Ольга Полянская - Инфраструктуры открытых ключей

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Инфраструктуры открытых ключей

Автор:

Ольга Полянская

Издательство:

Интернет-университет информационных технологий - ИНТУИТ.ру

Жанр:

Прочая околокомпьтерная литература

Год:

2007

ISBN:

978-5-9556-0081-9

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Инфраструктуры открытых ключей"

Описание и краткое содержание "Инфраструктуры открытых ключей" читать бесплатно онлайн.

|Защищенный обмен сообщениями / электронная почта | Подача заявлений на компенсацию |

|Защищенное хранение и поиск документов | Информация о пациентах |

|Квалификационная идентификация | Удостоверения врачей |

|Персональная идентификация | Паспорта |

|Правительство | Контроль доступа | Проход в правительственные здания |

|Аутентификация платежей | Выплаты органов социального обеспечения |

|Защищенный обмен сообщениями | Финансовые полномочия администрации |

|Защищенное хранение и поиск документов | Юридические документы по судебным делам |

|Бизнес- бизнес | Контроль доступа | Просмотр выбранных документов деловыми партнерами |

|Аутентификация платежей | Защищенные электронные платежи |

|Электронная цифровая подпись | Электронные контракты |

|Защищенный обмен сообщениями | Соглашения о коммерческой тайне

Запросы с предложениями о поставках

Контракты

|

Таблица 18.2.Сферы применения и категории приложений PKI

На предварительном этапе чрезвычайно важно выявить проблемы взаимодействия и функциональной совместимости инфраструктуры с другими PKI и таким образом очертить круг сторон, вовлекаемых в процесс развертывания PKI. В домен доверия PKI не входят индивидуумы или организации, не включенные в сферу применения инфраструктуры. По мере функционирования PKI сфера применения может быть пересмотрена и дополнена новыми типами пользователей.

Решение о варианте развертывания PKI должно приниматься организацией с учетом характера среды развертывания, режима оперирования PKI, приоритетных сервисов безопасности, а также его комплексности и стандартности (см. рис. 18.3: 1).

В данном контексте под закрытой средой понимается среда, в которой рассматриваются только коммуникации внутри определенного домена [44]. Домен может быть отдельной организацией или множеством организаций, руководствующихся в работе одними и теми же техническими и операционными процедурами и требованиями. Функциональная совместимость в закрытой среде не является большой проблемой, организации следует лишь избегать тех решений, которые не учитывают возможность изменения закрытого сообщества с течением времени.

Рис. 18.3.  Принятие решения о варианте развертывания PKI

Открытая среда - это среда, где требуется поддерживать коммуникации между доменами. В открытой среде серьезную проблему представляют несоответствие многочисленных технических и операционных процедур и функциональная совместимость продуктов разных поставщиков. Выбранная технология должна базироваться на стандартах, а поставщик технологии должен гарантировать функциональную совместимость используемых программных продуктов.

При оперировании в онлайновом режиме конечные субъекты имеют возможность напрямую связываться с сетью PKI и потреблять все сервисы, предоставляемые инфраструктурой. Автономное оперирование позволяет конечным субъектам использовать по крайней мере часть сервисов PKI, несмотря на то, что они не имеют прямого доступа к сети.

Выполнение некоторых операций, относящихся к PKI (например, распространение информации об аннулировании сертификатов при помощи онлайнового протокола статуса сертификата), возможно только при работе конечных субъектов в онлайновом режиме. Для обеспечения автономного оперирования свежая информация об аннулировании может сохраняться в кэш-памяти на компьютере клиента в течение некоторого времени или передаваться клиенту по электронной почте. Таким же образом клиентам могут доставляться сертификаты, необходимые для построения путей сертификации. Выбор варианта оперирования конечных субъектов - это политическое решение организации; только после определения политики может быть выбрана подходящая технология.

Как указывалось ранее (см. лекцию 4: 1), PKI обеспечивает поддержку основных сервисов безопасности. На предварительном этапе должны быть выбраны приоритетные направления обеспечения информационной безопасности с учетом ожиданий заинтересованных сторон относительно уровня безопасности проектируемой инфраструктуры [84]. Если организации важно реализовать аутентификацию пользователей, то должен быть выбран способ и порядок аутентификации и средства хранения сертификатов и ключей. Если акцент делается на конфиденциальность данных, то при проектировании PKI следует особенно тщательно подойти к выбору криптографического алгоритма шифрования данных. Если важна целостность данных, то могут использоваться цифровые подписи. Если необходимо предотвратить отказ от обязательств, то должны использоваться сертификаты открытых ключей подписи. В силу разнообразия требований клиентов к защищенности используемых ими приложений, решение проблем безопасности может быть найдено в результате комбинированного применения нескольких методов и криптографических алгоритмов.

Важными шагами предварительного этапа являются выбор тактики введения в действие средств безопасности системы (поэтапного наращивания возможностей или одновременной комплексной реализации) и планирование ресурсов, согласованное со всем процессом развертывания PKI.

Многие сервисы безопасности можно реализовать без развертывания PKI [44]. Существуют типовые частные решения, некоторые функции безопасности встраиваются в приложения. Это может быть вариантом лишь для некоторых сред, но большинство средне- и крупномасштабных доменов не могут ориентироваться на развертывание нескольких частных решений, особенно когда одна инфраструктура безопасности способна удовлетворить потребности многих приложений, то есть обеспечивает намного более эффективное решение. Однако в небольших закрытых корпоративных доменах частные решения, возможно, пока останутся экономически более эффективным способом поддержания безопасности.

Считается, что решение является стандартным, когда оно базируется на принятых в отрасли стандартах, а уникальные детали его реализации не препятствуют совместимости с продуктами поставщика технологии, который при разработке опирается на те же самые стандарты. Решение называют оригинальным или узкоспециальным, если оно реализовано уникальным образом и не обеспечивает функциональной совместимости с продуктами других поставщиков технологии.

Нельзя исключить, что для ограниченного числа сред лучшим вариантом в смысле соотношения "цена-качество" будет реализация узкоспециального решения. Но даже если функциональная совместимость не представляет для организации большого интереса, должны рассматриваться только решения, основанные на стандартах.

Проектирование PKI должно осуществляться на принципах управления рисками и предваряться анализом рисков, а также данных и приложений PKI, которые нуждаются в защите. Особенно важна защищенность данных, используемых во время функционирования системы PKI, данных на магнитных и бумажных носителях, архивных данных, протоколов обновления, записей аудита и документации. В числе приложений должны быть учтены приложения локальной/сетевой связи, контроля доступа, а также Интернет-приложения. Анализ должен выявить последствия компрометации безопасности, степень риска будет определять требования к уровню гарантий PKI. При выявлении большого числа рисков, связанных с различными приложениями, возникает необходимость в разработке нескольких политик применения сертификатов.

На предварительном этапе необходимо изучить преимущества и риски инфраструктур открытых ключей, сформулировать потребности безопасности и ведения бизнеса или иной деятельности, оценить затраты и проанализировать возможные решения по развертыванию PKI. В результате предварительного этапа, если принимается решение о необходимости PKI, должен быть составлен разумный и приемлемый по срокам план развертывания, учитывающий потребности организации, а также ее материальные и финансовые возможности.

Подробно рассматриваются проблемы выбора поставщика технологии или сервисов PKI, формулируются основные критерии выбора, обсуждаются проблемы масштабируемости и безопасности PKI-решения, приводятся рекомендации по составлению запроса на предложения по реализации PKI, дается краткая характеристика каждого раздела запроса на предложения.