Проектирование и внедрение PKI

Создание прототипа, пилотный проект и внедрение

Создание прототипа

Прежде чем начнутся работы по развертыванию системы PKI, требуется, чтобы организация и поставщик технологии договорились о деталях реализации проекта. На этом этапе происходит приобретение и доставка программного и аппаратного обеспечения, конфигурирование сервера УЦ, проводится предварительное совещание между представителями заказчика и группой развертывания и заключается соглашение о выполняемой работе.

Для подтверждения избранной концепции PKI и подготовки пилотного проекта целесообразно создание прототипа системы на базе выбранного программного продукта. Модификация готовых программных приложений, а также проектирование и разработка новых приложений, необходимых для поддержки PKI, должны выполняться с учетом требований пользователей системы. На этом этапе проводится независимый аудит и анализ источников рисков и уязвимости системы для принятия соответствующих решений.

Пилотный проект

На этом этапе создается иерархия удостоверяющих центров PKI, система их именования и выполняется генерация корневого УЦ. Затем происходит инсталляция базового программного обеспечения и его подготовка к развертыванию PKI. Для этого регистрируется и инсталлируется сертификат администратора РЦ, загружается программное обеспечение УЦ и настраивается на работу в онлайновом режиме.

В процессе реализации пилотного проекта происходит установка и настройка программного обеспечения для регистрации, тестирование процесса регистрации; кроме того, может быть выполнено подключение или настройка web-сервера, конфигурирование web-страниц регистрации, загрузка и инсталляция файла политики. В зависимости от требований заказчика могут быть установлены дополнительные опциональные модули, например для сервисов депонирования ключей или роуминга сертификатов.

После завершения инсталляции программного обеспечения системы PKI и успешного прохождения тестов всех устройств, тестов интеграции системы и проверки возможностей работы с ней пользователей, осуществляется тестирование пилотной системы. Очень важно сразу же определить ее масштабы и круг обслуживаемых пользователей. Рекомендуется, чтобы работа системы начиналась с обслуживания ограниченного числа пользователей и внутренних приложений, но ошибочно ограничивать пилотную систему пределами ИТ-подразделения - желательно сразу подключать к ней тех пользователей, которым предстоит активно работать с инфраструктурой после ее полного развертывания [36].

Запуск пилотной системы обычно выполняется в условиях реальной деятельности, но в определенных временных рамках и ограниченной среде (например, на базе нескольких подразделений, отделов или групп пользователей). При этом в выпуске и подписании сертификатов в онлайновом режиме участвует не производственный, а тестовый корневой УЦ. Работа пилотной системы должна быть организована параллельно работе старой системы, возможности и уровень безопасности последней должны поддерживаться на прежнем уровне.

На базе пилотной системы выполняется:

• тестирование всех функциональных требований, производительности и операционных регламентов, а также всех наиболее важных приложений защиты [20];
• процедура пробного завершения работы системы, восстановление ее работы и проверка функционирования системы после этих операций;
• проверка физического и кадрового контроля безопасности в PKI.

Внедрение

После успешной апробации пилотной системы начинается ее внедрение. На этом этапе происходит замена сертификатов тестового корневого УЦ на сертификаты рабочего УЦ и выполняется проверка работоспособности системы PKI с последующими приемными испытаниями. Система оценивается пользователями и соответствующими специалистами на предмет защищенности. Отчет о соответствии всем требованиям безопасности с описаниями тестов атак на систему является одним из главных результатов этого этапа.

Далее проводится юридическая экспертиза и утверждение регламента PKI, положений ППС и установленных форм контрактов. Последним этапом по порядку, но не по значимости, является этап передачи знаний от группы консультантов персоналу, который будет обслуживать систему PKI, без этого практически невозможна поддержка правильного функционирования инфраструктуры. Кроме того, организуется обучение пользователей PKI и создается служба помощи.

Большинство ИТ-проектов терпят неудачу на этапе внедрения в результате превышения стоимости и неправильного планирования времени развертывания. Чаще всего развертывание PKI является частью более крупного проекта и связано с реализацией других решений, например виртуальных частных сетей. Наибольшее влияние на стоимость и успех развертывания оказывают имеющиеся в распоряжении ресурсы и эффективное управление проектом.

Перечислим некоторые характерные ошибки при развертывании PKI:

• отсутствие планирования управления конфигурацией сети в случае изменений (в частности, размещения и связывания друг с другом отдельных компонентов PKI, а также их защиты и организации доступа к ним через маршрутизаторы и межсетевые экраны);
• отсутствие планирования "окон простоя";
• позднее обучение и привлечение к реализации проекта ИТ-персонала, который в дальнейшем будет обслуживать системы PKI;
• составление руководств пользователей без инструкций, объясняющих пользователям, как управлять изменениями в работе своих приложений после развертывания PKI;
• несвоевременное назначение администраторов УЦ и РЦ (их следует назначать до начала развертывания PKI).

Все системы изменяются с течением времени. Установка новых версий, внедрение новых пользовательских приложений, увеличение производительности, мощности и учет новых требований, обновление аппаратной платформы, - все это требует соответствующего управления [20]. Для поддержки, сопровождения и модификации системы PKI формируется подразделение технической поддержки. Результатом этапа является функционирующая PKI, которая соответствует всем требованиям и ограничениям, сформированным в процессе анализа и проектирования системы.