Общий порядок ввода в эксплуатацию
Если ввод в эксплуатацию осуществляется в режиме с асимметричной ключевой системой и предварительным распределением ключей, то рекомендуется следующий порядок:
Заказчик принимает партию IP-шифраторов от поставщика и ставит устройства на учет. НКИ заказываются, поставляться и учитываться отдельными позициями. IP-шифраторы могут поставляться несколькими партиями по согласованному графику.
Заказчик передает IP-шифраторы в ЦГКД, где осуществляется персонализация (в т.ч. регистрация) устройств.
Заказчик также передает в ЦГКД НКИ/SIM. В ЦГКД осуществляется запись данных персонализации на НКИ/SIM, а также. генерация и запись КД на те же НКИ/SIM. При этом НКИ/SIM не могут быть использованы для работы ни на каком IP-шифраторе, кроме того, для которого данные НКИ предназначены и записаны.
Персонализация IP шифраторов, генерация и запипсь КД на НКИ обычно осуществляется в едином технологическом процессе, однако технология работы ЦГКД предусматривает также разделение процесса генерации ключей и персонализации шифраторов, если это более удобно для пользователя.
В режиме работы с предварительным распределением ключей, если персонализации подверглись не все IP-шифраторы, НКИ IP-шифраторов остаются в ЦГКД до момента персонализации и записи ключевых данных для последнего IP-шифратора.
Если ввод в эксплуатацию осуществляется в режиме асимметричной ключевой системы с использованием ЦСК, то последовательность доставки IP-шифраторов и НКИ в ЦГКД.
Далее шифраторы могут передаваться в ЦУ VPN или другому субъекту, выполняющему функции конфигурирования IP-шифраторов. Процесс конфигурирования IP-шифраторов может предшествовать процессам персонализации, генерации и записи КД. Процесс конфигурирования IP-шифраторов для работы в конкретной сети (и в определенной точке этой сети) описан в руководстве по эксплуатации соответствующих IP-шифраторов.
После установки КД и проверки успешности идентификации шифратором “своих” КД, установленные в ІР-шифраторе НКИ рекомендуется опечатать или опломбировать с использованием предусмотренных для этого проушин в корпусе.
Профилирование ІР-шифраторов осуществляется в соответствии с документами планирования защищенной сети (документами плана организации защищенной VPN).
По завершению перечисленных операций IP-шифраторы могут быть отправлены установленным порядком к месту их установки.
Подключение элементов защищенной VPN к телекоммуникационной сети и их интеграция в VPN может осуществляться последовательно.
Типовые проблемы при запуске защищенной VPN.Запуск защищенной VPN состоит в подключении элементов сети на предусмотренных планом развертывания местах и проверке их функционирования. При условии, что настройки терминального оборудования, и шифраторов соответствуют свойствам транспортной сети, ключевые данные обеспечивают связность VPN, сеть начинает функционировать сразу.
Для сетей среднего и большого размера более реалистичной является ситуация, когда часть или все шифраторы не могут обеспечить связность защищенной сети. Как правило для поиска и устранения причин оказывается достаточным обеспечить “проходимость” сети традиционными методами (“ping”, “trace”), а также проверить правильность установки параметров IP-шифраторов.
Большую помощь в поиске причин отсутствия соединений может оказать ЦУ VPN, который при наличии сетевой связности в транспортной сети “видит” IP-шифраторы не только успешно подключившиеся к сети, но и шифраторы, которые имеют проблемы с установлением защищенного соединения. При этом имеется возможность дистанционно не только прочитать настройки проблемного шифратора, но и установить их в требуемое состояние.
Типичными ошибками, которые часто встречаются при вводе защищенной VPN в эксплуатацию можно считать следующие:
- Неправильная настройка сетевого оборудования, вследствие чего нет возможности установить ни обычное (открытое), ни защищенное соединение.
- Неправильная настройка IP-шифраторов – ошибки в описании туннелей, режимов работы туннелей, ошибки в задании криптографических идентификаторов абонентов.
- Ошибки в генерации и: установка признака “управляющий” в ключевых данных абонентов, задание не всех необходимых связей,
- Ошибки в использовании ключевых данных: установка НКИ предназначенные для определенного шифратора в другой шифратор, попытки использования “старых” КД совместно с “новыми” КД.
- Неправильная настройка терминального оборудования: IP-адресов/масок, MTU.
Меры по обеспечению безопасности эксплуатации средств защиты.Хранение КД на защищенных носителях, алгоритмические и аппаратные элементы защиты критических данных обеспечивают высокий уровень защиты IP-шифраторов от НСД со стороны злоумышленников, имеющих физический доступ к IP-шифратору. Тем не менее, следует планировать меры по ограничению доступа к IP-шифраторам, предотвращающие потерю контроля над средствами защиты и НКИ на длительный период. Исполнение IP-шифраторов CryptoIP-4х8 не требует установки его в специально выделенных помещениях, однако следует избегать размещения IP-шифраторов ближе одного метра от границы контролируемой зоны. Следует также избегать расположения кабелей связи и питания в непосредственной близости от IP-шифратора.
Эксплуатация защищенной VPN.В процессе эксплуатации можно выделить следующие мероприятия:
- Генерация ключевых документов для плановой (по истечению срока действия старых КД, для масштабирования сети) и внеплановой (особые ситуации) замены ключевых данных.
- Масштабирование защищенной VPN (ввод в эксплуатацию новых объектов VPN, изменение структуры VPN).
- Реконфигурация базовой телекоммуникационной структуры. Изменение телекоммуникационных параметров IP-шифраторов.
- Восстановление работоспособности заблокированных или вышедших из строя IP-шифраторов.
Генерация новых ключевых документов должна осуществляться в ЦГКД на основе документов плана организации защищенной связи.
Генерация новых ключевых документов в процессе эксплуатации является частным случаем генерации ключевых документов при первоначальном вводе защищенной VPN в эксплуатацию. Основные отличия определяются отсутствием необходимости персонализировать в ЦГКД те IP-шифраторы, которые уже единожды прошли процедуру персонализации в ЦГКД.
В частном случае, когда нет необходимости вводить в структуру VPN новые шифраторы, для записи новых КД в ЦГКД отправляются уже использовавшиеся (или новые) НКИ, предназначенные для записи новых КД на используемых IP-шифраторах.
При необходимости ввода в структуру VPN новых IP-шифраторов, вновь вводимые шифраторы (не прошедшие процедуру персонализации в ЦГКД для данной VPN) должны быть физически доставлены в ЦГКД и пройти процедуру персонализации. Целесообразно (но не обязательно) также провести конфигурирование сетевых настроек в ЦУ VPN или на другом объекте, выполняющем функции ЦУ VPN. Конфигурация сетевых настроек может быть проведена непосредственно по месту установки IP-шифратора дистанционно или локально (например, после уточнения места подключения шифратора к мировой или корпоративной сети). После этого шифратор готов к использованию по назначению.
Дата добавления: 2016-06-15; просмотров: 1761;