Umumiy qoida: himoyalangan ma'lumotlarning sezgirligi oshgani sayin, shifrlash kalitining ishlash muddati kamayadi.
Shuni inobatga olgan holda, sizning shifrlash kalitingiz vakolatli foydalanuvchining ma'lumotlarga kirishiga qaraganda faolroq umrga ega bo'lishi mumkin. Bu shuni anglatadiki, o'chirilgan tugmachalarni arxivlashingiz va ularni faqat parolini ochish uchun ishlatishingiz kerak bo'ladi. Ma'lumotlar eski kalit bilan shifrlanganidan so'ng, u yangi kalit bilan shifrlanadi va vaqt o'tishi bilan eski kalit endi ma'lumotlarni shifrlash / parolini hal qilish uchun ishlatilmaydi va o'chirilishi mumkin. (quyidagi rasmga qarang)
To'liq hayot aylanish davri tugmachalarini batafsilroq tushunish uchun quyida ko'rib chiqing.
Kalit yaratish (ishlab chiqarish va oldindan faollashtirish)
Shifrlash kaliti yaratilganva kalitlarni boshqarish serverida saqlanadi. Kalit menejer shifrlash kalitini kriptografik xavfsiz tasodifiy bit generatori yordamida yaratadi va kalitni barcha atributlari bilan birga kalitlarni saqlash ma'lumotlar bazasida saqlaydi. Kalit bilan saqlangan atributlarga uning nomi, faollashish sanasi, hajmi, misoli, kalitni o'chirish qobiliyati, shuningdek, uning ko'chirilishi, aks etishi, kalitlarga kirish va boshqa atributlar kiradi. Kalit yaratilgandan so'ng faollashtirilishi yoki keyinchalik avtomatik yoki qo'lda faollashtirilishi mumkin. Shifrlash kaliti menejeri shifrlash kalitining joriy va o'tgan nusxalarini (yoki versiyalarini) kuzatishi kerak. Kalit o'chirilishi yoki o'chirilishi, ishlamay qolgan qismga aks ettirilishi va unga qaysi foydalanuvchilar yoki guruhlar orqali kirish mumkinligini tanlashingiz kerak.
Kalitlardan foydalanish va o'tish (aktivlashtirishdan keyin faollashtirish)
Kalit menejer faollashtirilgan kalitni vakolatli tizimlar va foydalanuvchilar tomonidan shifrlash yoki parol hal qilish jarayonlari uchun olishiga ruxsat berishi kerak. Shuningdek, u shifrlash kalitining joriy va o'tgan nusxalarini muammosiz boshqarishi kerak. Masalan, har yili yangi kalit yaratilsa va eskisi o'chirilsa (yoki o'ralgan bo'lsa), u holda menejer kalitning avvalgi versiyalarini saqlab qolishi kerak, ammo faqat joriy nusxani tarqatishi va parol hal qilish uchun avvalgi versiyalarini faollashtirishi kerak. Kalitning bunday versiyalari bilan shifrlangan ma'lumotlarni parolini hal qilish uchun avvalgi versiyalarni olish mumkin. Kalit menejer shuningdek kalitni oldindan belgilangan jadval orqali aylantiradi yoki administratorga kalitni qo'lda aylantirishga imkon beradi.
Kalitni bekor qilish
Ma'mur kalitni bekor qilish uchun kalit menejeridan foydalanishi kerak, shunda u endi shifrlash va parolni echish so'rovlari uchun ishlatilmaydi. Bekor qilingan kalit, agar kerak bo'lsa, ma'mur tomonidan qayta tiklanishi mumkin, shunday qilib, ba'zi holatlarda kalit eski zaxira nusxalari singari u bilan ilgari shifrlangan ma'lumotlarning parolini ochish uchun ishlatilishi mumkin. Ammo buni ham cheklash mumkin.
Zaxira nusxasi (garov)
NIST (8.3.1-bo'lim) o'chirilgan kalitlarning arxivini saqlashni talab qiladi. Arxiv "arxivlangan materialni ruxsatsiz [oshkor qilish,] o'zgartirish, o'chirish va qo'shishdan himoya qilishi" kerak. Shifrlash tugmachalari "qayta tiklanishi kerak ... uning kriptoperodi tugagandan so'ng" va "tizim qayta tiklanishiga imkon beradigan tarzda ishlab chiqilgan" bo'lishi kerak, agar ular bir paytlar shifrlangan ma'lumotlarning parolini ochishda foydalanish uchun faollashtirilsa.
Kalitni yo'q qilish (yo'q qilish)
Agar kalit ishlatilmasa yoki u qandaydir tarzda buzilgan bo'lsa, ma'mur kalitni shifrlash kalitlari menejerining kalitlarini saqlash ma'lumotlar bazasidan butunlay o'chirishni tanlashi mumkin. Kalit menejer uni va uning barcha nusxalarini yoki ba'zi bir nusxalarini butunlay o'chirib tashlaydi va ushbu kalitni tiklashni imkonsiz qiladi (zaxira rasmidagi tiklashdan tashqari). Agar maxfiy ma'lumotlar shifrlangan holatda buzilgan bo'lsa, bu variant sifatida mavjud bo'lishi kerak. Agar kalit o'chirilsa, buzilgan ma'lumotlar to'liq xavfsiz va tiklanib bo'lmaydigan bo'ladi, chunki bu ma'lumotlar uchun shifrlash kalitini tiklash imkonsiz bo'ladi.
