Общий порядок ввода в эксплуатацию


Если ввод в эксплуатацию осуществляется в режиме с асимметричной ключевой системой и предварительным распределением ключей, то рекомендуется следующий порядок:

Заказчик принимает партию IP-шифраторов от поставщика и ставит устройства на учет. НКИ заказываются, поставляться и учитываться отдельными позициями. IP-шифраторы могут поставляться несколькими партиями по согласованному графику.

Заказчик передает IP-шифраторы в ЦГКД, где осуществляется персонализация (в т.ч. регистрация) устройств.

Заказчик также передает в ЦГКД НКИ/SIM. В ЦГКД осуществляется запись данных персонализации на НКИ/SIM, а также. генерация и запись КД на те же НКИ/SIM. При этом НКИ/SIM не могут быть использованы для работы ни на каком IP-шифраторе, кроме того, для которого данные НКИ предназначены и записаны.

Персонализация IP шифраторов, генерация и запипсь КД на НКИ обычно осуществляется в едином технологическом процессе, однако технология работы ЦГКД предусматривает также разделение процесса генерации ключей и персонализации шифраторов, если это более удобно для пользователя.

В режиме работы с предварительным распределением ключей, если персонализации подверглись не все IP-шифраторы, НКИ IP-шифраторов остаются в ЦГКД до момента персонализации и записи ключевых данных для последнего IP-шифратора.

Если ввод в эксплуатацию осуществляется в режиме асимметричной ключевой системы с использованием ЦСК, то последовательность доставки IP-шифраторов и НКИ в ЦГКД.

Далее шифраторы могут передаваться в ЦУ VPN или другому субъекту, выполняющему функции конфигурирования IP-шифраторов. Процесс конфигурирования IP-шифраторов может предшествовать процессам персонализации, генерации и записи КД. Процесс конфигурирования IP-шифраторов для работы в конкретной сети (и в определенной точке этой сети) описан в руководстве по эксплуатации соответствующих IP-шифраторов.

После установки КД и проверки успешности идентификации шифратором “своих” КД, установленные в ІР-шифраторе НКИ рекомендуется опечатать или опломбировать с использованием предусмотренных для этого проушин в корпусе.

Профилирование ІР-шифраторов осуществляется в соответствии с документами планирования защищенной сети (документами плана организации защищенной VPN).

По завершению перечисленных операций IP-шифраторы могут быть отправлены установленным порядком к месту их установки.

Подключение элементов защищенной VPN к телекоммуникационной сети и их интеграция в VPN может осуществляться последовательно.

Типовые проблемы при запуске защищенной VPN.Запуск защищенной VPN состоит в подключении элементов сети на предусмотренных планом развертывания местах и проверке их функционирования. При условии, что настройки терминального оборудования, и шифраторов соответствуют свойствам транспортной сети, ключевые данные обеспечивают связность VPN, сеть начинает функционировать сразу.

Для сетей среднего и большого размера более реалистичной является ситуация, когда часть или все шифраторы не могут обеспечить связность защищенной сети. Как правило для поиска и устранения причин оказывается достаточным обеспечить “проходимость” сети традиционными методами (“ping”, “trace”), а также проверить правильность установки параметров IP-шифраторов.

Большую помощь в поиске причин отсутствия соединений может оказать ЦУ VPN, который при наличии сетевой связности в транспортной сети “видит” IP-шифраторы не только успешно подключившиеся к сети, но и шифраторы, которые имеют проблемы с установлением защищенного соединения. При этом имеется возможность дистанционно не только прочитать настройки проблемного шифратора, но и установить их в требуемое состояние.

Типичными ошибками, которые часто встречаются при вводе защищенной VPN в эксплуатацию можно считать следующие:

  • Неправильная настройка сетевого оборудования, вследствие чего нет возможности установить ни обычное (открытое), ни защищенное соединение.
  • Неправильная настройка IP-шифраторов – ошибки в описании туннелей, режимов работы туннелей, ошибки в задании криптографических идентификаторов абонентов.
  • Ошибки в генерации и: установка признака “управляющий” в ключевых данных абонентов, задание не всех необходимых связей,
  • Ошибки в использовании ключевых данных: установка НКИ предназначенные для определенного шифратора в другой шифратор, попытки использования “старых” КД совместно с “новыми” КД.
  • Неправильная настройка терминального оборудования: IP-адресов/масок, MTU.

Меры по обеспечению безопасности эксплуатации средств защиты.Хранение КД на защищенных носителях, алгоритмические и аппаратные элементы защиты критических данных обеспечивают высокий уровень защиты IP-шифраторов от НСД со стороны злоумышленников, имеющих физический доступ к IP-шифратору. Тем не менее, следует планировать меры по ограничению доступа к IP-шифраторам, предотвращающие потерю контроля над средствами защиты и НКИ на длительный период. Исполнение IP-шифраторов CryptoIP-4х8 не требует установки его в специально выделенных помещениях, однако следует избегать размещения IP-шифраторов ближе одного метра от границы контролируемой зоны. Следует также избегать расположения кабелей связи и питания в непосредственной близости от IP-шифратора.

Эксплуатация защищенной VPN.В процессе эксплуатации можно выделить следующие мероприятия:

  1. Генерация ключевых документов для плановой (по истечению срока действия старых КД, для масштабирования сети) и внеплановой (особые ситуации) замены ключевых данных.
  2. Масштабирование защищенной VPN (ввод в эксплуатацию новых объектов VPN, изменение структуры VPN).
  3. Реконфигурация базовой телекоммуникационной структуры. Изменение телекоммуникационных параметров IP-шифраторов.
  4. Восстановление работоспособности заблокированных или вышедших из строя IP-шифраторов.

Генерация новых ключевых документов должна осуществляться в ЦГКД на основе документов плана организации защищенной связи.

Генерация новых ключевых документов в процессе эксплуатации является частным случаем генерации ключевых документов при первоначальном вводе защищенной VPN в эксплуатацию. Основные отличия определяются отсутствием необходимости персонализировать в ЦГКД те IP-шифраторы, которые уже единожды прошли процедуру персонализации в ЦГКД.

В частном случае, когда нет необходимости вводить в структуру VPN новые шифраторы, для записи новых КД в ЦГКД отправляются уже использовавшиеся (или новые) НКИ, предназначенные для записи новых КД на используемых IP-шифраторах.

При необходимости ввода в структуру VPN новых IP-шифраторов, вновь вводимые шифраторы (не прошедшие процедуру персонализации в ЦГКД для данной VPN) должны быть физически доставлены в ЦГКД и пройти процедуру персонализации. Целесообразно (но не обязательно) также провести конфигурирование сетевых настроек в ЦУ VPN или на другом объекте, выполняющем функции ЦУ VPN. Конфигурация сетевых настроек может быть проведена непосредственно по месту установки IP-шифратора дистанционно или локально (например, после уточнения места подключения шифратора к мировой или корпоративной сети). После этого шифратор готов к использованию по назначению.



Дата добавления: 2016-06-15; просмотров: 1761;


Поиск по сайту:

Воспользовавшись поиском можно найти нужную информацию на сайте.

Поделитесь с друзьями:

Считаете данную информацию полезной, тогда расскажите друзьям в соц. сетях.
Poznayka.org - Познайка.Орг - 2016-2024 год. Материал предоставляется для ознакомительных и учебных целей.
Генерация страницы за: 0.009 сек.