Ольга Полянская - Инфраструктуры открытых ключей
- Название:Инфраструктуры открытых ключей
- Автор:
- Жанр:
- Издательство:Интернет-университет информационных технологий - ИНТУИТ.ру
- Год:2007
- Город:M.
- ISBN:978-5-9556-0081-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Ольга Полянская - Инфраструктуры открытых ключей краткое содержание
В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.
Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Архитектура безопасности
Этот раздел запроса на предложения содержит описание требований безопасности для разных компонентов архитектуры PKI, включая требования отраслевых или государственных стандартов сертификации. К ним относятся:
*способы контроля хранения ключей подписи корневого УЦ на аппаратных устройствах в соответствии с высшим уровнем безопасности, предусмотренным стандартами для аппаратного устройства коммерческого назначения;
*способы защиты коммуникаций между разными компонентами решения, поскольку многие PKI-решения строятся по модульному принципу;
*способы обеспечения конфиденциальности и целостности данных, хранимых в системе (например депонируемых ключей, временных таблиц, используемых при обработке транзакций).
Политика безопасности
Этот раздел подчеркивает необходимость согласованности политики PKI с имеющимися корпоративными политиками безопасности и перечисляет ту информацию по безопасности PKI, которая важна для принятия решения о выборе поставщика:
*способы делегирования полномочий администраторов УЦ или РЦ;
*методы управления паролями (длина пароля; поддержка истории паролей; подсчет неудачных попыток ввода пароля), поскольку некоторые поставщики, прежде чем пользователь получит сертификат, используют пароли для защиты секретного ключа сертификата или в качестве временного метода контроля доступа;
*методы аутентификации и контроля доступа для защиты ресурсов администраторов PKI;
*способы уведомления пользователей о мониторинге их активности при попытке получить доступ к частной системе (если на сайте отсутствует соответствующее предупреждение, то пользователь впоследствии может заявить, будто не был уведомлен о том, что он взаимодействует с частной системой).
Стандарты и руководства по проектированию безопасности
В комплексных приложениях бывает необходимо сопоставлять условия фактического проекта и спецификации безопасности аппаратного или программного обеспечения поставщика. Этот раздел может быть опущен, если достаточно раздела " Архитектура безопасности ". С другой стороны, для оценки уровня квалификации поставщика могут изучаться процессы разработки программного обеспечения, схемы классификации информации и выполняться аудит кодов. Организация обычно предъявляет требования функциональной совместимости с рядом стандартов. Чем больше технология поставщика соответствует стандартам, тем легче выполняется интеграция и настройка на требования заказчика. В предложениях поставщик должен указать, поддерживает ли его решение такие открытые стандарты, как PKIX, X.509.v2, X.509.v3, OCSP, X.500, PKCS и криптографические алгоритмы RSA, ECC, DES, 3DES, RC4, AES, MD5, SHA-1 и др.
Недостаточно просто адаптировать технологию, которая "базируется" на стандартах, особенно когда используется множество стандартов и протоколов. Например, сертификаты и информация об их аннулировании могут распространяться разными способами, кросс-сертификация может быть реализована в онлайновых и автономных операциях и т.д. Организации важно иметь гарантии, что технология удовлетворяет ее требованиям, и при выборе ориентироваться на тот продукт, поставщик которого способен и сейчас, и в будущем настраивать или дорабатывать его с учетом потребностей заказчика. Таким образом, от поставщиков требуется предложить несколько решений, которые базируются на практике и стандартах, широко применяемых в отрасли.
Операционная работа УЦ
Этот раздел необходим в том случае, если организация планирует передать функции УЦ на аутсорсинг . Для оценки надежности и безопасности функционирования УЦ потенциальным поставщикам предлагается описать:
*способы резервного копирования всех данных, включая файлы данных, программное обеспечение приложений и операционную систему. Чтобы система была надежной, критически важно понимание поставщиком требования непрерывности бизнеса, поскольку сложные и интегрированные компоненты PKI некоторых поставщиков усложняют стратегии резервирования;
*порядок регистрации всех событий в системе, включая вход и выход администраторов и пользователей, системные процессы и способ формирования отчета;
*порядок составления расписания (планирование периодов операционной работы и простоя) и информирования об этом заказчика; в ином случае организация не способна поддерживать непрерывность бизнеса;
*средства и процессы по поддержанию круглосуточной надежности (24 часа в сутки 7 дней в неделю) и доступности (99,9%) системы УЦ. Поставщик должен доказать, что способен поддерживать работу с данными клиента на самом высоком уровне надежности и доступности.
Аудит
В этом разделе описываются требования к внешнему аудиту, что касается не только внешних для организации удостоверяющих центров, но и внутренних, поскольку в последнем случае могут контролироваться процессы разработки программного обеспечения. Поставщик должен описать любые виды аудита, выполняемые регулярно внешними сторонами в соответствии со стандартами Международной организации стандартизации ISO. Внешний аудит позволяет гарантировать, что мониторинг операций и процессов выполняется объективно.
Обучение персонала
Этот раздел содержит требования к перечню услуг поставщика, касающиеся помощи в подготовке и обучении персонала организации. Учитывая сложность технологии PKI, поставщик должен:
*предоставить рекомендуемые программы обучения системных администраторов и конечных пользователей; это характеризует комплексность решения поставщика и способствует более точному планированию расходов на обучение ;
*описать объем и содержание курса обучения , который может обеспечить поставщик;
*подготовить руководства по системному администрированию для обучения персонала , документацию на программное обеспечение систем и приложений, чтобы после развертывания инфраструктуры собственный ИТ-штат организации мог самостоятельно, без помощи поставщика, поддерживать систему PKI.
Требования к консультантам
В этом разделе перечисляются требования к отбору консультантов, которые будут выполнять реализацию PKI-решения и/или работу по интеграции с системами заказчика. Поставщик должен предоставить список консультантов, которые будут участвовать в реализации PKI-решения, с указанием должностей и опыта работы. Организации не следует полагаться на то, что любой консультант, присланный поставщиком, может выполнить эту работу. Отбор консультантов должен выполняться на основании тщательного анализа их резюме.
Читать дальшеИнтервал:
Закладка:
![Ольга Куно - Семь ключей от зазеркалья [litres]](/books/1055864/olga-kuno-sem-klyuchej-ot-zazerkalya-litres.webp)
![Ольга Куно - Семь ключей от зазеркалья [СИ]](/books/1061481/olga-kuno-sem-klyuchej-ot-zazerkalya-si.webp)
