Руководство по техническому обслуживанию ПОДСИСТЕМА
advertisement
УТВЕРЖДЕН
BY.СЮИК.00346-01 46 01-ЛУ
ЦЕНТРАЛИЗОВАННАЯ АВТОМАТИЗИРОВАННАЯ БАНКОВСКАЯ СИСТЕМА
ПОДСИСТЕМА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
И ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
Руководство по техническому обслуживанию
Листов 17
Инв. № подл.
Подп. и дата
Взам. инв. №
Инв. № дубл.
Подп. и дата
BY.СЮИК.00346-01 46 01
2010
№ изм.
Подп.
Дата
Литера О
2
BY.СЮИК.00346-01 46 01
АННОТАЦИЯ
Настоящий документ предназначен для пользователей, организующих эксплуатацию
Подсистемы криптографической защиты информации и электронной цифровой подписи.
Данный документ описывает требования к техническим средствам, процедуры
использования, рекомендации по организации мероприятий для обеспечения надежного
функционирования комплекса.
№ изм.
Подп.
Дата
3
BY.СЮИК.00346-01 46 01
СОДЕРЖАНИЕ
1. Введение .................................................................................................................................. 4
1.1. Назначение ........................................................................................................................ 4
2. Общие указания ...................................................................................................................... 5
3. Требования к техническим средствам .................................................................................. 6
4. Описание функций ................................................................................................................. 8
4.1. Выбор уровня криптографической стойкости при выработке ЭЦП ........................... 8
4.2. Выбор уровня криптографической стойкости при формировании общего ключа.... 9
4.3. Использование электронной почты .............................................................................. 10
4.4. Копирование и восстановление базы данных ............................................................. 10
4.5. Организация резервирования комплекса УЦ .............................................................. 13
Перечень сокращений .............................................................................................................. 14
№ изм.
Подп.
Дата
4
BY.СЮИК.00346-01 46 01
1. ВВЕДЕНИЕ
1.1. Назначение
Данное руководство предназначено для лиц, занимающихся эксплуатацией технических
средств,
на
которых
будет
устанавливаться
Подсистема
криптографической
защиты
информации и электронной цифровой подписи (ПС КЗИ И ЭЦП).
ПС КЗИ И ЭЦП представляет собой совокупность аппаратных, программно-технических
решений и организационно-распорядительных мероприятий, направленных на обеспечение
доступности, конфиденциальности и целостности информации, подтверждение авторства
электронного
документа,
а
также
для
организации
обслуживания
инфраструктуры
распределения и управления ключами, сертификатами открытых ключей (СОК) и информацией
об их состоянии.
№ изм.
Подп.
Дата
5
BY.СЮИК.00346-01 46 01
2. ОБЩИЕ УКАЗАНИЯ
В состав ПС КЗИ и ЭЦП входят следующие компоненты:
1) программный/программно-аппаратный комплекс криптографической поддержки (КП);
2) программный/программно-аппаратный комплекс удостоверяющего центра СОК (УЦ);
3) программный/программно-аппаратный комплекс регистрационного центра СОК (РЦ);
4) программный/программно-аппаратный комплекс средств обеспечения безопасности
(СОБ), включающий в себя аппаратно-программный комплекс съемного носителя ключевой
информации на смарт-картах или USB-ключах (АПК-НИ), программный/программноаппаратный комплекс криптографической защиты канальной информации (КС) и подсистему
защищенного протоколирования и аудита безопасности (ПС-ПРАБ).
Для обеспечения защиты от несанкционированного доступа (НСД) к информации
совместно с ПС КЗИ и ЭЦП используются программно-аппаратный комплекс защиты ПЭВМ от
несанкционированного
доступа
«Барьер»
(ПАК «Барьер»)
ТУ РБ 100037461.004-2004
и
устройство хранения информации защищенное мобильное «Меркурий» (УХИ «Меркурий»)
ТУ BY 100037461.005-2008, применяемое в качестве носителя ключевой информации (НКИ).
Техническое
обслуживание
ПЭВМ,
на
котором
устанавливаются
компоненты
ПС КЗИ И ЭЦП, не требует специальных мероприятий, за исключением случаев, когда для
обеспечения защиты от НСД к информации предусматривается применение ПАК «Барьер». В
этом случае необходимо руководствоваться технической документацией на ПАК «Барьер».
При использовании в качестве НКИ УХИ «Меркурий» необходимо руководствоваться
технической документацией на УХИ «Меркурий».
№ изм.
Подп.
Дата
6
BY.СЮИК.00346-01 46 01
3. ТРЕБОВАНИЯ К ТЕХНИЧЕСКИМ СРЕДСТВАМ
Для обеспечения функционирования ПС КЗИ и ЭЦП к аппаратной составляющей
комплексов УЦ и РЦ предъявляются определенные требования относительно минимального
состава технических средств. Так, инсталляционные пакеты комплексов ПС КЗИ и ЭЦП
должны устанавливаться на ПЭВМ, укомплектованные устройством FDD 3,5" (CD-ROM) и
имеющие эксплуатационные параметры не хуже, чем:
– процессор совместимый с Intel Pentium с тактовой частотой 900 МГц;
– оперативное запоминающее устройство (ОЗУ) с объемом памяти 256 Мбайт;
– накопитель на жестких магнитных дисках (НЖМД) с объемом свободного адресного
пространства 10 Гбайт.
Кроме того, все ПЭВМ, на которые устанавливаются комплексы УЦ, должны иметь
следующие аппаратные средства:
– ПАК «Барьер» ТУ РБ 100037461.004-2004;
– средство подключения ПЭВМ к сети передачи данных (сетевая карта или модем);
– источник бесперебойного питания.
Схема функционирования ПС КЗИ и ЭЦП представляет собой иерархическую или
сетевую структуру, в вершине которой располагается корневой УЦ, связанный с несколькими
подчиненными УЦ (ПУЦ) и/или РЦ, которые в свою очередь связаны с комплексами СОБ,
принадлежащими конечным пользователям системы. Комплексы УЦ и ПУЦ различаются тем,
что в УЦ размещаются самоподписанные сертификаты открытых ключей (СОК).
С целью повышения надежности работы ПС КЗИ и ЭЦП возможна организация
дублирования комплексов УЦ и/или ПУЦ таким образом, чтобы, например, один из комплексов
УЦ работал в режиме «основной», а другой – в режиме «резервный». При этом оба комплекса
УЦ полностью идентичны по составу аппаратных и программных средств, имеют одинаковый
набор ключей и СОК, а выбор режима работы комплекса «основной»/«резервный»
осуществляется автоматически в случае возникновения нештатных ситуаций либо по
требованию администратора безопасности ПС КЗИ и ЭЦП.
ПС КЗИ и ЭЦП
для
выполнения
своих
функций
используется
в
следующих
конфигурациях:
– минимальная конфигурация включает в себя комплексы СОБ и УЦ;
– оптимальная конфигурация – комплексы СОБ, РЦ, УЦ;
– максимальная конфигурация – несколько комплексов СОБ, комплексы РЦ, ПУЦ и УЦ.
№ изм.
Подп.
Дата
7
BY.СЮИК.00346-01 46 01
Все ПЭВМ, на которые устанавливаются компоненты ПС КЗИ и ЭЦП, должны быть
объединены между собой в локальную сеть. Схема объединения комплексов, входящих в состав
для ПС КЗИ и ЭЦП с максимальной конфигурацией, представлена на рис. 1.
Рис. 1
№ изм.
Подп.
Дата
8
BY.СЮИК.00346-01 46 01
4. ОПИСАНИЕ ФУНКЦИЙ
4.1. Выбор уровня криптографической стойкости при выработке ЭЦП
Уровень криптографической стойкости задается при определении долговременных
параметров для операции выработки ЭЦП.
В таблице 4.1 приведены значения параметров, которые определяют уровень
криптографической стойкости. Выбор уровня зависит от следующих факторов:
–
производительность ПЭВМ, на которой предполагается использовать средства
выработки и проверки ЭЦП;
– продолжительность жизненного цикла подписываемого электронного документа;
– срока действия личного ключа.
Таблица 4.1
Номер
уровня
Уровень
криптографической
стойкости
Длина
параметра r
(бит)
Длина
параметра l
(бит)
1
1
143
638
2
2
154
766
3
3
175
1022
4
4
182
1118
5
5
195
1310
6
6
208
1534
7
7
222
1790
8
8
235
2046
9
9
249
2334
10
10
257
2462
Значения параметров r и l даны в битах в зависимости от выбора необходимого уровня
криптографической стойкости, приведенного в порядке его возрастания.
Рекомендуемый уровень криптографической стойкости при выработке ЭЦП для
использования комплексом УЦ должен соответствовать восьмому уровню.
Рекомендуемый уровень криптографической стойкости при выработке ЭЦП для
использования конечными пользователями – не ниже третьего.
№ изм.
Подп.
Дата
9
BY.СЮИК.00346-01 46 01
4.2. Выбор уровня криптографической стойкости при формировании общего ключа
Уровень криптографической стойкости задается при определении долговременных
параметров формирования общего ключа для операции шифрования.
В таблице 4.2 приведены значения параметров, которые определяют уровень
криптографической стойкости. Выбор уровня зависит от следующих факторов:
–
производительность ПЭВМ, на которой предполагается эксплуатировать средства
формирования общего ключа;
– степень важности шифруемого электронного документа;
– срок действия личного ключа.
Таблица 4.2
Номер
уровня
Уровень
криптографической
стойкости
Длина общего
ключа в битах
Длина
параметра r
(бит)
Длина
параметра l
(бит)
1
1020
637
130
638
2
1021
701
136
702
3
1022
765
141
766
4
1023
861
149
862
5
1024
957
154
958
6
1025
1021
161
1022
7
1026
1117
168
1118
8
1027
1213
175
1214
9
1028
1309
181
1310
10
1029
1437
188
1438
11
1030
1533
194
1534
12
1031
1661
201
1662
13
1032
1789
208
1790
14
1033
1917
214
1918
15
1034
2045
221
2046
16
1035
2173
225
2174
17
1036
2333
234
2334
18
1037
2461
240
2462
№ изм.
Подп.
Дата
10
BY.СЮИК.00346-01 46 01
Окончание таблицы 4.1
Номер
уровня
Уровень
криптографической
стойкости
Длина общего
ключа в битах
Длина
параметра r
(бит)
Длина
параметра l
(бит)
19
1038
2621
246
2622
20
1039
2781
253
2782
21
1040
2941
259
2942
Значение параметров
r и l даны в битах в зависимости от необходимого уровня
криптографической стойкости, приведенного в порядке его возрастания.
4.3. Использование электронной почты
При функционировании ПС КЗИ и ЭЦП электронная почта может использоваться в
следующих случаях:
– для рассылки заявок на выпуск СОК;
– для рассылки выпущенных СОК;
– для рассылки выпущенного (обновленного) СОС.
При работе с электронной почтой необходимо предопределить следующие элементы:
– адреса ТСР/IP;
– номера портов ввода/вывода;
– имя почтового ящика, в который будут поступать заявки на выпуск СОК;
– пароль доступа к почтовому ящику.
4.4. Копирование и восстановление базы данных
Для обеспечения возможности восстановления данных после сбоев ПЭВМ необходимо
регулярно выполнять резервное копирование базы данных СОК. Одним из способов
выполнения этой функции является копирование файла базы данных внешними программами,
поскольку база данных физически организована в виде одного файла. Особенностью такой
операции является то, что при ее выполнении все пользователи должны быть отключены от
базы данных.
Операцию копирования можно также выполнить, используя средства СУБД Firebird, что
предпочтительнее, так как в этом случае одновременно с операцией копирования выполняется
и сервисное обслуживание, а именно:
– организуется сборка «мусора» (удаляются устаревшие версии записей) и очистка
№ изм.
Подп.
Дата
11
BY.СЮИК.00346-01 46 01
таблицы транзакций, завершённых откатом (rollback);
– согласовываются индексы;
– освобождается пространство, занимаемое удалёнными записями, и упаковываются
оставшиеся данные.
Сервисное обслуживание позволяет несколько уменьшить размер базы данных и
ускорить работу с данными.
Выполнение операции резервного копирования не требует монопольного режима, так
что во время ее выполнения пользователи могут продолжать работу. При этом необходимо
учитывать, что данные, внесённые пользователями после начала операции копирования, не
попадут в копию, но согласованность копии гарантируется. При копировании и восстановлении
базы данных можно выполнить также ряд действий по модифицированию характеристик базы
(например, изменить размер страницы и др.).
Полученная архивная копия может быть сохранена на любом внешнем носителе
информации, и с ее помощью можно восстановить существующую или создать новую базу.
Так как в результате копирования средствами Firebird получается платформонезависимый устойчивый снимок базы, то благодаря этому скопированные данные могут быть
переданы в другую операционную систему. Это является важным преимуществом, поскольку
различные платформы имеют аппаратно-зависимые форматы файла базы данных и поэтому
базы данных не могут быть просто скопированы для переноса на другую платформу.
При установке более поздних версий Firebird, которые могут иметь отличия в
физической организации данных, необходимо адаптировать наличествующие базы данных к
новой структуре, для чего следует выполнить действия:
–
перед установкой новой версии Firebird скопировать базы данных, используя старую
версию утилит копирования;
–
установить новую версию сервера Firebird, и с помощью этой новой версии
восстановить базы данных.
Операции резервного копирования и восстановления базы данных можно осуществлять
несколькими способами.
Основной способ –посредством консоли администратора УЦ, нажатием кнопки
«Архивировать».
Копирование также можно выполнить диспетчером серверов IBExpert, для чего
необходимо использовать пункты меню Database–Maintenance–Backup\Restore–Backup, чтобы
выбрать нужные режимы копирования. Для восстановления следует использовать пункты меню
Database–Maintenance–Backup\Restore–Restore, чтобы выбрать нужные режимы восстановления.
№ изм.
Подп.
Дата
12
BY.СЮИК.00346-01 46 01
Можно также использовать утилиту командной строки gbak.
Синтаксис утилиты gbak для копирования имеет следующий вид: gbak [-b] – user
username – pas password [options] database target. Синтаксис утилиты для восстановления имеет
следующий вид: gbak {-c|-r} – user username – pas password [options] source database;
где: database – имя копируемой или восстанавливаемой базы данных;
target – имя файла в который будет осуществляется копирование;
source – имя файла из которого будет осуществляется восстановление;
username – имя пользователя;
password – пароль для доступа к базе;
-b – копирует базу данных;
-с – восстанавливает базу данных как новый файл;
-r – восстанавливает базу данных как новый файл или заменяет существующий
файл.
Более подробную информацию о возможностях этой утилиты и допустимых ключах,
можно получить с помощью команды gbak -?.
Следует отметить, что утилита gbak не может работать с именами файлов, полные пути к
которым содержат хотя бы один пробел и, кроме того, по умолчанию имя пользователя для
базы сертификатов – «sysdba», пароль – «masterkey».
Например, пусть база данных находится по пути C:\Program Files\Contact\Sus\storage.gdb,
сервер базы данных установлен в директорию C:\Program Files\Borland\Firebird. Тогда полный
путь
к
утилите
копирования
будет
gbak
выглядеть
как
C:\Program
Files\Borland\Firebird\bin\gbak.exe. Команда: gbak – b – user sysdba –pas masterkey C:\Progra~1\
Contact\Sus\storage.gdb
выполнит
backup.gdb
копирование
базы
в
файл
C:\Program
Files\Borland\Firebird\bin\backup.gdb, а для восстановления базы может быть использована
команда: gbak –r –user sysdba –pas masterkey backup.gdb C:\Progra~1\Contact\Sus\storage.gdb.
Для удобства целесообразно создать специальный пакетный файл, поместить в него
команду копирования, и сам файл поместить в директорию C:\Program Files\Borland\Firebird\bin,
дав ему, к примеру, имя copydb.bat. После этого любой пользователь, периодически запуская
этот файл на исполнение, сможет выполнить копирование базы.
Для автоматического копирования базы следует воспользоваться системной службой
планировщика заданий, который можно найти используя путь Пуск–Программы–Стандартные
–Служебные–Назначенные
задания,
либо
Пуск–Программы–Стандартные–Служебные–
Планировщик заданий.
В программе планировщика заданий следует запустить мастер планирования заданий,
№ изм.
Подп.
Дата
13
BY.СЮИК.00346-01 46 01
выбрать в качестве запускаемого файл copydb.bat и далее следуя указанием этого мастера,
выбрать периодичность выполнения задания и его время.
4.5. Организация резервирования комплекса УЦ
С целью повышения надежности работы ПС КЗИ и ЭЦП возможна организация
дублирования комплексов УЦ и/или ПУЦ. Для этого необходимо выбрать две территориально
удаленные друг от друга площадки и на каждой из них развернуть комплекс УЦ, обеспечив
достоверный канал связи между комплексами таким образом, чтобы, например, один из
комплексов УЦ работал в режиме «основной», а другой – в режиме «резервный».
Оба комплекса УЦ полностью идентичны по составу аппаратных и программных
средств, имеют одинаковый набор ключей и СОК, а выбор режима работы комплекса
«основной»/«резервный» осуществляется автоматически в случае возникновения нештатных
ситуаций либо по требованию администратора безопасности ПС КЗИ и ЭЦП.
Оба комплекса УЦ работают в круглосуточном режиме, проверяя состояние
(работоспособность) друг друга. При обнаружении комплексом УЦ, работающим в режиме
«резервный», отсутствия ответов от комплекса УЦ, работающего в режиме «основной»,
комплекс УЦ, работающий в режиме «резервный», переводится оператором в режим работы
«основной». Соответственно, комплекс УЦ, ранее работавший в режиме «основной»,
переводится в режим работы «резервный».
Каждый из комплексов УЦ на своей ПЭВМ дополнительно к основным функциям,
определяет следующие параметры:
1) почтовый ящик, доступный всем пользователям, в который поступают заявки на
выпуск СОК от РЦ;
2) WEB сервер коллективного доступа, через который
возвращает ответы на запрос получения
УЦ принимает запросы и
выпущенных СОК, СОС, и другой информации
состояния открытых ключей;
3) Программное обеспечение, выполняющее функции:
– синхронизации баз комплексов;
– синхронизации времени;
– управления переключением режимов работы «основной/резервный» комплексов УЦ.
№ изм.
Подп.
Дата
14
BY.СЮИК.00346-01 46 01
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
В настоящем документе приняты следующие сокращения:
АСОК
– архив сертификатов открытых ключей
ИОК
– инфраструктура открытых ключей
КП
– комплекс криптографической поддержки
КПА
– комплекс программно-аппаратный
НЖМД
– накопитель на жестком магнитном диске
НКИ
– носитель ключевой информации
НСД
– несанкционированный доступ
ОЗУ
– оперативное запоминающее устройство
ПАК
– программно-аппаратный комплекс
ПЗУ
– постоянное запоминающее устройство
ПС КЗИ И ЭЦП – подсистема криптографической защиты информации и электронной
цифровой подписи
ПУЦ
– подчиненный удостоверяющий центр
ПЭВМ
– персональная электронно-вычислительная машина
РСОК
– реестр сертификатов открытых ключей
РЦ
– регистрационный центр
СОБ
– средство обеспечения безопасности
СОК
– сертификат открытого ключа
СОС
– список отозванных СОК
СУБД
– средства управления базами данных
УКК
– комплекс управления криптографическими ключами
УХИ
– устройство хранения информации
УЦ
– удостоверяющий центр
ЭЦП
– электронная цифровая подпись
№ изм.
Подп.
Дата
15
BY.СЮИК.00346-01 46 01
Лист регистрации изменений
Номера листов (страниц)
Изм.
изменен- замененных
ных
новых
Входящий
Всего
№ сопроволистов
№
аннули- (страниц) в документа дительного Подп. Дата
докум. и
рованных
докум.
дата
№ изм.
Подп.
Дата
