Алматы 2015 Almaty
Приведения по модулю при помощи алгоритма SRT
жүктеу/скачать 20,3 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- Ключевые слова.
- Ключевые слова
- Математическое моделирование методологии ОК.
- Раздел стандарта Класс / семейство 3 Класс FAU. Аудит безопасности
- Раздел стандарта Класс / семейство 5 Класс FCS. Криптографическая поддержка
- Раздел стандарта Класс / семейство
Приведения по модулю при помощи алгоритма SRT Резюме. Рассматриваются преимущества и разновидности аппаратных средств шифрования. Указывается на низкое быстродействие асимметричных криптоалгоритмов в связи с громоздкими арифметическими вычислениями над числами с повышенной разрядностью (возведение в степень по модулю) и, вытекающую из этого, проблему ускорения возведения чисел в степень по модулю. Проводится сравнительный анализ различных аппаратных методов выполнения базовых операций возведения чисел в степень по модулю - целочисленного умножения и возведения в квадрат, по быстродействию и аппаратным затратам. Анализируются устройства для выполнения наиболее критичной операции возведения чисел в степень по модулю – приведения по модулю. Определяется направление разработки оптимальных устройств приведения по модулю.
asymmetric cryptosystems are considered. For hardware implementation of an asymmetric cryptographic algorithm we determine time-critical basic operation- reduction modulo and algorithm SRT. Due to analysis of structures for devices hardware implementation of reduction modulo the characteristic of structures are identified. The synthesis of basic squarers and extensible multiplying units is carried out on the basis of the multiplying-summing unit. The methods for building the results adder are considered. Large width squarers are built on base squarers. Key words. Asymmetric cryptosystems, algorithm SRT, results adders, and large width squarer’s, hardware encryption, reduction modulo.
Мырзахан Т.Ш. студент, Аманжолова С.Т., Шайкулова А.А. Казахский национальный технический университет им. К.И. Сатпаева. г. Алматы, Республика Казахстан tleuzhan.94@gmail.com ИССЛЕДОВАНИЕ КРИТЕРИЕВ ЗАЩИЩЕННОСТИ КОМПОНЕНТОВ В РАСПРЕДЕЛЕННЫХ КОМПЬЮТЕРНЫХ СИСТЕМАХ Аннотация. Статья посвящена исследованию критериев защищенности компонентов распределенных компьютерных системах. Объектом исследования являются распределенные компьютерные сети на этапе разработки и эксплуатации в условиях воздействия угроз информационной безопасности на их информационные ресурсы.Предметом исследования является состояние защищенности информационных ресурсовраспределенных компьютерных сетей от угроз нарушения информационной безопасности.Построение 585 эффективной системызащиты информации в распределенных компьютерных системах (РКС) требует реализации комплексного подхода, важнейший элемент которого формирование и реализацияполитики безопасности. Ключевые слова: распределенная компьютернаясистема, критерий защищенности, ресурсы распределенных компьютерных сетей, ОК (общие критерий).
