Подсистема защиты обособленного подразделения ООО "Центр защиты информации "Гриф"
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?ть администратора и уровня полномочий.
2.Получение и обработку запроса от Администраторов взаимодействия с пользователями на выпуск сертификата или изменение статуса уже выпущенного сертификата с последующей передачей запроса в ЦС.
.Хранение заверенных запросов и журналов событий в течение установленного срока, предусмотренного регламентом работы системы, в составе которой функционирует УЦ.
.Резервное копирование на внешние носители локального архива.
.Выполнение функций администрирования ЦР.
Политика безопасности ЦР предполагает обработку в ЦР запроса в формате PKCS#10. Область действия - запрос на создание электронного сертификата с локально (внешне, по отношению к УЦ) формированием ключевой пары. Срок действия сертификатов, созданных с помощью данного вида запросов, определен в конфигурации УЦ. На основе технологии данного вида запроса (в зависимости от конфигурации и принятой политики безопасности) в УЦ считаться допустимыми могут следующие разновидности:
.Запрос сформирован не зарегистрированным ранее пользователем. Особенностью формата PKCS#10 является то, что запрос на формирование сертификата подписывается на закрытом ключе, соответствующий открытый ключ которого еще не зарегистрирован в системе и на него еще не выпущен сертификат. Поэтому для ЦР запрос является анонимным, фиксируется лишь тот факт, что составитель запроса владеет закрытым ключом и для соответствующего ему открытого ключа запрашивает выпустить заверенный в УЦ сертификат. Подобного рода запросы непосредственно не рекомендуются к обработке в ЦР.
2.Запрос сформирован как переиздание уже существующего, действующего на данный момент времени сертификата. Запрос упаковывается в оболочку CMC (RFC 2797). Техническая реализация позволяет сформировать такого вида запрос, не предоставляя пользователю возможности внести изменения в состав сертификата, причем контроль ведется как на абонентском пункте, так и на программном уровне в ЦР. Недостатком данного вида запросов является отсутствие контроля над числом самостоятельно выпущенных сертификатов пользователя.
.Запрос сформирован на основе созданного ранее специального регистрационного сертификата (содержится специальное расширение, ограничивающее область применения только регистрационными процедурами). Запрос упаковывается в оболочку CMC (RFC 2797) с подписью на закрытом ключе регистрационного сертификата. Техническая реализация обеспечивает одноразовое использование регистрационных сертификатов.
.Запрос создан самим пользователем и доставлен в службу Администраторов взаимодействия с пользователями (нет непосредственной доставки запроса в ЦР). Предварительно подобный запрос должен быть проверен на предмет истинности указанной информации и упакован в CMS за подписью Администратора взаимодействия с пользователями имеющего полномочия по выпуску сертификатов. Таким же способом могут быть приняты запросы и в режиме переиздания для собственных или регистрационных сертификатов.
Процесс взаимодействия ЦР и УЦ при обслуживании клиента оператором ЦР показан на рисунке 2.2.
информационный обмен аутентичность защита
2.3 Анализ подсистемы обмена зашифрованными сообщениями
Одним из ключевых компонентов системы защиты информации обособленного подразделения можно считать компонент шифрования. Данный компонент мы рассмотрим подробно и представим в виде модели.
Асимметричные алгоритмы позволяют легко обменяться ключами шифрования по открытому каналу связи, но работают слишком медленно.
Симметричные алгоритмы работают быстро, но для обмена ключами требуют наличия защищенного канала связи и нуждаются в частой смене ключей. Поэтому в современных криптосистемах используются сильные стороны обоих подходов.
Так, для шифрования сообщения используется симметричный алгоритм со случайным ключом шифрования, действующим только в пределах одного сеанса сеансовым ключом.
Чтобы впоследствии сообщение могло быть расшифровано, сеансовый ключ подвергается шифрованию асимметричным алгоритмом с использованием открытого ключа получателя сообщения. Зашифрованный таким образом сеансовый ключ сохраняется вместе с сообщением, образуя цифровой конверт. При необходимости цифровой конверт может содержать сеансовый ключ в нескольких экземплярах - зашифрованный открытыми ключами различных получателей [23].
Для создания электронной цифровой подписи необходимо вычислить хеш заданного файла и зашифровать этот цифровой отпечаток сообщения своим закрытым ключом - подписать. Чтобы подпись впоследствии можно было проверить, необходимо указать, какой алгоритм хеширования использовался при ее создании. Листинг программы приведён в приложении А.
2.4 Анализ основных типов угроз информационной безопасности обособленного подразделения
На основе полученных сведений можно проанализировать основные типы угроз безопасности защищаемой информации обособленного подразделения на различных этапах информационного процесса.
На этапе хранения необработанных документов на бумажных носителях мы сталкиваемся с угрозой утери персональных данных. Документы могут быть потеряны либо украдены злоумышленником.
В центре регистрации:
-отсутствует система документооборота;
-не ведётся учёт документов, содержащих персональные данные;
-не предусмотрены меры ограничения доступа к документам.
За этапом хранени?/p>