سیاست ها و ملزومات راه اندازی مرکز میانی صدور گواهی الکترونیکی

Report
‫سیاست ها و ملزومات راه اندازی مرکز میانی صدور گواهی‬
‫الکترونیکی‬
‫نشست تخصص ی گواهی الکترونیکی در‬
‫صنعت نفت‬
‫رضا قورچیان‬
‫مهرماه ‪91‬‬
‫مقدمه‬
‫‪ ‬گواهی نامه الکترونیکی‪ ،‬سندی الکترونیکی است که هویت فرد‪ ،‬اسناد یا یک سازمان را در فضای مجازی نشان‬
‫می دهد و به نوعی معادل شناسنامه یا کارت شناسایی وی می باشد‪.‬‬
‫‪ ‬در گواهینامه الکترونیکی از استاندارد ‪ X.509‬پیروی شده و در آن اطالعاتی مانند‪ :‬مشخصات فرد یا سازمان‪،‬‬
‫کلید عمومی و امضای دیجیتالی صادر کننده این گواهینامه ثبت می شود‪.‬‬
‫‪ ‬با اختیار داشتن گواهینامه دیجیتالی یک فرد‪ ،‬می تواند کلید وی را در اختیار داشت تا بتوان امضای الکترونیکی‬
‫ارسالی از طرف او را اعتبار سنجی نمود‪.‬‬
‫‪2‬‬
‫جایگاه مرکز صدور گواهی الکترونیکی میانی و ریشه‬
‫مرکز ریشه‬
‫مرکز میانی‬
‫صدور گواهی‬
‫‪3‬‬
‫مرکز میانی‬
‫صدور گواهی‬
‫صدور گواهی‬
‫تعاریف پایه در زیرساخت کلید عمومی‬
‫‪ ‬مرکز صدور گواهی الکترونیکی‬
‫مرکز صدور گواهی الکترونیکی در زیرساخت کلید عمومی کشور از مرکز دولتی صدور گواهی الکترونیکی ریشه و مراکز صدور‬
‫گواهی الکترونیکی میانی تشکیل شده است‪.‬‬
‫‪ ‬دفاتر ثبت نام‬
‫دفتر ثبت نام موجودیتی است که وظیفه شناسایی و بررس ی صحت اطالعات دریافت شده از سوی درخواست کنندگان گواهی‬
‫الکترونیکی را بر عهده دارد و با بررس ی هویت درخواست کننده‪ ،‬وظیفه تنظیم درخواست صدور و ابطال گواهی و درخواست‬
‫تجدید گواهی را نیز دارد‪.‬‬
‫‪4‬‬
‫تعاریف پایه در زیرساخت کلید عمومی‬
‫‪ ‬صاحبان امضاء‬
‫صاحب امضا به موجودیتی اطالق میشود که از مرکز صدور گواهی‪ ،‬گواهی دریافت کرده و نام آن به عنوان نام مالک گواهی‪،‬‬
‫ثبت میشود‪ .‬هویت صاحب امضا پیش از صدور گواهی‪ ،‬توسط دفتر ثبت نام بررس ی و احراز هویت میشود‪.‬‬
‫صاحب امضا میتواند‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫شخص‬
‫سازمان‬
‫کارمندان یک سازمان‬
‫اجزاي زیرساختی مثل فایروال‪ ،‬سرویس دهنده مورد اعتماد و یا ابزار دیگري باشد‪.‬‬
‫‪ ‬طرفهای اعتماد کننده‬
‫طرف اعتماد کننده موجودیتی است که به صحت تطابق میان مشخصات و کلید عمومی مالک گواهی الکترونیکی اعتماد کرده و‬
‫گواهی الکترونیکی او را مورد استناد قرار میدهد‪.‬‬
‫‪5‬‬
‫مرکز میانی صدور گواهی‬
‫مرکز صدور گواهی میانی موجودیتی است که توسط مرکز صدور گواهی الکترونیکی ریشه مورد تائید قرار‬
‫گرفته و مجوز های زیر را دریافت می کند‪:‬‬
‫‪ ‬ایجاد گواهی الکترونیکی‬
‫‪ ‬مدیریت فرایندها و فعالیتهای گواهی الکترونیکی‬
‫‪ ‬صدور خدمات گواهی الکترونیکی‬
‫‪6‬‬
‫وظایف و مسئولیت های مرکز‬
‫‪ ‬مرکز صدور گواهی الکترونیکی میانی مسئولیت کلیه موارد زیر را بر عهده دارد‪:‬‬
‫‪ ‬بررس ی صالحیت و صدور مجوز برای دفاتر ثبت نام ذیربط‬
‫‪ ‬تضمین ارائه خدمات و لغو گواهی ها به صورت سریع و مطمئن‬
‫‪ ‬تضمین محرمانه بودن داده های مربوط به امضا در فرآیند ایجاد داده ها برای جلوگیری از شبیه سازی گواهی ها‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪7‬‬
‫حصول اطمینان از کلیه موارد زیر‪:‬‬
‫صحیح بودن اطالعات مندرج در گواهی ها‪ ،‬در لحظه صدور گواهی الکترونیکی‬
‫تحویل داده های ایجاد و بررس ی امضای الکترونیکی به امضا کننده‬
‫کنترل انحصاری بودن امضای الکترونیکی درخواست کننده‬
‫تعیین و قابل تشخیص بودن تاریخ‪ ،‬ساعت صدور و لغو گواهی الکترونیکی‬
‫تضمین عدم کپی و ذخیره داده های امضای الکترونیکی‬
‫در دسترس نبودن گواهی برای عموم‬
‫تاسیس مرکز میانی‬
‫‪8‬‬
‫•‬
‫ارائه پیشنهاد سیاست ها و دستورالعمل گواهی مرکز میانی و ارائه به مرکز ریشه‬
‫•‬
‫تطابق با سیاست ها و دستورالعمل های مرکز ریشه‬
‫•‬
‫بررس ی سیاست ها و دستورالعمل های مرکز میانی‪ ،‬توسط مرکز ریشه‬
‫•‬
‫بررس ی و احراز شرایط الزم و صالحیت مرکز میانی‪ ،‬توسط مرکز ریشه و دریافت مجوز‬
‫•‬
‫بررس ی اطالعات و مدارک مرکز میانی و نگهداری آن ها توسط مرکز ریشه‬
‫انواع مركز مياني‬
‫انواع مراکز میانی‬
‫مرکز میانی‬
‫خصوص ی‬
‫‪9‬‬
‫مرکز میانی‬
‫بیرونی‬
‫مراکز تابعه‬
‫مرکز میانی دولتی‬
‫مرکز میانی عام‬
‫مرکز میانی عام‬
‫‪ ‬ارائه خدمات گواهی الکترونیکی به صورت عام برای کاربردهای مختلف به‬
‫متقاضیان‬
‫‪ ‬مرکز منحصربفردی که بطور عام مبادرت به ارائه خدمات گواهی الکترونیکی‬
‫برای متقاضیان می نمایند‪.‬‬
‫‪ ‬تا زمان راه اندازی مراکز میانی خصوص ی‪ ،‬این مرکز مجاز است به مشتریان‬
‫بخش خصوص ی برای کاربردهای غیر دولتی‪ ،‬خدمات گواهی الکترونیکی ارائه می‬
‫نماید‪.‬‬
‫‪10‬‬
‫مرکز میانی دولتی‬
‫کلیه دستگاه های اجرایی‪ ،‬می توانند با کسب مجوز از مرکز صدور گواهی ریشه‪،‬‬
‫درحوزه فعالیت خود‪ ،‬اقدام به تاسیس مرکز میانی دولتی نمایند‪.‬‬
‫مراکز تابعه‬
‫مراکز میانی دولتی در صورت داشتن شرایط مربوطه می توانند در حوزه فعالیت خود‬
‫اقدام به ایجاد مراکز تابعه و صدور گواهی برای آنها نمایند‪.‬‬
‫‪11‬‬
‫مراکز میانی خصوص ی‬
‫اين مراكز جهت صدورگواهي الكترونيكي مورد استفاده در بخش خصوص ي‪ ،‬براي‬
‫كاربرد هاي تعريف شده مربوطه‪ ،‬پس از احراز صالحيت هاي كيفي‪ ،‬كمي و‬
‫حقوقي‪ ،‬مجوز تاسيس از مركز ريشه را خواهند گرفت‪.‬‬
‫‪12‬‬
‫مرکز میانی بیرونی‬
‫مراکز مياني خصوص ي که توصیف شدند با احراز شرايط الزم و كسب مجوز گواهي از‬
‫مركز ريشه تحت عنوان « مرکز میانی بیرونی» مي توانند‪ ،‬پس از انعقاد قرارداد با‬
‫ً‬
‫دستگاه دولتي مورد نظر‪ ،‬اقدام به صدور گواهي الكترونيكي صرفا براي كاربردهاي‬
‫دولت با بنگاه (‪ )G2B‬و دولت با مشتري (‪ )G2C‬نمایند‪.‬‬
‫‪13‬‬
‫کالس های مرکز میانی‬
‫‪14‬‬
‫‪CA Class‬‬
‫سطح گواهی قابل ارائه‬
‫‪Class 1‬‬
‫‪Level 1‬‬
‫‪Class 2‬‬
‫‪Level 1 , 2‬‬
‫‪Class 3‬‬
‫‪Level 1 , 2 , 3‬‬
‫‪Class 4‬‬
‫‪Level 1, 2 , 3 , 4‬‬
‫یکی از پیشنیاز ها در تاسیس مرکز میانی‬
‫گواهی‪ ،‬تعیین سطوح قابل ارائه گواهی‬
‫است‪.‬‬
‫‪CA Class‬‬
‫سطح گواهی قابل ارائه‬
‫مرکز دولتی ریشه‬
‫‪Class 4‬‬
‫مرکز میانی دولتی عام‬
‫‪Class 4‬‬
‫مرکز میانی دولتی‬
‫‪Class 3‬‬
‫مرکز بیرونی‬
‫‪Class 3‬‬
‫مراحل ایجاد مراکز میانی صدور گواهی الکترونیکی‬
‫‪15‬‬
‫مراحل ایجاد مرکز میانی صدور گواهی الکترونیکی‬
‫مرحله ‪ -1‬سیاستها و دستورالعملها‬
‫• ارائه سياستها و دستورالعمل اجرایی گواهي “ ‪ “ CP , CPS‬سياستهاي بازيابي كليد و دستورالعمل اجرایی آن ‪“ KRP ,‬‬
‫“ ‪ KRPS‬و خالصه طرح تجاري ‪BP‬و خالصه طرح فیزیکی ساختمان (توسط متقاض ي)‬
‫• بررس ي سياستهاي گواهي و سياستهاي بازيابي كليد مركز متقاض ي (توسط مركز ريشه)‬
‫• توسعه دستورالعمل اجرايي مركز مطابق با سياستهاي مركز و دستورالعمل اجرايي بازيابي كليد مطابق سياستهاي بازيابي‬
‫كليد مركز متقاض ي (توسط متقاض ي)‬
‫• بررس ي دستورالعمل اجرايي مركز متقاض ي (توسط مركز ريشه)‬
‫• صدور نامه تاييديه مقدماتي (توسط مركز ريشه) براي شوراي سياستگذاري‬
‫• تشکیل شورا جهت تائید(توسط مركز ريشه)‬
‫• صدور تائیدیه شورا جهت تاسیس مرکز میانی‬
‫مرحله ‪ -2‬پیاده سازی‬
‫‪16‬‬
‫•‬
‫تولید نرم افزار‬
‫•‬
‫ارائه مستندات تکمیلی‬
‫•‬
‫راه اندازی دفتر ثبت نام‬
‫مراحل ایجاد مرکز میانی صدور گواهی الکترونیکی‬
‫مرحله فني‬
‫‪ (1‬ارائه معماري و فناوري مورد استفاده (توسط متقاض ي)‬
‫‪ (2‬ارائه طرح فني ساختمان (توسط متقاض ي)‬
‫‪ (3‬تهيه گزارش فني (توسط مركز ريشه) براي شوراي سياستگذاري‬
‫‪17‬‬
‫مراحل ایجاد مرکز میانی صدور گواهی الکترونیکی‬
‫مرحله حقوقي‬
‫‪ (1‬تهيه موافقتنامه (توسط واحد مركز و اخذ تائید توسط‬
‫ريشه)‬
‫‪ (2‬تعيین میزان تضمین الزم (توسط مركز ريشه)‬
‫‪ (3‬امضاء موافقت نامه (توسط متقاض ي)‬
‫‪ (4‬ارائه ضمانتنامه تعيین شده (توسط متقاض ي)‬
‫‪18‬‬
‫مراحل ایجاد مرکز میانی صدور گواهی الکترونیکی‬
‫مرحله تاييد‬
‫• پس اتمام موفقيت آمیز مراحل یاد شده‪ ،‬موافقتنامه امضاء شده متقاض ي به همراه‬
‫نسخه دستورالعمل اجرایی تاييد شده براي تصميم گیري به شوراي سياستگذاري‬
‫ارسال ميشود‪ .‬امضاء شوراي سياستگذاري به معني تاييد متقاض ي براي تاسيس مركز‬
‫مياني ميباشد‪.‬‬
‫• ارسال موافقت به مرکز میانی (توسط شوراي سياستگذاري)‬
‫‪19‬‬
‫مراحل ایجاد مرکز میانی صدور گواهی الکترونیکی‬
‫مرحله بازرس ي‬
‫• پس از اتمام فرصت داده شده بازرس ي از مركز متقاض ي صورت ميگیرد‪.‬‬
‫• ارائه گزارش بازرس به ریشه و بررس ی آن‬
‫• صدور نامه تاييديه بازرس ي (توسط بازرس) در صورت تائید‬
‫‪20‬‬
‫مراحل ایجاد مرکز میانی صدور گواهی الکترونیکی‬
‫مرحله پياده سازي‬
‫• صدور مجوز عمليات (توسط مركز ريشه)‬
‫• برگزاري مراسم و صدور گواهي مركز متقاض ي (كميته نظارتي شوراي‬
‫سياستگذاري)‬
‫• راه اندازی سیستم ها و نرم افزار‬
‫‪21‬‬
‫• راه اندازی دفتر ثبت نام‬
‫مستندات اصلی و پایه برای ایجاد مرکز میانی صدور گواهی الکترونیکی‬
‫‪ .1‬سند سياست هاي گواهي )‪(Certificate Policy‬‬
‫‪ .2‬سند دستورالعمل اجرايي گواهي )‪(Certification Practice Statement‬‬
‫‪ .3‬سند سياستهاي بازيابي كليد )‪(Key Recovery Policy‬‬
‫‪ .4‬سند دستورالعمل بازيابي كليد )‪(Key Recovery Practice Statement‬‬
‫‪ .5‬طرح فني ساختمان‬
‫‪ .6‬طرح فني تجهیزات‬
‫‪ .7‬خالصه طرح تجاري‬
‫‪22‬‬
‫سند سیاست های گواهی‬
‫مجموعه سياستهاي گواهي الكترونيكي مشتمل بر سياستها‪ ،‬قوانین‪ ،‬مقررات و روشهاي فني‪ ،‬حقوقي و ساختاري‬
‫كه مطابق با استانداردهاي بین املللي تدوين شده است و حداقل خواسته ها و الزامات پياده سازي مركز میانی‬
‫صدورگواهي‪ ،‬دفاتر ثبت نام‪ ،‬صاحبان امضا و طرف هاي اعتمادكننده و ‪ ....‬را مشخص مي كند‪.‬‬
‫‪23‬‬
‫سند دستورالعمل اجرایی‬
‫مجموعه دستورالعملهايي است كه منطبق با سياست هاي گواهي جهت تشريح جزئيات‬
‫عملكرد مديريت گواهي هاي الكترونيكي‪ ،‬تدوين مي گردد‪.‬‬
‫این دستورالعملها بر اساس سیاست ها نوشته شده و عملکرد اجرایی و فرایندی مرتبط با‬
‫سیاستها را بیان می دارد‪.‬‬
‫‪24‬‬
‫سند سیاست های بازیابی کلید‬
‫مركز مياني صدور گواهی نامه الکترونیکی كه گواهي محرمانگي صادر مي كند‪ ،‬بايد قابليت‬
‫نگهداري و بازيابي كليد را داشته باشند‪ .‬هدف از اين سند توضيح امنيت و احراز هويت مورد‬
‫نياز‪ ،‬در پياده سازي عمليات مربوط به بازيابي كليد است‪.‬‬
‫این سند مجموعه سياست هاي بازيابي كليد‪ ،‬شيوه ها‪ ،‬روال ها‪ ،‬مسائل حقوقي و فني بازيابي‬
‫كليدها از پايگاه داده‪ ،‬توسط افراد مجاز و يا صاحبان گواهي را توضيح مي دهد‪.‬‬
‫‪25‬‬
‫سند دستورالعمل بازیابی کلید‬
‫)‪(Key Recovery Practice Statement‬‬
‫مجموعه دستورالعملهايي است كه منطبق با سياستهاي بازيابي كليد جهت تشريح جزئيات روال ها و كنترل هاي الزم‬
‫براي پياده سازي سياست هاي بازيابي كليد‪ ،‬تدوين مي گردد‪.‬‬
‫‪26‬‬
‫طرح فنی ساختمان‬
‫در اين سند مي بايست مشخصات كلي مربوط به محل فیزيكي سايت مركز از قبيل نقشه فني‪ ،‬موقعيت جغرافيايي‪،‬‬
‫شرايط محيطي وتجهیزات حفاظتي و كنترلي ساختمان و ‪....‬تشريح گردد و اين مشخصات بايد معادل با استاندارد های‬
‫مورد تائید ریشه باشد‪.‬‬
‫‪27‬‬
‫طرح فنی تجهیزات‬
‫در اين سند مي بايست مشخصات كليه مؤلفه هاي عملياتي مركز شامل سخت افزار‪ ،‬نرم افزار و ماژولهاي رمزنگاري‬
‫مربوط به سيستم پايگاه داده‪ ،‬سيستم های مرتبط با دفتر ثبت نام‪ ،‬سيستم های مرتبط با مدیریت گواهی‪ ،‬سيستم ابطال‬
‫‪ ،‬سرويس دايركتوري‪ ،‬سيستم توليد كليد‪ ،‬مشخصات سرورها‪ ،‬فايروالها‪ ،HSM ،‬الگوريتم هاي رمزنگاري‪ ،‬سيستم تهيه‬
‫نسخه پشتيبان‪ ،‬آنتي ويروس‪ ،‬آنتي اسپم تشريح گردد‪.‬‬
‫‪28‬‬
‫طرح تجاری‬
‫جهت تهيه طرح تجاري ‪ ،‬الزم است به سواالت ذيل پاسخ داده شود‪ .‬پاسخها ميبايست با مطالب مندرج در ‪ CPS‬مركز مياني‬
‫درخواست كننده مطابقت داشته باشد‪.‬‬
‫‪ .1‬بازار هدف سازمان ‪ /‬شركت خود را معرفي نمائيد‪.‬‬
‫‪ .2‬بعد مكاني بازار هدف شما كداميك از حاالت داخلي‪ ،‬منطقه اي و يا بین املللي را پوشش ميدهد؟‬
‫‪ .3‬با توجه به محدوديتهاي موجود‪ ،‬ارزيابي خود را جهت خدمات منطقه اي و بین املللي بيان نمائيد‪.‬‬
‫‪ .4‬آيا امكانات فراهم شده توسط سازمان‪/‬شركت ‪ ،‬پاسخگوي سطح انتخابي شما ميباشد؟‬
‫‪ .5‬طرح سازمان ‪ /‬شركت در ارتباط با دفاتر ثبت نام ارائه كننده خدمات به مشتري چيست؟‬
‫‪ .6‬پيش بيني خود را در خصوص محدوديتهاي درون سازماني و برون سازماني‬
‫بيان نمائيد‪.‬‬
‫‪ .1‬نتايج حاصل از راه اندازي مركز خود را بيان نمائيد‪.‬‬
‫‪ .2‬برنامه هاي خود را در ارتباط با چرخه صدور گواهي بيان كنيد‪.‬‬
‫‪29‬‬
‫طرح تجاری‬
‫‪ .9‬استراتژي سازمان‪/‬شركت جهت دستيابي به هدف چيست؟‬
‫‪ .10‬فعاليت صدور گواهي از ديدگاه سازمان‪/‬شركت شامل كداميك از حوزه هاي توليدي ‪ ،‬خدماتي ‪ ،‬اقتصادي و ‪..‬‬
‫ميشود؟ تاكيد سازمان ‪/‬شركت شما بر كدام حوزه ميباشد؟‬
‫‪ .11‬سازمان ‪ /‬شركت درخواست كننده كداميك از سطوح مراكز صدورگواهي ميباشد؟‬
‫‪ .12‬آيا امكانات فراهم شده توسط سازمان‪/‬شركت ‪ ،‬پاسخگوي سطح انتخابي شما ميباشد؟‬
‫‪ .13‬گواهي هاي صادره توسط سازمان ‪/‬شركت داراي چه كاربردها و چه سطوحي خواهند بود؟‬
‫‪ .14‬آيا اين دسته گواهي هاي كاربردي توسط مركز ديگري صادر ميشود؟‬
‫‪ .15‬برآورد شما از تعداد گواهي هاي صادر شده توسط سازمان ‪/‬شركت چه میزان ميباشد؟‬
‫‪ .16‬طرح سازمان ‪ /‬شركت در ارتباط با دفاتر ثبت نام ارائه كننده خدمات به مشتري چيست؟‬
‫‪ .17‬بجز خدمات معمول ارائه شده توسط دفاتر ثبت نام‪ ،‬آيا خدمات ديگري جهت ارائه در خصوص اين مرکز صورت‬
‫ميگیرد؟‬
‫‪30‬‬
‫طرح تجاری‬
‫‪ .18‬بودجه اختصاص داده شده به اين طرح در سازمان ‪/‬شركت چقدر است؟‬
‫‪ .19‬آيا سازمان‪/‬شركت راهكاري جهت ترغيب‪/‬اجبار مشتريان به استفاده از گواهي الكترونيكي درنظر گرفته‬
‫است؟‬
‫‪ .20‬آيا سازمان‪/‬شركت در نظر دارد براي گواهي هاي صادر شده تضميني ارائه نمايد؟‬
‫‪ .21‬بازه زماني كه جهت راه اندازي مركز در نظر گرفته ايد را بيان نمائيد‪.‬‬
‫‪ .22‬پيش بيني خود را در خصوص محدوديتهاي درون سازماني و برون سازماني بيان نمائيد‪.‬‬
‫‪ .23‬برنامه هاي مورد نياز جهت پياده سازي فني مركز بيان نمائيد‪.‬‬
‫‪. .24‬آيا ارائه خدمات صدور گواهي با اساسنامه شركت تطابق دارد؟ درصورت عدم تطابق چه موانعي ايجاد‬
‫ميكند؟‬
‫‪ .25‬چه استانداردهايي براي منابع نرم افزاري و سخت افزاري خود مد نظر داريد؟‬
‫‪31‬‬
‫طرح تجاری‬
‫‪ .26‬نتايج حاصل از راه اندازي مركز خود را بيان نمائيد‪.‬‬
‫‪ .27‬برنامه هاي خود را در ارتباط با چرخه صدور گواهي بيان كنيد‪.‬‬
‫‪ .28‬سرويس و خدمات ارائه شده توسط سازمان ‪ /‬شركت رايگان ميباشد؟‬
‫‪ .29‬مبلغ دريافتي از مشتري سازمان ‪ /‬شركت بابت هرگواهي كاربرد و سطح را تعيین نمائيد‪.‬‬
‫‪ .30‬با توجه به مبلغ دريافتي از مشتري ‪ ،‬سازمان ‪ /‬شركت چه تضميني را به مشتري ارائه ميكند؟‬
‫‪ .31‬سازمان ‪ /‬شركت چه وجه الضماني جهت ارائه به مركز دولتي صدور گواهي الكترونيكي ريشه در نظر گرفته‬
‫است؟‬
‫‪ .32‬ارزش وجه الضمان سازمان ‪ /‬شركت به مركز دولتي صدور گواهي الكترونيكي ريشه چقدر است؟‬
‫‪32‬‬
‫مستندات فرایندها و روالهای مرتبط با مرکز صدور گواهی الکترونیک میانی‬
‫‪ .1‬مستند «عمليات مديريت پشتيباني مركزمياني»‬
‫‪ .2‬مستند «طرح منابع انساني مركزمياني »‬
‫‪ .3‬مستند «سياستهاي امنيتي مركزمياني»‬
‫‪ .4‬مستند «معماري ساختمان مركزمياني »‬
‫‪ .5‬مستند «رويه برپاسازي مركزمياني »‬
‫‪ .6‬مستند «توافقنامه محدوده خدمات و طرح پشتيباني مركزمياني »‬
‫‪ .7‬مستند «طرح تداوم خدمات مركزمياني »‬
‫‪ .8‬مستند «روش اجرايي توليد كليد مركزمياني »‬
‫‪ .9‬مستند «عمليات اجرايي مركزمياني»‬
‫‪ .10‬مستند «طرح ارتقاء و جايگزيني مركزمياني »‬
‫‪ .11‬مستند «طرح بازيابي خرابي مركز مياني»‬