Главная задача при формировании политики безопасности распределенных компьютерных систем – определение правил защиты ресурсов, т.е. информационных активов РКС. В целом политика безопасности РКС характеризуется следующим: - содержит концепцию, включающую в себя цели, основные направления и принципы действий в сфере информационной безопасности; - учитывает нормативно-правовые требования, а также требования владельцев информации по обеспечению ее безопасности; - согласуется со стратегией управления рисками безопасности в РКС, для которых она разрабатывается и поддерживается; - устанавливает критерии оценки рисков безопасности; - утверждается администратором безопасности и руководством организации, владеющей РКС. Изначально политика безопасности строится с учетом рисков безопасности, существующих в РКС. Далее определяется стратегия защиты, составляется программа обеспечения информационной безопасности и устанавливаются правила, определяющие конфигурацию систем защиты, а также действия администратора безопасности и пользователей РКС в штатных условиях и в случае непредвиденных обстоятельств, например, при атаках злоумышленников. Таким образом, политика безопасности выполняет две основные функции, определяя: - права и полномочия легальных субъектов в РКС; - правила защиты ресурсов РКС. Политика безопасности представляется в комплексе документов, отражающих все основные требования к обеспечению защиты информации в РКС , а также определяет способы имплементации системы безопасности и правила настройки параметров распределенных компьютерных систем. При этом определяются требуемые механизмы защиты информации в РКС, устанавливается порядок реагирования в случае нештатных ситуаций. При возникновении инцидентов, связанных с нарушением безопасности или сбоем в работе системы, политика безопасности устанавливает порядок действий, направленных на устранение последствий. Таким образом, политика информационной безопасности РКС основывается на обобщенных строго формализованных правилах, процедурах и требованиях: – использование сертифицированного оборудования и программного обеспечения; – установление процедур допуска субъектов к ресурсам РКС; – установление правил защиты ресурсов; – определение правил доступа субъектов к объектам РКС и т.д. Существенная функция политики безопасности – четкое разграничение прав субъектовРКС по отношению к объектам: все легальные субъекты должны четко знать границы своихправ, а также права других субъектов–участников РКС по отношению к объектам, владельцами которых они являются. В целом
политика безопасности определяет действия администраторов РКС
и легальныхсубъектов при инсталляции и использовании средств защиты информации, а также в процессеобработки и передачи информации в РКС. Выделяются три основные раздела политики безопасности : – имеет четко определенную задачу, обосновывающую необходимость применения и преимущества процедур, реализующих данную политику (цель); – содержит раздел, описывающий конкретную сферу ее применения, например, она применяется ко всем компьютерным системам и сетям или лишь к отдельным сегментам РКС. – определяются действия администратора безопасности, который должен знать все требования политики безопасности в конкретной РКС (ответственность). Разработка политики безопасности предполагает реализацию ряда предварительных шагов: - выявление угроз для ресурсов РКС; - анализ потенциально уязвимых ресурсов РКС; - оценку рисков безопасности для конкретных РКС. Общий жизненный цикл политики безопасности включает в себя следующие основныеэтапы: - проведение предварительного анализа состояния информационной безопасности РКС; - разработку политики безопасности;
586 - внедрение разработанной политики безопасности; - анализ реализации политики безопасности и выполнение действий по ее дальнейшему совершенствованию. Предметом общих критериев являются элементы защиты (функции защищенности, свидетельства оценки, компоненты доверия к ним), а предметом рассмотрения ОМО - действия по оценке защищенности с использованием критериев и свидетельств оценки, определенных в ОК. ОК позволяют решать теоретические задачи, например, разрабатывать подходы и методы обеспечения защиты информации в ИС, выполнения требований конфиденциальности, целостности, достоверности и доступности информации, применять методы научного анализа, в частности, построение формальных моделей. Методология ОК основывается на концепции угроз безопасности ИС и является базой для формулирования частных концепций – уязвимости, функции безопасности и пр., а также представления свидетельств оценки и действий разработчика и оценщика. В ОК элементы частных концепций рассредоточены по тексту стандарта, а русскоязычная методическая документация находится в стадии разработки. Пояснения к стандарту неполны и публикуются лишь в ряде специализированных журналов. В этой связи представление методологии ОК в виде наглядных формализованных моделей актуально для эффективного применения стандарта. Математическое моделирование методологии ОК. В этом части ОК систематизированы функциональные требования безопасности ИТ, которые описывают безопасные режимы функционирования продукта или ИС. Выбор требований осуществляется потребителем для
удовлетворения целей
безопасности, как
правило, сформулированных в профиле защиты или в задании по безопасности. На основе требований разработчик реализует конкретные функции и механизмы безопасности - ФБО, а главная задача оценщика - верификация того, что функциональные требования, оговоренные в ПЗ или ЗБ и реализованные посредством ФБО, удовлетворяют целям безопасности ИС. Стандарт предлагает совокупность функциональных требований безопасности, которые могут применяться при создании доверенных продуктов, отвечающих потребностям рынка. Однако при их формировании не всегда учитывается важная характеристика - стоимость обеспечения заданного уровня безопасности, которая зависит от рыночных цен на реализацию тех или иных ФБО, поскольку экономические аспекты не являются предметом рассмотрения в ОК. Этим вопросам посвящен международный стандарт – ISO 17799, использующий отличную от ОК методологию. Представляется важным рассмотреть экономические аспекты безопасности ИС в рамках методологии ОК и использовать сформированные функциональные требования безопасности в качестве критериев (показателей) защищенности. В методологии ОК функциональные требования безопасности разделены на 11 классов, каждый из которых содержит семейства на основе назначения (табл. 3). Всего ОК содержит 66 семейств, каждому из которых соответствует показатель защищенности, который может трактоваться как критерий защищенности. Степень защищенности ИС по этому показателю определяется выбором набора функциональных компонентов безопасности для этого семейства. Большинство компонентов внутри семейства иерархичны, т. е. упорядочены по возрастанию уровня безопасности. Стандартом предусматривается альтернатива - возможность замены компонентов без снижения уровня безопасности. Каждый компонент - определенный набор элементов.
Таблица 3. Раздел__стандарта__Класс_/_семейство__3__Класс_FAU._Аудит_безопасности'>Раздел стандарта Класс / семейство 3 Класс FAU. Аудит безопасности 3.1
Автоматическая реакция аудита безопасности (FAU_ARP) 3.2
Генерация данных аудита безопасности (FAU_GEN) 3.3
Анализ аудита безопасности (FAU_SAA) 3.4
Просмотр аудита безопасности (FAU_SAR) 3.5
Выбор событий аудита безопасности (FAU_SEL) 3.6
Хранение данных аудита безопасности (FAU_STG) 4 Класс FCO. Связь 4.1
Неотказуемость отправления (FCO_NRO) 4.2
Неотказуемость получения (FCO_NRR) 587 Раздел стандарта Класс / семейство 5 Класс FCS. Криптографическая поддержка 5.1
Управление криптографическими ключами (FCS_CKM) 5.2
Криптографические операции (FCS_COP) 6 Класс FDP. Защита данных пользователя 6.1
Политика управления доступом (FDP_ACC) 6.2
Функции управления доступом (FDP_ACF) 6.3
Аутентификация данных (FDP_DAU) 6.4
Экспорт данных за пределы действия ФБО (FDP_ETC) 6.5
Политика управления информационными потоками (FDP_IFC) 6.6
Функции управления информационными потоками (FDP_IFF) 6.7
Импорт данных из-за пределов действия ФБО (FDP_ITC) 6.8
Передача в пределах ОО (FDP_ITT) 6.9
Защита остаточной информации (FDP_RIP) 6.10
Откат (FDP_ROL) 6.11
Целостность хранимых данных (FDP_SDI) 6.12
Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT) 6.13
Защита целостности данных пользователя при передаче между ФБО (FDP_UIT) 7 Класс FIA. Идентификация и аутентификация 7.1
Отказы аутентификации (FIA_AFL) 7.2
Определение атрибутов пользователя (FIA_ATD) 7.3
Спецификация секретов (FIA_SOS) 7.4
Аутентификация пользователя (FIA_UAU) 7.5
Идентификация пользователя (FIA_UID) 7.6
Связывание пользователь-субъект (FIA_USB) 8 Класс FMT. Управление безопасностью 8.1
Управление отдельными функциями ФБО (FMT_MOF) 8.2
Управление атрибутами безопасности (FMT_MSA) 8.3
Управление данными ФБО (FMT_MTD) 8.4
Отмена (FMT_REV) 8.5
Срок действия атрибута безопасности (FMT_SAE) 8.6
Роли управления безопасностью (FMT_SMR) 9 Класс FPR. Приватность 9.1
Анонимность (FPR_ANO) 9.2
Псевдонимность (FPR_PSE) 9.3
Невозможность ассоциации (FPR_UNL) 9.4
Скрытность (FPR_UNO) 10 Класс FPT. Защита ФБО 10.1
Тестирование базовой абстрактной машины (FPT_AMT) 10.2
Безопасность при сбое (FPT_FLS) 10.3
Доступность экспортируемых данных ФБО (FPT_ITA) 10.4
Конфиденциальность экспортируемых данных ФБО (FPT_ITC) 10.5
Целостность экспортируемых данных ФБО (FPT_ITI) 10.6
Передача данных ФБО в пределах JJ (FPT_ITT) 10.7
Физическая защита ФБО (FPT_PHP) 10.8
Надежное восстановление (FPT_RCV) 10.9
Обнаружение повторного использования (FPT_RPL) 10.10
Посредничество при обращениях (FPT_RVM) 10.11
Разделение домена (FPT_SEP) 10.12
Протокол синхронизации состояний (FPT_SSP) 10.13
Метки времени (FPT_STM) 10.14
Согласованность данных ФБО между ФБО (FPT_TDC) 10.15
Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC) 10.16
Самотестирование ФБО (FPT_TST) 11 Класс FRU. Использование ресурсов 11.1
Отказоустойчивость (FRU_FLT) 11.2
Приоритет обслуживания (FRU_PRS) 588 Раздел стандарта Класс / семейство 11.3
Распределение ресурсов (FRU_RSA) 12 Класс FTA. Доступ к ОО 12.1
Ограничение области выбираемых атрибутов (FTA_LSA) 12.2
Ограничение на параллельные сеансы (FTA_MCS) 12.3
Блокирование сеанса (FTA_SSL) 12.4
Предупреждения перед предоставлением доступа к ОО (FTA_TAB) 12.5
История доступа к ОО (FTA_TAH) 12.6
Открытие сеанса с ОО (FTA_TSE) 13 Класс FTP. Доверенный маршрут/канал 13.1
Доверенный канал передачи между ФБО (FTP_ITC) 13.2
Доверенный маршрут (FTP_TRP)
Потребитель может управлять уровнем защищенности ИС, исходя из собственных предпочтений и рыночной стоимости реализации компонента защиты, а также бюджетных ограничений на стоимость системы защиты. Поведение потребителя м.б. описано с помощью математической модели, аналогично тому, как это делается в задачах микроэкономики. Помимо задачи выбора в предложенной математической модели рассматриваются эффекты замены (замещения) наборов В подфакторы безопасности могут быть определены следующим образом: Контроль доступа степень, в которой система ограничивает доступ к его ресурсам только егоуполномоченные внешние (например, человека пользователей, программ, процессов, устройств, или другие системы). Ниже приведены качества подфакторов качества подфактору управления доступом: - Идентификация степень, в которой система идентифицирует (то есть, признает) его внешние до взаимодействия с ними. - Аутентификация степень, в которой система проверяет заявленные личности его внешние до взаимодействия с ними. Таким образом, аутентификации проверяет, что заявленное идентичность является законным и принадлежит истцу. - Авторизация является степень, в которой доступ и привилегии использование проверки подлинности внешние правильно должное и жизнь. Детектор атак / вред степень, в которой предпринята попытка или успешные атаки (или ихв результате вреда здоровью) обнаружены, записанные и уведомление. Защита Наличие товара степень, в которой различные типы DoS-атак предотвратитьот снижения эксплуатационной готовности системы. Это в корне отличается от коэффициент традиционное качество доступность, которая занимается работоспособности, системы, когда она не находится под атакой. Целостность степень, в которой
компоненты защищены от преднамеренного и несанкционированное коррупция. Целостность включает в себя следующее: - Целостность данных является степень, в которой компоненты данных (будь то хранится, обрабатывается илипередача) защищены от умышленного коррупции (например, с помощью несанкционированногосоздание, изменение, удаление или воспроизведение). - Целостность Аппаратное степень, в которой аппаратные компоненты защищены от умышленное повреждение (например, с помощью несанкционированного добавления, изменения или кражи). - Целостность Персонал является степень, в которой человеческие компоненты защищены отумышленное повреждение (например, с помощью подкупа или вымогательства). - Целостность программного обеспечения является степень, в которой программные компоненты защищены отумышленное повреждение (например, с помощью несанкционированного добавления, изменения, удаления или кража).
