Лекция 13. Политики, регламент и процедуры PKI
Лекция 13. Политики, регламент и процедуры PKI
Дается определение политики безопасности, рассматриваются способы реализации политики безопасности, приводится список основных требований к политике PKI, дается характеристика политике применения сертификатов и регламента удостоверяющего центра, обсуждаются отличия политики применения сертификатов, регламента и организационных процедур удостоверяющего центра, дается представление об идентификаторах объектов и краткой характеристике политики PKI, подробно рассматриваются способы отображения политики в сертификатах.
Политика безопасности и способы ее реализации
Политика - это набор установленных правил для управления определенными аспектами функционирования организации. Политика определяет, что должно быть сделано для обеспечения целей бизнеса, юридических требований или корпоративных норм организации. Политика безопасности описывает цели, ответственность и общие требования к защите определенных ресурсов (например, важных компьютерных систем или данных), но сама по себе не способна обеспечить выполнение требований организации. Политика безопасности должна быть реализована при помощи комплекса механизмов безопасности и процедур. Организация может выбрать самые разные инструментальные средства в качестве механизмов безопасности (замки, системы видео-наблюдения, межсетевые экраны и т.п.), но они только тогда гарантируют ожидаемый результат, когда правильно конфигурируются и поддерживаются. Процедуры являются, по существу, теми шагами, которые выполняют администраторы и пользователи системы в целях правильного функционирования механизмов безопасности. Процедуры зависят от того, какие механизмы используются, и определяют, как обеспечить требования, заданные политикой безопасности.
Пример 13.1. Чтобы понять отличия между политикой безопасности, механизмами и процедурами, рассмотрим следующий сценарий [70]. Пусть, например, компания-производитель автомобилей желает защитить проекты новых моделей от своих конкурентов. Компания решает ограничить доступ в то здание, где разрабатываются модели новых автомобилей, и пропускать туда только сотрудников группы проектирования. С этой целью предлагается использовать считыватель карт с магнитной полосой. Дверь должна автоматически открываться, когда сотрудник группы проектирования "прокатывает" через считывающее устройство свою идентификационную карту, и автоматически запираться на замок, когда сотрудник закрывает дверь за собой.
Компания нанимает по контракту специалиста, который устанавливает новый считыватель карт в течение одной недели, когда все служащие компании находятся на рождественских каникулах. Он переносит необходимые данные о сотрудниках группы проектирования на карты с магнитной полосой и рассылает по электронной почте инструкции всем сотрудникам домой. Инструкции описывают, как открыть дверь при помощи идентификационной карты и считывателя. Сами карты с магнитной полосой доставляются служащим на домашний адрес по почте.
В этом примере компания выбирает правильную политику безопасности, ограничивая доступ в здание, где ведется разработка новых моделей автомобилей. Механизмом реализации политики безопасности служит считыватель карт. Процедуры заключаются в действиях специалиста по кодированию карт, рассылке каждому сотруднику сообщений с инструкцией на его электронный адрес и доставке карт по почте на его домашний адрес. Тем не менее нельзя сказать, что в результате процесс проектирования новых моделей автомобилей будет хорошо защищен.
Компания имеет простую и разумную политику. Однако предложенное сочетание механизмов и процедур - довольно ограниченная по средствам реализация этой политики. Данный механизм полностью не предотвращает проникновение злоумышленника в здание, поскольку идентифицирует сотрудников группы проектирования только по признаку владения картой. Злоумышленник может войти следом за владельцем карты, если тот не закрыл за собой дверь, или обеспечить себе доступ в здание, каким-либо образом получив идентификационную карту сотрудника, имеющего право доступа (например, выкупив у специалиста, установившего считыватель карт, дополнительную карту или похитив карту при почтовой рассылке).
Компания могла бы усовершенствовать реализацию своей политики, усиливая механизмы безопасности или процедуры, или и то и другое вместе. Установка дополнительного турникета гарантировала бы проход в здание по каждой предъявленной карте только одного человека. Используя считыватель с дополнительной клавиатурой, компания могла бы требовать от сотрудников группы проектирования для прохода в здание не только пользоваться картой, но и вводить PIN-код. В этом случае задача злоумышленника усложняется: чтобы получить возможность пройти в здание, необходимо достать карту и узнать PIN-код пользователя. Следующим усовершенствованием может быть добавление к считывателю карт биометрического устройства, тогда злоумышленнику потребуется отпечаток пальца или рисунок сетчатки глаза сотрудника, имеющего право доступа.
Но даже если компания не имеет возможности приобрести новые средства защиты, она может повысить безопасность, усовершенствовав процедуры. Во-первых, пользователей необходимо обязать закрывать за собой дверь. Во-вторых, можно разработать процедуры доставки идентификационных карт, снижающие риск попадания карты в чужие руки. В-третьих, для кодирования магнитных карт компания может использовать свою собственную службу безопасности, а также выдавать карты служащим персонально после предъявления ими удостоверений личности по списку, представленному руководством компании или сформированному отделом кадров.
Чтобы гарантировать адекватность защиты, обеспечиваемой системой безопасности, должны быть проверены политики, механизмы и процедуры. Если речь идет о такой системе безопасности, как PKI, то от предлагаемой политики и процедур зависит возможность использования сертификатов в определенных приложениях. Политики и процедуры регулируют операционную работу удостоверяющих и регистрационных центров, репозиториев, а также действия пользователей. Доверяющие стороны принимают решения о применимости сертификатов в своих приложениях, анализируя политики и процедуры, которые были реализованы издателем сертификатов.
Основные требования к политике PKI можно сформулировать следующим образом:
* соответствие общей корпоративной политике безопасности ;
* четкость и однозначность формулировок;
* доступность изложения;
* разграничение ответственности между субъектами PKI;
* адекватность ограничений и пределов ответственности требованиям сферы приложения сертификатов.
Несмотря на свою сложность, PKI - пока только часть любой инфраструктуры безопасности организации, поэтому политика PKI должна формироваться в русле общей корпоративной политики безопасности и не противоречить ей. Очевидно, что могут возникнуть серьезные проблемы, если, например, политика PKI разрешает выпуск сертификатов для аутентификации электронных транзакций на сумму до 10 млн. долларов, в то время как корпоративная политика безопасности устанавливает соответствующий предел в 1 млн. долларов [10].
Политика должна давать ясное и четкое представление о функционировании PKI, не допуская неправильных интерпретаций и толкований. Продуманная политика позволяет избежать многих ошибок пользователей и способствует принятию ими осознанных решений при работе в системе PKI. Политика должна устанавливать ответственность субъектов PKI в случае любой проблемной ситуации, например, предусматривать ответственность доверяющей стороны за причиненный ущерб в результате недобросовестной проверки сертификата. Необходимо, чтобы политика PKI защищала не только систему, но и пользователей, которые не всегда обладают достаточными юридическими или техническими знаниями, чтобы в должной мере представлять себе работу PKI. Доступность изложения политики способствует правильному пониманию пользователями ответственности сторон и позволяет избежать многих ошибок в применении сертификатов.
Политика PKI должна распределять ответственность между субъектами системы и разумно ограничивать ее в зависимости от роли и функций каждого. Так, например, ответственность за начальную идентификацию и аутентификацию субъектов чаще всего возлагается на РЦ. Ответственность обычно ограничивается верхним предельным значением суммы (в стоимостном выражении) каждой допустимой PKI-транзакции. Ограничения могут распространяться также на частоту и источник транзакций. Устанавливаемые ограничения и пределы ответственности должны быть разумными и не сдерживать коммерческую деятельность предприятий, использующих в своей деятельности сертификаты открытых ключей.
Как определено стандартом организации IETF RFC 2527 Certificate Policy and Certification Practices Framework [152], основными документами, описывающими политики и процедуры, связанные с PKI, являются политика применения сертификатов (ППС) и регламент УЦ. Эти документы имеют одинаковый формат, но разное назначение, и адресованы разным лицам. Документ о политике применения сертификатов можно сравнить с ответом на вопрос "что?", а регламент - с ответом на вопрос "как?" в отношении безопасного использования сертификатов. Они позволяют согласовывать политики разных организаций, хотя объем и сложность большинства документов, содержащих ППС и регламент, делают этот процесс достаточно трудоемким.