Содержание к диссертации
Введение
ГЛАВА 1. Модели функционирования удостоверяющего центра 14
1.1 Структураи функции удостоверяющего центра 14
1.2 Исследование и описание основных функций УЦ 16
1.2.1 Алгоритм создания ключей 18
1.2.2 Алгоритм выдачи средств ЭП 19
1.2.3 Алгоритм создания сертификатов ключей проверки ЭП 20
1.2.4 Алгоритм отзыва сертификата 21
1.2.5 Алгоритм проверки ЭП
1.3 Модели функционирования распределенных удостоверяющих центров . 23
1.4 Обоснование используемых показателей функционирования системы распределенных удостоверяющих центров
1.4.1 Определение влияния «оборудования и техники» на функционирование СРУЦ 28
1.4.2 Определение влияния «программного обеспечения» на функционирование СРУЦ 28
1.4.3 Определение влияния территориальный расположенности на функционирование СРУЦ 29
1.4.4 Определение влияния форс-мажорных обстоятельств на функционирование СРУЦ 31
1.4.5 Определение влияния человеческого фактора на функционирование СРУЦ 31
1.4.6 Определение влияния использования коммерческих проектов на функционирование СРУЦ 31
Выводы по главе з
ГЛАВА 2. Организационное и техническое обеспечение УЦ
2.1 Формирование политики обеспечения информационной безопасности организационной системы УЦ 33
2.1.1 Выявление и описание организационно-структурной схемы УЦ... 33
2.1.2 Функциональная схема работы УЦ 41
2.1.3 Характеристики описания организационной составляющей УЦ 53
2.2 Анализ технического обеспечение удостоверяющего центра 59
2.2.1 Определение основного и резервного оборудования УЦ 59
2.2.2 Анализ технических средств удостоверяющего центра 62
2.3 Методика оценивания защищенности системы распределенных УЦ... 67
2.3.1 Обоснование выбора показателей надежности 67
2.3.2 Определение дестабилизирующих функций УЦ и СРУЦ 71
2.3.3 Схема расчета надежности 74
2.3.4 Методика оценивания надежности системы УЦ 81
2.4 Решение по формированию структуры функционирования СРУЦ 85
Выводы по главе 87
ГЛАВА 3. Применение методики на примере системы УЦ 88
3.1 Определение и описание СРУЦ 88
3.2 Составление схем УЦ и определение перечня технических средств 88
3.3 Определение численных значений показателей надежности комплектующих технических средств УЦ
3.3.1 Значения комплектующих технических средств УЦ ИСБ 90
3.3.2 Значения комплектующих технических средств УЦ Сибири
3.4 Определение надежности компонентов СРУЦ 94
3.5 Определение надежности УЦ СРУЦ 95
3.6 Определение надежности СРУЦ и оценивание изменения уровня защищенности 95
3.7 Анализ эффективности внедрения по результатам аудита СРУЦ 97
Выводы по главе 99
Список литературы
- Модели функционирования распределенных удостоверяющих центров
- Определение влияния форс-мажорных обстоятельств на функционирование СРУЦ
- Характеристики описания организационной составляющей УЦ
- Определение численных значений показателей надежности комплектующих технических средств УЦ
Модели функционирования распределенных удостоверяющих центров
Создание запроса на отзыв сертификата - это процесс выполнения сотрудником УЦ необходимых действий, согласно инструкции, для отзыва сертификата проверки ЭП. В результате получается последовательность команд, необходимых для реализации этих действий программным обеспечением - запрос на отзыв сертификата. Процесс реализации данного запроса заключается в смене статуса сертификата проверки ЭП и получении данных, необходимых для занесения их в реестр, а также для формирования СОС. Таким образом, данные по сертификату содержат в себе: серийный номер сертификата, дату отзыва сертификата и причину отзыва сертификата.
Программные и программно-аппаратные средства Сотруд ник УЦ Рисунок 10 - Диаграмма декомпозиции проверки ЭП Создание запроса на проверку ЭП - процесс выполнения сотрудником УЦ необходимых действий, согласно инструкции, для подтверждения подлинности ЭП УЦ в сертификате пользователя или подлинности ЭП в электронном документе. В результате получается последовательность команд, необходимых для реализации этих действий программным обеспечением - это запрос на проверку ЭП. Помимо необходимой последовательности, запрос на проверку ЭП включает в себя:
Развитие защищенного электронного документооборота выявило тенденцию развития комплексов УЦ, т.е. их объединение в распределенные системы. Такие распределенные системы строятся на основе моделей доверия. Понятие «доверия» вводится рекомендациями ITU Х.509. Модель доверия определяет отношение между пользователями и центрами сертификации. Модель предполагает особую линию выстраивания цепочки доверия в границах домена доверия [101, 108]. Домен доверия - это множество PKI-систем, которые объединены единым управлением или являются субъектами некоторого общего набора политик безопасности [75].
В общем случае это может быть довольно трудоемкой задачей в зависимости от количества обрабатываемых сертификатов и реализуемой модели доверия.
На практике не все модели доверия являются основой для создания распределенных УЦ. Большая часть моделей доверия представляет собой организацию работы пользователя с несколькими УЦ, не предполагая взаимосвязи между ними в принципе.
Исходя из опыта работы НПФ «Удостоверяющий центр Сибири» ТУ СУР и докладов ведущей конференции в области PKI технологий в России «PKI-FORUM Россия», можно сделать вывод, что для организации распределенных систем УЦ в основном используются 3 модели:
Иерархическая модель - одна из самых распространенных моделей, в которой построение пути сертификации однозначно определено, что существенно упрощает процедуру обработки этого пути. Иерархия удостоверяющих центров графически изображается в виде древовидной структуры, где корень представляет определенный УЦ, который обычно называется корневым (или головным) и действует как главный пункт доверия для целого домена подчиненных ему субъектов PKI. Под корнем располагаются промежуточные удостоверяющие центры, от которых отходят следующие ветви. Листья, или конечные вершины дерева, соответствуют субъектам PKI, не являющихся удостоверяющими центрами, их называют конечными субъектами или просто конечными пользователями. Иерархическая модель реализует отношение «родитель-потомок», древовидная структура которой изображена на рисунке 11.
Главное достоинство жесткой иерархии состоит в хорошей управляемости. Данная модель хорошо функционирует в ведомственных информационных системах с единой системой администрации. Но, вместе с этим, иерархия обладает плохой устойчивостью - отказ любого звена цепи исключает возможность проверки пользовательского сертификата, поэтому предъявляются большие требование к бесперебойной работе всех УЦ иерархии [90]. Согласно Федеральному закону №63 «Об ЭП» при реализации данной модели подчиненный УЦ выступает в качестве доверенного лица головного УЦ.
Сетевая модель разделяет доверие между двумя или несколькими удостоверяющими центрами, которые являются независимыми узлами, образующими одноранговую сеть. Пример сети УЦ представлен на рисунке 12. В этой архитектуре отсутствуют подчиненные удостоверяющие центры. В сеть может быть включена иерархическая модель, при этом головные удостоверяющие центры связаны друг с другом равноправными отношениями, но каждый головной УЦ действует как вышестоящий для одного или более подчиненных удостоверяющих центров.
Определение влияния форс-мажорных обстоятельств на функционирование СРУЦ
Квалификация персонала играет значительную роль при восстановлении работоспособного состояния технических средств, отвечающих за выполнение функций УЦ. А именно, в обязанности Администратора УЦ входит выявление и устранение сбоев в работе аппаратных и программных средств УЦ. А в обязанности Системного администратора входит принятие мер по восстановлению работоспособности локальной сети при сбоях или выходе из строя сетевого оборудования. Соответственно, квалификация данных сотрудников должна быть достаточной для восстановления работоспособного состояния УЦ в установленное регламентом время.
При аккредитации УЦ согласно ФЗ № 63 обязательным условием является наличие в штате УЦ не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки ЭП, имеющих высшее профессиональное образование в области ИБ или информационных технологий.
Исходя из описанных в п. 5 обязанностей каждой должности, ФЗ № 63 и Постановления Правительства РФ от 16.04.2012 № 313, устанавливаются ограничения на образование и необходимый опыт и знания для должностей УЦ. [19]
Руководитель УЦ - руководитель и (или) лицо, уполномоченное руководить работами, имеющее высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшее переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ не менее 3 лет.
Заместитель руководителя УЦ - руководитель и (или) лицо, уполномоченное руководить работами, имеющее высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшее переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ не менее 3 лет.
Администратор по ИБ УЦ - инженерно-технический работник, имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок - свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ не менее 5 лет.
Администратор УЦ - инженерно-технический работник, имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ не менее 3 лет.
Системный администратор - лицо, имеющее высшее профессиональное образование в области информационных технологий, имеющее документы, подтверждающие знания администрирования ОС и сетевых технологий.
Оператор УЦ - лицо, имеющее высшее профессиональное образование в области информационных технологий или ИБ, либо высшее и среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования ЭП.
Специалист по технической поддержке - инженерно-технический работник, имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ не менее 3 лет.
Высокая ответственность при изготовлении и обслуживании сертификатов накладывает условия на количество сотрудников, обслуживающих клиентов, в штате УЦ.
Исходя из законодательства Российской Федерации по нормам трудового законодательства рабочий день составляет 8 часов и учитывая нормы работы за компьютером (каждые 2 часа 15 минутный перерыв) время на изготовление сертификатов за рабочий день составляет 7 часов. Из практики работы УЦ известно, что время обслуживания одного клиента равно 10-15 минутам. За данное время Оператор УЦ должен проверить регистрационные документы клиента, занести данные о клиенте в базу данных, произвести необходимые действия с сертификатом ключа подписи. В идеальной ситуации получается (среднее время обслуживания клиента 10 минут), что за рабочий день Оператор может обслужить 42 сертификата, если учитывать различные факторы, влияющие на работу оператора и среднее время обслуживания 15 минут, то соответственно количество сертификатов уменьшается до 28. Так как УЦ являются в большей степени коммерческими организациями, то регулирование трудового процесса осуществляется в рамках трудовых договоров (например, почасовая оплата труда), в данной ситуации необходимо определять среднюю скорость обслуживания сертификатов за рабочий день одним сотрудником УЦ.
Характеристики описания организационной составляющей УЦ
Функции УЦ реализуются техническими средствами, представляющими программно-аппаратный комплекс. При обеспечении функционирования одной из важнейших характеристик является их доступность, так же свойство доступности является базовым свойством информационной безопасности. Доступность - получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы автоматизированной информационной системы с использованием программных и (или) технических средств.
Под доступностью элементов УЦ подразумевается, что при выполнении каких-либо операций каждый элемент системы должен предоставить необходимую функциональность. Для этого необходимо, чтобы все элементы находились в рабочем состоянии, оценить которое возможно через характеристики теории надежности.
Таким образом, оценить доступность элементов возможно через их надежность. В соответствии с требованиями Приказа ФСБ РФ от 27 декабря 2011г. №796 «Об утверждении Требований к средствам ЭП и Требований к средствам удостоверяющего центра» должны быть определены требования по надежности и устойчивости функционирования средств УЦ и указаны в ТЗ на разработку (модернизацию) средств УЦ. Должен производиться расчет вероятности сбоев и неисправностей УЦ, приводящих к невыполнению УЦ своих функций. Согласно данным требования, для описания данной характеристики, необходимо определить оборудование для расчета надежности технической составляющей УЦ.
Надежность функционирования УЦ определяется надежностью всех его элементов. При этом задачей рассмотрения технического обеспечения, с этой точки зрения, является выделение компонентов каждого технического элемента УЦ, необходимых при расчете надежности УЦ.
Основным показателем надежности для технического оборудования является средняя наработка на отказ. Значение данного показателя берется из технической документации на оборудование. При расчете средней наработки на отказ для системы компонентов, необходимо учитывать данный показатель каждого из компонентов, а также какое подключение имеет данный компонент (параллельное или последовательное).
При учете компонентов основного оборудования, такого как сервера, необходимо учитывать, что в технической документации на укомплектованные серверные блоки, значения средней наработки на отказ указывается только на компоненты, входящие в состав серверного блока, а не на весь сервер в целом.
В связи с тем, что реализация структуры УЦ может видоизменяться от условий и возможностей реализующей стороны, к примеру, разное количество серверов, различные рабочие станции или совмещение элементов ИОК на одном техническом элементе, было решено представить систематизированное оборудование по элементам.
АРМ РКС не учитывается при расчете надежности, так как данный элемент не подключен к другим элементам УЦ и не влияет на показатели надежности УЦ в целом.
Для указанного перечня элементов необходимо выделить резервное оборудование и определить вид резерва в зависимости от его функционального назначения: 1. Система охлаждения (серверная стойка) - оборудования постоянного резерва. В основном реализуется в серверных стойках. 2. ИБП - в зависимости от типа ИБП, резерв может быть постоянным или не нагруженным. При постоянном резерве происходит постоянная работа аккумулятора. При ненагруженном резерве работа аккумулятора происходит только в случае пропадания питания на входе, либо выхода его напряжения за допустимые пределы. 3. Внешние носители информации - ненагруженный резерв. Использование внешних носителей информации происходит только в случае отказа основных жестких дисков. Выполняется периодическое подключение для копирования данных с основных дисков. 4. RAID-контроллер - в зависимости от уровня спецификации RAID массива. Подключение RAID-контроллера к остальным компонентам выполняется последовательно, но в зависимости от уровня спецификации RAID массива, подключение к нему жестких дисков представляет собой последовательное и/или параллельное соединение.
Вид резервирования не влияет на отображение резервного элемента на схеме (резервные элементы отображаются в параллели с резервируемым элементом), но влияет на расчет показателей надежности.
Определение численных значений показателей надежности комплектующих технических средств УЦ
Для организации единого пространства доверия несколько УЦ могут реализовывать модель доверия, которая определяет структуру РКЦ38] В тезисах публикации на научной сессии ТУСУР 2013, указанных в приложении А, показан способ оценивания надежности модели доверия. Однако в ходе данной работы было установлено, что модель доверия, реализуемая системой УЦ, никак не влияет на надежность ее функционирования, а лишь определяет способы построения цепочек сертификации. Поэтому надежность системы УЦ при определенных критериях отказов зависит от двух параметров: - количество УЦ в системе; - надежность каждого УЦ. [70-72]
Для того, чтобы определить количество УЦ в системе и установить наличие резервирования на уровне УЦ необходимо построить схему системы УЦ. Расчет надежности системы УЦ будет последним шагом методики, данный этап необходим, чтобы обозначить УЦ, для которых будет производится расчет. Остальные последующие шаги методики применяются последовательно к каждому УЦ, входящему в рассматриваемую систему. [83]
Для входящих в составленный на предыдущем шаге перечень технических средств УЦ, декомпозиция которых возможна до уровня комплектующих, рассчитать надежность по описанным ниже указаниям согласно схеме, представленной в разделе 2.3.4.1. Исходные данные (средняя наработка на отказ) должны быть указаны производителем технического обеспечения в сопроводительной документации к изделию. В противном случае, эти данные можно запросить в отделе технической поддержки.
Определить наработку t, от которой зависят интересующие показатели надежности. Каждый элемент характеризуется средним временем наработки на отказ, тогда по формулам 5 и 8 вычисляем соответственно интенсивности отказов Я. и вероятности безотказной работы P(t) для элементов, отнесенных к категории основных, состав которой определен в таблице 6. Аналогичные показатели надежности и средняя наработка на отказ для резервированных групп рассчитываются по формулам 9-11 в случае ненагруженного резерва, 12-14 для постоянного раздельного и нагруженного резерва, 15-17 для скользящего резервирования.
Интенсивность отказов всей системы с основным соединением элементов равна сумме интенсивностей отказов ее элементов:
Вероятность безотказной работы всей системы в течение заданной наработки есть произведение вероятностей безотказной работы основных элементов системы и резервированных групп:
Выходными данными являются интенсивность отказов, вероятность безотказной работы и средняя наработка на отказ серверов и АРМ, входящих в перечень технических средств, полученный на предыдущем шаге.
По формулам 5 и 8 вычисляются соответственно интенсивность отказов и вероятность безотказной работы для средств аутентификации и средств защиты информации, входящих в перечень технических средств УЦ, влияющих на надежность.
Интенсивность отказов компонента УЦ рассчитывается по формуле 19. Согласно теореме о произведении вероятностей независимых событий вычислим вероятность безотказной работы компонента УЦ [39-42]:
Интенсивность отказов и вероятность безотказной работы для оставшихся технических средств рассчитываются по формулам 5 и 8 соответственно. Таким образом, на данном этапе имеются значения интересующих показателей надежности всех технических средств УЦ из перечня тех, которые влияют на надежность УЦ. Тогда согласно выше обозначенной схеме рассчитывается надежность технических средств УЦ в комплексе.
Вероятность безотказной работы для системы с основным и параллельным включением элементов вычисляется по формулам 6 и 7 соответственно:
Временные характеристики на выполнение операций после сбоев указаны в технических регламентах УЦ. Сгруппировать сбои по принципу отнесения их к конкретным компонентам УЦ, для которых производился расчет показателей надежности на предыдущем этапе. При этом необходимо учитывать, что один и тот же сбой может приводить к отказу нескольких компонентов УЦ. Для каждой группы определить среднее время восстановления. Располагая данными о средней наработке на отказ компонентов УЦ (подраздел 2.3.4.5), по формуле 3 вычисляется коэффициент готовности компонента УЦ.
Так как, коэффициент готовности представляет собой вероятность того, что элемент окажется работоспособным в любой момент времени, то аналогичная вероятность для всего УЦ есть произведение коэффициентов готовности его компонентов:
Входными данными являются вероятности безотказной работы и коэффициенты готовности всех УЦ, входящих в систему. Для того, чтобы получить эти данные необходимо для каждого УЦ системы выполнить пункты 2.3.4.2-2.3.4.6. В соответствии со схемой системы УЦ установить наличие резервирования на уроне УЦ. Определить тип резерва и рассчитать показатели надежности.
Вероятность безотказной работы и коэффициент готовности системы УЦ рассчитывается по формулам аналогичным 23 и 25 соответственно.
Исходя из условий функционирования СРУЦ, возможно применение схем резервирования элементов системы. Взаимодействие УЦ при резервировании друг другом не нарушает общих условий функционирования СРУЦ. [76]
