СКЗИ «Шифр-Х. 509» Масштабирование, резервируемость, диагностика, репликация и резервное хранение данных ООО «Сайфер ЛТД» , к. т. н. Влад Ковтун
Содержание o o o Краткая характеристика и архитектура Масштабирование Резервирование Диагностика Резервное хранение данных 2
Назначение системы Система криптографической защиты информации «Шифр-Х. 509» предназначена для управления персональными ключами и сертификатами электронной цифровой подписи и шифрования информации, согласно стандарта Х. 509 3
Криптографическое ядро системы Программное изделие «Шифр+» (библиотеки криптографических преобразований Win 32, Java) 4
Требования к ЦСК o Высокая производительность – масштабируемость и репликация данных o Высокая надежность – резервируемость и репликация данных o Корректность – диагностика o Восстановление после сбоев – резервирование данных и репликация 5
СКЗИ «Шифр-X. 509» ОСОБЕННОСТИ ПОСТРОЕНИЯ 6
Архитектура 7
Схема развертывания 8
НАДЕЖНОСТЬ И ПРОИЗВОДИТЕЛЬНОСТЬ 9
Возможности o o Масштабирование сервисов Резервирование сервисов Диагностика сервисов Резервное хранение данных 10
Масштабируемость OCSP 11
Масштабируемость TSP 12
Масштабируемость LDAP 13
Диагностика служб ЦСК реализуется средствами АРМ системного администратора: o LDAP o OCSP o TSP o Сервер приложений ЦСК o Почтовый сервер 14
Диагностика серверных платформ ЦСК реализуется средствами АРМ системного администратора: o для Windows Server n Performance Counters o для Linux Server n Аналоги Performance Counters 15
Диагностика LDAP o Open. LDAP Monitoring interface n Подключений (всего, сейчас) n Состояние Listener’ов n Статистка операций (Bind, Unbind, Add, Delete, Modify, …) n Статистика данных (Bytes, PDU, Entries, Referrals) n Потоков обработки (max, сейчас) n Время (запуска, текущее) 16
Диагностика LDAP o Диагностические запросы - время отклика n Master (чтение, запись, поиск) n Slave (чтение, поиск) 17
Диагностика OCSP o Диагностические запросы - время отклика n Подключение n Запрос на статус одного сертификата (один запрос) 18
Диагностика TSP o Диагностические запросы - время отклика n Подключение n Запрос на метку 19
Диагностика сервера приложений ЦСК o Диагностические запросы - время отклика n Подключение n Передача тестового запроса на сертификат (тестовый профиль) n Прием тестового сертификата* (тестовый профиль) *Не сохраняются в БД ЦСК и LDAP 20
Диагностика сервера БД ЦСК o Диагностические запросы - время отклика n Подключение n Тестовый поисковый запрос 21
Диагностика почтового сервера o Диагностические запросы - время отклика n Отправка тестового почтового сообщения «сам на себя» 22
Резервируемость o OCSP-сервер, решается в рамках масштабируемости o TSP-сервер, решается в рамках масштабируемости o LDAP-сервер, решается в рамках масштабируемости 23
Резервируемость o Сервера приложений ЦСК достигается за счет полного клонирования* o БД ЦСК достигается за счет репликации *Личный ключ ЦСК в файловом контейнере в зашифрованном виде 24
Репликация БД o Базы данных Fire. Bird Существуют различные утилиты для организации репликации: o o o Fi. BRE - open source, cross-platform. FBReplicator - open source. Replicador. BR - open source. Replicador Firebird – freeware. DBRE - open source. 25
Резервное хранение данных o Базы данных Fire. Bird Существуют различные утилиты для организации резервирования и восстановления: o Nbackup, входит в поставку Fire. Bird для различных операционных систем. o GBAK, бесплатная утилита поддерживаемая официально Fire. Bird, которая, в отличие от nbackup, позволяет работать с многофайловыми БД под управлением Fire. Bird. Для эффективного резервирования используют различные подходы: o Полное резервирование. o Инкрементное резервирование. 26
Резервное хранение данных o Базы данных Fire. Bird Инкрементная схема резервирования может выглядеть следующим образом: o Каждый месяц создается резервная копия всей базы данных (уровня 0); o Каждую неделю делается инкрементная резервная копия уровня 1; o Каждые сутки создается инкрементная резервная копия уровня 2; o Каждый час создается инкрементная резервная копия уровня 3. 27
Резервное хранение данных o Базы данных Open. LDAP Существуют встроенные утилиты для организации резервирования* и восстановления данных: o slapcat, полностью копирует содержимое БД при работающем сервере; o slapadd, восстанавливает содержимое БД при остановленном сервере. *Каждые сутки создается резервная копия БД в LDIF файл. 28
Вопросы? Спасибо за внимание! 29
ООО «САЙФЕР ЛТД» Владислав Ковтун email: vlad. kovtun@cipher. kiev. ua www: http: //www. cipher. kiev. ua
Fire. Bird o Максимальный размер таблицы: n 2. 5 ТБ для страницы в 4 КБ; o Максимальная длинна записи: n суммарно все поля: 64 к. Б; o Размер базы: 131 ТБ; o Максимальное число одновременных подключений: n n Windows Super. Server: 1024; Linux: без перекомпиляции ядра - до 600. 31
Скачать презентацию СКЗИ Шифр-Х 509 Масштабирование резервируемость диагностика репликация и
df2653ebac0b7dc9bcc210794a1ba841.ppt