‫‪ .12‬مستند «طرح شبكه مركزمياني »‬
‫‪33‬‬
‫مستند «عمليات مديريت پشتيباني مركزمياني»‬
‫اين مستند مشتمل بر مجموعه روالها و فرآيندهاي الزم جهت انجام عمليات پشتيبان گیري و سياستهاي تهيه نسخه‬
‫پشتيبان مي باشد‪ .‬در اين مستند كليه موارد حياتي مركز مياني‪ ،‬شامل اطالعات نرم افزاري‪ ،‬سخت افزاري مربوط به‬
‫سرورها‪ ،‬نرم افزار سامانههاي صدورگواهي‪ ،‬سرور ‪ ،CCTV‬سرور كنترل دسترس ي‪ ،‬نسخه قابل ويرايش كليه مستندات‬
‫مركز مياني و گواهي هاي صادر شده مشخص مي شود‪ .‬همچنین چگونگي تهيه و نگهداري نسخه پشتيبان براي هر بخش‬
‫معین مي گردد‪.‬‬
‫‪34‬‬
‫مستند «طرح منابع انساني مركزمياني »‬
‫اين مستند حاوي كليه فرآيندهاي مرتبط با جذب‪ ،‬استخدام و گزينش كارشناسان مركز مياني‪ ،‬با اطمينان از بهروزرساني‬
‫مهارتهاي آنان مطابق با تغيیرات روالها و فرايندهاي مركز مياني مي باشد‪ .‬اين مستند كليه سياستهاي سازمان در قبال‬
‫نیروي انساني متخصص و غیر متخصص مرتبط با مركز مياني را تعيین مي نمايد و كليه فرآيندهاي مرتبط با نیروي‬
‫انساني و شامل موارد زير مي باشد‪:‬‬
‫‪ ‬جذب‬
‫‪ ‬نگهداري‬
‫‪ ‬آموزش‬
‫‪ ‬ارتقاء‬
‫‪ ‬شرح وظايف‬
‫‪ ‬جابجائي‬
‫‪35‬‬
‫مستند «سياستهاي امنيتي مركزمياني»‬
‫اين مستند اهداف سازماني مرتبط با حفاظت داراييهاي اطالعاتي را تعيین مي نمايد‪ .‬سياستهاي امنيتي‪ ،‬مبناي اجراي‬
‫كنترلهاي امنيتي ميباشد و روالهاي امنيتي حاكم جهت مديريت زيرساخت كليد عمومي و مرکز مرتبط را بيان مي كند‪.‬‬
‫سیاست نامه شامل بخش های زیر می باشد‪:‬‬
‫‪ ‬سياستنامه امنيتي‬
‫‪ ‬امنيت سازماني‬
‫‪ ‬طبقه بندي و كنترل دارايي ها‬
‫‪ ‬طبقه بندي اطالعات‬
‫‪ ‬امنيت كاركنان‬
‫‪ ‬امنيت فیزيكي‬
‫‪ ‬كنترلهاي عمومي‬
‫‪ ‬مديريت ارتباطات و فعاليتها‬
‫‪ ‬كنترل دسترس ي‬
‫‪ ‬نگهداري و توسعه سيستم‬
‫‪ ‬سازگاري‬
‫‪ ‬مستندات مرتبط‬
‫‪36‬‬
‫مستند «معماري ساختمان مركزمياني »‬
‫سند معماري ساختمان حاوي مشخصاتي ميباشدكه يك ساختمان مركز صدور گواهي استاندارد بايد دارا باشد‪.‬‬
‫سند شامل بخش های زیر می باشد‪:‬‬
‫‪ ‬مولفه هاي ساختمان ايمن‬
‫‪ ‬معيارهاي سنجش مولفه ها‬
‫‪ ‬سازه و معماري ساختمان‬
‫‪ ‬شرايط استراتژيك داخلي‬
‫‪ ‬شرايط استراتژيك خارجي‬
‫‪ ‬تجهیزات كنترلي‬
‫‪37‬‬
‫مستند «رويه برپاسازي مركزمياني »‬
‫در اين سند نحوه برپاسازي سيستم صدور گواهي مركز مياني شامل نحوه نصب و راه اندازي سيستمعامل سرور‬
‫صدورگواهي‪ ،‬نرمافزارهاي مورد نياز جهت راه اندازي سرور صدورگواهي مركز و همچنین نحوه نصب‪ ،‬راه اندازي و اتصال‬
‫سخت افزار(‪ )HSM‬بيان ميشود‪.‬‬
‫‪38‬‬
‫مستند «رويه برپاسازي مركزمياني » ادامه ‪.....‬‬
‫این مستند به توجه به موارد زیر ایجاد می شود‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪39‬‬
‫معماري و سرويس هاي قابل ارائه مركز مياني‬
‫دراختيارداشتن مستند منابع انساني‬
‫معین بودن سخت افزار شامل سرور ويا سرورها ‪ ،‬و ‪HSM‬جهت پياده‬
‫سازي معماري مد نظر براي هر سامانه‬
‫معین بودن درايورهاي سخت افزاري‪،‬‬
‫دراختيار داشتن مراجع اصلي‪ ،‬منابع و راهنماهاي موجود‬
‫سيستم عامل مورد نيازسامانه ها‪،‬‬
‫نرم افزار صدورگواهي‪،‬‬
‫نرم افزارهاي ارائه دهنده سرويس‬
‫جلسه مشترك نصب و راه اندازي‬
‫دراختيار قراردهي نرم افزار و سخت افزارهاي مزبور جهت مستندسازي‬
‫مستند «توافقنامه محدوده خدمات و طرح پشتيباني مركزمياني »‬
‫توافقنامه محدوده خدمات‪ ،‬قراردادي است كه سطح ارائه خدمات از طرف مجري به‬
‫كارفرما را پس از تحويل مركز صدور گواهي الکترونیکی میانی و دوره راهبري مركز‪،‬‬
‫مشخص ميكند‪ .‬بر اساس اين توافقنامه كارفرما ميداند كه در چه مواردي از خدمات‬
‫مجري (مانند مشاوره و غیره) بهرهمند خواهد شد‪.‬‬
‫اين مستند تعيین كننده محدوده خدمات شركت مربوطه را پس از تحويل مركز مياني‬
‫تعيین مي كند‪.‬‬
‫‪40‬‬
‫مستند «طرح تداوم خدمات مركزمياني »‬
‫اين سند حاوي فعاليتهايي است كه جهت تداوم ارائه سرويس ها و جلوگیري از بروز خرابي در مركز مياني صورت مي گیرد‪.‬‬
‫در اين سند مخاطرات تهديد كننده و موانع ارائه خدمات مركز فهرست مي گردد‪ .‬همچنین اقدامات پيشگیرانه الزم‪ ،‬جهت‬
‫جلوگیري از بروز خرابي تهيه و تدوين مي گردد‪ .‬اين مستند مبناي بازرس ي داخلي مركز ميانی خواهد بود‪ .‬بازرس ي داخلي بر‬
‫اساس دوره هاي زماني آورده شده در مستند دستورالعمل اجرايي مركز مياني‪ ،‬و همچنین براساس نيازمنديهاي مدنظر مركز‬
‫مياني‪ ،‬به صورت روزانه‪ ،‬هفتگي ‪ ،‬ماهانه و ساالنه صورت خواهد پذيرفت‪.‬‬
‫‪41‬‬
‫مستند «روش اجرايي توليد كليد مركزمياني »‬
‫اين سند حاوي تکنولوژي مورد استفاده‪ ،‬مجريان‪ ،‬مراحل و شرايط توليد زوج كليد و همچنین فرآيند توليد گواهي‬
‫امضای الكترونيكي مركز مياني ميباشد‪.‬‬
‫مستند روش اجرايي توليد كليد به بخشهای زير تقسيم مي گردد‪:‬‬
‫روش اجرايي توليد كليد سامانه صدور گواهي الكترونيكي مياني‬
‫سرور دفاتر ثبت نام (بسته به نوع نرم افزار)‬
‫سرويس گیرندگان دفاتر ثبت نام (بسته به نوع نرم افزار)‬
‫پايگاه داده (بسته به نوع نرم افزار)‬
‫روش اجرايي راه اندازي سرويس ‪ LDAP‬مركز مياني‬
‫روش اجرايي توليد كليد سامانه سرويس ‪OCSP‬‬
‫روش اجرايي توليد كليد سامانه سرويس مهر زماني‬
‫‪42‬‬
‫مستند «عمليات اجرايي مركزمياني»‬
‫اين مستند شامل كليه وظايف عملياتي روزانه كارشناسان مركز مياني ميباشد و كليه وظايف كاركنان مركز را بر‬
‫حسب نقش آنها بيان ميكند‪ .‬اين مستند كليه فعاليتهاي مركز راتحت پوشش قرار داده است‪.‬‬
‫‪43‬‬
‫مستند «طرح ارتقاء و جايگزيني مركزمياني »‬
‫در این مستند هدف تهيه مجموعه روالهايي است كه جهت ارتقاء و جايگزيني سامانه صدورگواهي صورت مي گیرد‪.‬‬
‫مستند مزبور مجموعه فرآيندها و روالهايي است كه به هنگام ارتقاء و جايگزيني نرم افزار و يا سخت افزار سامانه‬
‫های مركز صدور گواهي به نرم افزار و يا سخت افزار جديد ميبايست صورت گیرد‪.‬‬
‫‪44‬‬
‫مستند «طرح بازيابي خرابي مركز مياني»‬
‫خرابي وقوع يك حادثه ناگهاني پيشبيني نشده ميباشد كه شرايط عادي مركز را مختل ميكند يا مانع از اجراي‬
‫فعاليتهاي عادي مركز مياني ميشود‪ .‬همچنین هر اتفاقي كه امنيت سايت مركز را تهديد كند‪ ،‬حادثه به شمار ميآيد‪.‬‬
‫قطع برق‪ ،‬آتشسوزي يا مشكالت سيستم نمونههايي از يك حادثه ميباشند‪ .‬این مستند روالهاي بازيابي خرابي در‬
‫صورت بروز حوادث را تعيین مي نمايد‪.‬‬
‫تکمیل مستند طرح بازیابی خرابی نیازمند پیش نیازهای زیر می باشد‪:‬‬
‫‪ ‬مشخص بودن کلیه منابع مرکزمیانی‬
‫‪ ‬دریافت نظر کارشناسان فنی‬
‫‪ ‬در اختیار داشتن سیستمهای کنترل دسترس ی و ‪ CCTV‬راه اندازی شده‬
‫‪45‬‬
‫مستند «طرح شبكه مركزمياني »‬
‫با توجه به نیاز مرکز میانی به برقراری بستر شبکه ایمن (در مقابل انواع مختلف تهدیدات داخلی و خارجی) طراحی‬
‫و پیاده سازی این بستر از موارد ضروری محسوب می گردد‪ .‬با توجه به اهمیت و گستردگی مرکز داده مرکز میانی‪،‬‬
‫موارد زیر در مستند طرح شبکه آورده می شود‪:‬‬
‫‪ ‬متدولوژی و استانداردهای طراحی شبکه‬
‫‪ ‬متدها و استانداردهای طراحی فیزیکی‬
‫‪ ‬نقشه شبکه و شکل مرکز داده مرکز میانی‬
‫‪ ‬مشخصات تجهیزات و نحوه چیدمان‬
‫‪46‬‬
‫انواع گواهی (نام ها و تعاریف بر اساس سطوح)‪:‬‬
‫سطح گواهی‬
‫سطح اطمینان‬
‫نام‬
‫تعریف‬
‫‪Level 1‬‬
‫‪Rudimentary‬‬
‫برنز‬
‫این سطح از گواهی برای مصارف درون سازمانی صادر شده و مورد استفاده‬
‫قرار می گیرد‪.‬‬
‫‪Level 2‬‬
‫‪Basic‬‬
‫نقره‬
‫این سطح از گواهی برای مصارف درون سازمانی صادر شده و مورد استفاده‬
‫قرار می گیرد‪.‬‬
‫‪Level 3‬‬
‫‪Medium‬‬
‫طال‬
‫این سطح از گواهی قابلیت استفاده در تمامی دستگاه های دولتی را دارا می‬
‫باشد‪.‬‬
‫‪Level 4‬‬
‫‪High‬‬
‫پالتین‬
‫این سطح از گواهی قابلیت استفاده در تمامی دستگاه های دولتی را دارا می‬
‫باشد‪.‬‬
‫سطح اطمینان‬
‫‪47‬‬
‫تعریف‬
‫سطح ‪1‬‬
‫هیچگونه تهدیدی وجود ندارد‪.‬‬
‫سطح ‪2‬‬
‫با تعداد محدودی تهدید بر روی شبکه روبرو است‪.‬‬
‫سطح ‪3‬‬
‫با تهدیدات زیادی بر روی شبکه و تعداد محدودی تهدید توسط کاربران خرابکار داخلی مواجه است‪.‬‬
‫سطح ‪4‬‬
‫با تهدیدات زیادی هم بر روی شبکه و هم از طریق کاربران داخلی مواجه است‪.‬‬
‫کلیات دستورالعمل اجرايي‬
‫• الزامات گواهینامه‪ ،‬ثبت نام‪ ،‬صاحبان امضا‪ ،‬مشتریان و طرفهای اعتماد کننده به همراه زیر ساخت کلید عمومی‬
‫• موارد قانونی که در موافقت نامههای صاحبان امضاء و طرفهای اعتماد کننده وجود دارد و با زیر ساخت کلید عمومی‬
‫تحت پوشش قرار میگیرد‪.‬‬
‫• ممیزی و اقدامات مرتبط با امنیت و بررس ی شیوههای ارتباطی با صاحبان امضاء‬
‫• متدلوژیها و روشهای مورد نیاز در زیر ساخت کلید عمومی که جهت تائید هویت متقاضیان گواهی برای هر نوع گواهی‬
‫استفاده میشود‪.‬‬
‫• مراحل عملیاتی الزم برای چرخه حیات گواهینامه و خدمات مرتبط مانند‪ :‬درخواست گواهی‪ ،‬صدور گواهی‪ ،‬پذیرش گواهی‪،‬‬
‫ابطال گواهی و تجدید گواهی‬
‫• روشهای امنیتی عملیاتی برای ثبت بازرس ی‪ ،‬حفظ سوابق و روشهای مقابله با رخدادهای امنیتی‬
‫• مدیریت کلید‪ ،‬اقدامات فیزیکی‪ ،‬مدیریت نیروی انسانی و اقدامات مفهومی امنیت اطالعات برای صاحبان امضاء و زیر‬
‫ساخت کلید عمومی‬
‫• فهرست مطالب مربوط به اطالعات و ابطال گواهی نامهها در زیر ساخت کلید عمومی‬
‫• نحوه مدیریت دستورالعمل اجرایی مرکز صدور گواهی الکترونیکی میانی و روشهای اصالح آن‬
‫بخش اول دستورالعمل اجرایی ‪ :‬كاربردها و مصارف مناسب گواهي‬
‫‪ ‬گواهی امضا‬
‫این گواهی جهت امضاي اسناد و تراکنشهای الکترونیکی و همچنین احراز هویت کاربران مورد استفاده قرار میگیرد‪.‬‬
‫‪ ‬گواهی پست الکترونیکی امن‬
‫این گواهی از طریق پروتکل ‪ S/MIME‬امکان محرمانگی و امن کردن ایمیل را به واسطه رمزگذاري محتواي پیام و همچنین امضا‬
‫نمودن آن فراهم میسازد‪.‬‬
‫‪ ‬گواهی ‪MS SmartCard Logon‬‬
‫این گواهی براي ورود به سیستم از طریق احراز هویت دو عامله مبتنی بر کلید عمومی‪ ،‬در سیستم عاملهای متعلق به ماکروسافت‬
‫مورد استفاده قرار میگیرد‪.‬‬
‫‪49‬‬
‫كاربردها و مصارف مناسب گواهي ( بخش اول دستورالعمل اجرایی )‬
‫‪ ‬گواهی ‪Domain Controller‬‬
‫این گواهی جهت ورود به سیستم در یک ‪Domain‬و در سمت سرور ( ‪ )Domain Controller‬مورد استفاده قرار میگیرد‪.‬‬
‫‪ ‬گواهی مهر سازمانی‬
‫این گواهی به عنوان گواهی امضاي یک شرکت یا سازمان تلقی شده و میتواند به عنوان مهرسازمانی آن شرکت یا سازمان در قالب‬
‫امضاي دیجیتال مورد استفاده قرار گیرد‬
‫‪ ‬گواهی ‪SSL/TLS‬‬
‫گواهی ‪ SSL‬مختص یک آدرس اینترنتی صادر شده و به منظور تضمین اصالت یک سرور و به عبارتی تضمین ارتباط بین آدرس و وب‬
‫سایتی که با آن مراجعه میشود‪ ،‬به کار میرود‪.‬‬
‫‪50‬‬
‫كاربردها و مصارف مناسب گواهي ( بخش اول دستورالعمل اجرایی )‬
‫‪ ‬گواهی ‪Code Signing‬‬
‫این گواهی جهت اطمینان از اصالت و حفظ جامعیت نرم افزارهایی که از طریق اینترنت منتشر میشوند‬
‫‪ ‬گواهی مرکز میانی‬
‫گواهی متعلق به مرکز صدور گواهی میانی (در ساختار سلسله مراتبی زیرساخت کلید عمومی کشور) می‬
‫باشد‪.‬‬
‫‪ ‬گواهی ‪OCSP Signing‬‬
‫گواهی متعلق به سرور ‪ OCSP Responder‬که جهت امضاي پاسخهای ‪ OCSP‬تنظیم شده توسط این‬
‫سرور مورد استفاده قرار میگیرد‪.‬‬
‫‪ ‬گواهی مهر زمانی‬
‫گواهی مهر زمانی جهت انجام عملیات امضا در فرایند مهر زمانی توسط مرکز مهر زمانی مورد استفاده قرار‬
‫میگیرد‪.‬‬
‫‪51‬‬
‫راهبری سیاست ها ( بخش اول دستورالعمل اجرایی )‬
‫‪ ‬سازمان راهبری سند‬
‫‪ ‬اطالعات تماس‬
‫‪ ‬مسئول تطبیق دستورالعمل اجرایی با سیاستهای مرکز‬
‫‪ ‬رویه تائید دستورالعمل اجرایی‬
‫‪52‬‬
‫تعاریف ( بخش اول دستورالعمل اجرایی )‬
‫‪ :CA‬موجودیتی که مجاز به صدور و مدیریت گواهیهای الکترونیکی میباشد‪.‬‬
‫‪ :CP‬مجموعه ای از قوانین که الزامات و سیاستهای زیرساخت کلید عمومی را مشخص میکند‪.‬‬
‫‪ :CPS‬دستورالعمل اجرایی که مرکز دولتی صدور گواهی براي صدور گواهی از آن استفاده میکند‪.‬‬
‫‪ :CRL‬یک ساختمان داده که گواهیهای الکترونیکی را که پیش از تاریخ انقضا‪ ،‬دیگر توسط صادرکننده گواهی معتبر به حساب‬
‫نمیآیند‪ ،‬لیست میکند‪.‬‬
‫‪ :CSR‬یک قالب تراکنش ی تعریف شده توسط ‪PKCS 10‬حاوي نام ترکیبی و تعدادي مشخصه اختیاري میباشد که توسط‬
‫موجودیت درخواست کننده گواهی الکترونیکی‪ ،‬امضا شده و به مرکز صدور گواهی فرستاده شده است و مرکز آن را به گواهی‬
‫الكترونيكي ‪ X.509‬تبدیل میکند‪.‬‬
‫‪ :DN‬یک شناسه منحصر به فرد که ش ی موجود در درخت اطالعاتی دایرکتوري )‪ (DIT‬قالب ‪ X. 500‬را ارائه میکند‪.‬‬
‫‪53‬‬
‫تعاریف ( بخش اول دستورالعمل اجرایی )‬
‫‪DNS :DNS‬يا سیستم نامگذاری دامنه‪ ،‬روش ی سلسله مراتبی است‪ ،‬که بانک اطالعاتی مربوط به نامهای نمادین و معادل ‪IP‬‬
‫آنها را روي کل شبکه اینترنت توزیع کرده است ‪.‬‬
‫‪ :FIPS‬راهنماییهای تخصص ی که مؤسسه ملی استانداردها و تکنولوژي آمریکا براي تهیه تجهیزات سیستم و سرویس پردازشگر‬
‫اطالعاتی تهیه کرده است‪.‬‬
‫‪ :IETF‬جامعه بیناملللی بزرگی از طراحان شبکه‪ ،‬اپراتورها‪ ،‬فروشندگان و محققان مرتبط با سیر تکاملی معماري اینترنت و کارکرد‬
‫روان و دقیق اینترنت است‪.‬‬
‫‪ :OCSP‬پروتکلی است که جهت اعالم برخط وضعیت ابطال یا عدم ابطال گواهی ‪X.509‬بكار میرود‪ .‬ماهیت این پروتکل مبتنی‬
‫بر درخواست و پاسخ است‪.‬‬
‫‪54‬‬
‫تعاریف ( بخش اول دستورالعمل اجرایی )‬
‫‪OID‬‬
‫شناسه منحصر به فرد و رسمی‪ ،‬تشکیل شده از مجموعه ای از اعداد (تعريف شده در استاندارد ‪ )ANS.1‬که براي اشاره به اشیا با‬
‫ویژگیهای مشخص استفاده میشود‪.‬‬
‫‪PKCS#10‬‬
‫استاندارد رمزنگاري کلید عمومی شماره ‪ 10‬که ساختاري را براي درخواست گواهی امضا تعریف میکند‪.‬‬
‫‪PKI‬‬
‫به مجموعه اي از خدمات‪ ،‬محصوالت‪ ،‬سیاستها‪ ،‬فرآیندها و سیستمهای نرم افزاري و سخت افزاري گفته میشود که جهت‬
‫مدیریت و بکارگیري گواهیهای الکترونیکی ‪ X.509‬و به منظور ارائه سرویسهای امنیتی مختلف مبتنی بر رمزنگاري کلید عمومی مورد‬
‫استفاده قرار میگیرد‪.‬‬
‫‪PKIX‬‬
‫گروه ‪ PKIX‬در سال ‪ 1995‬با هدف توسعه استانداردهاي اینترنت براي پشتیبانی از زیرساختهای کلید عمومی مبتنی بر‪X. 509‬‬
‫تأسیس شد‪.‬‬
‫‪55‬‬
‫تعاریف ( بخش اول دستورالعمل اجرایی )‬
‫‪RA‬‬
‫یک موجودیت اختیاري در زیرساخت کلید عمومی میباشد که گواهیهای الکترونیکی یا لیست گواهیهای باطل شده را‬
‫امضا نمیکند ولی مسئولیت ثبت و شناسایی اطالعات مورد نیاز مرکز صدور گواهی براي صدور گواهی یا لیست‬
‫گواهیهای باطل شده و اجراي وظایف مدیریت گواهی را دارد‪.‬‬
‫‪RFC‬‬
‫توافقنامه منتشر شده توسط ‪ IETF‬در توصیف روش‪ ،‬رفتار‪ ،‬پژوهش و یا نوآوري براي کار با اینترنت و سیستمهای‬
‫متصل به اینترنت است‪.‬‬
‫‪RSA‬‬
‫الگوریتم رمزنگاري کلید عمومی که در سال ‪ 1978‬توسط سه نفر به نامهای ران ریوست‪ ،‬ادي شمیر و لئونارد آدملن‬
‫اختراع شده است‪.‬‬
‫‪56‬‬
‫انتشار و وظایف مخزن ( بخش دوم دستورالعمل اجرایی )‬
‫‪ ‬مخزن‬
‫مرکز حداقل داراي یک مخزن براي انتشار گواهیها و لیستهای گواهیهای باطله میباشند‬
‫‪ ‬انتشار اطالعات گواهی‬
‫مرکز صدور یک مخزن مبتنی بر وب را نگهداری میکند که به طرفین اعتماد کننده اجازه میدهد تا استعالمات خود را در مورد‬
‫ابطال و اخذ سایر اطالعات مربوط به وضعیت گواهینامه انجام دهند‪ .‬همچنین به آنها در جستجوی اطالعات الزم در مخزن کمک‬
‫خواهد کرد‪.‬‬
‫‪ ‬زمان یا تناوب انتشار‬
‫به روز رسانی دستورالعمل اجرایی‪ ،‬موافقتنامه های مشترکین و موافقتنامه طرفین اعتماد کننده‪ ،‬اطالعات وضعیت گواهینامه‬
‫مطابق با مفاد این دستورالعمل اجرایی با استفاده از پروتکل ‪ ،ocsp‬زمان یا تناوب انتشار لیست گواهیهای باطل شده‬
‫‪ ‬کنترل دسترس ی به مخزن‬
‫لیست گواهیهای باطل شده‪ ،‬براي تائید اطالعات‪ ،‬به صورت دوره اي منتشر شده و به مخزن ارسال میشوند حتی اگر هیچ تغییر‬
‫یا بروز رسانی در آن انجام نشده باشد‪ .‬مرکز صدور برای افراد خاص ی که مجوز دارند و سند توافق با طرفین اعتماد کننده را‬
‫امضاء کرده باشند‪ ،‬دسترس ی به گواهینامه‪ ،‬دسترس ی به اطالعات وضعیت گواهینامه یا لیستهای ابطال را محیا مینماید‪.‬‬
‫‪57‬‬
‫شناسایی و احراز هویت ( بخش سوم دستورالعمل اجرایی )‬
‫‪ ‬نام گذاری‬
‫تمامی نامهایی که در گواهیهای صادر شده توسط شبکه مورد اعتماد مرکز صدور تصدیق شده باشند‪ ،‬مجاز تشخیص داده‬
‫ً‬
‫میشود‪ ،‬مگر در مواردی که مشخصا گفته شده باشد اسم مورد نظر‪ ،‬تصدیق شده نیست‪.‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪58‬‬
‫انواع نام‬
‫نیاز به نام های با معنی‬
‫استفاده از نامهای مستعار غیر واقعی برای صاحبان امضا‬
‫قواعد تفسیر قالب مختلف نامها‬
‫یکتایی نامها‬
‫تشخیص‪ ،‬احراز هویت و نقش نامهای تجاری‬
‫شناسایی و احراز هویت ( بخش سوم دستورالعمل اجرایی )‬
‫‪ ‬تائید شناسایی اولیه‬
‫‪ ‬روش اثبات تصرف کلید خصوص ی‬
‫درخواست کنندگان میباید اثبات کنند که به صورت قانونی کلید خصوص ی مطابق و مرتبط با کلید‬
‫عمومی لیست شده در گواهینامه را در اختیار دارند‪ .‬راه اثبات بیان در اختیار داشتن کلید خصوص ی‪،‬‬
‫میبایست طبق استاندارد رمز نگاری کلید عمومی می باشد‪.‬‬
‫‪ ‬احراز هویت سازمانها‬
‫هر زمان که یک گواهینامه شامل نام یک سازمان یا هویت سازمان باشد‪ ،‬اطالعات ارائه شده توسط‬
‫درخواست کننده میبایست مورد بررس ی قرار گیرد‪.‬‬
‫‪ ‬احراز هویت افراد‬
‫ً‬
‫این بخش شامل موارد زیر می باشد‪ ،‬فردي شخصا درخواست گواهی کند‪ ،‬شخص ی به نمایندگی از شخص‬
‫دیگر درخواست گواهی کند‪ ،‬شخص ی براي یک نقش سازمانی درخواست گواهی کند‪.‬‬
‫‪ ‬اطالعات بررس ی نشده صاحبان امضاء‬
‫‪ ‬اعتبارسنجی مرجع ذیصالح‬
‫‪ ‬معیارهای همکاری با سایر مراکز‬
‫‪59‬‬
‫شناسایی و احراز هویت ( بخش سوم دستورالعمل اجرایی )‬
‫‪ ‬شناسایی و احراز هویت برای درخواستهای تجدید کلید‬
‫‪ ‬روال شناسایی و احراز هویت برای تجدید کلید‬
‫شناسایی و احراز هویت براي تجدید کلید عبارت است از بررس ی و تصدیق اینکه شخص یا سازمانی که درخواست‬
‫تجدید کلید گواهی صاحب امضا را داده‪ ،‬صاحب امضا و مالک واقعی گواهی و یا یک نماینده مجاز براي صاحب‬
‫امضا میباشد‪.‬‬
‫‪ ‬روال شناسایی و احراز هویت براي تجدید کلید بعد از باطل شدن‬
‫‪ ‬احراز هویت درخواستهای ابطال‬
‫روال شناسایی و احراز هویت براي درخواست ابطال‪ ،‬بررس ی و تصدیق اینکه آیا شخص یا سازمانی که درخواست‬
‫ابطال گواهی صاحب امضا را داده‪ ،‬صاحب امضا و مالک واقعی گواهی و یا یک نماینده مجاز براي صاحب امضا‬
‫میباشد یا خیر‪.‬‬
‫‪60‬‬
‫نیازهای عملیاتی در چرخه حیات گواهی ( بخش چهار دستورالعمل اجرایی )‬
‫‪ ‬درخواست گواهی‬
‫‪ ‬فرآیند درخواست گواهی‬
‫‪ ‬صدور گواهی‬
‫‪ ‬پذیرش گواهی‬
‫‪ ‬کاربرد گواهی و زوج کلید‬
‫‪ ‬تمدید گواهی‬
‫‪ ‬اصالح گواهی‬
‫‪ ‬ابطال و تعلیق گواهی‬
‫‪ ‬خدمات وضعیت گواهی‬
‫‪ ‬پایان اشتراک‬
‫‪ ‬امانت گذاری و بازیابی کلید‬
‫‪ ‬تجدید کلید گواهی‬
‫‪61‬‬
‫نیازهای عملیاتی در چرخه حیات گواهی ( بخش چهار دستورالعمل اجرایی )‬
‫‪ ‬درخواست گواهی‬
‫‪ ‬درخواست کننده گواهی و دفتر ثبت نام مراحل زیر را هنگام ارائه درخواست گواهی‪ ،‬انجام خواهند داد‪:‬‬
‫‪ ‬شناسایی صاحب امضاء ثبت اطالعات اساس ی درخواست کننده گواهی مطابق با این دستورالعمل اجرایی گواهی‬
‫الکترونیکی‬
‫‪ ‬تولید یا ارائه زوج کلید خصوص ی‪ /‬عمومی به همراه هر درخواست گواهی‬
‫‪ ‬حصول اطمینان از ارتباط کلید عمومی ارائه شده با کلید خصوص ی نزد صاحب امضاء‬
‫‪ ‬فرآیند درخواست گواهی‬
‫اجرای فرآیند شناسایی و احراز هویت‪ ،‬تائید یا عدم تائید درخواستهای گواهی‪ ،‬مدت فرآیند رسیدگی به درخواست‬
‫گواهی‬
‫‪62‬‬
‫نیازهای عملیاتی در چرخه حیات گواهی ( بخش چهار دستورالعمل اجرایی )‬
‫‪ ‬تمدید گواهی‬
‫منظور از تمدید گواهی‪ ،‬تولید یک گواهی جدید همسان با گواهی قبلی است به جز آنکه گواهی جدید داراي یک مدت اعتبار متفاوت و یک‬
‫شماره سریال متفاوت میباشد‪.‬‬
‫‪ ‬تجدید کلید گواهی‬
‫تجدید کلید یک گواهی به معناي تولید یک گواهی جدید همسان با گواهی قبلی است‪ ،‬گواهی جدید در مواردی با گواهی قبلی متفاوت‬
‫ً‬
‫است‪ ،‬گواهی جدید داراي یک کلید عمومی جدید و متفاوت (مطابق با یک کلید خصوص ی متفاوت) و یک شماره سریال متفاوت و احتماال‬
‫دارای یک مدت اعتبار متفاوت میباشد‪.‬‬
‫‪63‬‬
‫نیازهای عملیاتی در چرخه حیات گواهی ( بخش چهار دستورالعمل اجرایی )‬
‫‪ ‬پایان اشتراک‬
‫صاحب امضاء‪ ،‬ممکن است گواهی صادر شده را با مرکز صدور گواهی در شرایط زیر خاتمه دهد‪:‬‬
‫ً‬
‫‪ ‬با منقض ی شدن گواهی بدون اینکه مجددا درخواست صدور گواهی نماید‪.‬‬
‫‪ ‬با ابطال گواهی بدون اینکه درخواست تجدید کلید و یا درخواست صدور گواهی جدید نماید‪.‬‬
‫‪64‬‬
‫کنترلهای عملیاتی‪ ،‬مدیریتی و تجهیزاتی ( بخش پنجم دستورالعمل اجرایی )‬
‫‪ ‬کنترلهای فیزیکی‬
‫‪ ‬کنترلهای رویه ای‬
‫‪ ‬کنترل کارکنان‬
‫‪ ‬روالهای ثبت وقایع بازرس ی امنیتی‬
‫‪ ‬بایگانی اطالعات‬
‫‪ ‬گردش کلید‬
‫‪ ‬بازیابی به علت سوانح و در خطر افشاء بودن‬
‫‪ ‬پایان فعالیت مرکز یا دفتر ثبت نام‬
‫‪65‬‬
‫کنترلهای امنیتی فنی ( بخش ششم دستورالعمل اجرایی )‬
‫‪ ‬تولید و نصب زوج کلید‬
‫‪ ‬محافظت از کلیدهای خصوص ی و کنترلهای مهندس ی دستگاه های رمزنگاری‬
‫‪ ‬مدیریت زوج کلید‬
‫‪ ‬اطالعات فعال ساز‬
‫‪ ‬کنترلهای امنیتی رایانه ای‬
‫‪ ‬کنترلهای فنی طول عمر‬
‫‪ ‬کنترلهای امنیتی شبکه‬
‫‪ ‬مهر زمانی‬
‫‪66‬‬
‫مشخصات گواهی‪CRL ،‬و‪OCSP‬‬
‫( بخش هفتم دستورالعمل اجرایی )‬
‫‪ ‬مشخصات ‪OCSP‬‬
‫‪OCSP‬مطابق با ‪ RFC 2560‬مي باشد‪.‬‬
‫‪ ‬مشخصات گواهی‬
‫‪ ‬مشخصات لیست گواهیهای باطل شده‬
‫فرم یا مشخصات لیست گواهیهای باطل شده مطابق با استاندارد ‪RFC 5280‬میباشد‪ .‬لیست گواهیهای باطل‬
‫شده حداقل دارای فیلدهای اصلی و مقادیر تعیین شده برای آنها میباشد‬
‫‪67‬‬
‫بازرس ی تطابق و سایر ارزیابیها ( بخش هشتم دستورالعمل اجرایی )‬
‫‪ ‬تناوب و شرایط ارزیابی‬
‫‪ ‬هویت و صالحیت بازرس‬
‫‪ ‬ارتباط بازرس با مرکز ارزیابی شونده‬
‫‪ ‬موضوعات مورد ارزیابی‬
‫‪ ‬اقدامات اتخاذ شده در برخورد با نقایص‬
‫‪ ‬گزارش نتایج‬
‫‪68‬‬
‫موضوعات مورد ارزیابی‬
‫موضوعات زیر در رویه بازرس ی تطابق مرکز صدور گواهی ارزیابی مي شود‪:‬‬
‫‪ ‬دستورالعمل اجرایی گواهی الکترونیکی مرکز صدور گواهی‪ ،‬دستورالعملهای فنی‪ ،‬رویه اي و پرسنلی مرکز صدور گواهی و طرح فنی‬
‫تجهیزات و ساختمان مرکز‬
‫‪ ‬بررس ی تطابق مرکز صدور گواهی (شامل ساختمان‪ ،‬تجهیزات و همچنین کلیه سخت افزارها‪ ،‬نرم افزارها‪ ،‬نیروي انسانی و رویه هاي‬
‫بکار گرفته در مرکز) با دستورالعملها و مستندات قید شده در بند اول‬
‫‪ ‬بررس ی تطابق تجهیزات‪ ،‬نرم افزارها و عملکرد دفتر ثبت نام با دستورالعمل اجرایی مرکز صدور گواهی‬
‫‪ ‬بیان کامل فعالیتهای تجاری و کسب و کار مرکز صدور گواهی الکترونیکی‬
‫‪ ‬کنترل محیطی مرکز صدور گواهی الکترونیکی‬
‫‪ ‬مدیریت چرخه حیات کلید مرکز صدور گواهی الکترونیکی‬
‫‪ ‬مدیریت چرخه حیات گواهی نامه های مرکز صدور گواهی الکترونیکی‬
‫‪ ‬مدیریت زیر ساخت مرکز صدور گواهی الکترونیکی‬
‫‪ ‬حصول اطمینان از تطابق عملکرد مرکز صدور گواهی نامه با سیاستهای مرکز گواهی ریشه و از طریق بررس ی جزئیات کارکرد فنی‪،‬‬
‫جزئیات روالها و جزئیات کنترل منابع انسانی مرکز صدور گواهی الکترونیکی‬
‫‪69‬‬
‫ساير موضوعات حقوقي و مربوط به كسب و كار ( بخش نهم )‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪70‬‬
‫تعرفهها‬
‫تعهدات مالی‬
‫محرمانگی اطالعات مربوط به کسب و کار‬
‫محافظت از اطالعات شخص ی‬
‫حق مالکیت معنوی‬
‫مسئولیتها و التزامات‬
‫عدم پذیرش ضمانتها‬
‫محدودیت مسئولیتها‬
‫خسارتها‬
‫دوره و خاتمه‬
‫اخطارهای فردی و ارتباطات با موجودیتها‬
‫تغییرات‬
‫روالهای حل اختالف‬
‫قوانین حاکم‬
‫تطابق با قوانین اجرایی‬
‫الزامات متفرقه‬
‫سایر قیود‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تعرفه های صدور گواهی یا تجدید گواهی‬
‫تعرفه های دسترس ی به اطالعات گواهی‬
‫تعرفه های ابطال یا دسترس ی به وضعیت گواهی‬
‫تعرفه سایر خدمات‬
‫استرداد‬
‫محصول‬
‫فرایند آزمون و ارزیابی محصول‪:‬‬
‫فرآیند آزمون و ارزیابی محصول دارای گام های زیر می باشد‪:‬‬
‫‪ .1‬گام اول ( تشکیل پرونده )‬
‫‪ .2‬گام دوم ( تحویل مستندات )‬
‫‪ .3‬گام سوم ( نصب و راه اندازی )‬
‫‪ .4‬گام چهارم ( عملیات ارزیابی )‬
‫‪ .5‬گام پنجم ( بررس ی گزارش )‬
‫‪ .6‬گام ششم ( صدور گواهی تائیدیه )‬
‫الزامات مستندات سامانه صدور و مدیریت گواهی‬
‫الزامات مستندات نرم افزارهای مجهز به زیر ساخت کلید عمومی‬
‫دفتر ثبت نام‬
‫دفتر ثبت نام موجودیتی است که وظیفه شناسایی و بررس ی صحت اطالعات دریافت شده از سوی‬
‫درخواست کنندگان گواهی الکترونیکی را بر عهده دارد و با بررس ی هویت درخواست کننده و تایید آن ‪،‬‬
‫وظیفه تنظیم درخواست‪ ،‬صدور گواهی‪ ،‬ابطال گواهی‪ ،‬درخواست تجدید گواهی را نیز دارد‪ .‬صدور گواهی در‬
‫سطوح افراد و سازمانها صورت می گیرد‪.‬‬
‫وظایف دفتر ثبت نام‪:‬‬
‫‪ ‬دريافت درخواست گواهي الكترونيكي‬
‫‪ ‬احراز هویت درخواستکنندگان گواهی الکترونیکی‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪76‬‬
‫مطابقت فعالیتهای صدور‪ ،‬ابطال‪ ،‬تجدید و ‪ ...‬گواهی‪ ،‬با سند سیاستها و دستورالعمل اجرایی مرکز‬
‫صدور گواهی الکترونیکی‬
‫دریافت درخواست صدور و دیگر عملیات مرتبط به آن‬
‫تحویل درخواستهای متقاضیان (گواهی های صادر شده) به مرکز صدور گواهی الکترونیکی میانی‬
‫بروز رسانی و تحویل لیست گواهی های باطل شده (‪ )CRL‬به مرکز صدور گواهی الکترونیکی میانی‬
‫دفتر ثبت نام‬
‫نقشهای افراد در دفتر ثبت نام‬
‫• مسئول دریافت و احراز هویت مدارک افراد‬
‫• مسئول تطبیق مدارک ارائه شده با استانداردهای مرکز‬
‫• مسئول ثبت نام و صدور توکن حاوی گواهی الکترونیکی‬
‫• مسئول بروز رسانی لیست و سایت مرکز‬
‫• مسئول مستندات و بايگاني مدارك درخواست كنندگان گواهي الكترونيكی‬
‫تجهیزات مورد نیاز دفتر ثبت نام‪:‬‬
‫در دفتر ثبت نام الزم است هر یک از دستگاه های زیر خریداری و در محل مناسب قرار گیرد‪.‬‬
‫• تلفن‬
‫• پرينتر‬
‫• اسكنر‬
‫• فكس‬
‫• كامپيوتر‬
‫• اينترنت‪ :‬با حداقل سرعت ‪256 Kbps‬‬
‫• محل فیزیکی بايگاني اطالعات‬
‫‪77‬‬
‫از توجه شما سپاسگزارم‬
‫در پناه ایزد منان‬
‫شادمان و سرافراز باشید‬

similar documents