بههر یک از روش های رمزنگاری در نظر گرفته شده را می توان در نرم افزار یا سخت افزار پیاده سازی کرد. امکان پیاده‌سازی نرم‌افزار به این دلیل است که تمامی روش‌های تبدیل رمزنگاری رسمی بوده و در قالب یک روش الگوریتمی نهایی قابل ارائه است. هنگامی که در سخت افزار پیاده سازی می شود، تمام مراحل رمزگذاری و رمزگشایی توسط مدارهای الکترونیکی ویژه انجام می شود. پرکاربردترین ماژول هایی هستند که روش های ترکیبی را پیاده سازی می کنند. اکثر ابزارهای رمزگذاری سریال خارجی بر اساس استاندارد DES آمریکایی هستند. پیشرفت‌های داخلی، مانند دستگاه KRYPTON، از استاندارد رمزگذاری داخلی استفاده می‌کنند. مزیت اصلی روش‌های نرم‌افزاری برای پیاده‌سازی حفاظت، انعطاف‌پذیری آنها است، یعنی. توانایی تغییر سریع الگوریتم های رمزگذاری عیب اصلی پیاده سازی نرم افزار عملکرد بسیار پایین آن در مقایسه با سخت افزار (حدود 10 برابر) است. اخیراً، ابزارهای رمزگذاری ترکیبی، به اصطلاح سخت افزار و نرم افزار، ظاهر شده اند. در این مورد، رایانه از نوعی "همپردازنده رمزنگاری" استفاده می کند - یک دستگاه محاسباتی متمرکز بر انجام عملیات رمزنگاری (اضافه کردن مدول، تغییر و غیره). با تغییر نرم افزار برای چنین دستگاهی، می توانید یکی از روش های رمزگذاری را انتخاب کنید. این روش ترکیبی از مزایای روش های نرم افزاری و سخت افزاری است.

    تیبنابراین، انتخاب نوع اجرای حفاظت رمزنگاری برای یک سیستم اطلاعاتی خاص تا حد زیادی به ویژگی های آن بستگی دارد و باید بر اساس تجزیه و تحلیل جامع الزامات سیستم امنیت اطلاعات باشد.

    شناسایی و احراز هویت

    وشناسایی و احراز هویت را می توان اساس ابزارهای امنیتی نرم افزاری و سخت افزاری دانست. شناسایی و احراز هویت اولین خط دفاعی، «دروازه» فضای اطلاعاتی سازمان است.

    وشناسایی به یک نهاد - کاربر یا فرآیندی که از طرف یک کاربر خاص عمل می کند - اجازه می دهد تا با ارائه نام خود را شناسایی کند. از طریق احراز هویت، طرف دوم اطمینان حاصل می کند که سوژه همان چیزی است که ادعا می کند. کلمه "Authentication" گاهی اوقات به عنوان مترادف برای "Authentication" استفاده می شود. یک موضوع می تواند هویت خود را با ارائه حداقل یکی از موارد زیر ثابت کند:

    • چیزی که او می داند: رمز عبور، شماره شناسایی شخصی، کلید رمزنگاری و غیره.
    • چیزی که او دارد: کارت شخصی یا دستگاه دیگری با هدف مشابه.
    • چیزی که جزئی از خودش است: صدا، اثر انگشت و غیره، یعنی خصوصیات بیومتریک او.
    • چیزی مرتبط با آن، مانند مختصات.

    جیمزیت اصلی احراز هویت رمز عبور سادگی و آشنایی آن است. رمز عبور از مدت ها قبل در سیستم عامل ها و سایر سرویس ها تعبیه شده است. در صورت استفاده صحیح، پسوردها می توانند سطح قابل قبولی از امنیت را برای بسیاری از سازمان ها فراهم کنند. با این وجود، بر اساس مجموع ویژگی های آنها، باید آنها را به عنوان ضعیف ترین ابزار احراز هویت شناخت. قدرت رمزهای عبور بر اساس توانایی به خاطر سپردن و مخفی نگه داشتن آنها است. شما می توانید از ورود رمز عبور خود جاسوسی کنید. رمز عبور را می توان با استفاده از نیروی بی رحم حدس زد، شاید با استفاده از یک فرهنگ لغت. اگر فایل گذرواژه رمزگذاری شده اما قابل خواندن است، می توانید آن را در رایانه خود بارگیری کنید و با برنامه ریزی یک جستجوی brute force سعی کنید رمز عبور را حدس بزنید.

    پگذرواژه‌ها در برابر رهگیری الکترونیکی آسیب‌پذیر هستند - این اساسی‌ترین نقصی است که نمی‌توان آن را با مدیریت بهتر یا آموزش کاربران جبران کرد. تقریباً تنها راه حل استفاده از رمزنگاری برای رمزگذاری رمزهای عبور قبل از انتقال از طریق خطوط ارتباطی است.

    تیبا این حال، اقدامات زیر می تواند به طور قابل توجهی قابلیت اطمینان حفاظت از رمز عبور را افزایش دهد:

      اعمال محدودیت های فنی (رمز عبور نباید خیلی کوتاه باشد، باید شامل حروف، اعداد، علائم نگارشی و غیره باشد).

      مدیریت تاریخ انقضای رمز عبور و تغییر دوره ای آنها؛

      محدود کردن دسترسی به فایل رمز عبور؛

      محدود کردن تعداد تلاش‌های ناموفق برای ورود، که استفاده از روش‌های brute force را دشوارتر می‌کند.

      آموزش و آموزش کاربران؛

      استفاده از مولدهای رمز عبور نرم افزاری که بر اساس قوانین ساده فقط می توانند رمزهای عبور خوشایند و در نتیجه به یاد ماندنی تولید کنند.

    پتوصیه می شود همیشه اقدامات فوق را اعمال کنید، حتی اگر در کنار رمزهای عبور، از روش های دیگر احراز هویت استفاده شود، به عنوان مثال، بر اساس استفاده از نشانه ها.

    تیاوکن آیتم یا وسیله ای است که در اختیار داشتن آن هویت کاربر را تایید می کند. توکن هایی با حافظه (غیرفعال، که فقط اطلاعات را ذخیره می کنند اما پردازش نمی کنند) و توکن های هوشمند (فعال) وجود دارد.

    بارایج ترین نوع توکن حافظه کارتی با نوار مغناطیسی است. برای استفاده از چنین توکن هایی به یک خواننده مجهز به صفحه کلید و پردازنده نیاز دارید. به طور معمول، کاربر شماره شناسایی شخصی خود را بر روی این صفحه کلید تایپ می کند، پس از آن پردازنده بررسی می کند که آیا با آنچه روی کارت نوشته شده است و همچنین صحت خود کارت مطابقت دارد. بنابراین، ترکیبی از دو روش حفاظتی در اینجا مورد استفاده قرار می گیرد که به طور قابل توجهی اقدامات یک مهاجم را پیچیده می کند.

    نپردازش اطلاعات احراز هویت توسط خود خواننده، بدون انتقال آن به رایانه ضروری است - این امکان رهگیری الکترونیکی را از بین می برد.

    وگاهی اوقات (معمولاً برای کنترل دسترسی فیزیکی) کارت ها به تنهایی و بدون نیاز به شماره شناسایی شخصی استفاده می شوند.

    بههمانطور که می دانیم، یکی از قدرتمندترین ابزارها در دست یک مهاجم، تغییر برنامه احراز هویت است که در آن رمزهای عبور نه تنها بررسی می شوند، بلکه برای استفاده های غیرمجاز بعدی نیز به خاطر سپرده می شوند.

    وتوکن های هوشمند با وجود قدرت محاسباتی خود مشخص می شوند. آنها به کارت های هوشمند، استاندارد ISO و توکن های دیگر تقسیم می شوند. کارت‌ها به یک دستگاه رابط نیاز دارند؛ نشانه‌های دیگر معمولاً یک رابط دستی (نمایشگر و صفحه کلید) دارند و از نظر ظاهری شبیه ماشین حساب هستند. برای کارکرد توکن، کاربر باید شماره شناسایی شخصی خود را وارد کند.

    پبر اساس اصل عملکرد، توکن های هوشمند را می توان به دسته های زیر تقسیم کرد:

      تبادل رمز استاتیک: کاربر صحت خود را به توکن به روش معمول ثابت می کند، سپس رمز توسط سیستم کامپیوتری تأیید می شود.

      تولید رمز عبور پویا: رمز عبور با تغییر دوره ای آنها را ایجاد می کند. سیستم کامپیوتری باید یک مولد رمز عبور همگام داشته باشد. اطلاعات از توکن از طریق یک رابط الکترونیکی دریافت می شود یا توسط کاربر روی صفحه کلید ترمینال تایپ می شود.

      سیستم‌های پاسخ به چالش: رایانه یک عدد تصادفی تولید می‌کند که توسط مکانیزم رمزنگاری که در توکن تعبیه شده تبدیل می‌شود و پس از آن نتیجه برای تأیید به رایانه بازگردانده می‌شود. در اینجا امکان استفاده از رابط الکترونیکی یا دستی نیز وجود دارد. در حالت دوم، کاربر درخواست را از صفحه ترمینال می خواند، آن را روی صفحه کلید نشانه تایپ می کند (شاید در این زمان یک شماره شخصی نیز وارد شده باشد) و پاسخ را روی نمایشگر نشانه می بیند و آن را به صفحه کلید ترمینال منتقل می کند.

    کنترل دسترسی

    باکنترل‌های دسترسی به شما امکان می‌دهند تا اعمالی را که سوژه‌ها – کاربران و فرآیندها – می‌توانند روی اشیاء – اطلاعات و سایر منابع رایانه انجام دهند، مشخص و کنترل کنید. ما در مورد کنترل دسترسی منطقی صحبت می کنیم که توسط نرم افزار پیاده سازی می شود. کنترل دسترسی منطقی یک مکانیسم اساسی در سیستم های چند کاربره است که برای اطمینان از محرمانه بودن و یکپارچگی اشیاء و تا حدی در دسترس بودن آنها با انکار سرویس به کاربران غیرمجاز طراحی شده است. وظیفه کنترل دسترسی منطقی این است که برای هر جفت (موضوع، شی) مجموعه ای از عملیات مجاز را بسته به برخی شرایط اضافی تعیین کند و اجرای دستور تعیین شده را کنترل کند. یک مثال ساده از اجرای چنین حقوق دسترسی این است که برخی از کاربران (موضوع) وارد شده به سیستم اطلاعاتی، حق دسترسی به خواندن اطلاعات از برخی دیسک (شیء)، حق دسترسی برای تغییر داده ها در برخی دایرکتوری ها (شیء) را دریافت کردند. و عدم دسترسی به سایر منابع سیستم اطلاعاتی.

    بهحقوق دسترسی توسط اجزای مختلف محیط نرم افزار کنترل می شود - هسته سیستم عامل، ابزارهای امنیتی اضافی، سیستم مدیریت پایگاه داده، نرم افزار واسطه (مانند مانیتور تراکنش) و غیره.

    ثبت و حسابرسی

    پ Logging به جمع آوری و انباشت اطلاعات در مورد رویدادهای رخ داده در یک سیستم اطلاعاتی اشاره دارد. به عنوان مثال، چه کسی سعی کرد وارد سیستم شود و چه زمانی، این تلاش چگونه به پایان رسید، چه کسی از چه منابع اطلاعاتی استفاده کرد، چه منابع اطلاعاتی توسط چه کسی اصلاح شد و بسیاری دیگر.

    آحسابرسی تجزیه و تحلیل اطلاعات انباشته شده است که به سرعت، تقریباً در زمان واقعی یا دوره ای انجام می شود.

    آراجرای ثبت و حسابرسی دارای اهداف اصلی زیر است:

    • مسئول نگه داشتن کاربران و مدیران؛
    • اطمینان از امکان بازسازی توالی وقایع؛
    • شناسایی تلاش برای نقض امنیت اطلاعات؛
    • ارائه اطلاعات برای شناسایی و تجزیه و تحلیل مشکلات.
    1. رمزگذاری متقارن

    روش معمول این است که برخی از روش های رمزگذاری (کلید) را به سند اعمال کنید، پس از آن سند با ابزارهای معمولی غیرقابل خواندن می شود. این را فقط کسی می‌تواند بخواند که کلید را می‌داند (یعنی می‌تواند روش کافی را اعمال کند). پیام پاسخ نیز به همین ترتیب رمزگذاری می شود. اگر در فرآیند تبادل اطلاعات از همان کلید برای رمزگذاری و خواندن استفاده شود، چنین فرآیند رمزنگاری متقارن

    مشکل این است که قبل از تبادل باید کلید را انتقال دهید.

    1. رمزگذاری نامتقارن

    نه یک، بلکه دو کلید استفاده می شود. شرکت دو کلید برای کار با مشتری ایجاد می کند: یکی - باز کن کلید (عمومی) و دیگری است بسته کلید (خصوصی). در واقع، این دو "نیمه" از یک کلید کامل هستند که به یکدیگر متصل هستند.

    کلیدها طوری طراحی شده اند که یک پیام رمزگذاری شده توسط یک نیمه فقط توسط نیمه دیگر (نه پیامی که با آن رمزگذاری شده است) قابل رمزگشایی باشد.

    کلید عمومی برای عموم مردم توزیع می شود، کلید خصوصی (کلید خصوصی) به طور ایمن ذخیره می شود.

    یک کلید یک دنباله کد مشخص است.

    مشکل این است که کلید خصوصی قابل بازسازی است.

    اصل کفایت حفاظت:

    او فرض می‌کند که محافظت مطلق نیست و تکنیک‌های حذف آن مشخص است، اما همچنان برای ارزشمند کردن این عمل کافی است. هنگامی که ابزارهای دیگری ظاهر می شوند که دستیابی به اطلاعات رمزگذاری شده را در زمان معقول ممکن می سازند، اصل عملکرد الگوریتم تغییر می کند و مشکل در سطح بالاتر تکرار می شود.

    رشته علم اختصاص داده شده به مطالعه روش های بازسازی کلید خصوصی نامیده می شود تحلیل رمزی

    میانگین مدت زمان لازم برای بازسازی یک کلید خصوصی از کلید عمومی منتشر شده آن نامیده می شود قدرت رمزنگاری الگوریتم رمزگذاری

    امضای دیجیتال یک سند به گیرنده این امکان را می دهد که فقط صحت فرستنده سند را تأیید کند، اما صحت سند را تأیید نمی کند.

    دو کلید (با استفاده از یک برنامه ویژه دریافت شده از بانک) ایجاد می شود: خصوصی و عمومی.

    کلید عمومی به بانک منتقل می شود. در صورت نیاز به ارسال سفارش به بانک برای انجام عملیات با حساب جاری، کد گذاری می شود کلید عمومیبانک، و امضای شما در زیر آن با امضای خود شما کدگذاری شده است کلید خصوصی

    بانک برعکس عمل می کند. او دستور را با استفاده از کلید خصوصی خود و امضا را با استفاده از کلید عمومی ضامن می خواند. اگر امضا خوانا باشد، بانک می تواند مطمئن باشد که این ما بوده ایم که سفارش را ارسال کرده ایم و نه شخص دیگری.

    در این مقاله می آموزید که CIPF چیست و چرا به آن نیاز است. این تعریف به رمزنگاری - حفاظت و ذخیره سازی داده ها اشاره دارد. حفاظت از اطلاعات به صورت الکترونیکی را می توان به هر طریقی انجام داد - حتی با جدا کردن رایانه از شبکه و نصب محافظ های مسلح با سگ ها در نزدیکی آن. اما انجام این کار با استفاده از ابزارهای حفاظت رمزنگاری بسیار ساده تر است. بیایید بفهمیم که چیست و چگونه در عمل اجرا می شود.

    اهداف اصلی رمزنگاری

    رمزگشایی CIPF شبیه یک «سیستم حفاظت از اطلاعات رمزنگاری» است. در رمزنگاری، کانال انتقال اطلاعات می تواند کاملاً در دسترس مهاجمان باشد. اما تمام داده ها محرمانه و بسیار خوب رمزگذاری شده است. بنابراین، با وجود باز بودن کانال ها، مهاجمان نمی توانند اطلاعاتی را به دست آورند.

    CIPF مدرن به معنای متشکل از یک مجموعه نرم افزاری و کامپیوتری است. با کمک آن، اطلاعات با توجه به مهم ترین پارامترها محافظت می شود، که ما بیشتر در نظر خواهیم گرفت.

    محرمانه بودن

    اگر حق دسترسی به این کار را ندارید، خواندن اطلاعات غیرممکن است. CIPF چیست و چگونه داده ها را رمزگذاری می کند؟ جزء اصلی سیستم کلید الکترونیکی است. ترکیبی از حروف و اعداد است. فقط با وارد کردن این کلید می توانید به قسمت مورد نظری که حفاظ روی آن نصب شده است برسید.

    یکپارچگی و احراز هویت

    این یک پارامتر مهم است که امکان تغییرات غیرمجاز در داده ها را تعیین می کند. اگر کلیدی وجود ندارد، نمی توانید اطلاعات را ویرایش یا حذف کنید.

    احراز هویت روشی برای تأیید صحت اطلاعاتی است که در یک رسانه کلیدی ثبت شده است. کلید باید با دستگاهی که اطلاعات روی آن رمزگشایی شده است مطابقت داشته باشد.

    نویسندگی

    این تاییدی است بر اقدامات کاربر و عدم امکان امتناع از آنها. رایج ترین نوع تایید EDS (امضای دیجیتال الکترونیکی) است. این شامل دو الگوریتم است - یکی یک امضا ایجاد می کند، دوم آن را تأیید می کند.

    لطفاً توجه داشته باشید که کلیه عملیات انجام شده با امضای الکترونیکی توسط مراکز معتبر (مستقل) پردازش می شود. به همین دلیل، جعل نویسندگی غیرممکن است.

    الگوریتم های اصلی رمزگذاری داده ها

    امروزه، بسیاری از گواهی‌های CIPF گسترده شده‌اند؛ کلیدهای مختلفی برای رمزگذاری استفاده می‌شود - هم متقارن و هم نامتقارن. و کلیدها به اندازه کافی طولانی هستند تا پیچیدگی رمزنگاری مورد نیاز را فراهم کنند.

    محبوب ترین الگوریتم های مورد استفاده در حفاظت رمزنگاری:

    1. کلید متقارن - DES، AES، RC4، روسی R-28147.89.
    2. با توابع هش - به عنوان مثال، SHA-1/2، MD4/5/6، R-34.11.94.
    3. کلید نامتقارن - RSA.

    بسیاری از کشورها استانداردهای خاص خود را برای الگوریتم های رمزگذاری دارند. به عنوان مثال، در ایالات متحده از رمزگذاری اصلاح شده AES استفاده می کنند؛ کلید می تواند از 128 تا 256 بیت باشد.

    فدراسیون روسیه الگوریتم خاص خود را دارد - R-34.10.2001 و R-28147.89، که از یک کلید 256 بیتی استفاده می کند. لطفاً توجه داشته باشید که عناصری در سیستم های رمزنگاری ملی وجود دارد که صادرات آنها به کشورهای دیگر ممنوع است. تمام فعالیت های مربوط به توسعه CIPF نیاز به مجوز اجباری دارد.

    حفاظت از رمزنگاری سخت افزاری

    هنگام نصب تاخوگراف های CIPF، می توانید از حداکثر محافظت از اطلاعات ذخیره شده در دستگاه اطمینان حاصل کنید. همه اینها هم در سطح نرم افزار و هم در سطح سخت افزار اجرا می شود.

    نوع سخت‌افزار CIPF دستگاه‌هایی هستند که حاوی برنامه‌های ویژه‌ای هستند که رمزگذاری داده‌های قابل اعتماد را ارائه می‌کنند. آنها همچنین به ذخیره اطلاعات، ثبت و انتقال آن کمک می کنند.

    دستگاه رمزگذاری به شکل یک رمزگذار متصل به پورت های USB ساخته شده است. همچنین دستگاه هایی وجود دارند که روی مادربردهای رایانه شخصی نصب می شوند. حتی سوئیچ‌های تخصصی و کارت‌های شبکه با حفاظت رمزنگاری می‌توانند برای کار با داده‌ها استفاده شوند.

    انواع سخت افزار CIPF بسیار سریع نصب می شوند و قادر به تبادل اطلاعات با سرعت بالا هستند. اما نقطه ضعف آن هزینه نسبتاً بالا و همچنین امکان محدود مدرن سازی است.

    حفاظت از رمزنگاری نرم افزار

    این مجموعه ای از برنامه ها است که به شما امکان می دهد اطلاعات ذخیره شده در رسانه های مختلف (درایوهای فلش، هارد و درایوهای نوری و غیره) را رمزگذاری کنید. همچنین، اگر مجوزی برای CIPF از این نوع دارید، می توانید داده ها را هنگام انتقال از طریق اینترنت (مثلاً از طریق ایمیل یا چت) رمزگذاری کنید.

    تعداد زیادی برنامه حفاظتی وجود دارد و حتی برنامه های رایگان نیز وجود دارد - DiskCryptor یکی از آنهاست. نوع نرم افزار CIPF نیز یک شبکه مجازی است که امکان تبادل اطلاعات "از طریق اینترنت" را فراهم می کند. اینها شبکه های VPN هستند که برای بسیاری شناخته شده اند. این نوع حفاظت همچنین شامل پروتکل HTTP است که از رمزگذاری SSL و HTTPS پشتیبانی می کند.

    نرم افزار CIPF بیشتر هنگام کار بر روی اینترنت و همچنین در رایانه های شخصی خانگی استفاده می شود. به عبارت دیگر، منحصراً در مناطقی که هیچ الزام جدی برای دوام و عملکرد سیستم وجود ندارد.

    نوع نرم افزار و سخت افزار حفاظت رمزنگاری

    اکنون می دانید CIPF چیست، چگونه کار می کند و کجا استفاده می شود. همچنین لازم است یک نوع را برجسته کنیم - سخت افزار و نرم افزار، که ترکیبی از بهترین ویژگی های هر دو نوع سیستم است. این روش پردازش اطلاعات تا حد زیادی قابل اعتمادترین و امن ترین است. علاوه بر این، کاربر را می توان به روش های مختلفی شناسایی کرد - هم سخت افزار (با نصب فلش درایو یا فلاپی دیسک) و هم استاندارد (با وارد کردن یک جفت ورود به سیستم / رمز عبور).

    سیستم های سخت افزاری و نرم افزاری از تمامی الگوریتم های رمزگذاری که امروزه وجود دارند پشتیبانی می کنند. لطفاً توجه داشته باشید که نصب CIPF فقط باید توسط پرسنل واجد شرایط توسعه دهنده مجتمع انجام شود. واضح است که چنین CIPF نباید بر روی رایانه هایی که اطلاعات محرمانه را پردازش نمی کنند نصب شود.

    اصطلاح رمزنگاری از کلمات یونانی باستان "پنهان" و "نوشتن" گرفته شده است. این عبارت هدف اصلی رمزنگاری - حفاظت و حفظ اسرار اطلاعات منتقل شده را بیان می کند. حفاظت از اطلاعات می تواند به روش های مختلفی رخ دهد. به عنوان مثال، با محدود کردن دسترسی فیزیکی به داده ها، پنهان کردن کانال انتقال، ایجاد مشکلات فیزیکی در اتصال به خطوط ارتباطی و غیره.

    هدف از رمزنگاری

    برخلاف روش‌های سنتی نوشتن مخفی، رمزنگاری دسترسی کامل به کانال انتقال را برای مهاجمان فرض می‌کند و از محرمانه بودن و صحت اطلاعات با استفاده از الگوریتم‌های رمزگذاری که اطلاعات را برای افراد خارجی غیرقابل دسترس می‌سازد، تضمین می‌کند. سیستم حفاظتی اطلاعات رمزنگاری مدرن (CIPS) یک مجموعه کامپیوتری نرم‌افزاری و سخت‌افزاری است که حفاظت اطلاعات را با توجه به پارامترهای اساسی زیر فراهم می‌کند.

    • محرمانه بودن- عدم امکان خواندن اطلاعات توسط افرادی که از حقوق دسترسی مناسب برخوردار نیستند. جزء اصلی تضمین محرمانه بودن در CIPF کلید است که یک ترکیب الفبایی عددی منحصر به فرد برای دسترسی کاربر به یک بلوک CIPF خاص است.
    • تمامیت- عدم امکان تغییرات غیرمجاز مانند ویرایش و حذف اطلاعات. برای انجام این کار، افزونگی به اطلاعات اصلی در قالب یک ترکیب تأیید، با استفاده از الگوریتم رمزنگاری و بسته به کلید محاسبه می‌شود، اضافه می‌شود. بنابراین، بدون دانستن کلید، افزودن یا تغییر اطلاعات غیرممکن می شود.
    • احراز هویت- تایید صحت اطلاعات و طرفین ارسال و دریافت کننده آن. اطلاعات ارسال شده از طریق کانال های ارتباطی باید به طور منحصر به فرد بر اساس محتوا، زمان ایجاد و ارسال، منبع و گیرنده تأیید شود. باید به خاطر داشت که منبع تهدید می تواند نه تنها مهاجم، بلکه طرف های درگیر در تبادل اطلاعات با اعتماد متقابل ناکافی باشد. برای جلوگیری از چنین شرایطی، CIPF از سیستم مهرهای زمانی استفاده می کند تا از ارسال مکرر یا معکوس اطلاعات و تغییر ترتیب آن جلوگیری کند.

    • نویسندگی- تایید و عدم امکان امتناع از اقدامات انجام شده توسط کاربر اطلاعات. متداول ترین روش احراز هویت سیستم EDS است که از دو الگوریتم تشکیل شده است: برای ایجاد یک امضا و برای تأیید آن. هنگام کار شدید با ECC، توصیه می شود از مراکز صدور گواهینامه نرم افزاری برای ایجاد و مدیریت امضا استفاده کنید. چنین مراکزی را می توان به عنوان یک ابزار CIPF که کاملاً مستقل از ساختار داخلی است، پیاده سازی کرد. این برای سازمان چه معنایی دارد؟ این بدان معنی است که همه تراکنش ها توسط سازمان های مستقل مستقل پردازش می شوند و جعل نویسندگی تقریباً غیرممکن است.

    الگوریتم های رمزگذاری

    در حال حاضر، الگوریتم‌های رمزگذاری باز با استفاده از کلیدهای متقارن و نامتقارن با طول کافی برای ارائه پیچیدگی رمزنگاری مورد نیاز در میان CIPF غالب هستند. رایج ترین الگوریتم ها:

    • کلیدهای متقارن - روسی R-28147.89، AES، DES، RC4؛
    • کلیدهای نامتقارن - RSA؛
    • با استفاده از توابع هش - R-34.11.94، MD4/5/6، SHA-1/2.

    بسیاری از کشورها استانداردهای ملی خود را دارند.در ایالات متحده آمریکا از الگوریتم اصلاح شده AES با طول کلید 128-256 بیت و در فدراسیون روسیه از الگوریتم امضای الکترونیکی R-34.10.2001 و الگوریتم رمزنگاری بلوکی R- استفاده می شود. 28147.89 با یک کلید 256 بیتی. برخی از عناصر سیستم های رمزنگاری ملی برای صادرات به خارج از کشور ممنوع هستند؛ فعالیت برای توسعه CIPF نیاز به مجوز دارد.

    سیستم های حفاظت رمزنگاری سخت افزاری

    سخت افزار CIPF دستگاه های فیزیکی حاوی نرم افزار برای رمزگذاری، ضبط و انتقال اطلاعات هستند. دستگاه‌های رمزگذاری را می‌توان در قالب دستگاه‌های شخصی مانند رمزگذارهای USB ruToken و درایوهای فلش IronKey، کارت‌های توسعه رایانه‌های شخصی، سوئیچ‌های شبکه تخصصی و روترها ساخت که بر اساس آن‌ها می‌توان شبکه‌های رایانه‌ای کاملاً ایمن ساخت.

    سخت افزار CIPF به سرعت نصب می شود و با سرعت بالا کار می کند. معایب - بالا، در مقایسه با نرم افزار و سخت افزار-نرم افزار CIPF، هزینه و قابلیت های محدود ارتقاء.

    همچنین در دسته سخت افزاری، واحدهای CIPF تعبیه شده در دستگاه های مختلف ضبط و انتقال داده ها هستند که نیاز به رمزگذاری و محدودیت دسترسی به اطلاعات دارند. چنین دستگاه هایی شامل سرعت سنج های اتومبیل که پارامترهای وسیله نقلیه را ثبت می کنند، برخی از انواع تجهیزات پزشکی و غیره هستند. برای بهره برداری کامل از چنین سیستم هایی، فعال سازی جداگانه ماژول CIPF توسط متخصصان تامین کننده مورد نیاز است.

    سیستم های حفاظت رمزنگاری نرم افزاری

    نرم افزار CIPF یک بسته نرم افزاری ویژه برای رمزگذاری داده ها بر روی رسانه های ذخیره سازی (درایوهای سخت و فلش، کارت های حافظه، CD/DVD) و هنگام انتقال از طریق اینترنت (ایمیل، فایل های پیوست، چت امن و غیره) است. برنامه های بسیار زیادی وجود دارد، از جمله برنامه های رایگان، به عنوان مثال، DiskCryptor. نرم‌افزار CIPF همچنین شامل شبکه‌های تبادل اطلاعات مجازی امنی است که «در بالای اینترنت» (VPN) کار می‌کنند، افزونه‌ای از پروتکل اینترنت HTTP با پشتیبانی از رمزگذاری HTTPS و SSL - یک پروتکل انتقال اطلاعات رمزنگاری شده که به طور گسترده در سیستم‌های تلفن IP و برنامه‌های کاربردی اینترنتی استفاده می‌شود. .

    سیستم‌های حفاظت اطلاعات رمزنگاری نرم‌افزار عمدتاً در اینترنت، رایانه‌های خانگی و سایر مناطقی که الزامات برای عملکرد و پایداری سیستم چندان بالا نیست، استفاده می‌شوند. یا همانطور که در مورد اینترنت وجود دارد، زمانی که شما مجبور هستید چندین اتصال امن مختلف را همزمان ایجاد کنید.

    حفاظت رمزنگاری نرم افزاری و سخت افزاری

    ترکیبی از بهترین کیفیت های سخت افزاری و نرم افزاری سیستم های CIPF. این مطمئن ترین و کاربردی ترین راه برای ایجاد سیستم ها و شبکه های داده ایمن است. همه گزینه ها برای شناسایی کاربر پشتیبانی می شوند، هم سخت افزار (درایو USB یا کارت هوشمند) و هم "سنتی" - ورود و رمز عبور. CIPF های نرم افزاری و سخت افزاری از همه الگوریتم های رمزگذاری مدرن پشتیبانی می کنند، دارای طیف گسترده ای از عملکردها برای ایجاد جریان اسناد امن بر اساس امضای دیجیتال و کلیه گواهی های دولتی مورد نیاز هستند. نصب CIPF توسط پرسنل توسعه دهنده واجد شرایط انجام می شود.

    شرکت "CRYPTO-PRO"

    یکی از رهبران بازار رمزنگاری روسیه. این شرکت طیف کاملی از برنامه ها را برای محافظت از اطلاعات با استفاده از امضای دیجیتال بر اساس الگوریتم های رمزنگاری بین المللی و روسی توسعه می دهد.

    برنامه های این شرکت در مدیریت اسناد الکترونیکی سازمان های تجاری و دولتی، برای تشکیل پرونده های حسابداری و مالیاتی، در برنامه های مختلف شهری و بودجه ای و ... استفاده می شود. این شرکت تاکنون بیش از 3 میلیون مجوز برای برنامه CryptoPRO CSP و 700 مجوز برای صدور گواهینامه صادر کرده است. مراکز Crypto-PRO به توسعه دهندگان رابط هایی برای تعبیه عناصر حفاظت رمزنگاری شده در خود ارائه می دهد و طیف کاملی از خدمات مشاوره را برای ایجاد CIPF ارائه می دهد.

    ارائه دهنده کریپتو CryptoPro

    هنگام توسعه معماری رمزنگاری ارائه دهندگان خدمات رمزنگاری که در سیستم عامل ویندوز تعبیه شده بود، از ارائه دهندگان خدمات رمزنگاری استفاده شد. این معماری به شما امکان می دهد ماژول های مستقل دیگری را که الگوریتم های رمزگذاری مورد نیاز را پیاده سازی می کنند، متصل کنید. با کمک ماژول هایی که از طریق توابع CryptoAPI کار می کنند، حفاظت رمزنگاری می تواند توسط نرم افزار و سخت افزار CIPF اجرا شود.

    حامل های کلیدی

    انواع مختلفی از کلیدهای خصوصی را می توان استفاده کرد:

    • کارت های هوشمند و خوانندگان؛
    • قفل های الکترونیکی و خواننده هایی که با دستگاه های حافظه لمسی کار می کنند.
    • کلیدهای USB مختلف و درایوهای USB قابل جابجایی؛
    • فایل های رجیستری سیستم ویندوز، سولاریس، لینوکس.

    توابع Cryptoprovider

    CIPF CryptoPro CSP به طور کامل توسط FAPSI تایید شده است و می تواند برای موارد زیر استفاده شود:

    2. محرمانه بودن، اصالت و یکپارچگی کامل داده ها با استفاده از رمزگذاری و حفاظت شبیه سازی مطابق با استانداردهای رمزگذاری روسیه و پروتکل TLS.

    3. بررسی و نظارت بر یکپارچگی کد برنامه برای جلوگیری از تغییرات و دسترسی های غیرمجاز.

    4. ایجاد مقررات حفاظت از سیستم.

    1.1. این سیاست برای استفاده از ابزارهای حفاظت از اطلاعات رمزنگاری ( به علاوه - خط مشی ) روش سازماندهی و اطمینان از عملکرد رمزگذاری را تعیین می کند ( رمزنگاری) به معنای محافظت از اطلاعاتی است که حاوی اطلاعات محرمانه دولتی نیست ( به علاوه - CIPF، رمزارز ) در صورت استفاده از آنها برای اطمینان از امنیت اطلاعات محرمانه و داده های شخصی در طول پردازش آنها در سیستم های اطلاعاتی.

    1.2. این سیاست بر اساس موارد زیر تدوین شده است:

    • قانون فدرال "درباره داده های شخصی" ، مقررات دولت فدراسیون روسیه در زمینه تضمین امنیت داده های شخصی؛
    • قانون فدرال شماره 63-FZ "درباره امضای الکترونیکی" ;
    • دستور FSB فدراسیون روسیه شماره 378 "در مورد تصویب ترکیب و محتوای اقدامات سازمانی و فنی برای اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات شخصی با استفاده از ابزارهای حفاظت از اطلاعات رمزنگاری شده لازم برای تحقق الزامات تعیین شده توسط دولت فدراسیون روسیه برای حفاظت از داده های شخصی برای هر سطح از امنیت";
    • سفارش FAPSI شماره 152 ” در مورد تصویب دستورالعمل سازماندهی و تضمین امنیت ذخیره سازی، پردازش و انتقال از طریق کانال های ارتباطی با استفاده از ابزارهای حفاظت رمزنگاری اطلاعات با دسترسی محدود که حاوی اطلاعاتی است که یک راز دولتی را تشکیل نمی دهد.»;
    • دستور FSB فدراسیون روسیه N 66 " در مورد تصویب آیین نامه توسعه، تولید، فروش و بهره برداری از ابزارهای امنیت اطلاعات رمزگذاری (رمزنگاری) (مقررات PKZ-2005) »;

    1.3. این خط‌مشی برای ابزارهای رمزنگاری که برای اطمینان از امنیت اطلاعات محرمانه و داده‌های شخصی هنگام پردازش در سیستم‌های اطلاعاتی طراحی شده‌اند اعمال می‌شود.

    1.4. ابزار رمزنگاری حفاظت از اطلاعات ( به علاوه - CIPF )، اجرای رمزگذاری و توابع امضای الکترونیکی برای محافظت از اسناد الکترونیکی ارسال شده از طریق کانال های ارتباطی عمومی، به عنوان مثال، اینترنت عمومی یا از طریق کانال های ارتباطی تلفنی استفاده می شود.

    1.5. برای اطمینان از امنیت، استفاده از CIPF ضروری است که:

    • اجازه ادغام در فرآیندهای تکنولوژیکی برای پردازش پیام های الکترونیکی، اطمینان از تعامل با نرم افزار کاربردی در سطح پردازش درخواست ها برای تحولات رمزنگاری و صدور نتایج.
    • توسط توسعه دهندگان مجموعه کاملی از اسناد عملیاتی، از جمله شرح سیستم کلیدی، قوانین کار با آن، و همچنین توجیه پشتیبانی سازمانی و کارکنان لازم ارائه می شود.
    • پشتیبانی از تداوم فرآیندهای ثبت عملیات CIPF و اطمینان از یکپارچگی نرم افزار برای محیط عملیاتی CIPF، که مجموعه ای از ابزارهای سخت افزاری و نرم افزاری است که همراه با آن عملکرد طبیعی CIPF رخ می دهد و می تواند تأثیر بگذارد. تحقق الزامات CIPF؛
    • تایید شده توسط یک نهاد دولتی مجاز یا دارای مجوز از FSB روسیه.

    1.6. CIPF که برای محافظت از داده های شخصی استفاده می شود باید دارای کلاس حداقل KS2 باشد.

    1.7. CIPF بر اساس الگوریتم هایی اجرا می شود که مطابق با استانداردهای ملی فدراسیون روسیه و شرایط توافق نامه با طرف مقابل است.

    1.8. CIPF، مجوزها، اسناد کلیدی همراه، دستورالعمل‌های CIPF توسط سازمان به‌طور مستقل خریداری می‌شود یا می‌توان آن را از شخص ثالثی که جریان اسناد امن را آغاز می‌کند، دریافت کرد.

    1.9. CIPF، از جمله رسانه های نصب، اسناد کلیدی، توضیحات و دستورالعمل های CIPF، مطابق با مقررات مربوط به اطلاعات محرمانه یک راز تجاری را تشکیل می دهد.

    1. مراحل استفاده از CIPF

    2.1. نصب و پیکربندی ابزارهای حفاظت از اطلاعات رمزنگاری مطابق با اسناد عملیاتی، دستورالعمل های FSB روسیه و سایر سازمان های شرکت کننده در جریان اسناد الکترونیکی امن انجام می شود. پس از اتمام نصب و پیکربندی، آمادگی CIPF برای استفاده بررسی می شود، نتیجه گیری در مورد امکان عملکرد آنها انجام می شود و CIPF به بهره برداری می رسد.

    قرار دادن و نصب CIPF، و همچنین سایر تجهیزاتی که با دارایی های رمزنگاری شده کار می کنند، در مکان های امن باید امکان دسترسی کنترل نشده افراد غیرمجاز به این وجوه را به حداقل برساند. تعمیر و نگهداری چنین تجهیزات و تغییر کلیدهای رمزنگاری در غیاب افرادی که مجاز به کار با داده های CIPF نیستند انجام می شود. لازم است اقدامات سازمانی و فنی برای حذف امکان استفاده از CIPF توسط افراد غیرمجاز انجام شود. قرار دادن فیزیکی CIPF باید امنیت CIPF را تضمین کند و از دسترسی غیرمجاز به CIPF جلوگیری کند. دسترسی افراد به اماکنی که تجهیزات حفاظتی در آن قرار دارد مطابق با نیازهای رسمی محدود است و توسط فهرستی که توسط مدیر تأیید می شود تعیین می شود.

    جاسازی وجوه رمزنگاری کلاس KS1 و KS2 بدون کنترل توسط FSB روسیه انجام می شود. اگر این کنترل در شرایط مرجع برای توسعه (مدرن سازی) سیستم اطلاعاتی پیش بینی نشده باشد).

    جاسازی ارزهای رمزپایه کلاس KS3، KB1، KB2 و KA1 فقط تحت کنترل FSB روسیه انجام می شود.

    جاسازی ابزارهای رمزنگاری کلاس KS1، KS2 یا KS3 می تواند توسط خود کاربر ابزار رمزنگاری در صورت داشتن مجوز مناسب از FSB روسیه یا توسط سازمانی که دارای مجوز مناسب از FSB باشد انجام شود. روسیه

    جاسازی ارزهای رمزنگاری شده کلاس KV1، KV2 یا KA1 توسط سازمانی انجام می شود که دارای مجوز مناسب از FSB روسیه است.

    از کار انداختن CIPF مشروط به رویه‌هایی انجام می‌شود که از حذف تضمینی اطلاعات اطمینان می‌دهد، استفاده غیرمجاز از آن ممکن است به فعالیت‌های تجاری سازمان آسیب برساند و اطلاعات استفاده شده توسط ابزارهای امنیت اطلاعات، از حافظه دائمی و از رسانه‌های خارجی ( به استثنای آرشیو اسناد الکترونیکی و پروتکل های تعامل الکترونیکی که نگهداری و حفظ آنها برای مدت معینی توسط اسناد نظارتی و (یا) قراردادی مربوطه پیش بینی شده است.) و توسط قانون رسمیت یافته است. CIPF نابود شده است ( دور انداختن) با تصمیم صاحب صندوق رمزنگاری و با اطلاع سازمان مسئول مطابق با سازمان حسابداری نسخه به نمونه صندوق های رمزنگاری.

    برای نابودی ( بازیافت) CIPF از سخت افزاری که با آن کار می کرد حذف می شود. در این صورت، در صورتی که مراحل حذف نرم افزار ابزارهای رمزنگاری پیش بینی شده در مستندات عملیاتی و فنی CIPF تکمیل شده باشد و به طور کامل از سخت افزار جدا شده باشند، ابزارهای رمزنگاری حذف شده از سخت افزار تلقی می شوند.

    اجزا و قطعات سخت افزاری همه منظوره مناسب برای استفاده بیشتر، که به طور خاص برای اجرای سخت افزاری الگوریتم های رمزنگاری یا سایر عملکردهای CIPF و همچنین تجهیزاتی که با ابزارهای رمزنگاری کار می کنند طراحی نشده اند. مانیتور، پرینتر، اسکنر، صفحه کلید و غیره، ممکن است پس از تخریب CIPF بدون محدودیت استفاده شود. در این حالت، اطلاعاتی که ممکن است در دستگاه های حافظه تجهیزات باقی بماند ( به عنوان مثال، در چاپگرها، اسکنرها، باید به طور ایمن حذف شود ( پاک شد).

    2.2. عملیات CIPF توسط افرادی که به دستور مدیرعامل سازمان منصوب می شوند و برای همکاری با آنها آموزش دیده اند انجام می شود. اگر دو یا چند کاربر CIPF وجود داشته باشد، مسئولیت‌ها با در نظر گرفتن مسئولیت شخصی در مورد ایمنی دارایی‌های رمزنگاری، اسناد کلیدی، عملیاتی و فنی و همچنین برای حوزه‌های کاری تعیین‌شده، بین آنها تقسیم می‌شود.

    کاربران صندوق های رمزنگاری موظفند:

    • اطلاعاتی که به آنها اجازه داده شده است، از جمله اطلاعات مربوط به CIPF و سایر اقدامات حفاظتی را فاش نکنند.
    • اطلاعات مربوط به اسناد کلیدی را فاش نکنید.
    • اجازه ندهید از اسناد کلیدی کپی برداری شود.
    • جلوگیری از نمایش اسناد کلیدی ( نظارت کنید) رایانه شخصی یا چاپگر؛
    • اجازه ندهید اطلاعات اضافی در رسانه های کلیدی ضبط شود.
    • اجازه نصب اسناد کلیدی بر روی رایانه های شخصی دیگر را نمی دهد.
    • مطابق با الزامات تضمین امنیت اطلاعات، الزامات تضمین امنیت CIPF و اسناد کلیدی مربوط به آن؛
    • گزارش در مورد تلاش های افراد غیرمجاز که برای آنها شناخته شده است برای به دست آوردن اطلاعات در مورد CIPF مورد استفاده یا اسناد کلیدی برای آنها؛
    • فوراً در مورد حقایق از دست دادن یا کمبود CIPF، اسناد کلیدی برای آنها، کلیدهای محل، تأسیسات ذخیره سازی، مهرهای شخصی و سایر حقایقی که ممکن است منجر به افشای اطلاعات محافظت شده شود، اطلاع دهید.
    • ارائه CIPF، اسناد عملیاتی و فنی برای آنها، اسناد کلیدی پس از اخراج یا حذف از وظایف مربوط به استفاده از ارزهای دیجیتال.

    امنیت پردازش اطلاعات با استفاده از CIPF توسط:

    • رعایت محرمانه بودن توسط کاربران هنگام استفاده از اطلاعاتی که به آنها سپرده شده یا از طریق کار آنها شناخته شده است، از جمله اطلاعات مربوط به عملکرد و روش برای اطمینان از امنیت CIPF مورد استفاده و اسناد کلیدی آنها.
    • انطباق دقیق کاربران CIPF با الزامات امنیت اطلاعات؛
    • ذخیره قابل اعتماد اسناد عملیاتی و فنی برای CIPF، اسناد کلیدی، رسانه های توزیع محدود؛
    • شناسایی به موقع تلاش افراد غیرمجاز برای به دست آوردن اطلاعات در مورد اطلاعات محافظت شده، در مورد CIPF مورد استفاده یا اسناد کلیدی آنها.
    • اتخاذ فوری اقدامات برای جلوگیری از افشای اطلاعات محافظت شده، و همچنین نشت احتمالی آن در صورت شناسایی حقایق از دست دادن یا کمبود CIPF، اسناد کلیدی برای آنها، گواهی ها، گذرنامه ها، کلیدهای محل، تأسیسات ذخیره سازی، گاوصندوق ها ( کابینت های فلزی) مهرهای شخصی و غیره

    در صورت نیاز به انتقال پیام‌های خدمات دسترسی محدود از طریق وسایل ارتباطی فنی مربوط به سازماندهی و عملکرد CIPF، این پیام‌ها باید فقط با استفاده از ابزارهای رمزنگاری ارسال شوند. انتقال کلیدهای رمزنگاری از طریق وسایل ارتباطی فنی مجاز نیست، به استثنای سیستم‌های سازمان‌دهی‌شده ویژه با عرضه غیرمتمرکز کلیدهای رمزنگاری.

    CIPF مشمول حسابداری با استفاده از شاخص‌ها یا نام‌های متعارف و شماره ثبت هستند. فهرست شاخص ها، نام رمز و شماره ثبت دارایی های رمزنگاری شده توسط سرویس امنیت فدرال فدراسیون روسیه تعیین می شود.

    CIPF مورد استفاده یا ذخیره شده، اسناد عملیاتی و فنی برای آنها، اسناد کلیدی مشمول ضبط کپی به کپی هستند. فرم دفترچه گزارش CIPF در پیوست شماره 1، دفترچه گزارش رسانه های کلیدی در پیوست شماره 2 این خط مشی آمده است. در این مورد، سیستم های حفاظت از اطلاعات رمزنگاری نرم افزار باید همراه با سخت افزاری که عملکرد عادی آنها با آن انجام می شود، در نظر گرفته شود. اگر CIPF سخت‌افزار یا سخت‌افزار-نرم‌افزار به گذرگاه سیستم یا به یکی از رابط‌های سخت‌افزار داخلی متصل باشد، این اقدامات رمزنگاری نیز همراه با سخت‌افزار مربوطه در نظر گرفته می‌شوند.

    واحد حسابداری کپی به کپی اسناد کلیدی یک رسانه کلید قابل استفاده مجدد، یک دفترچه یادداشت کلیدی در نظر گرفته می شود. اگر از همان رسانه کلیدی مکرراً برای ضبط کلیدهای رمزنگاری استفاده شود، باید هر بار جداگانه ثبت شود.

    تمام نسخه‌های دریافتی دارایی‌های رمزنگاری، اسناد عملیاتی و فنی برای آنها، اسناد کلیدی باید در قبال دریافت در ثبت نام کپی به کپی مناسب برای کاربران دارایی‌های رمزنگاری که شخصاً مسئول ایمنی آنها هستند، صادر شود.

    انتقال CIPF، اسناد عملیاتی و فنی برای آنها و اسناد کلیدی فقط بین کاربران دارایی های رمزنگاری و (یا) کاربر مسئول دارایی های رمزنگاری شده در مقابل رسید در مجلات مناسب برای حسابداری فردی مجاز است. چنین انتقالی بین کاربران وجوه رمزنگاری باید مجاز باشد.

    ذخیره سازی رسانه نصب CIPF، اسناد عملیاتی و فنی، اسناد کلیدی در کابینت ها انجام می شود ( جعبه، انبار) برای استفاده فردی تحت شرایطی که مانع از دسترسی کنترل نشده به آنها و همچنین تخریب غیرعمدی آنها می شود.

    سخت افزاری که CIPF به طور معمول با آن کار می کند، و همچنین سخت افزار و سخت افزار-نرم افزار CIPF، باید مجهز به ابزار کنترل بر روی باز شدن آنها باشد. مهر و موم شده، مهر و موم شده). محل آب بندی ( آب بندی) ارزهای رمزپایه، سخت افزار باید به گونه ای باشد که بتوان آن را به صورت بصری مانیتور کرد. در صورت امکان فنی، در زمان غیبت استفاده کنندگان از صندوق های رمزنگاری، این وجوه باید از خط ارتباطی جدا شده و در انبار مهر و موم شده قرار گیرند.

    تغییرات در نرم افزار CIPF و اسناد فنی برای CIPF بر اساس دریافت شده از سازنده CIPF و به روز رسانی های مستند با ثبت چک جمع ها انجام می شود.

    عملیات CIPF مستلزم حفظ حداقل دو نسخه پشتیبان از نرم افزار و یک نسخه پشتیبان از رسانه های کلیدی است. بازیابی عملکرد CIPF در شرایط اضطراری مطابق با اسناد عملیاتی انجام می شود.

    2.3. تولید اسناد کلیدی از اطلاعات کلید اولیه توسط کاربران مسئول CIPF با استفاده از ابزارهای رمزنگاری استاندارد انجام می شود، در صورتی که چنین امکانی در اسناد عملیاتی و فنی با حضور مجوز FSB روسیه برای تولید اسناد کلیدی برای ابزارهای رمزنگاری

    مدارک کلیدی را می توان با پیک تحویل داد ( از جمله دپارتمان) ارتباط یا با کاربران و کارمندان مسئول تعیین شده ویژه صندوق های رمزنگاری، مشروط به اقداماتی برای جلوگیری از دسترسی کنترل نشده به اسناد کلیدی در حین تحویل.

    برای ارسال اسناد کلیدی، آنها باید در بسته بندی های بادوام قرار گیرند که امکان آسیب فیزیکی و تأثیر خارجی را از بین ببرد. بسته بندی نشان دهنده کاربر مسئولی است که بسته بندی برای او در نظر گرفته شده است. چنین بسته هایی با علامت "شخصی" مشخص می شوند. بسته بندی ها به گونه ای مهر و موم شده اند که حذف محتویات از روی آنها بدون شکستن بسته ها و مهر و موم غیرممکن است.

    قبل از اخراج اولیه ( یا بازگشت) مخاطب طی نامه ای جداگانه از شرح بسته های ارسالی و مهرهایی که با آن می توان آنها را مهر و موم کرد مطلع می شود.

    برای ارسال مدارک کلیدی، یک پوشش نامه تهیه می شود که باید در آن ذکر شود: چه چیزی و به چه تعداد، شماره ثبت اسناد و همچنین در صورت لزوم، هدف و نحوه استفاده از کالای ارسالی. پوشش نامه در یکی از بسته ها موجود است.

    بسته های دریافتی فقط توسط کاربر مسئول صندوق های رمزنگاری که برای آنها در نظر گرفته شده است باز می شود. در صورتی که محتویات بسته دریافتی با آنچه در جلد نامه یا خود بسته بندی درج شده مطابقت نداشته باشد و مهر با توضیحات آنها مطابقت نداشته باشد ( حک) و همچنین در صورت آسیب دیدن بسته بندی و در نتیجه دسترسی آزاد به محتویات آن، گیرنده گزارشی تهیه می کند که برای فرستنده ارسال می شود. اسناد کلیدی دریافت شده با چنین محموله‌هایی تا زمانی که دستورالعمل‌ها از فرستنده دریافت نشود، مجاز به استفاده نیستند.

    در صورت شناسایی معیوب مدارک کلیدی یا کلیدهای رمزنگاری شده، یک نسخه از محصول معیوب باید به سازنده بازگردانده شود تا دلایل حادثه را مشخص کرده و در آینده آنها را از بین ببرد و نسخه‌های باقیمانده باید تا زمانی که دستورالعمل‌های اضافی دریافت شود، ذخیره شود. سازنده.

    دریافت مدارک کلیدی باید به روشی که در کاورلتر مشخص شده برای فرستنده تایید شود. فرستنده موظف است تحویل اقلام خود را به گیرندگان کنترل کند. در صورتی که تاییدیه مناسب به موقع از مخاطب دریافت نشود، فرستنده باید برای وی درخواست ارسال کند و اقدامات لازم را برای روشن شدن محل اقلام انجام دهد.

    سفارش تولید اسناد کلیدی بعدی، تولید و توزیع آنها به مکان های مورد استفاده برای جایگزینی به موقع اسناد کلیدی موجود از قبل انجام می شود. دستورالعمل اجرای اسناد کلیدی بعدی توسط کاربر مسئول صندوق های رمزنگاری تنها پس از دریافت تأییدیه از آنها مبنی بر دریافت اسناد کلیدی بعدی ارائه می شود.

    اسناد کلیدی استفاده نشده یا غیرفعال شده باید به کاربر مسئول وجوه رمزنگاری بازگردانده شود یا به دستور او باید در محل از بین برود.

    از بین بردن کلیدهای رمزنگاری شده ( اطلاعات کلید اولیه) را می توان با از بین بردن فیزیکی رسانه های کلیدی که در آن قرار دارند، یا با پاک کردن ( تخریب) کلیدهای رمزنگاری ( اطلاعات کلید اولیه) بدون آسیب رساندن به رسانه کلیدی ( برای اطمینان از قابلیت استفاده مجدد آن).

    کلیدهای رمزنگاری ( اطلاعات کلید اولیه) با استفاده از فناوری اتخاذ شده برای رسانه قابل استفاده مجدد کلید مربوطه شسته می شوند ( فلاپی دیسک، دیسک فشرده (CD-ROM)، کلید داده، کارت هوشمند، حافظه لمسی و غیره.). اقدامات مستقیم برای پاک کردن کلیدهای رمزنگاری ( اطلاعات کلید اولیه، و همچنین محدودیت های احتمالی در استفاده بیشتر از رسانه قابل استفاده مجدد کلید مربوطه توسط اسناد عملیاتی و فنی برای CIPF مربوطه و همچنین دستورالعمل های سازمانی که کلیدهای رمزنگاری را ضبط کرده است تنظیم می شود. اطلاعات کلید اولیه).

    رسانه های کلیدی با وارد کردن صدمات فیزیکی جبران ناپذیر به آنها، به استثنای امکان استفاده از آنها و همچنین با بازیابی اطلاعات کلیدی، از بین می روند. اقدامات مستقیم برای از بین بردن نوع خاصی از رسانه های کلیدی توسط اسناد عملیاتی و فنی برای CIPF مربوطه و همچنین دستورالعمل های سازمانی که کلیدهای رمزنگاری را ضبط کرده تنظیم می شود. اطلاعات کلید اولیه).

    کاغذ و سایر رسانه های کلیدی قابل احتراق با سوزاندن یا استفاده از هر دستگاه برش کاغذ از بین می روند.