^ Yuqoriga qaytish
KALITLARNI BOSHQARISHDA AJRATILGAN ROLLAR
Vazifalarni ajratish
" Asosiy boshqaruv bo'yicha tavsiyalar - 2-qism " da NIST vazifalarni ajratishni quyidagicha belgilaydi:
Xavfsizlik printsipi, har qanday xodimning zararli firibgarlikni amalga oshirish uchun hech kimning etarli ma'lumotga ega bo'lishiga yoki kirish huquqiga ega bo'lishiga ishonch hosil qilish uchun turli xil xodimlar o'rtasida muhim funktsiyalarni taqsimlaydi.
Vazifalarni ajratish amaliyoti tashkilotdagi turli shaxslar o'rtasida muhim vazifalarni bajarish bilan bog'liq majburiyatlarni taqsimlash orqali firibgarlik yoki qonunbuzarlik ehtimoli kamayadi. Bu ko'pchilik tashkilotlarning moliyaviy va buxgalteriya protseduralarida keng tarqalgan. Masalan, cheklarni kompaniyada bosib chiqaradigan shaxs cheklarni imzolagan shaxs bo'lmaydi. Shunga o'xshab, cheklarni imzolagan shaxs bank hisobotlarini taqqoslamaydi. Kompaniya biznesning muhim vazifalari to'rt xil funktsiyaga bo'linishini ta'minlaydi: avtorizatsiya, saqlash, yozuvlarni yuritish va yarashtirish. Barkamol tizimda hech kim bir nechta funktsiyalarni bajarmasligi kerak.
Axborot xavfsizligi amaliyotiga kelsak, vazifalarni ajratishni amalga oshirish shifrlash kalitlarini boshqarish sohasida juda muhimdir. Himoyalangan ma'lumotlarga kiruvchi kirishni oldini olish uchun shifrlash kalitlarini boshqaradigan shaxs himoyalangan ma'lumotlarga kirish imkoniyatiga ega bo'lmasligi va aksincha. Axborot texnologiyalari sharoitida buni amalga oshirish moliyaviy sharoitga qaraganda qiyinroq, lekin ko'pincha murakkab kompyuter tizimlarida e'tibordan chetda qoladi yoki noto'g'ri tushuniladi.
Ikki tomonlama boshqarish
Shunga qaramay, NIST, kalitlarni boshqarish bo'yicha tavsiyalarning 2-qismida , Ikki tomonlama boshqaruvni belgilaydi:
nozik funktsiyalarni yoki ma'lumotlarni himoya qilish uchun birgalikda ishlaydigan ikkita yoki undan ortiq alohida ob'ektlardan (odatda shaxslardan) foydalanadigan jarayon. Hech bir tashkilot materiallarga, masalan, kriptografik kalitlarga kira olmaydi yoki ulardan foydalana olmaydi.
Vazifalarni ajratish jarayonning turli qismlarini turli odamlarga tarqatishni o'z ichiga olgan bo'lsa, Dual Control kamida bitta jarayonni boshqarishni kamida ikki yoki undan ortiq kishidan talab qiladi.
Ma'lumotlar xavfsizligi amaliyotida shifrlash kalitlarini boshqarish funktsiyalarini Dual Control talablarini topish odatiy holdir. Kalit boshqaruv tizimi bir nechta dasturlar va xo'jalik yurituvchi sub'ektlar uchun shifrlash kalitlarini saqlashi mumkinligi sababli, shifrlash kalitlarini himoya qilish juda muhimdir.
Split bilim
Split Knowledge tushunchasi shifrlash kalitlari yoki shifrlash kalitlarini yaratish uchun ishlatiladigan parollar kabi himoyalanmagan kriptografik materiallarga har qanday kirish yoki ishlov berishda qo'llaniladi va hech kimdan shifrlash kalitining to'liq qiymatini bilishini talab qiladi. Agar parollar shifrlash kalitlarini yaratish uchun ishlatilsa, hech kim parolni to'liq bilmasligi kerak. Aksincha, ikki yoki undan ortiq kishi har biri o'tish iborasining faqat bir qismini bilishi kerak va ularning barchasi shifrlash kalitini yaratish yoki qayta yaratish uchun hozir bo'lishi kerak.
^ Yuqoriga qaytish
SHIFRLASH KALITLARINI HIMOYALASH UCHUN DOMENLAR
Jismoniy xavfsizlik
Ko'pchilik, asosiy menejerni xavfsizligini ta'minlash haqida gapirganda, tabiiy ravishda asosiy menejerni o'zini xavfsizlik xavfsizligi moduli (HSM) bilan ta'minlashga murojaat qiladi. Bu zarur mavzu bo'lsa-da (va biz uni muhokama qilamiz), avvalambor sizning asosiy menejeringiz joylashgan jismoniy muhitni ta'minlash to'g'risida gaplashishimiz kerak.
NISTning 800-14 Maxsus nashrida ular jismoniy xavfsizlikning ushbu ta'rifini taklif qilishadi:
"Jismoniy va atrof-muhit xavfsizligi nazorati" "ob'ektni uy-joy tizimi resurslarini, tizim resurslarini o'zlarini va ularning ishlashini ta'minlash uchun foydalaniladigan ob'ektlarni himoya qilish uchun" amalga oshirilishi kerak.
Tashkilotning jismoniy xavfsizlik rejasida quyidagilar bo'lishi kerak:
Do'stlaringiz bilan baham: |