Jump to content

Recommended Posts

Доброго дня!

Имеем УЦ на VipNet 4.6 состоящий из Координатора и связанного с ним машины  ЦУС и УКЦ  и машины Регпоитом.

Доступ в интернет имеет соответственно только координатор. Подскажите где нам проще разместить Vipnet Publication Service для автоматизации публикации и загрузки СОС? Возможно ли это сделать на Координаторе? Если да, то как? Для Координатора в ЦУС не могу добавить соответствующую роль.

Untitled Diagram (1).png

Share this post


Link to post
Share on other sites

Сервис публикаций, полагаю, лучше сделать на отдельной машине. Ну уж точно не на координаторе.

Share this post


Link to post
Share on other sites

А на координаторе это неправильно/невозможно? Отдельную машину под эти задачи не хотелось бы разворачивать т.к. мне кажется что это нецелесообразно.

Share this post


Link to post
Share on other sites

Полагаю лучше всего, если есть возможность, обратиться к документу "Требования по размещению и эксплуатации" (или что-то в этом роде), который поставляется с каждым продуктом ViPNet.

Как считаете, целесообразно делать отдельные машины для ЦУС и УКЦ? Например, в версии "ViPNet Администратор 3" технически есть возможность устать всё это на одна машину. В четвёрке уже нет - нужно всё организовывать на разных рабочих местах. В "КриптоПро УЦ" точно также - Сервер Сертификации и Сервер Регистрации это совершенно разные машины. То, что касается СКЗИ и требований к ним, специалисту не очень плотно с этим всем сталкивающимся, часто кажется "нецелесообразным".

Например, интегратор устанавливает новую сеть ViPNet. Заказчик, из числа технических специалистов, говорит, давайте поставим рабочее место администратора сети ViPNet в серверной, мотивируя это тем, что туда "вааще никто лишний не ходит". На что инженер по информационной безопасности говорит, что нет, так делать нельзя, так как в серверную ходит народ не имеющий отношения к СКЗИ вообще и к ViPNet в частности. Техническому специалисту, кстати, самому главному админу на предприятии, совершенно это не понятно, и дело ему нет, что в серверную ходят не причастные к СКЗИ работники. Потому что "ЭТО ЖЕ СЕРВЕРНАЯ!" Интегратору, в общем-то, всё равно - ему нужно сеть поднять, за которую заказчик платит деньги, и делает так, как говорит главный админ - ведь это ИТ-бюджет, и вообще кто такой этот "инженер поибэ", чтобы говорить ему что и как делать. Но инженер по ИБ, получив всю документацию на "ViPNet Администратор", и НЕМНОГО (!) изучив её, находит чётко прописанное требование как раз в документе "Требования по эксплуатации" от разработчика, где в пункте 8 раздела 3 сказано: "Исключить установку "ViPNet Администратор" в помещение, куда имеют доступ лица не имеющие отношения к ViPNet". А есть такой документ ПКЗ-2005, в котором пункт 46 гласит: "СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ". Правила пользования, как понятно, устанавливает разработчик в соответствующих документах. В пункте 51 этого же документа сказано, что Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется (кроме прочих) ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи". И если вдруг Вы работаете не в государственном учреждении, а в коммерческой организации, не обольщайтесь - придут и к вам. Одни вот тоже думали, пока план проверок на нынешний год не увидели...

Поэтому пусть Координатор делает отдельно своё дело, а Сервис Публикации - отдельно своё. Даже если это кажется нецелесообразным.

Share this post


Link to post
Share on other sites

Есть положительный опыт по расположению Publication Service как на ПК с УКЦ, так и на Координаторе. Он публикует сертификаты и подтягивает СОСы от других УЦ. Это вообще не нагрузка и он никак не помешает работе других приложений. Тем более в 4.6 он ставится по отдельному ключу и его не нужно заводить как СУ.

Share this post


Link to post
Share on other sites

Так дело же не в нагрузке, а в допустимости установки "всё в одно место" с точки зрения элементарной безопасности и требований регулятора.

Share this post


Link to post
Share on other sites

Publicatio Service не является СКЗИ в версии 4, соответственно к нему и нужно относиться как к софту, лицензионному софту. Да он входит в состав УЦ. Может открою тайну, но приложение ЦУС 4 и УКЦ 4 то же не СКЗИ. Все теперь вертится на CSP 4 (СКЗИ). СКЗИ являются Client, Coordinator, Registration Point, ...

Регулятор не регулирует эксплуатацию Publicatio Service 4 ))

" В четвёрке уже нет - НУЖНО всё организовывать на разных рабочих местах. " - Xenobius, где такое вычитал.

ИМХО ставить Админ на одну машину и проще и удобнее как минимум для бэкапа (для бэкапа такие же требования по ИБ как и для машины).

Share this post


Link to post
Share on other sites

Да, удобнее в точки зрения сопровождения, бэкапа... Но немного отвлечёмся: а для чего тогда существует возможность установки УКЦ и ЦУС на разные машины?

Возникает чувство (возможно - ошибочное), что с представителями ФСБ на тему СКЗИ Вы ни разу не общались...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.