    اسناد کلیدی در محدوده زمانی مشخص شده در اسناد عملیاتی و فنی برای CIPF مربوطه از بین می روند. واقعیت تخریب در مجلات نسخه به نمونه مربوطه ثبت می شود.

    تخریب طبق قانون توسط کمیسیونی متشکل از حداقل دو نفر انجام می شود. این قانون مشخص می کند که چه چیزی و به چه مقدار از بین می رود. در پایان عمل، ثبت نهایی (به اعداد و کلمات) در مورد تعداد اقلام و کپی اسناد کلیدی در حال نابودی، نصب رسانه CIPF، اسناد عملیاتی و فنی انجام می شود. اصلاحات در متن قانون باید با امضای همه اعضای کمیسیون که در تخریب شرکت کرده اند مورد توافق و تأیید قرار گیرد. در مورد تخریب انجام شده، یادداشت هایی در مجلات مناسب برای سوابق فردی تهیه می شود.

    کلیدهای رمزنگاری که مشکوک به به خطر افتادن هستند، و همچنین سایر کلیدهای رمزنگاری که در ارتباط با آنها کار می کنند، باید فوراً از کار خارج شوند، مگر اینکه رویه متفاوتی در اسناد عملیاتی و فنی CIPF مشخص شده باشد. در موارد اضطراری، هنگامی که کلیدهای رمزنگاری برای جایگزینی کلیدهای در معرض خطر وجود ندارد، با تصمیم کاربر مسئول وجوه رمزنگاری، توافق شده با اپراتور، مجاز است از کلیدهای رمزنگاری در معرض خطر استفاده کند. در این حالت، دوره استفاده از کلیدهای رمزنگاری در معرض خطر باید تا حد امکان کوتاه باشد و اطلاعات محافظت شده باید تا حد امکان ارزشمند باشد.

    درباره تخلفاتی که ممکن است منجر به به خطر انداختن کلیدهای رمزنگاری، اجزای آنها یا منتقل شده ( ذخیره شده است) با استفاده از داده ها، کاربران صندوق های رمزنگاری موظفند به کاربر مسئول وجوه رمزنگاری اطلاع دهند.

    بازرسی رسانه های کلید قابل استفاده مجدد توسط افراد غیرمجاز نباید به عنوان سوء ظن به خطر افتادن کلیدهای رمزنگاری تلقی شود، در صورتی که این امر امکان کپی برداری از آنها را منتفی می کند. خواندن، تولید مثل).

    در موارد کمبود، عدم ارائه اسناد کلیدی و همچنین عدم اطمینان از محل آنها، کاربر مسئول اقدامات فوری برای یافتن آنها و بومی سازی عواقب ناشی از به خطر انداختن اسناد کلیدی انجام می دهد.

    1. رویه مدیریت سیستم کلیدی

    ثبت نام افراد دارای حق مدیریت کلیدها مطابق با اسناد عملیاتی CIPF انجام می شود.

    مدیریت کلید یک فرآیند اطلاعاتی است که شامل سه عنصر است:

    - تولید کلید؛

    - تجمع کلیدها؛

    - توزیع کلیدها

    سیستم های اطلاعات سازمانی از روش های سخت افزاری و نرم افزاری ویژه ای برای تولید کلیدهای تصادفی استفاده می کنند. به عنوان یک قاعده، از سنسورهای اعداد تصادفی شبه استفاده می شود ( به علاوه - PSCH ، با درجه نسبتاً بالایی از تصادفی در نسل خود. مولدهای کلید نرم افزاری که PFR را به عنوان یک تابع پیچیده از زمان جاری محاسبه می کنند و ( یا) شماره وارد شده توسط کاربر.

    انباشت کلیدها به سازماندهی ذخیره سازی، حسابداری و حذف آنها اشاره دارد.

    کلیدهای خصوصی نباید به صراحت روی رسانه ای که قابل خواندن یا کپی است نوشته شود.

    تمام اطلاعات مربوط به کلیدهای مورد استفاده باید به صورت رمزگذاری شده ذخیره شود. کلیدهایی که اطلاعات کلیدی را رمزگذاری می کنند، کلید اصلی نامیده می شوند. هر کاربر باید کلیدهای اصلی را از روی قلب بداند، ذخیره آنها در هر رسانه ملموس ممنوع است.

    برای اطمینان از امنیت اطلاعات، لازم است به طور دوره ای اطلاعات کلیدی در سیستم های اطلاعاتی به روز شود. در این حالت، هم کلیدهای معمولی و هم کلیدهای اصلی دوباره تخصیص داده می شوند.

    هنگام توزیع کلیدها، الزامات زیر باید رعایت شود:

    - کارایی و دقت توزیع؛

    - محرمانه بودن کلیدهای توزیع شده

    یک جایگزین این است که دو کاربر یک کلید مشترک را از یک مرجع مرکزی، مرکز توزیع کلید (KDC) دریافت کنند، که از طریق آن می توانند به طور ایمن ارتباط برقرار کنند. برای سازماندهی تبادل داده بین CRC و کاربر، در هنگام ثبت نام، کلید ویژه ای به کاربر اختصاص داده می شود که پیام های ارسال شده بین آنها را رمزگذاری می کند. به هر کاربر یک کلید جداگانه اختصاص داده می شود.

    مدیریت کلید بر اساس سیستم های کلید عمومی

    قبل از استفاده از سیستم رمزنگاری کلید عمومی برای تبادل کلیدهای خصوصی معمولی، کاربران باید کلیدهای عمومی خود را مبادله کنند.

    کلیدهای عمومی را می توان از طریق یک سرویس دایرکتوری آنلاین یا آفلاین مدیریت کرد و همچنین کاربران می توانند مستقیماً کلیدها را مبادله کنند.

    1. نظارت و کنترل استفاده از CIPF

    برای افزایش سطح امنیت هنگام اجرای CIPF، رویه‌های نظارتی باید در سیستمی اجرا شود که تمام رویدادهای مهمی را که در طول تبادل پیام‌های الکترونیکی و همه حوادث امنیت اطلاعات رخ داده است، ثبت کند. شرح و فهرست این رویه ها باید در اسناد عملیاتی CIPF مشخص شود.

    کنترل استفاده از حفاظت از اطلاعات رمزنگاری فراهم می کند:

    • نظارت بر انطباق راه‌اندازی و پیکربندی ابزارهای امنیت اطلاعات، و همچنین سخت‌افزار و نرم‌افزاری که می‌تواند بر تحقق الزامات ابزارهای امنیت اطلاعات، اسناد نظارتی و فنی تأثیر بگذارد.
    • نظارت بر انطباق با قوانین ذخیره سازی اطلاعات دسترسی محدود مورد استفاده در عملیات ابزارهای امنیت اطلاعات ( به ویژه، کلید، رمز عبور و اطلاعات احراز هویت);
    • کنترل امکان دسترسی افراد غیرمجاز به وسایل امنیت اطلاعات و همچنین سخت افزار و نرم افزاری که می تواند بر تحقق الزامات وسایل امنیت اطلاعات تأثیر بگذارد.
    • نظارت بر رعایت قوانین پاسخگویی به حوادث اطلاعاتی ( در مورد حقایق از دست دادن، به خطر انداختن اطلاعات کلید، رمز عبور و احراز هویت، و همچنین سایر اطلاعات دسترسی محدود);
    • کنترل انطباق ابزارهای سخت افزاری و نرم افزاری CIPF و مستندسازی این ابزارها با نمونه های مرجع ( ضمانت‌های تامین‌کننده یا مکانیسم‌های کنترلی که به شما امکان می‌دهد به طور مستقل چنین انطباق را ایجاد کنید);
    • نظارت بر یکپارچگی سخت افزار و نرم افزار CIPF و مستندات این ابزارها در حین ذخیره سازی و راه اندازی این ابزارها ( با استفاده از هر دو مکانیسم کنترل شرح داده شده در مستندات برای CIPF، و با استفاده از سازمانی).

    دانلود فایل ZIP (43052)

    اگر مدارک مفید بودند، لطفا به آنها "لایک" بدهید: