Все_лекции_Горбенко
.pdfпублікації списків відкликаних сертифікатів у загальнодоступні каталоги
(LDAP-каталоги) та на інформаційному ресурсі ЦСК (web-сторінці);
приймання через сервер взаємодії та обробку запитів користувачів на визначення статусу сертифікатів з використанням протоколу визначення статусу сертифіката (OCSP) шляхом формування інформації про статус сертифікатів;
оповіщення користувачів про зміну статусу сертифікатів засобами електронної пошти;
приймання через сервер взаємодії та обробку запитів користувачів на формування позначок часу, шляхом формування позначок часу та передачу сформованих позначок часу користувачам;
внесення сформованих позначок часу в базу даних;
зберігання сформованих позначок у базі даних;
архівування бази даних позначок часу;
генерацію особистого та відкритого ключів ЦСК;
уведення та використання особистого ключа ЦСК;
створення резервних копій особистого ключа ЦСК, а також відновлення особистого ключа з резервних копій;
формування та передачу запиту на формування сертифіката ЦСК до ЦЗО чи іншого ЦСК, якому підпорядкований цей;
отримання та запис сертифіката ЦСК до реєстру сертифікатів;
публікацію сертифіката ЦСК у загальнодоступних каталогах (LDAP-
каталоги) та на інформаційному ресурсі ЦСК (web-сторінці);
уведення реєстраційних даних посадових осіб до реєстру посадових осіб ЦСК;
зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;
видалення реєстраційних даних посадових осіб з реєстру;
приймання та обробку запитів на формування сертифікатів посадових осіб ЦСК;
формування сертифікатів посадових осіб ЦСК;
запис сформованих сертифікатів у реєстр посадових осіб;
використання сертифікатів посадових осіб.
–Сервер взаємодії має забезпечувати:
приймання та передачу запитів користувачів і адміністраторів реєстрації на формування сертифікатів користувачів на сервер ЦСК;
доступ користувачів до реєстру сертифікатів у загальнодоступних каталогах (LDAP-каталогах) та на інформаційному ресурсі ЦСК (web-
сторінці);
приймання та передачу запитів користувачів та віддалених адміністраторів реєстрації на скасування, блокування чи поновлення сертифікатів користувачів на сервер ЦСК;
доступ користувачів до списків відкликаних сертифікатів у загальнодоступних каталогах (LDAP-каталогах) та на інформаційному ресурсі ЦСК (web-сторінці);
доступ користувачів до інформації про статус сертифікатів з використанням протоколу визначення статусу сертифіката (OCSP)
шляхом приймання та передачі запитів на визначення статусу сертифіката на сервер ЦСК та передачу інформації про статус у зворотному напрямку;
приймання та передачу запитів користувачів на формування позначок часу на сервер ЦСК;
передачу сформованих на сервері ЦСК позначок часу користувачам;
доступ до сертифіката ЦСК у загальнодоступних каталогах (LDAP-
каталогах) та на інформаційному ресурсі ЦСК (web-сторінці).
–Комутатор та інше внутрішнє комунікаційне обладнання повинне забезпечувати внутрішню взаємодію засобів комплексу та утворення ЛОМ.
–РС генерації ключів користувачів повинна забезпечувати:
генерацію особистого та відкритого ключів користувача та запис особистого ключа на носій ключової інформації (НКІ);
формування та запис на носій інформації запиту на формування сертифіката користувача.
–Міжмережевий екран повинен забезпечувати фільтрацію мережевого трафіку між зовнішніми телекомунікаційними мережами та сервером взаємодії. Детально функції міжмережевого екрану повинні бути визначені в окремому технічному завданні на КЗЗ комплексу.
–РС віддаленого адміністратора реєстрації має забезпечувати:
уведення реєстраційних даних користувачів та передачу до ЦСК;
зміни реєстраційних даних користувачів у реєстрі ЦСК;
видалення реєстраційних даних користувачів з реєстру ЦСК;
приймання та введення запитів користувачів на формування сертифікатів відкритих ключів на носіях інформації;
приймання та введення запитів користувачів на скасування, блокування чи поновлення сертифікатів на носіях інформації;
генерації особистого та відкритого ключів адміністратора реєстрації;
введення та використання особистих ключів віддаленого адміністратора реєстрації;
формування та передачу запиту на формування сертифіката віддаленого адміністратора реєстрації на сервер ЦСК;
отримання, зберігання та використання сертифіката віддаленого адміністратора реєстрації.
