Книга: Инфраструктуры открытых ключей

Важные характеристики решения

Решение о варианте развертывания PKI должно приниматься организацией с учетом характера среды развертывания, режима оперирования PKI, приоритетных сервисов безопасности, а также его комплексности и стандартности (см. рис. 18.3: 1).

Учет характера среды развертывания

В данном контексте под закрытой средой понимается среда, в которой рассматриваются только коммуникации внутри определенного домена >[44]. Домен может быть отдельной организацией или множеством организаций, руководствующихся в работе одними и теми же техническими и операционными процедурами и требованиями. Функциональная совместимость в закрытой среде не является большой проблемой, организации следует лишь избегать тех решений, которые не учитывают возможность изменения закрытого сообщества с течением времени.


Рис. 18.3.  Принятие решения о варианте развертывания PKI

Открытая среда - это среда, где требуется поддерживать коммуникации между доменами. В открытой среде серьезную проблему представляют несоответствие многочисленных технических и операционных процедур и функциональная совместимость продуктов разных поставщиков. Выбранная технология должна базироваться на стандартах, а поставщик технологии должен гарантировать функциональную совместимость используемых программных продуктов.

Режим оперирования

При оперировании в онлайновом режиме конечные субъекты имеют возможность напрямую связываться с сетью PKI и потреблять все сервисы, предоставляемые инфраструктурой. Автономное оперирование позволяет конечным субъектам использовать по крайней мере часть сервисов PKI, несмотря на то, что они не имеют прямого доступа к сети.

Выполнение некоторых операций, относящихся к PKI (например, распространение информации об аннулировании сертификатов при помощи онлайнового протокола статуса сертификата), возможно только при работе конечных субъектов в онлайновом режиме. Для обеспечения автономного оперирования свежая информация об аннулировании может сохраняться в кэш-памяти на компьютере клиента в течение некоторого времени или передаваться клиенту по электронной почте. Таким же образом клиентам могут доставляться сертификаты, необходимые для построения путей сертификации. Выбор варианта оперирования конечных субъектов - это политическое решение организации; только после определения политики может быть выбрана подходящая технология.

Приоритетные сервисы безопасности

Как указывалось ранее (см. лекцию 4: 1), PKI обеспечивает поддержку основных сервисов безопасности. На предварительном этапе должны быть выбраны приоритетные направления обеспечения информационной безопасности с учетом ожиданий заинтересованных сторон относительно уровня безопасности проектируемой инфраструктуры >[84]. Если организации важно реализовать аутентификацию пользователей, то должен быть выбран способ и порядок аутентификации и средства хранения сертификатов и ключей. Если акцент делается на конфиденциальность данных, то при проектировании PKI следует особенно тщательно подойти к выбору криптографического алгоритма шифрования данных. Если важна целостность данных, то могут использоваться цифровые подписи. Если необходимо предотвратить отказ от обязательств, то должны использоваться сертификаты открытых ключей подписи. В силу разнообразия требований клиентов к защищенности используемых ими приложений, решение проблем безопасности может быть найдено в результате комбинированного применения нескольких методов и криптографических алгоритмов.

Важными шагами предварительного этапа являются выбор тактики введения в действие средств безопасности системы (поэтапного наращивания возможностей или одновременной комплексной реализации) и планирование ресурсов, согласованное со всем процессом развертывания PKI.

Комплексность решения

Многие сервисы безопасности можно реализовать без развертывания PKI >[44]. Существуют типовые частные решения, некоторые функции безопасности встраиваются в приложения. Это может быть вариантом лишь для некоторых сред, но большинство средне- и крупномасштабных доменов не могут ориентироваться на развертывание нескольких частных решений, особенно когда одна инфраструктура безопасности способна удовлетворить потребности многих приложений, то есть обеспечивает намного более эффективное решение. Однако в небольших закрытых корпоративных доменах частные решения, возможно, пока останутся экономически более эффективным способом поддержания безопасности.

Стандартность решения

Считается, что решение является стандартным, когда оно базируется на принятых в отрасли стандартах, а уникальные детали его реализации не препятствуют совместимости с продуктами поставщика технологии, который при разработке опирается на те же самые стандарты. Решение называют оригинальным или узкоспециальным, если оно реализовано уникальным образом и не обеспечивает функциональной совместимости с продуктами других поставщиков технологии.

Нельзя исключить, что для ограниченного числа сред лучшим вариантом в смысле соотношения "цена-качество" будет реализация узкоспециального решения. Но даже если функциональная совместимость не представляет для организации большого интереса, должны рассматриваться только решения, основанные на стандартах.

Оглавление книги

Оглавление статьи/книги

Генерация: 1.270. Запросов К БД/Cache: 3 / 1
поделиться
Вверх Вниз