Ольга Полянская - Инфраструктуры открытых ключей
- Название:Инфраструктуры открытых ключей
- Автор:
- Жанр:
- Издательство:Интернет-университет информационных технологий - ИНТУИТ.ру
- Год:2007
- Город:M.
- ISBN:978-5-9556-0081-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Ольга Полянская - Инфраструктуры открытых ключей краткое содержание
В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.
Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Нельзя исключить, что для ограниченного числа сред лучшим вариантом в смысле соотношения "цена-качество" будет реализация узкоспециального решения . Но даже если функциональная совместимость не представляет для организации большого интереса, должны рассматриваться только решения, основанные на стандартах.
Анализ данных и приложений
Проектирование PKI должно осуществляться на принципах управления рисками и предваряться анализом рисков, а также данных и приложений PKI, которые нуждаются в защите. Особенно важна защищенность данных, используемых во время функционирования системы PKI, данных на магнитных и бумажных носителях, архивных данных, протоколов обновления, записей аудита и документации. В числе приложений должны быть учтены приложения локальной/сетевой связи, контроля доступа, а также Интернет-приложения. Анализ должен выявить последствия компрометации безопасности, степень риска будет определять требования к уровню гарантий PKI. При выявлении большого числа рисков, связанных с различными приложениями, возникает необходимость в разработке нескольких политик применения сертификатов.
На предварительном этапе необходимо изучить преимущества и риски инфраструктур открытых ключей, сформулировать потребности безопасности и ведения бизнеса или иной деятельности, оценить затраты и проанализировать возможные решения по развертыванию PKI. В результате предварительного этапа, если принимается решение о необходимости PKI, должен быть составлен разумный и приемлемый по срокам план развертывания, учитывающий потребности организации, а также ее материальные и финансовые возможности.
Лекция 19. Проблемы выбора поставщика технологии или сервисов PKI
Подробно рассматриваются проблемы выбора поставщика технологии или сервисов PKI, формулируются основные критерии выбора, обсуждаются проблемы масштабируемости и безопасности PKI-решения, приводятся рекомендации по составлению запроса на предложения по реализации PKI, дается краткая характеристика каждого раздела запроса на предложения.
Определение критериев выбора поставщика технологии или сервисов PKI
Эта лекция посвящена тем проблемам, которые необходимо рассмотреть перед развертыванием PKI. Ключ к принятию взвешенных решений - всестороннее изучение фактического состояния дел, а также требований организации, которые актуальны в настоящее время или приобретут актуальность в перспективе. Анализ большинства проблем позволяет организации определить лучшего поставщика технологии (или сервисов) , способного соответствовать этим требованиям.
Приобретение и реализация PKI-решения требуют больших затрат времени и капиталовложений и сопряжены с определенным риском, поэтому организации очень важно правильно выбрать поставщика технологии , руководствуясь оптимальными критериями выбора .
Для того чтобы гарантировать правильность выбора, организации следует обратить внимание на следующие аспекты, характеризующие деятельность поставщика:
*деловую репутацию;
*степень завоевания рынка;
*длительность работы на рынке;
*желание сотрудничать с клиентом, особенно если требуется некоторая доработка продукта с учетом требований заказчика;
*способность предложить несколько альтернативных решений;
*способность предложить разумный по стоимости PKI-продукт, соответствующий стандартам и совместимый с продуктами большинства других поставщиков.
При выборе поставщика технологии PKI наиболее важны следующие критерии:
1финансовые возможности поставщика;
2 масштабируемость решения ;
3безопасность решения;
4надежность операционной работы УЦ ;
5техническая поддержка поставщика;
6возможности консалтинга.
Финансовые возможности поставщика
Всегда, особенно в период экономической нестабильности, важна устойчивость финансового положения поставщика, а также его способность адекватно реагировать на изменение технологических стандартов и требований заказчика. Независимо от собственных финансовых возможностей, организации следует выяснить финансовое положение поставщика PKI . Важными характеристиками потенциального поставщика являются:
*баланс компании, в том числе достаточный поток наличности и объем фондов для поддержания бизнеса;
*разумная стратегия привлечения новых клиентов;
*профессиональность менеджмента, поскольку бизнес в сфере компьютерной безопасности связан с динамично меняющимися рынком и требованиями заказчиков [105].
Поскольку информацию о состоянии финансов обычно раскрывают только открытые компании, организации, придерживающейся консервативного подхода, следует выбирать в качестве поставщика технологии именно такую компанию.
Масштабируемость решения
Функционирование системы PKI так или иначе затрагивает многие ресурсы (персонал, аппаратное и программное обеспечение), поэтому нельзя не учитывать, что с течением времени масштаб системы может существенно возрасти. Очевидно, что разнообразие практических реализаций PKI не позволяет предложить готовое решение поддержки масштабируемости , но тем не менее можно выделить "узкие места" функционирования системы, влияющие на ее расширяемость [116]:
*генерация ключей;
*хранение сертификатов;
*поддержка списков САС;
*управление жизненным циклом сертификатов и ключей.
Генерация пар ключей требует значительных вычислительных ресурсов; если она выполняется централизованно, то существенно увеличивает рабочую нагрузку на сервер УЦ, так как параллельно с ней происходит выпуск и подписание сертификатов, выполняются криптографические операции, организуется хранение информации в локальной базе данных. Поэтому более рациональным способом обеспечения масштабируемости считается генерация пар ключей пользователями, позволяющая одновременно решить проблему распространения ключей.
Сертификаты обычно хранятся в общедоступном каталоге. В большинстве случаев поддерживается централизованный универсальный каталог (LDAP), для которого сертификаты являются не единственным объектом обслуживания. Для уменьшения рабочей нагрузки на каталог сертификаты и другая информация могут храниться в кэш-памяти приложений (быстродействующей буферной памяти). Этот способ повышения производительности и масштабируемости в целом достаточно эффективен, но требует документального закрепления в политике PKI ограничений на срок хранения сертификатов в кэш-памяти, в течение которого сертификаты остаются действительными.
Читать дальшеИнтервал:
Закладка:
![Ольга Куно - Семь ключей от зазеркалья [litres]](/books/1055864/olga-kuno-sem-klyuchej-ot-zazerkalya-litres.webp)
![Ольга Куно - Семь ключей от зазеркалья [СИ]](/books/1061481/olga-kuno-sem-klyuchej-ot-zazerkalya-si.webp)
