Удаленный компьютер не поддерживает требуемый тип шифрования данных

Обновлено: 21.11.2024

Политика безопасности Калифорнийского университета в Беркли требует соблюдения Минимального стандарта безопасности электронной информации для устройств, обрабатывающих защищенные данные. Приведенные ниже рекомендации представлены в качестве дополнительного руководства, помогающего выполнить требование о шифровании данных при передаче.

Требования

Хранители ресурсов и все, кто перемещает защищенные данные по сети, должны использовать безопасные, проверенные и принятые в отрасли механизмы шифрования.

См. раздел «Утвержденные исключения», чтобы узнать, где это требование неприменимо.

Описание риска

Злоумышленники могут перехватывать или отслеживать данные в открытом виде, передаваемые по незашифрованной сети, и получать несанкционированный доступ к ним, что ставит под угрозу конфиденциальность конфиденциальных данных.

Рекомендации

Защищенные данные должны быть зашифрованы при передаче по сети для защиты от прослушивания сетевого трафика неавторизованными пользователями. В тех случаях, когда исходное и целевое конечные устройства находятся в одной и той же защищенной подсети, защищенная передача данных все равно должна быть зашифрована, как рекомендовано ниже, из-за возможности сильного негативного воздействия утечки защищенных данных. Типы передачи могут включать в себя взаимодействие клиент-сервер, сервер-сервер, а также любую передачу данных между базовыми системами и системами третьих сторон.

Электронная почта не считается защищенной и не должна использоваться для передачи закрытых данных, если не используются дополнительные инструменты шифрования электронной почты. См. раздел «Дополнительные ресурсы» для параметров шифрования электронной почты и см. раздел «Утвержденные исключения», чтобы узнать, где это требование неприменимо.

Примите во внимание следующие рекомендации по разработке безопасной передачи защищенных данных.

  1. Если защищенное устройство доступно через веб-интерфейс, веб-трафик должен передаваться через Secure Sockets Layer (SSL) с использованием только надежных протоколов безопасности, таких как Transport Layer Security (TLS).
  2. Защищенные данные, передаваемые по электронной почте, должны быть защищены с помощью криптографически надежных средств шифрования электронной почты, таких как PGP или S/MIME (см. ссылку на шифрование электронной почты в разделе «Дополнительные ресурсы»). Кроме того, перед отправкой электронного письма пользователь должен зашифровать защищенные данные с помощью совместимых инструментов шифрования файлов и прикрепить зашифрованный файл к электронному письму для передачи.
  3. Передача покрываемых данных за пределы сети должна быть зашифрована с помощью шифрования на уровне приложения
    • Если база данных приложения находится за пределами сервера приложений, соединение между базой данных и приложением также должно быть зашифровано с использованием криптографических алгоритмов, совместимых с FIPS.
  4. Если шифрование на уровне приложения недоступно для трафика данных, не охватываемого Интернетом, внедрите шифрование на уровне сети, например туннелирование IPSec или SSH (дополнительную информацию об этих технологиях см. в разделе Дополнительные ресурсы).
  5. Как правило, шифрование следует применять при передаче защищенных данных между устройствами в защищенных подсетях с сильным контролем брандмауэра. *См. раздел «Известные исключения», чтобы узнать, где это требование неприменимо.

Примеры небезопасных сетевых протоколов и их безопасных альтернатив включают:

Выбор алгоритмов шифрования

При выборе алгоритмов для шифрования покрываемых данных учитывайте следующие соображения:

  • Для одного и того же алгоритма шифрования более длинная длина ключа обычно обеспечивает более надежную защиту.
  • Длинные сложные парольные фразы надежнее коротких. Дополнительную информацию см. в стандарте безопасности кодовой фразы кампуса.
  • Надежное шифрование обычно потребляет больше ресурсов ЦП, чем слабое шифрование.

Беспроводные подключения

При подключении к беспроводным сетям для доступа к системе, обрабатывающей покрываемые данные, подключайтесь только к беспроводным сетям, использующим криптографически стойкие стандарты беспроводного шифрования, такие как WPA2. Механизмы шифрования, описанные в разделе выше, также должны применяться в дополнение к надежному шифрованию беспроводной сети, чтобы обеспечить сквозную защиту.

Соответствующие услуги кампуса

Команда ISO CalNet предоставляет службы сертификации InCommon, которые распространяют сертификаты Comodo для нужд шифрования и аутентификации.

Утвержденные исключения

Шифрование данных при передаче (как определено в требовании MSSEI 15.1 и далее описано в этом руководстве) не требуется в следующих трех узко определенных сценариях. Информационная безопасность и политика утвердили эти исключения на основании запроса на исключение, отправленного службой Network and Operations Services после проведения оценки рисков безопасности. Поскольку эти исключения являются результатом оценки рисков на определенный момент времени, они будут пересматриваться ежегодно и обновляться по мере необходимости.

Покрытые данные (UC P2/P3), передаваемые только в сети центра обработки данных Earl Warren Hall (EWH), не требуют шифрования при передаче. Например, это исключение применяется при передаче покрытых данных между двумя серверами, находящимися в центре обработки данных EWH. Однако исключение НЕ применяется, т. е. требуется шифрование, когда пользователь получает доступ к защищенным данным на сервере в центре обработки данных EWH с рабочего стола в офисе на втором этаже EWH.

Любое устройство в той же подсети, что и система UC P4, использующая это исключение шифрования при передаче, должно соответствовать требованиям UC P4. Все остальные элементы управления безопасностью UC P4, включая требование защищенной подсети, по-прежнему применяются к защищенным устройствам, находящимся в сети центра обработки данных Earl Warren Hall.

Эти требования к обработке институциональных данных не применимы к использованию и обработке данных о себе отдельными лицами.

Читайте также: