LINEBURG


<< Пред. стр.

страница 19
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>



PDF created with pdfFactory Pro trial version www.pdffactory.com
162 __________________ Основы технологии PKl _________________


центрами. Эти отношения закрепляются сертификатами. Каждой
политике в своем домене доверия присваивается идентификатор
объекта (Object Identifier - OID). Идентификаторы ОЮ характери-
зуют набор приложений, для которых пригоден данный сертификат.
Сертификат формата Х.509 v.3 в дополнении certificatePolicy может
содержать один или более идентификаторов политики в зависимо-
сти от числа политик применения сертификатов данного удостове-
ряющего центра. Идентификатор политики - это уникальный заре-
гистрированный идентификатор объекта (политики применения сер-
тификатов), который анализируется при принятии решения о дове-
рии данному сертификату и возможности его использования для оп-
ределенной цели.
В том случае, если удостоверяющие центры выпускают сер-
тификаты в соответствии с общими политиками, в дополнении certi-
ficatePolicy указываются идентификаторы ОЮ этих политик, и нет
необходимости использовать другие дополнения и ограничения. Ко-
гда удостоверяющие центры работают в разных доменах политики,
то процедуры согласования политик становятся более сложными
[72] и требуется тщательный анализ соответствия политики каждого
удостоверяющего центра политикам других удостоверяющих цен-
тров. Отношения между политиками фиксируются в дополнениях
отображения политики policyMappings. Это дополнение сертифика-
та позволяет удостоверяющим центрам задавать ограниченный на-
бор приемлемых политик и отклонять сертификаты, выпущенные в
соответствии с неприемлемой для данного удостоверяющего центра
политикой применения сертификатов.
Процесс регистрации политик применения сертификатов осу-
ществляется в соответствии с процедурами, определенными совме-
стно Международной организацией стандартизации ISO и Между-
народной электротехнической комиссией ЕС, а также Международ-
ным союзом электросвязи ITU [72]. При регистрации каждый иден-
тификатор объекта ОЮ должен сопровождаться текстовой специфи-
кацией политики для ознакомления с ней пользователей сертифика-
тов и приложений.




PDF created with pdfFactory Pro trial version www.pdffactory.com
____________________ 7. Развертывание РК1____________________ 163


Выбор программного продукта или поставщика услуг PKI
Следующий шаг - выбор программного продукта или постав-
щика услуг PKI. При выборе должны быть учтены аспекты функ-
циональной совместимости с другими программными продуктами/
поставщиками услуг, легкости адаптации к открытым стандартам,
удобства разработки, гибкости администрирования, расширяемости
и переносимости инсталляции [12]. Кроме того, важным критерием
является наличие интерфейсов прикладного программирования
(API) и поддержка распространенных приложений (например, вир-
туальных частных сетей, управления доступом, защищенной элек-
тронной коммерции, управления смарт-картами, сервисов каталогов,
защищенной электронной почты и др.).
Расширяемость
Функционирование PKI так или иначе затрагивает многие ре-
сурсы (людей, аппаратное и программное обеспечение), поэтому
нельзя не учитывать, что с течением времени масштаб системы мо-
жет существенно возрасти. Очевидно, что разнообразие практиче-
ских реализаций PKI не позволяет предложить готовое решение
поддержки масштабируемости, тем не менее, можно выделить «уз-
кие места» функционирования системы, влияющие на ее расширяе-
мость:
• генерация ключей,
• хранение сертификатов,
• поддержка списков аннулированных сертификатов и
• управление жизненным циклом сертификатов и ключей.
Генерация пар ключей требует значительных вычислительных
ресурсов; если она выполняется централизованно, то существенно
увеличивает рабочую нагрузку на сервер удостоверяющего центра,
так как параллельно с ней выполняются выпуск и подписание сер-
тификатов, криптографические операции, организуется хранение
информации в локальной базе данных. Поэтому более рациональ-
ным способом повышения расширяемости считается генерация пар
ключей пользователями, которая одновременно позволяет избавить-
ся от решения проблемы распространения ключей.
Для хранения сертификатов обычно используется общедос
тупный каталог. В бот«.т»и/«˜«˜ ---------




PDF created with pdfFactory Pro trial version www.pdffactory.com
164 __________________ Основы технологии PKI _________________


зованный универсальный каталог (LDAP), для которого сертифи-
каты являются не единственным объектом обслуживания. Для
уменьшения рабочей нагрузки на каталог сертификаты и другая ин-
формация могут храниться в кэш-памяти приложений (быстродейст-
вующей буферной памяти). Этот способ повышения производитель-
ности и расширяемости в целом достаточно эффективен, но требует
документального закрепления в политике PKI ограничений на дли-
тельность хранения сертификатов в кэш-памяти без потери статуса
действительности.
При функционировании PKI чрезвычайно важна поддержка
списков аннулированных сертификатов. Следует учитывать, что вы-
бор такого способа проверки статуса сертификатов, как онлайновая
верификация, значительно повышает требования к производитель-
ности сервера каталогов, поэтому система удостоверяющего центра
должна быть способна управлять дополнительной нагрузкой при
возрастании числа пользователей PKI.
Для нормального функционирования PKI крайне нежелатель-
но совпадение дат окончания действия большого количества серти-
фикатов и ключей, поэтому их генерация и возобновление должны
происходить непрерывно, а не привязываться к определенной дате.
Это требование может быть трудно выполнимо в образовательной
среде, когда, например, требуется составить список и выдать серти-
фикаты учащимся в течение относительно короткого периода вре-
мени. Кроме того, при проектировании PKI и организации ее базы
данных необходимо учитывать ежедневные часы пиковой нагрузки
в работе системы.
Ин т ег раци я P K I с дей с тву ющими сис тем а ми
и приложениями
Большие трудности при развертывании инфраструктуры от-
крытых ключей вызывает интеграция соответствующих PKI-
функций во вновь создаваемые приложения, а также в уже имею-
щиеся прикладные системы. PKI должна взаимодействовать с мно-
жеством разнообразных систем и приложений, в числе которых мо-
гут быть системы управления доступом, каталоги пользователей,
виртуальные частные сети, операционные системы, сервисы безо-
пасности, приложения защищенной электронной почты и web-




PDF created with pdfFactory Pro trial version www.pdffactory.com
____________________ 7. Развертывание PKI_____________________ 165


приложения [39]. Налаживание связи между новой инфраструктурой
и всеми этими приложениями и системами является сложной зада-
чей, для ее решения важно наличие интерфейсов прикладного про-
граммирования, обеспечивающих взаимодействие существующих
корпоративных приложений с PKI и использование ее сервисов. Не-
которые программные средства поддержки PKI предоставляют API
высокого уровня для распространенных приложений, выбор про-
граммного продукта такого типа облегчает интеграцию PKI и со-
кращает время развертывания инфраструктуры.
Выбор основных средств, оборудования и персонала Успех
развертывания PKI во многом зависит от окружающей и
поддерживающей инфраструктуры. Под инфраструктурой пони-
маются основные средства, оборудование и персонал, необходимые
для функционирования PKI.
Серверы и криптографическое аппаратное обеспечение Серверы,
предназначенные для PKI, должны обладать высокой
производительностью, значительными системными ресурсами и
возможностями. При выборе серверов должны оцениваться точный
объем памяти центрального процессора, дискового пространства, с
учетом роста PKI следует ориентироваться на выбор аппаратного
обеспечения типа SMP-систем (с симметричной мультипроцессор-
ной обработкой). Такие компоненты PKI, как УЦ, РЦ и реестр сер-
тификатов, могут размещаться на одном сервере, или же рабочая
нагрузка может быть распределена между несколькими серверами.
Разделение функций несколько снижает производительность систе-
мы, но позволяет распределить обязанности по поддержке отдель-
ных компонентов PKI между несколькими подразделениями. Для
защиты и хранения секретного ключа удостоверяющего центра, ко-
торый чаще всего является объектом внутренних и внешних атак,
должно использоваться криптографическое аппаратное обеспечение.
Смарт-карты и считыватели
Для хранения секретных ключей и сертификатов конечных
субъектов PKI целесообразно использовать такие портативные крип-
тографические устройства, как смарт-карты или токены безопасно-
сти. Компактность смарт-карт делает удобным их применение в пер-
сональных и сетевых компьютерах, киосках, считывателях жетонов




PDF created with pdfFactory Pro trial version www.pdffactory.com
166 __________________ Основы технологии PKI ________________


доступа и т.д. в зависимости от конкретных PKI-приложений, но при
этом возникает необходимость в дополнительных периферийных уст-
ройствах - считывателях смарт-карт. В ряде программных продуктов
поддержки PKI для хранения ключей и сертификатов реализованы
виртуальные смарт-карты, имитирующие поведение физических
аналогов и обеспечивающие доступ пользователей без считывателей
смарт-карт.
Физическая среда
Серверы PKI должны размещаться в отдельном закрытом по-
мещении, доступ в которое разрешен только обслуживающему пер-
соналу и которое тщательно контролируется и регистрируется. Сер-
веры должны быть подключены к источнику бесперебойного пита-
ния, а на время его отключения серверы должны автоматически соз-
давать резервные копии данных и завершать работу в штатном ре-
жиме. Сегмент сети с серверами PKI должен быть защищен, по
крайней мере, при помощи межсетевого экрана, прозрачного только
для трафика PKI.
Требуемый уровень подготовки персонала
Персонал, обслуживающий PKI, составляет часть инфраструк-
туры. Подразделение информационных технологий обеспечивает
работу по следующим направлениям: инсталляция программного
продукта, конфигурирование системы, системное администрирова-
ние, теория и практика PKI, криптография с открытыми ключами,
информационная безопасность. Персонал подразделения поддержки
операционной работы системы должен иметь базовые знания техно-
логии PKI, заниматься постановкой задач и эксплуатацией системы.
Штат подразделения авторизации должен иметь представление о
концепции PKI и системном администрировании. Подразделение
аудита отвечает за правовое обеспечение системы PKI (политика,
ответственность), его персонал должен обладать знаниями в области
права и информационной безопасности.
Управление и администрирование системы РК1
При развертывании PKI должны быть определены и оформле-
ны в виде инструкций должностные обязанности персонала, зани-
мающегося управлением и администрированием системы PKI, а при
необходимости организовано дополнительное обучение служащих,




PDF created with pdfFactory Pro trial version www.pdffactory.com
____________________ 7. Развертывание РК1 ____________________ 167


обеспечивающих безопасность системы. В зависимости от масштаба
PKI и конкретных условий допускается совмещение должностей.
В список должностей, необходимых для поддержки системы PKI,
входят:
• системный администратор;
• системный оператор;
• администратор УЦ;
• администратор РЦ;
• администратор каталога;
• работник службы помощи;
• менеджер по политике безопасности;
• аудитор безопасности или главный администратор.
Системный администратор отвечает за функционирование
системы безопасности в целом и обычно привлекается к работе по
развертыванию PKI на самых ранних стадиях. Особенно важно уча-
стие системного администратора в составлении плана проекта, так
как он способен дать временную оценку различным видам активно-
сти системы. Если организация планирует работу своего собствен-
ного удостоверяющего центра, то системный администратор отвеча-
ет за подбор, инсталляцию и конфигурирование необходимого про-
граммного обеспечения, а также за его поддержку и внесение изме-
нений. Кроме того, обязанности системного администратора состоят
в присвоении полномочий и профилей пользователям системы
и поддержке паролей.
Системный оператор должен следить за операционной рабо-
той системы PKI, реагировать на ошибки и соблюдать установлен-
ные регламентом процедуры. К дополнительным функциям опера-
торов можно отнести восстановление прежнего состояния системы и
поддержку релевантных PKI электронных документов. В зависимо-
сти от размеров PKI к ежедневной работе привлекаются от одного
цо нескольких операторов.
Администратор УЦ отвечает за поддержку всех функций
удостоверяющего центра: генерацию ключей, выпуск и подписание
;ертификатов, а также обработку запросов на взаимную сертифика-
щю и авторизацию услуг по восстановлению ключей. Если в состав
'KI входит регистрационный




PDF created with pdfFactory Pro trial version www.pdffactory.com
168___________________ Основы технологии PKl_________________


возлагаются обязанности обработки запросов на сертификаты и
принятия решения о выдаче сертификата заявителю.
Администратор каталога отвечает за поддержку каталога
(LDAP), содержащего информацию о сертификатах, и управление
правами доступа к нему внутренних и внешних для PKI пользовате-
лей. Администратор каталога обеспечивает реализацию соглашения
об используемых в каталоге именах в соответствии с требованиями
промышленных или корпоративных стандартов.
Работники службы помощи должны реагировать на запросы
клиентов системы, руководствуясь соответствующими документа-
ми, описывающими процедуры обслуживания пользователей.
Для поддержки защищенного и эффективного функциониро-
вания PKI должна регулярно пересматриваться политика безопасно-
сти, за ее обновление отвечает менеджер по политике безопасно-
сти.
Функции аудита системы в целом и подготовки отчетов для
руководства возлагаются на аудитора безопасности или главного
администратора. Аудитор безопасности должен иметь специаль-
ную подготовку в области информационной безопасности и крипто-
графии и отвечать за реализацию корпоративной политики безопас-
ности, в том числе политики применения сертификатов, регламента
и политики управления ключами, и документальное оформление
всех политик и процедур. На аудитора безопасности возлагается от-
ветственность за разработку и совершенствование процедур управ-
ления и администрирования системой безопасности, процедур вос-
становления прежнего состояния системы и восстановления после
аварии, а также процедур, которым должны следовать третьи сторо-
ны при их обслуживании системой PKI. Аудитор обязан выполнять
регулярные и незапланированные проверки контрольных журналов
и отслеживать соответствие всех компонентов и процедур системы
безопасности PKI промышленным и корпоративным стандартам.
Завершение этапа проектирования
После документального оформления политики применения
сертификатов, выбора программного продукта или поставщика ус-
луг, аппаратных средств поддержки PKI и физической среды, фор-
мулировки требований по управлению и администрированию систе-




PDF created with pdfFactory Pro trial version www.pdffactory.com
____________________7. Развертывание PKI ____________________ 169


мой, должен быть разработан регламент удостоверяющего центра.
На этом же шаге определяются процедуры функционирования
и управления, необходимые для проверки эффективности системы
безопасности, основанной на PKI, и разрабатывается методика со-
провождения и поддержки готовой системы [21].
7.3. Создание прототипа, пилотный проект и внедрение
Создание прототипа
Для подтверждения избранной концепции PKI и подготовки
пилотного проекта целесообразно создание прототипа системы на
базе выбранного готового программного продукта. Критериями вы-
бора, как отмечалось выше, могут быть соответствие программного
продукта определенным стандартам в области PKI, его стоимость,
расширяемость, поддержка, интеграция с другими решениями по
безопасности, простота использования и т.п. Модификация готовых
программных приложений, а также проектирование и разработка
новых приложений, необходимых для поддержки PKI, должны вы-
полняться с учетом требований пользователей системы. На этом
этапе проводится независимый аудит и анализ источников рисков
и уязвимости системы для принятия соответствующих решений.
Пилотный проект
После окончания разработки программного обеспечения сис-
темы PKI и успешного прохождения тестов всех устройств, тестов
интеграции системы и проверки возможностей работы с ней пользо-
вателей осуществляется тестирование пилотной системы. Очень важ-
но сразу же определить ее масштабы и круг обслуживаемых пользо-
вателей. Рекомендуется, чтобы работа системы начиналась с обслу-
живания ограниченного числа пользователей и внутренних прило-
жений, но ограничивать пилотную систему пределами ИТ-
подразделения было бы ошибкой [39]. Желательно к ней сразу под-
ключать тех пользователей, которым предстоит активно работать
с инфраструктурой после ее полного развертывания.
Запуск пилотной системы обычно выполняется в условиях ре-
альной деятельности, но в определенных временных рамках и огра-
ниченной среде (например, на базе нескольких подразделений, отде-
лов или групп пользователей). Работа пилотной системы




PDF created with pdfFactory Pro trial version www.pdffactory.com
170 __________________ Основы технологии PKI _________________

быть организована параллельно работе старой системы, возможно-
сти и уровень безопасности последней должны поддерживаться на
прежнем уровне.
На базе пилотной системы выполняется:
• тестирование всех функциональных требований, произ
водительности и операционных регламентов, а также всех наиболее
важных приложений защиты [21];
• опытное завершение работы системы, восстановление ее
работы и проверка функционирования системы после этих операций;
• проверка физических и кадровых средств управления
безопасностью в PKI.
Этап завершается разработкой подробного плана внедрения
системы.
Внедрение
После успешной апробации пилотной системы начинается
этап внедрения, во время которого выполняется установка и провер-
ка работоспособности системы PKI с последующими приемными
испытаниями, работа системы оценивается пользователями и соот-
ветствующими специалистами на предмет защищенности и соблю-
дения необходимого уровня безопасности. Отчет о соответствии
всем требованиям безопасности с описаниями тестов атак на систе-
му является одним из главных результатов этого этапа. Далее про-
водится юридическая экспертиза и утверждение регламента PKI,
положений политики применения сертификатов и установленных
форм контрактов, организуется обучение пользователей PKJ и соз-
дается служба помощи.
Все системы изменяются с течением времени. Установка но-
вых версий, внедрение новых пользовательских приложений, увели-
чение производительности, мощности и учет новых требований, об-
новление аппаратной платформы - все это требует соответствующе-
го управления [21]. Для поддержки, сопровождения и модификации
системы PKI формируется подразделение технической поддержки.
Результатом этапа является функционирующая PKI, которая соот-
ветствует всем требованиям и ограничениям, сформированным в
процессе анализа и проектирования системы.




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ З.Программные средства поддержки PKI _____________171


8. ПРОГРАММНЫЕ СРЕДСТВА ПОДДЕРЖКИ PKI
8.1. Программное обеспечение PKI
ведущих мировых производителей

<< Пред. стр.

страница 19
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign