Подсистема защиты обособленного подразделения ООО "Центр защиты информации "Гриф"
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?й карты). Иногда в сертификат включается информация из отдела кадров или данные, характеризующие полномочия субъекта в компании (например, право подписи документов определенной категории). ЦР агрегирует эту информацию и предоставляет ее УЦ.
УЦ может работать с несколькими регистрационными центрами, в этом случае он поддерживает список аккредитованных регистрационных центров, то есть тех, которые признаны надежными. УЦ выдает сертификат РЦ и отличает его по имени и открытому ключу. ЦР выступает как объект, подчиненный УЦ, и должен адекватно защищать свой секретный ключ. Проверяя подпись ЦР на сообщении или документе, УЦ полагается на надежность предоставленной ЦР информации.
ЦР объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции ЦР может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др. Но ЦР не имеет полномочий выпускать сертификаты и списки аннулированных сертификатов. Иногда УЦ сам выполняет функции ЦР.
Репозиторий - специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов (термин реестр сертификатов ключей подписей введен в практику Законом РФ Об электронной цифровой подписи). Репозиторий значительно упрощает управление системой и доступ к ресурсам [20]. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию предъявляются следующие требования:
-простота и стандартность доступа;
-регулярность обновления информации;
-встроенная защищенность;
-простота управления;
-совместимость с другими хранилищами (необязательное требование).
Репозиторий обычно размещается на сервере каталогов, организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol). Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.
На архив сертификатов возлагается функция долговременного хранения и защиты информации обо всех изданных сертификатах. Архив поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения. Информация, предоставляемая УЦ архиву, должна быть достаточной для определения статуса сертификатов и их издателя. Архив должен быть защищен соответствующими техническими средствами и процедурами. Конечные субъекты, или пользователи, PKI делятся на две категории: владельцы сертификатов и доверяющие стороны [21]. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов. Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.
Представленная в данном подразделе информация позволяет нам продолжить декомпозицию по информационным процессам, происходящим в рассматриваемой системе.
Таким образом, можно сказать, что от безопасности обособленного подразделения во многом зависит безопасность общей системы инфраструктуры открытых ключей, в которую обособленное подразделение входит в качестве центра регистрации.
2.2 Анализ информационного обмена между обособленным подразделением и удостоверяющим центром
Между обособленным подразделением, которое будем далее называть центром регистрации (ЦР), и удостоверяющим центром (УЦ) происходит активный информационный обмен в процессе оказания услуг. В этот информационный обмен неизбежно вовлекается и конечный пользователь услуг предприятия.
Действия УЦ ограничены политикой применения сертификатов (ППС), которая определяет назначение и содержание сертификатов. УЦ выполняет адекватную защиту своего секретного ключа и открыто публикует свою политику, чтобы пользователи могли ознакомиться с назначением и правилами использования сертификатов. Ознакомившись с политикой применения сертификатов и решив, что доверяют УЦ и его деловым операциям, пользователи могут полагаться на сертификаты, выпущенные этим центром. Таким образом, в PKI удостоверяющие центры выступают как доверенная третья сторона.
Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат.
ЦР обеспечивает принятие, предварительную обработку внешних запросов на создание сертификатов или на изменение статуса уже действующих сертификатов.
ЦР обеспечивает:
.Разграничение доступа к элементам управления ЦР на основе состава представленного Администратором взаимодействия с пользователем собственного электронного сертификата, определяющего ролевую принадлежно?/p>