* составление перечня работ консультантов со сроками выполнения и объемом финансирования;
* создание иерархий удостоверяющих центров (при необходимости к этой работе привлекаются консультанты);
* обучение персонала (администраторов), способного взаимодействовать с консультантами на этапе развертывания, а в дальнейшем модифицировать или совершенствовать систему PKI;
* планирование простоев в центрах обработки данных организации на время установки или адаптации аппаратного и/или программного обеспечения системы PKI (иногда организации планируют "окна" в работе своих центров обработки данных, во время которых необходимо выполнить установку программных и аппаратных средств PKI).
Более масштабные и ориентированные на специфические требования заказчика варианты развертывания могут занимать по времени 6 месяцев и более. Правильное планирование времени, необходимого для развертывания PKI, и распараллеливание работ существенно влияет на успех проекта.
Модель аутсорсинга позволяет сэкономить время развертывания, перекладывая на поставщика услуг функции по установке и поддержке программного и аппаратного обеспечения компонентов PKI. Кроме того, выбор варианта аутсорсинга позволяет снизить требования к персоналу и инфраструктуре безопасности. Поскольку внешний УЦ берет ответственность на себя, происходит амортизация затрат в течение более длительного периода, чем в случае, когда организации приходится самостоятельно приобретать и поддерживать программные и аппаратные средства PKI.
При развертывании крупномасштабных PKI предпочтительна модель инсорсинга, поскольку организация, берущаяся за большой проект, скорее всего, уже имеет инфраструктуру безопасности, центры обработки данных и квалифицированный персонал. В этом случае значительные первоначальные капиталовложения компенсируются последующей экономией средств, необходимых для поддержания работы большой системы. Кроме того, крупномасштабные проекты чаще всего ориентируются на собственные требования организации к аутентификации и обслуживание большего количества корпоративных иерархий, что в случае аутсорсинга требует значительных капиталовложений. Главный недостаток варианта инсорсинга - длительный период развертывания (масштабные реализации требуют не менее 6 месяцев работы).
Итак, главный критерий принятия организацией решения относительно построения инфраструктуры безопасности, базирующейся на PKI, - самостоятельно выполнять функции УЦ или доверить это третьей стороне. Решение о выборе варианта развертывания должно быть утверждено до начала проектирования и развертывания PKI. Это решение может повлиять на область применения, стоимость проекта и даже выбор потенциальных поставщиков. Итоги анализа доводов "за" и "против" каждого варианта развертывания приведены в табл. 18.1 [105].
|Характеристики | Инсорсинг | Аутсорсинг |
|Политика аутентификации | Возможность формировать собственную политику, простота изменения политики | Необходимость придерживаться политик, утвержденных для внешнего УЦ |
|Настройка на требования заказчика | Максимальная гибкость | Минимальная гибкость |
|Время развертывания | Длительный период развертывания | Короткий период развертывания |
|Степень участия | Большие первоначальные усилия, но в дальнейшем требуется небольшая работа по поддержке систем | Минимальные усилия со стороны заказчика, но может потребоваться интеграция с действующими системами заказчика |
|Стоимость | Большие первоначальные затраты, но небольшие в дальнейшем | Низкие первоначальные затраты, но большие в дальнейшем |
|Количество персонала | Требуется значительное количество персонала для работы, защиты и поддержки систем УЦ и РЦ | Персонал требуется только для работы и поддержки системы РЦ |
Таблица 18.1.Сравнительный анализ вариантов инсорсинга и аутсорсинга
Определение масштаба и сферы применения PKI
Правильное определение сферы применения является предпосылкой успешного проектирования PKI. Как правило, чем шире назначение PKI, тем уже спектр свойств и возможностей, которые доступны ее пользователям. PKI может быть предназначена для пользователей:
1 массового рынка;
2 интрасети;
3 экстрасети.
Массовый рынок предполагает использование PKI множеством разобщенных, удаленных пользователей, работающих на компьютерах разных моделей, например, клиентов Интернет-банкинга. В этом случае возможен (если вообще возможен) лишь минимальный контроль за компьютерами пользователей. Пользователи становятся клиентами корневого УЦ открытой иерархии, имеющего свой web-сайт, и взаимодействуют с ним через интерфейс браузера.
Корпоративные пользователи часто принадлежат к одной организации. Это дает возможность поддерживать более унифицированную среду для клиентских мест и позволяет иметь некоторый контроль над действиями пользователей. В этом случае развертывание PKI в зависимости от ее масштаба может осуществляться на базе и частных, и открытых иерархий. Кроме того, пользователи получают возможность управлять сертификатами при помощи соответствующих клиентских приложений; такими функциями, например, обладает клиентское программное обеспечение двух ведущих поставщиков услуг PKI - компаний Entrust [214] и VeriSign [220].
Обычно компании создают интрасети для своих сотрудников, однако полномочия на доступ к ним иногда предоставляют деловым партнерам и другим группам пользователей. Доступ деловых партнеров к информации, хранящейся во внутренней корпоративной сети, обеспечивает экстрасеть. Поскольку клиентские места пользователей экстрасети невозможно контролировать в той же мере, что и компьютеры служащих компании, подход к этому сообществу должен быть аналогичен тому, который предлагается для массового рынка. Но очевидно, что количество пользователей экстрасети намного меньше, поэтому PKI может быть реализована как в виде открытой, так и в виде частной иерархии, дополненной системой однократной регистрации или другими системами контроля.
Возможны самые разные варианты использования PKI. В масштабе страны может быть развернута федеральная PKI, обеспечивающая контакты между правительственными учреждениями и всеми гражданами посредством сертификатов и цифровых подписей. Отдельная компания может использовать персональные сертификаты на смарт-картах для управления доступом штатных сотрудников в помещения и к компьютерным системам и приложениям. При помощи персональных сертификатов Интернет-магазин может аутентифицировать клиентов, заказывающих товар. В финансовой сфере PKI может использоваться в системе банковских расчетов для перевода денег корпоративным клиентам и операций по аккредитивам.
В таблице 18.2: 1 приводится перечень возможных сфер применения и приложений PKI, сформированный международным объединением пользователей и поставщиков услуг и программных продуктов в области инфраструктур открытых ключей (PKI Форум) [86].
В зависимости от назначения и масштаба PKI ее конечными субъектами или пользователями могут выступать граждане страны, клиенты, ИТ-штат или весь персонал организации, деловые партнеры или другие компании.
При задании сферы применения PKI необходимо определить уровень взаимодействия участников системы (международный, межкорпоративный, корпоративный, между несколькими подразделениями компании и т.п.).
| Сфера применения | Категория приложения | Примеры объектов и транзакций PKI-приложений |
|Банковская и финансовая сферы | Аутентификация платежей | Покупка акций
Денежные переводы по кредитам на обучение
|
|Контроль доступа | Банковские операции в онлайновом режиме |
|Защищенная электронная почта | Подача документов в комиссию по ценным бумагам и биржам |
|Защищенное хранение и поиск документов | Электронные ипотечные кредиты
Заявки на приобретение ценных бумаг
|
|Цифровой нотариат | Документы о правовом титуле
Кредиты
|
|Защищенные транзакции | Гарантийные письма |
|Страхование | Электронная цифровая подпись | Онлайновые:
* квоты;
* заявки;
* разрешения
|
|Аутентификация платежей | Онлайновые платежи:
* страховые премии;
* компенсации по страховым полисам
|
|Контроль доступа | Электронный документооборот
Информация о страхователях
|
|Здравоохранение | Аутентификация платежей | Выплата компенсаций |
|Защищенный обмен сообщениями / электронная почта | Подача заявлений на компенсацию |