Вимоги до комплексу
5.1.5 Вимоги до функцій комплексу
3.1.1 Комплекс повинен забезпечити реалізацію регламентних процедур та механізмів роботи ЦСК, пов’язаних з:
1)обслуговуванням сертифікатів відкритих ключів (далі – сертифікатів) користувачів, що включає:
– реєстрацію користувачів;
–сертифікацію відкритих ключів користувачів;
–розповсюдження сертифікатів;
–управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
2)надання послуг фіксування часу;
3)надання користувачам:
–засобів ЕЦП та шифрування даних;
–засобів генерації особистих і відкритих ключів.
3.1.2Комплекс повинен забезпечити виконання наступних функцій, пов’язаних з обслуговуванням ЦСК сертифікатів користувачів:
1)реєстрацію користувачів, що включає:
–введення реєстраційних даних користувачів до реєстру користувачів;
–зберігання реєстру користувачів та забезпечення доступу до реєстраційних даних;
–резервне копіювання та архівування реєстру користувачів;
–зміну реєстраційних даних користувачів у реєстрі;
–видалення реєстраційних даних користувачів з реєстру;
2)сертифікацію відкритих ключів користувачів, що включає:
–приймання та реєстрацію запитів користувачів на формування сертифікатів;
–зберігання запитів, отриманих від користувачів, у базі даних запитів;
–архівування бази даних запитів;
–формування сертифікатів користувачів;
–внесення сформованих сертифікатів у реєстр сертифікатів;
–зберігання реєстру сертифікатів;
–архівування реєстру сертифікатів;
3)розповсюдження сертифікатів відкритих ключів користувачів, що включає:
–публікацію реєстру сертифікатів у загальнодоступні каталоги (LDAP-каталоги) та на інформаційному ресурсі ЦСК (web-сторінці);
–забезпечення доступу користувачів до реєстру сертифікатів у загальнодоступних каталогах (LDAP-каталогах) та на інформаційному ресурсі ЦСК (web-сторінці);
–розсилання реєстрів сертифікатів користувачам засобами електронної пошти;
4)управління статусом сертифікатів відкритих ключів користувачів та розповсюдження інформації про статус сертифікатів, що включає:
–приймання та реєстрацію запитів користувачів на скасування, блокування чи поновлення сертифікатів;
–зберігання запитів, отриманих від користувачів, у базі даних запитів;
–архівування бази даних запитів;
–скасування, блокування або поновлення сертифікатів на основі запитів;
–внесення інформації про поточний статус сертифіката до реєстру сертифікатів;
–формування списків відкликаних сертифікатів користувачів;
–публікацію списків відкликаних сертифікатів у загальнодоступні каталоги (LDAP-каталоги) та на інформаційному ресурсі ЦСК (web-сторінці);
–забезпечення доступу користувачів до списків відкликаних сертифікатів у загальнодоступних каталогах (LDAP-каталогах) та на інформаційному ресурсі ЦСК (web-сторінці);
–забезпечення доступу користувачів до інформації про статус сертифікатів з використанням протоколу визначення статусу сертифіката (OCSP);
–оповіщення користувачів про зміну статусу сертифікатів засобами електронної пошти.
3.1.3Комплекс повинен забезпечити виконання наступних функцій, пов’язаних з наданням ЦСК послуг фіксування часу:
приймання та реєстрацію запитів користувачів на формування позначок часу; формування позначок часу; передачу сформованих позначок часу користувачам;
внесення сформованих позначок часу у базу даних; зберігання сформованих позначок у базі даних; архівування бази даних позначок часу.
3.1.4Для забезпечення функціонування ЦСК комплекс також повинен виконувати наступні функції:
1)управління ключами ЦСК, що включає:
–генерацію особистого та відкритого ключів ЦСК;
–введення та використання особистого ключа ЦСК;
–створення резервних копій особистого ключа ЦСК, а також відновлення особистого ключа з резервних копій;
–формування та передачу запиту на формування сертифіката ЦСК до ЦЗО чи іншого ЦСК, якому підпорядкований даний;
–отримання та запис сформованого сертифікату у реєстр сертифікатів;
–публікацію сформованого сертифікату у загальнодоступні каталоги (LDAPкаталоги) та на інформаційному ресурсі ЦСК (web-сторінці)
2)ведення реєстру посадових осіб ЦСК, що включає:
–введення реєстраційних даних посадових осіб до реєстру посадових осіб;
–зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;
–зміну реєстраційних даних посадових осіб у реєстрі;
–видалення реєстраційних даних посадових осіб з реєстру;
3)управління ключами посадових осіб ЦСК, що включає:
–генерацію особистого та відкритого ключів посадових осіб ЦСК;
–введення та використання особистих ключів посадових осіб ЦСК;
–формування та передачу запиту на формування сертифіката посадової особи до ЦСК;
–формування сертифікату посадової особи ЦСК;
–запис сформованого сертифікату у реєстр посадових осіб;
–отримання, зберігання та використання сертифікату посадовою особою;
4)забезпечення адміністрування окремих апаратних та програмних засобів комплексу, що включає:
–налагодження параметрів засобів комплексу;
–діагностування роботи засобів комплексу;
–моніторинг стану засобів комплексу;
5)ведення журналів реєстрації окремими технічними засобами комплексу, що включає:
–запис реєстраційної інформації засобами комплексу до журналів реєстрації;
–збір та аналіз реєстраційної інформації у журналах;
6)забезпечення захисту інформації, що обробляється у комплексі, від НСД.
3.1.5До складу комплексу також повинні входити засоби користувачів у складі:
7)засобів генерації особистих і відкритих ключів користувачів, які призначені для:
–генерації особистого та відкритого ключів користувача;
–формування та передачу запиту на формування сертифіката користувача до ЦСК;
–отримання, перевірку, зберігання та використання сформованого сертифікату;
–формування та передачу запитів на блокування, скасування та поновлення сертифіката користувача до ЦСК.
8)засобів ЕЦП та шифрування даних користувачів, які призначені для:
–введення та використання особистих ключів користувача;
–доступу користувача до сертифікату ЦСК;
–доступу користувача до реєстру сертифікатів користувачів у загальнодоступних каталогах (LDAP-каталогах) та на інформаційному ресурсі ЦСК (web-сторінці);
–доступу користувачів до списків відкликаних сертифікатів у загальнодоступних каталогах (LDAP-каталогах) та на інформаційному ресурсі ЦСК (web-сторінці);
–реалізації механізмів формування та перевірянні ЕЦП, а також шифрування даних користувача у системах електронної пошти, електронного документообігу тощо.
5.1.6Вимоги до структури та призначення комплексу технічних засобів
– 3.2.1 До складу комплексу повинні входити такі технічні засоби (структурна схема комплексу технічних засобів наведена на рис. 3.1):
РС адміністратора безпеки; РС системного адміністратора; РС адміністратора реєстрації; РС адміністратора сертифікації; сервер ЦСК; комутатор; сервер взаємодії; МЕ;
РС генерації ключів користувачів; РС віддаленого адміністратора реєстрації.
|
|
|
|
GPS-приймач |
|
Монітор |
АГВЧ |
РС адміністратора |
РС системного |
|
|
|
|
|
|||
|
АМС |
безпеки |
адміністратора |
ПТКінших ЦСК |
|
|
|
|
|
||
|
НМС |
|
|
|
|
|
СерверЦСК |
|
|
|
|
|
|
|
|
|
|
Спеціальне приміщення сервера ЦСК |
|
|
|
||
|
|
|
|
Зовнішні |
РСвіддаленого |
|
|
|
|
адміністратора |
|
РС адміністратора |
|
|
телекомунікаційні |
||
|
|
реєстрації |
|||
|
реєстрації |
Комутатор |
|
мережі |
|
|
|
|
МЕ |
ПТК відокремленого пункту |
|
|
|
|
Сервер |
|
реєстрації |
|
|
|
|
|
|
|
|
|
взаємодії |
|
|
РС адміністратора |
Монітор |
|
Шафа |
|
|
|
|
|
|||
сертифікації |
|
|
|
||
|
|
|
|
||
|
|
|
ЛОМ |
|
|
|
|
|
|
ІТСкористувачівЦСК |
|
РСгенераціїключів |
|
|
|
|
|
|
користувачів |
|
|
|
|
СпеціальнеприміщенняРС |
|
|
|
|
|
генерації ключів користувачів |
|
|
|
|
|
|
|
|
|
ПТКЦСК |
|
|
|
Рисунок 3.1 – Структурна схема комплексу технічних засобів. |
|
||
–3.2.2 Вимоги до призначення РС адміністратора безпеки повинні бути визначені у ЧТЗ на КЗЗ комплексу.
–3.2.3 РС системного адміністратора призначена для:
налагодження параметрів технічних засобів комплексу та системного програмного забезпечення;
діагностування роботи технічних засобів комплексу; моніторингу стану технічних засобів комплексу.
–3.2.4 РС адміністратора реєстрації призначена для:
введення реєстраційних даних користувачів до реєструкористувачів; зміни реєстраційних даних користувачів у реєстрі; видалення реєстраційних даних користувачів з реєстру;
приймання та введення запитів користувачів на формування сертифікатів відкритих ключів на носіях інформації;
приймання та введення запитів користувачів на скасування, блокування чи поновлення сертифікатів на носіях інформації;
ініціювання скасування, блокування чи поновлення сертифікатів користувачів сервером ЦСК;
генерації особистого та відкритого ключів адміністратора реєстрації; введення та використання особистих ключів адміністратора реєстрації;
формування та передачу запиту на формування сертифіката адміністратора реєстрації на сервер ЦСК;
отримання, зберігання та використання сертифікату адміністратора реєстрації.
–3.2.5 РС адміністратора сертифікації призначена для:
ініціювання публікації реєстру сертифікатів у загальнодоступні каталоги (LDAPкаталоги) та на інформаційному ресурсі ЦСК (web-сторінці) сервером ЦСК;
розсилання реєстрів сертифікатів користувачам засобами електронної пошти; ініціювання формування списків відкликаних сертифікатів користувачів сервером
ЦСК;
ініціювання публікації списків відкликаних сертифікатів у загальнодоступні каталоги (LDAPкаталоги) та на інформаційному ресурсі ЦСК (web-сторінці) сервером ЦСК;
оповіщення користувачів про зміну статусу сертифікатів засобами електронної пошти;
ініціювання публікації сертифікату ЦСК у загальнодоступні каталоги (LDAPкаталоги) та на інформаційному ресурсі ЦСК (web-сторінці) сервером ЦСК.
–3.2.6 Сервер ЦСК призначений для:
зберігання реєструкористувачів та забезпечення використання реєстраційних даних; резервного копіювання та архівування реєстру користувачів на носій інформації; приймання та реєстрацію запитів користувачів та адміністраторів реєстрації на
формування сертифікатів користувачів; зберігання запитів на формування сертифікатів, отриманих від користувачів та
адміністраторів реєстрації, у базі даних запитів; архівування бази даних запитів на формування сертифікатів; формування сертифікатів відкритих ключів користувачів; внесення сформованих сертифікатів у реєстр сертифікатів; зберігання реєструсертифікатів; резервного копіювання реєстру сертифікатів; архівування реєстру сертифікатів;
публікації реєстру сертифікатів у загальнодоступні каталоги (LDAP-каталоги) та на інформаційному ресурсі ЦСК (web-сторінці);
розсилання реєстрів сертифікатів користувачам засобами електронної пошти; приймання та реєстрації запитів користувачів і адміністраторів реєстрації на
скасування, блокування чи поновлення сертифікатів; зберігання запитів на скасування, блокування чи поновлення сертифікатів, отриманих
від користувачів та адміністраторів реєстрації, у базі даних запитів; архівування бази даних запитів на скасування, блокування чи поновлення
сертифікатів; скасування, блокування або поновлення сертифікатів на основі запитів;
внесення інформації про поточний статус сертифіката до реєстру сертифікатів; формування списків відкликаних сертифікатів користувачів;
публікації списків відкликаних сертифікатів у загальнодоступні каталоги (LDAPкаталоги) та на інформаційному ресурсі ЦСК (web-сторінці);
приймання через сервер взаємодії та обробку запитів користувачів на визначення статусу сертифікатів з використанням протоколу визначення статусу сертифіката (OCSP), шляхом формування інформації про статус сертифікатів;
оповіщення користувачів про зміну статусу сертифікатів засобами електронної пошти;
приймання через сервер взаємодії та обробку запитів користувачів на формування позначок часу, шляхом формування позначок часу та передачу сформованих позначок часу користувачам;
внесення сформованих позначок часу у базу даних; зберігання сформованих позначок у базі даних; архівування бази даних позначок часу.