В данной работе проведено исследование направленное на построение метода получения количественных показателей защищенности распределенных компьютерных сетей. Актуальность такого исследования заключается в том, что на сегодняшний день законченных методов получения количественных оценок защищенности информационных систем не существует. Имеются лишь отдельные подходы к построению таких оценок. Между тем, существующие методы качественной оценки сегодня не позволяют обоснованно решать задачи информационной безопасности, среди
589 которых актуальнейшими являются задачи отыскания узких мест в системе защиты и планирования мероприятий по их устранению, разработки альтернативных систем защиты и выбор из них наилучших по определенным критериям. В рамках построения метода оценки защищенности РКС получены следующие результаты: построена специализированная для цели оценки защищенности информационных ресурсов структурная модель РКС, которая предлагает подход к декомпозиции информационной системы на структурные составляющие, обозримые с точки зрения оценки их защищенности; - предложена структурированная система показателей защищенности информационных ресурсов РКС, позволяющая исследовать состояние защищенности как отдельных выделенных компонентов РКС, так и системы в целом; - построен метод расчета численных значений показателей защищенности информационных ресурсов РКС; - предложен метод построения подсистемы информационной безопасности РКС, который может использоваться для выбора конфигурации средств защиты, обеспечивающих заданные параметры защищенности информационных ресурсов.
ЛИТЕРАТУРА 1. Агеев A.C. Компьютерные вирусы и безопасность информации // Зарубежная радиоэлектроника.- 1989.- №12. 2. Автоматизированная обработка финансово-кредитной информации/ Под ред. B.C. Рожкова.- М.: Финансы и статистика, 1990. 3. Автоматизированные расчетные операции банков и фондовых бирж. Обзор зарубежной и отечественной литературы / Сост. А.С.Кузнецова.- М., 1992. 4. Афанасьев C.B., Воробьев В.И. Концепция безопасности в ОС компьютеров и компьютерных систем. Материалы семинара "Конфиденциальность, защита и безопасность информационных, банковских и административных (компьютерных) систем".- СПб.: СПИИРАН, 1994. 5. Вычислительные машины, системы и сети / Под ред. А.П.Пятибратова.- М.: Финансы и статистика, 1981. 6. Бэрри П. Компьютерные сети.- М.: Бином, 1995. 7. Гайкович В., Першин А. Безопасность электронных банковских систем.- М.: Единая Европа, 1994. 8. Галатенко В.А. Информационная безопасность обзоросновных положений // Открытые системы.- 1995.- №4-6. 9. УскенбаеваР.К., АманжоловаС. Т., ХасеноваГ.И., , ТемирболатоваТ.Т.Analysis and Localization of Performance Degradation Incidents of Distributed Computer Systems// Smart-government: Proceeding of the International Scientific-Practical Conference. - 2014. - P. 75-81. 10. Ускенбаева Р.К., Аманжолова С.Т., Темирболатова Т.Т.Анализ и локализация инцидентов снижения работоспособности Распределенных Вычислительных Систем. // Инженерное образование и наука в XXI века: Проблемы и перспективы: Труды международного форума, посвященного 80-летию КазНТУ имени К.И.Сатпаева. - 2014. - 22–24 октября. - Т. II. - С. 342-348.
жүктеу/скачать 20,3 Mb. Достарыңызбен бөлісу:
|