Ольга Полянская - Инфраструктуры открытых ключей
- Название:Инфраструктуры открытых ключей
- Автор:
- Жанр:
- Издательство:Интернет-университет информационных технологий - ИНТУИТ.ру
- Год:2007
- Город:M.
- ISBN:978-5-9556-0081-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Ольга Полянская - Инфраструктуры открытых ключей краткое содержание
В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.
Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Каждой организации следует определить, где компоненты PKI будут размещаться и каким образом защищаться. Если организация не имеет средств адекватной защиты, то либо должна их приобрести, либо прибегнуть к услугам доверенной третьей стороны. Очевидно, что приобретение потребует значительных капиталовложений, поэтому вариант аутсорсинга может в ряде случаев оказаться экономически более выгодным.
Выбор персонала для обслуживания PKI
Персонал, обслуживающий PKI, составляет часть инфраструктуры. Несмотря на то, что криптография с открытыми ключами появилась два десятилетия назад, она стала широко применяться только недавно. Так как, с точки зрения реализации и внедрения , эта технология достаточно нова, пока явно не хватает знающих специалистов в этой области, более того - их трудно привлечь к работе и удержать.
Для развертывания PKI необходимы не только администраторы со знанием технологии цифровых сертификатов, но и специалисты, способные участвовать в разработке правовых документов и соглашений, таких как политики применения сертификатов и соглашения о кросс-сертификации (по сути, о функциональной совместимости между доменами PKI). Более того, важно, чтобы сама стратегия развертывания PKI была хорошо продумана и оформлена в виде документа, что также невозможно осуществить без опытного и знающего персонала. Конечно, в случае использования аутсорсинговой модели эти функции могут быть переданы поставщику услуг, но при самостоятельном развертывании PKI организации необходим квалифицированный и обученный персонал. Организации следует определить количество и уровень квалификации необходимого персонала, которые зависят от масштаба PKI, а также от того, в какой мере инфраструктура поддерживается собственными силами организации [44].
Для успешной реализации проекта необходимы разработчики программного обеспечения, которые способны выполнить интеграцию системы с действующими системами и PKI-совместимыми приложениями и настройку системы на конкретные требования заказчика. Подразделение информационных технологий обеспечивает работу по следующим направлениям:
*инсталляция программного продукта;
*конфигурирование системы;
*системное администрирование;
*теория и практика PKI;
*криптография с открытыми ключами;
*информационная безопасность.
Персонал подразделения поддержки операционной работы системы должен иметь базовые знания технологии PKI, заниматься постановкой задач и эксплуатацией системы. Сотрудники подразделения авторизации должны иметь представление о концепции PKI и системном администрировании. Подразделение аудита отвечает за правовое обеспечение системы PKI (политика, ответственность), его персонал должен обладать знаниями в области права и информационной безопасности.
Одна из наиболее трудных проблем развертывания и успешного использования PKI заключается в привлечении к этой работе на постоянной основе квалифицированного штата профессионалов в этой области. При найме специалиста на работу (постоянную или временную - для консультаций) важно учитывать:
*наличие сертификата авторитетной организации, подтверждающего квалификацию в сфере ИТ-безопасности;
*подготовку в области информационной безопасности;
*опыт разработки программного обеспечения (если необходима интеграция);
*возможность быть доступным или по крайней мере оперативно взаимодействовать с ИТ-штатом, чтобы гарантировалась ежедневная круглосуточная работа PKI-системы.
При развертывании PKI должны быть определены и оформлены в виде инструкций должностные обязанности персонала, занимающегося управлением и администрированием системы PKI, а при необходимости организовано дополнительное обучение служащих, обеспечивающих безопасность системы. В зависимости от масштаба PKI и конкретных условий допускается совмещение должностей. В список должностей, необходимых для поддержки системы PKI, входят:
*системный администратор;
*системный оператор;
*администратор УЦ;
*администратор РЦ;
*администратор каталога;
*специалист службы помощи;
*менеджер по политике безопасности;
*аудитор безопасности или главный администратор.
Системный администраторотвечает за функционирование системы безопасности в целом и обычно привлекается к работе по развертыванию PKI на самых ранних стадиях. Особенно важно участие системного администратора в составлении плана проекта, так как он способен оценить, сколько времени потребуют различные виды активности системы. Если организация планирует работу своего собственного УЦ, то системный администратор отвечает за подбор, инсталляцию и конфигурирование необходимого программного обеспечения, а также за его поддержку и внесение изменений. Кроме того, обязанности системного администратора состоят в присвоении полномочий и профилей пользователям системы и поддержке паролей.
Системный оператордолжен следить за операционной работой системы PKI, реагировать на ошибки и соблюдать установленные регламентом процедуры. К дополнительным функциям операторов можно отнести восстановление прежнего состояния системы и поддержку относящихся к PKI электронных документов. В зависимости от масштаба PKI к ежедневной работе привлекаются от одного до нескольких операторов.
Администратор УЦотвечает за поддержку всех функций удостоверяющего центра: генерацию ключей, выпуск и подписание сертификатов, а также обработку запросов на кросс-сертификацию и авторизацию услуг по восстановлению ключей. Если в состав PKI входит регистрационный центр, то на администратора РЦ возлагаются обязанности обработки заявок на сертификаты и принятия решения о выдаче сертификата заявителю.
Администратор каталогаотвечает за создание структуры, организацию и поддержку каталога (LDAP), содержащего информацию о сертификатах, а также управление правами доступа к каталогу внутренних и внешних для PKI пользователей. Администратор каталога обеспечивает реализацию соглашения об используемых в каталоге именах в соответствии с требованиями промышленных или корпоративных стандартов, а также хранение данных аутентификации и сертификации в репозитории.
Специалисты службы помощидолжны реагировать на обращения клиентов системы, руководствуясь соответствующими документами, описывающими процедуры обслуживания пользователей.
Для поддержки защищенного и эффективного функционирования PKI должна регулярно пересматриваться политика безопасности, за ее обновление отвечает менеджер по политике безопасности.
Читать дальшеИнтервал:
Закладка: