«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
290
- связывание trusteer mobile risk engine с платформой ibm mobilefirst, со средой
разработки мобильных решений ibm worklight и с программным инструментом ibm endpoint
manager;
- распространение
возможностей
выявления
мошенничества
на
электронную
коммерцию и на управление идентификационными данными/доступом;
- использование продуктов trusteer pinpoint и trusteer rapport совместно с продуктами
ibm security access manager и ibm websphere application server;
- противодействие угрозам повышенной сложности (включая эксплойты нулевого дня);
- использование продукта Trusteer Apex совместно с продуктами IBM QRadar Security
Intelligence Platform, IBM Security Network Intrusion Prevention System (IPS) и Endpoint
Manager.
Литература
1. Grace Walker. Cloud computing fundamentals, 2012.
2. http://www.ibm.com/cloud-computing/us/en/.IBM cloud computing is designed for business.
3. http://www.enisa.europa.eu/activities/risk-management. Risk Management.
4. Judith M. Myerson. Cloud computing versus grid computing, 2009.
5. Judith M. Myerson. The role of Software as a Service in cloud computing, 2009.
6. Chenta Lee. Use IBM Security Network Protection in an OpenFlow-based Software-Defined
Network, 2014.
УДК 004
АБДУРАИМОВА Б.К., КОПТЛЕУОВА С.М.
АКТУАЛЬНОСТЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ
(Евразийский национальный университет им. Л.Н.Гумилева, Г. Астана, Казахстан)
Инноваторы из мира высоких технологий призывают нас отказаться от традиционных
программ, устанавливаемых на ПК и использовать облачные системы, доступ к которым
можно в считанные мгновения получить из любой точки мира.Свое решение они
мотивируют развитием облачных систем. Облачные вычисления (Cloudcomputing) - это
модель предоставления дистанционного доступа к разделяемым вычислительным ресурсам,
которые физически распределены на многих удалённых устройствах, образующих так
называемое облако (cloud).[1] Таким образом, программное обеспечение фактически
предоставляется пользователю как сервис.
С понятием облачных вычислений часто связывают такие сервис-предоставляющие
технологии, как «Программное обеспечение как сервис» (“Software as a Service” или “SaaS”),
«Инфраструктура как сервис» (“Infrastructure as a Service” или “IaaS”) и «Платформа как
сервис» (“Plaatform as a Service”, “PaaS”).[2]
SaaS– модель развертывания приложения, которая подразумевает предоставление
приложения конечному пользователю как услуги по требованию (ondemand). Доступ к
такому приложению осуществляется посредством сети, а чаще всего посредством Интернет-
браузера.
IaaS – модель предоставления компьютерной инфраструктуры как сервиса. Вместо
покупки серверов, ПО, специального сетевого оборудования, пользователь может получить
эти ресурсы в виде аутсорсинга (outsource). Фактически, как замечают многие эксперты, это
всего лишь некоторая эволюция сервисов хостинга.
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
291
PaaS – модель сетевого предоставления вычислительной платформы как сервиса,
которая предлагает развертывание и поддержку веб-приложений и сервисов без
необходимости покупки и управления слоями hardware и software.
Эти технологии при совместном использовании позволяют пользователям облачных
вычислений воспользоваться вычислительными мощностями и хранилищами данных,
которые посредством определенных технологий виртуализации и высокого уровня
абстракции предоставляются им как услуги[3].
Основные характеристики облачных вычислений, которые отличают их от других
типов вычислений (интернет-ресурсов):
- Самообслуживание
по
требованию.
Потребитель
по
мере
необходимости
автоматически, без взаимодействия с каждым поставщиком услуг, может самостоятельно
определять и изменять вычислительные мощности, такие как серверное время, объем
хранилища данных.
- Широкий (универсальный) сетевой доступ. Вычислительные возможности доступны
на большие расстояния по сети через стандартные механизмы, что способствует широкому
использованию разнородных (тонких или толстых) платформ клиента (терминальных
устройств).
- Объединение ресурсов. Конфигурируемые вычислительные ресурсы поставщика
объединены в единый пул для совместного использования распределенных ресурсов
большим количеством потребителей.
- Мгновенная эластичность ресурсов (мгновенная масштабируемость). Облачные
услуги могут быстро предоставляться, расширяться, сжиматься и освобождаться исходя из
потребностей потребителя.
- Измеряемый сервис (учет потребляемого сервиса и возможность оплаты услуг,
которые были реально использованы). [4]
Облачные системы автоматически управляют и оптимизируют использование ресурсов
за счет осуществления измерений на некотором уровне абстракции, соответствующей типу
сервиса[5].
Существуют некоторые проблемы, с которыми сталкиваются как вендоры
cloudcomputing, так и бизнес-пользователи. Гарантий, что все ресурсы облака посчитаны и в
нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не
нарушена взаимная конфигурация элементов облака, нет. Это высокоуровневый тип угроз,
т.к. он связан с управляемостью облаком, как единой информационной системой и для него
общую защиту нужно строить индивидуально. Для этого необходимо использовать модель
управления рисками для облачных инфраструктур.
В основе обеспечения физической безопасности лежит строгий контроль физического
доступа к серверам и сетевой инфраструктуре. В отличии от физической безопасности,
сетевая безопасность в первую очередь представляет собой построение надежной модели
угроз, включающей в себя защиту от вторжений и межсетевой экран.
В облачных вычислениях важнейшую роль платформы выполняет технология
виртуализации. Для сохранения целостности данных и обеспечения защиты существуют
основные угрозы для облачных вычислений.[6]
Трудности при перемещении обычных серверов в вычислительное облако. Доступ
через Интернет к управлению вычислительной мощностью один из ключевых характеристик
облачных вычислений. Разграничение контроля доступа и обеспечение прозрачности
изменений на системном уровне является одним из главных критериев защиты.
Динамичность виртуальных машин. Виртуальные машины динамичны. В средах
облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом
это не должно зависеть от ее состояния и местоположения.
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
292
Уязвимости внутри виртуальной среды. Система обнаружения и предотвращения
вторжений должна быть способна обнаруживать вредоносную активность на уровне
виртуальных машин, вне зависимости от их расположения в облачной среде.[7],[8]
Защита бездействующих виртуальных машин. В данном случаи должна быть
реализована защита не только внутри каждой виртуальной машины, но и на уровне
гипервизора.
Защита периметра и разграничение сети. Для разграничения сегментов с разными
уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой,
перемещая сетевой периметр к самой виртуальной машине.
Традиционные атаки на ПО. Уязвимости операционных систем, модульных
компонентов, сетевых протоколов и др — традиционные угрозы, для защиты от которых
достаточно установить межсетевой экран, firewall, антивирус, IPS и другие компоненты,
решающие данную проблему.
Функциональные атаки на элементы облака. Этот тип атак связан с многослойностью
облака, общим принципом безопасности. Для защиты от функциональных атак для каждой
части облака необходимо использовать следующие средства защиты: для прокси –
эффективную защиту от DoS-атак, для веб-сервера — контроль целостности страниц, для
сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций,
для системы хранения данных – правильные бэкапы (резервное копирование), разграничение
доступа.
Атаки на клиента. Единственная защита от данного вида атак является правильная
аутентификация
и
использование
шифрованного
соединения
(SSL)
с
взаимной
аутентификацией.
Атаки на гипервизор. Гипервизор является одним из ключевых элементов виртуальной
системы. Основной его функцией является разделение ресурсов между виртуальными
машинами.
Атаки на системы управления. Большое количество виртуальных машин, используемых
в облаках требует наличие систем управления, способных надежно контролировать создание,
перенос и утилизацию виртуальных машин.
Наиболее эффективные способы защиты в области безопасности облаков.[9]
Сохранность данных. Шифрование. Шифрование – один из самых эффективных
способов защиты данных. Провайдер, предоставляющий доступ к данным должен
шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия
необходимости, безвозвратно удалять.
Защита данных при передаче. Зашифрованные данные при передаче должны быть
доступны только после аутентификации. Данные не получится прочитать или сделать
изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно
известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются
провайдерами.
Аутентификация. Аутентификации — защита паролем. Для обеспечения более высокой
надежности, часто прибегают к таким средствам, как токены и сертификаты. Для
прозрачного взаимодействия провайдера с системой индетификациии при авторизации,
также рекомендуется использовать LDAP и SAML.
Изоляция пользователей. Данный подход имеет риски, связанные с опасностью найти
дыру в нестандартном коде, позволяющему получить доступ к данным.[10].
Использование облачных вычислений влечет за собой не только значительное
экономическое преимущество, такие как снижение затрат, оптимизация структуры
инвестиций, повышение защищенности данных, но и значительные риски с точки зрения
обеспечения информационной безопасности. Так как это - дорогое дело не только из-за
затрат на закупку или установку средств защиты, но также из-за того, что трудно
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
293
квалифицированно
определить
границы
разумной
безопасности
и
обеспечить
соответствующее поддержание системы в работоспособном состоянии.
Таким образом, если мы хотим разрабатывать и сопровождать успешные и
эффективные меры по защите информации в условиях облачных вычислений, то
необходимым условием для этого будет фундаментальный и многосторонний анализ рисков
для информационной безопасности.
ЛИТЕРАТУРА
1.
http://www.ncm.ru
2.
http://www.lessons-tva.info
3.
http://habrahabr.ru
4.
http://habrahabr.ru
5. http://www.kommersant.ru. Дмитрий Петров «Встречный план».
6. http://technorati.com. Г. Маклеод (HughMacleod) «Самый хорошо охраняемый секрет
Облаков».
7. http://news.bbc.co.uk/2/hi/technology. Bill Thompson «Storm warning for cloud computing».
8.
http://habrahabr.ru
9.
http://www.kaspersky.ru
10.
http://webtun.com/webmaster/web-security
УДК 621.3.037.3
АДАМОВА А.Д., АБДИРАЗАК А.
РЕАЛИЗАЦИЯ ПОСЛЕДОВАТЕЛЬНЫХ ЦИФРОВЫХ УСТРОЙСТВ В СРЕДЕ
ПРОЕКТИРОВАНИЯ XILINX ISE WEBPACK
(Евразийский национальный унивеситет им.Л.Н.Гумилева г. Астана, Республика
Казахстан)
В настоящее время проектирование цифровых схем переживает бум. