Безопасность компонентов PKI
Безопасность компонентов PKI
Многие организации полагают, что PKI сама по себе создает защищенную инфраструктуру. Это, конечно, не так - помимо PKI, необходимы такие средства безопасности, как межсетевые экраны, антивирусное программное обеспечение и т.п. (см. лекцию 1). Все критически важные компоненты PKI должны быть адекватно защищены. Наиболее строгие требования предъявляются к физической безопасности систем УЦ, иногда требуется в той же мере предотвращать несанкционированный доступ и к системе РЦ. Рекомендуется физически разделять функции УЦ и РЦ при помощи межсетевых экранов.
Система РЦ должна быть хорошо защищена физически и логически от атак внешних и внутренних нарушителей. Поскольку доступ к серверу регистрации должен поддерживаться для большой группы пользователей (неважно, внутренних или внешних для организации), целесообразно его устанавливать в демилитаризованной зоне с системой обнаружения вторжений и возможностями контроля доступа. В связи с тем, что регистрация обычно выполняется посредством web-сервера (ведущие поставщики PKI обеспечивают такую функциональность), организация должна иметь соответствующий компьютер для размещения на нем web-сервера регистрации.
Функции любого РЦ должны быть защищены внешними устройствами типа смарт-карт, требующими двухфакторной аутентификации. В целях минимизации лазеек безопасности следует применять устройства безопасности - простые аппаратные модули с одной или двумя функциями. Межсетевые экраны и антивирусные средства имеют устройства безопасности, которые позволяют быстро развертывать и приводить в состояние готовности защищенные системы.
Серверы PKI должны размещаться в отдельном закрытом помещении, доступ в которое разрешен только обслуживающему персоналу, тщательно контролируется и регистрируется. Серверы должны быть подключены к источнику бесперебойного питания, а на время его отключения серверы должны автоматически создавать резервные копии данных и завершать работу в штатном режиме. Сегмент сети с серверами PKI должен быть защищен по крайней мере при помощи межсетевого экрана, прозрачного только для трафика PKI.
Каждой организации следует определить, где компоненты PKI будут размещаться и каким образом защищаться. Если организация не имеет средств адекватной защиты, то либо должна их приобрести, либо прибегнуть к услугам доверенной третьей стороны. Очевидно, что приобретение потребует значительных капиталовложений, поэтому вариант аутсорсинга может в ряде случаев оказаться экономически более выгодным.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Виды компонентов
Виды компонентов Поскольку компонент как элемент физической реализации модели представляет отдельный модуль кода, иногда его комментируют с указанием дополнительных графических символов, иллюстрирующих конкретные особенности его реализации. Строго.говоря, эти
Взаимодействие компонентов Kerberos
Взаимодействие компонентов Kerberos Кратко Kerberos можно определить как протокол, обеспечивающий централизованную идентификацию пользователей и применяющий кодирование данных для противодействия различным видам атак. Однако такое определение нельзя называть полным.
Конфигурация компонентов
Конфигурация компонентов Сначала будут описаны вопросы работы с некоторыми компонентами системы с помощью команд rundll32.exe. Не будем углубляться в функционирование данных компонентов, ведь книга, которую вы держите в руках, написана совершенно не для этого. Вместо этого
Иерархия компонентов в IBX
Иерархия компонентов в IBX Поскольку вы работаете с Delphi (или с C++ Builder), то предполагается, что вы знакомы с объектно-ориентированным программированием Таким образом, разобравшись, как именно и от кого унаследованы различные компоненты IBX, можно будет более полно
1.1. Поиск и позиционирование компонентов
1.1. Поиск и позиционирование компонентов Прежде чем приступить к работе, вам необходимо запустить редактор автоматизированного проектирования электросхем SCHEMATICS из Windows 95/98/NT. На рис. 1.1 показан стартовый экран Windows 95/98/NT с указанием пути к редактору проектирования
15.3. Редактирование значений компонентов
15.3. Редактирование значений компонентов В версии 9.1 атрибуты называются свойствами (Properties) и изменяются в окне Property Editor. Редактор свойств открывается из всплывающего меню, которое можно открыть для любого маркированного компонента нажатием правой кнопки мыши. Именно
Глава 2. Палитра компонентов
Глава 2. Палитра компонентов Размещение компонентовНевидимые компонентыЕсли вам часто приходится заниматься ремонтом какой-либо вышедшей из строя техники, то вы знаете, как приятно всегда иметь под рукой нужный винт, болт или гайку. Легко представить радость создания
Использование встроенных компонентов eVB
Использование встроенных компонентов eVB Окно настройки свойств (Properties Window)Окно настройки свойств по умолчанию располагается в правом нижнем углу экрана. Его внешний вид показан на рис. 3.18. Рис. 3.18. Окно настройки свойств.При помощи окна настройки свойств пользователь
Использование компонентов ActiveX
Использование компонентов ActiveX Расположение компонентов ActiveXЕсли вы хотите использовать компоненты ActiveX в своем проекте, их надо соответствующим образом к этому проекту добавить. Для этого нужно выполнить команду меню Project ? Components или нажать сочетание клавиш Ctrl+T. На
Массив компонентов…
Массив компонентов… Возможно ли создание массива компонентов? Для показа статуса я использую набор LED-компонентов и хотел бы иметь к ним доступ, используя массив.Прежде всего необходимо объявить массив:LED: array[1..10] of TLed; (10 элементов компонентного типа TLed)При
4.1.1 Наличие компонентов продукта
4.1.1 Наличие компонентов продукта Для тестирования пакета программ должны иметься в наличии все его поставляемые компоненты (см. 3.1.2 h), а также нормативные документы, указанные в описании продукта (см. 3.1.2
4.1.2 Наличие компонентов системы
4.1.2 Наличие компонентов системы Для тестирования пакета программ необходимо наличие составных частей всех вычислительных систем, указанных в описании
У14.8 Виды отложенных компонентов
У14.8 Виды отложенных компонентов Может ли атрибут быть
Переименование компонентов
Переименование компонентов Иногда при множественном наследовании возникает проблема конфликта имен (name clash). Ее решение - переименование компонентов (feature renaming) - не только снимает саму проблему, но и способствует лучшему пониманию природы
Выделение всех компонентов
Выделение всех компонентов Любой конфликт переопределений должен быть разрешен посредством select. Если, объединяя два класса, вы натолкнулись на ряд конфликтов, возможно, вы захотите, чтобы один из классов "одержал верх" (почти) в каждом из них. В частности, так происходит в