زیرساخت کلید عمومی
با توسعه فناوریاطلاعات، و فراگیر شدن حوزههای کاربرد آن، تعاملات الکترونیکی و بطور خاص تجارت الکترونیک، در چند دهه اخیر رشد چشمگیری داشته است. از اینرو اعتماد به تعاملات الکترونیکی و صحت اسناد الکترونیکی مبادله شده از جمله دغدغهها و چالشهای مهم تمامی سازمانها در دنیا است.
اعتماد و امنیت در فضای مجازی نیازمند برخورداری از زیرساخت مطمئن و قابلاعتمادی است که در هر نظام اجتماعی چارچوبمند از قبیل شرکت، سازمان، و یا کشور پذیرفته شده باشد.
فراهم آوردن یک بستر قابل اعتماد برای تعاملات سازمانی، از ضروریات اولیه برای ایجاد اعتماد در بستر فناوری اطلاعات سازمان بوده و نقطه اتکا مطمئنی برای اعتماد به بستر فناوری اطلاعات سازمان در تمام سطوح خواهد بود.
امروزه زیرساخت کلید عمومی (PKI[1]) پایه و اساس اعتماد در فضای مجازی، و هسته اولیه دولت الکترونیک در محیط فناوری اطلاعات در هر سطح از قبیل سازمان، دولت، و تعاملات بینالمللی است.
کشور ما نیز از این امر مستثنی نبوده و سازمانهای زیادی، خدمات و تعاملاتشان در فضای فناوری اطلاعات را مبتنی بر زیرساخت کلید عمومی پیاده سازی نمودهاند.
دو چالش مهم تمامی تعاملات الکترونیکی
تمامی تعاملات الکترونیکی در بستر فضای مجازی با دو چالش مهم امنیت و اعتماد مواجه هستند. امنیت و اعتماد در فضای مجازی نیازمند برخورداری از زیرساخت مطمئن و قابلاعتمادی است که تضمین کننده صحت تعاملات صورت گرفته بوده و قابلیت استناد اطلاعات مبادله شده را فراهم آورد.
زیرساخت کلید عمومی (PKI) راه حل شناخته شدهای برای ایجاد اعتماد در فضای مجازی بوده و امکان برقراری تعاملات الکترونیکی مطمئن و قابل اعتمادی را فراهم می¬آورد که بتوان در فضای نا امن، تعامل مطمئن و قابل استنادی داشته و از صحت فرایند¬ها، تراکنش¬ها و اطلاعات مبادله شده اطمینان حاصل نمود.
زیرساخت کلید عمومی، به بستر فراهمشده جهت صدور و به کارگیری گواهیهای الکترونیکی گفته میشود که شامل مجموعهای از قوانین، سیاستها و دستورالعملها، استانداردها، سختافزارها، نرمافزارها و فرایندها بوده و تعاملات و ارتباطات صورت گرفته در بستر فناوری اطلاعات را معتبر و قابل استناد ساخته و اعتماد را در این فضا فراهم می¬آورد.
مزایای استفاده از گواهی الکترونیکی در تعاملات الکترونیکی را میتوان به شرح زیر برشمرد:
زیرساخت کلید عمومی بستر بکارگیری و مدیریت گواهیهای الکترونیکی را در کشور فراهم میکند، و پیشنیاز برقراری تعاملات تجاری/غیرتجاری الکترونیکی مطمئن در میان طرفین داخلی یا بینالمللی است.
زیرساخت کلید عمومی اساس و مبنای گواهی الکترونیک و امضای دیجیتال است.
در ساختار زیرساخت کلید عمومی، مرکز صدور گواهی وظیفه اعطای گواهی الکترونیکی را برای موجودیتهای طرفین تعامل بر عهده دارد.
طرفین تعامل با با استناد به امضای دیجیتال صادر کننده گواهی مخاطب، به محتویات گواهی و مشخصات هویتی اعتماد نموده و اطمینان نسبت به هویت طرف مقابل حاصل میگردد.
مالک گواهی میتواند افراد، اشخاص حقوقی، سیستمها و تجهیزات، نهاد یا سازمان، و هر موجودیتی باشد که قصد دارد نسبت به برقراری تعاملی امن و قابل اعتماد اقدام نماید.
گواهی الکترونیکی شامل اطلاعاتی نظیر اطلاعات هویتی مالک گواهی، مدت اعتبار، سازمان صادر کننده گواهی و امضای دیجیتال صادر کننده گواهی است.
استقرار چنین زیرساختی در یک سازمان به تنهایی ضامن امنیت و اعتماد در محیط فناوری اطلاعات سازمان نبوده و می¬بایست تحلیل ساختارمند و شناخت لازم در خصوص تعاملات و مدل کسب و کار سازمان صورت گرفته و مدل اعتماد و معماری مطلوب در زیرساخت کلید عمومی، متناسب با نیاز کسب و کاری سازمان و سایر جوانب، طراحی، توسعه و پیاده سازی گردد.
از این رو شناخت ارکان زیرساخت کلید عمومی و نحوه تأثیر این زیرساخت در تعاملات سازمان امری ضروری جهت توسعه زیرساختهای فناوری اطلاعات و ارتقاء سطح امنیت و اعتماد در فرایندهای سازمانی میباشد.
برخی از کاربرد های زیرساخت کلید عمومی در سازمان¬ها عبارت اند از:
- مدیریت کلیدهای رمزنگاری
- امکان امضای دیجیتال اسناد و پیامهای مبادله شده سازمانی جهت اطمینان از حفظ یکپارچگی پیام و اصالت هویت فرستنده
- امن سازی کانالهای ارتباطی توسط پروتکلهای مبتنی بر کلید نامتقارن مانند SSL/TLS
- امنسازی کاربردهای تحت وب
- ایجاد امنیت و اعتماد در سیستمهای سازمانی اعم از اتوماسیون اداری، مالی، پست الکترونیکی و …
- امنیت (رمزنگاری/رمزگشایی) و اصالتسنجی مستندات
- امنیت و اصالتسنجی کدمنبع نرم افزاره
علاوه بر این منافع زیادی از حیث کنترل هزینه، مدیریت منابع، مدیریت رخدادها، تسهیل فرایندها برای سازمان داشته و اعتبار و جایگاه قابل ملاحظهای برای سازمان به ارمغان می آورد.
شرکت توسعه زیرساخت مانامهام با پشتوانه تجارب متعددی که در مشاوره، طراحی، توسعه و پیادهسازی سامانههای مبتنی بر زیرساخت کلید عمومی دارد، توانایی ارائه راهحل های مرتبط با زیرساخت کلید عمومی را برای حوزههای کاربرد متعدد در محیط فناوری اطلاعات سازمانها را داشته و به سازمانها در شکل گیری دیدگاه حاکمیتی از منظر امنیت و اعتماد و ملاحظات دولت الکترونیک در سطح مدیران سازمانی جهت بسط کاربردهای گواهی الکترونیک و توسعه امضای دیجیتال و همچنین ایجاد فرهنگ سازمانی لازم، کمک شایان توجهی مینماید.
خدمات قابل ارائه در این حوزه به شرح زیر میباشد:
- مشاوره و استقرار نظام مدیریت امنیت اطلاعات (ISMS) مبتنی بر استانداردهای ملی و بین المللی؛
- طراحی و پیادهسازی راهحلهای ایمنساز سیستمها و شبکههای رایانهای، پروتکلهای ارتباطی و تجارت الکترونیکی؛
- مشاوره و ایمن سازی سامانهها در لایههای زیرساخت، شبکه، ارتباط و کاربرد؛
- مشاوره و تدوین تحلیل ریسکهای امنیت (Security Risk Analysis)؛
- مشاوره و نظارت در حوزه تجهیز نرمافزارهای کاربردی به زیرساخت کلید عمومی (PK-Enabling)
- مشاوره به سازمان در مدیریت تعاملات فنی و اجرایی با مرکز میانی و مرکز ریشه کشور
- مشاوره در حوزه ابزارهای مورد استفاده در سازمان در حوزه PKI اعم از سختافزار و نرمافزار
- توسعه خدمات مبتنی بر امضای دیجیتال و رمزنگاری نامتقارن مبتنی بر PKI
- توسعه سامانههای زیرساختی در تجهیز نرمافزارهای کاربردی به زیرساخت کلید عمومی
- توسعه محصولات نرمافزاری اختصاصی سازمان مبتنی بر PKI
- تولید محتوای آموزشی عمومی و تخصصی جهت فرهنگسازی PKI و کاربردهای آن در سازمان
- برگزاری دورههای آموزشی مدیریتی، عمومی و تخصصی در زمینه PKI
- امنیت و اصالتسنجی کدمنبع نرم افزاره