генерацію особистого та відкритого ключів ЦСК; введення та використання особистого ключа ЦСК;
створення резервних копій особистого ключа ЦСК, а також відновлення особистого ключа з резервних копій;
формування та передачу запиту на формування сертифіката ЦСК до ЦЗО чи іншого ЦСК, якому підпорядкований даний;
отримання та запис сертифікату ЦСК у реєстр сертифікатів;
публікацію сертифікату ЦСК у загальнодоступні каталоги (LDAP-каталоги) та на інформаційному ресурсі ЦСК (web-сторінці);
введення реєстраційних даних посадових осіб до реєстру посадових осіб ЦСК; зберігання реєструпосадових осіб та забезпечення доступу до реєстраційних даних; видалення реєстраційних даних посадових осіб з реєстру; приймання та обробку запитів на формування сертифікатів посадових осіб ЦСК; формування сертифікатів посадових осіб ЦСК; запис сформованих сертифікатів у реєстр посадових осіб; використання сертифікатів посадових осіб.
–3.2.7 Сервер взаємодії призначений для:
приймання та передачі запитів користувачів та адміністраторів реєстрації на формування сертифікатів користувачів на сервер ЦСК;
забезпечення доступу користувачів до реєстру сертифікатів у загальнодоступних каталогах (LDAP-каталогах) та на інформаційному ресурсі ЦСК (web-сторінці); приймання та передачі запитів користувачів та віддалених адміністраторів реєстрації на скасування, блокування чи поновлення сертифікатів користувачів на сервер
ЦСК; забезпечення доступу користувачів до списків відкликаних сертифікатів у
загальнодоступних каталогах (LDAPкаталогах) та на інформаційному ресурсі ЦСК (web-сторінці);
забезпечення доступу користувачів до інформації про статус сертифікатів з використанням протоколу визначення статусу сертифіката (OCSP), шляхом приймання та передачі запитів на визначення статусу сертифіката на сервер ЦСК та передачу інформації про статус у зворотному напрямку;
приймання та передачі запитів користувачів на формування позначок часу на сервер ЦСК;
передачі сформованих на сервері ЦСК позначок часу користувачам;
забезпечення доступу до сертифікату ЦСК у загальнодоступних каталогах (LDAPкаталогах) та на інформаційномуресурсі ЦСК (web-сторінці).
–3.2.8 Комутатор та іншевнутрішнє комунікаційне обладнання призначене для забезпечення внутрішньої взаємодії засобів комплексу та утворення ЛОМ.
–3.2.9 РС генерації ключів користувачів призначена для:
генерації особистого та відкритого ключів користувача та запис особистого ключа на носій ключової інформації (НКІ);
формування та запису на носій інформації запиту на формування сертифіката користувача.
–3.2.10 МЕ призначений для фільтрації мережевого трафіку між зовнішніми телекомунікаційними мережами та сервером взаємодії. Детально функції МЕ повинні бути визначені у ЧТЗ на КЗЗ комплексу.
–3.2.11 РС віддаленого адміністратора реєстрації призначена для:
введення реєстраційних даних користувачів та передачі до ЦСК; зміни реєстраційних даних користувачів у реєстрі ЦСК; видалення реєстраційних даних користувачів з реєстру ЦСК;
приймання та введення запитів користувачів на формування сертифікатів відкритих ключів на носіях інформації;
приймання та введення запитів користувачів на скасування, блокування чи поновлення сертифікатів на носіях інформації;
генерації особистого та відкритого ключів адміністратора реєстрації; введення та використання особистих ключів віддаленого адміністратора реєстрації;
формування та передачу запиту на формування сертифіката віддаленого адміністратора реєстрації на сервер ЦСК;
отримання, зберігання та використання сертифікату віддаленого адміністратора реєстрації.
5.1.7 Вимоги до характеристик комплексу
–3.3.1 Комплекс повинен забезпечувати характеристики, що наведені у таблиці 3.1.
Таблиця 3.1 – Значення характеристик комплексу.
– |
Показник |
– |
Значення |
|
Кількість користувачів, яких обслуговує комплекс |
не менше 10 |
000 |
||
Кількість користувачів, які можуть зареєструватися |
не менше 50 |
за добу |
||
Кількість користувачів, які одночасно мають доступ до сервера |
не менше 5 |
000 |
||
взаємодії (LDAP-каталогу та web-сторінки) |
|
|
|
|
Час обробки запитів користувачів на формування, блокування, |
не більше 1 хв. |
|||
поновлення та скасування сертифікатів сервером ЦСК |
|
|
|
|
Резервне копіювання реєстру сертифікатів, реєстру користувачів, |
не менше 1 |
разуна добу |
||
бази списків відкликаних сертифікатів та бази позначок часу |
|
|
|
|
3.7.4Вимоги до окремих технічних засобів
–3.7.4.1 Вимоги до складу та характеристик окремих технічних засобів, що повинні входити до складу комплексу, та вимоги і характеристики програмного забезпечення відповідних засобів наведені у табл. 3.2.
Таблиця 3.2 – Склад та характеристики окремих технічних засобів.
– |
Технічни |
– |
Тип та |
– |
Спеціальн |
– |
Системн |
– |
Спеціальн |
|
й засіб |
характеристик |
і технічні засоби |
е програмне |
|
е програмне |
|||
|
|
|
а |
|
|
забезпечення |
|
забезпечення |
|
РС |
|
ПЕОМ |
|
Повинні бути |
Повинне бути |
Повинне бути |
|||
адміністратора |
|
|
визначені у ЧТЗ |
визначене у |
визначене у ЧТЗ |
||||
безпеки |
|
|
на КЗЗ |
|
ЧТЗ на КЗЗ |
на КЗЗ |
|||
|
|
|
|
комплексу. |
комплексу. |
комплексу. |
|||
РС системного |
ПЕОМ |
|
GPS-приймач |
ОС. |
|
Програмний |
|||
адміністратора |
|
|
|
|
Засоби доступу |
комплекс |
|||
|
|
|
|
|
|
та |
|
синхронізації |
|
|
|
|
|
|
|
адмініструванн |
часу. |
||
|
|
|
|
|
|
я СУБД сервера |
|
|
|
|
|
|
|
|
|
ЦСК. |
|
|
|
|
|
|
|
|
|
Засоби доступу |
|
|
|
|
|
|
|
|
|
та |
|
|
|
|
|
|
|
|
|
адмініструванн |
|
|
|
|
|
|
|
|
|
я сервера |
|
|
|
|
|
|
|
|
|
взаємодії. |
|
|
|
РС |
|
ПЕОМ |
|
АГВЧ |
|
ОС. |
|
Програмні |
|
адміністратора |
|
|
|
|
Засоби доступу |
компоненти |
|||
реєстрації |
|
|
|
|
до СУБД |
роботи з АГВЧ. |
|||
|
|
|
|
|
|
сервера ЦСК. |
Програмний |
||
|
|
|
|
|
|
|
|
комплекс |
|
|
|
|
|
|
|
|
|
адміністратора |
|
|
|
|
|
|
|
|
|
реєстрації. |
|
РС |
|
ПЕОМ |
|
АГВЧ |
|
ОС. |
|
Програмні |
|
адміністратора |
|
|
|
|
Засоби доступу |
компоненти |
|||
сертифікації |
|
|
|
|
до СУБД |
роботи з АГВЧ. |
|||
|
|
|
|
|
|
сервера ЦСК. |
Програмний |
||
|
|
|
|
|
|
|
|
комплекс |
|
|
|
|
|
|
|
|
|
адміністратора |
|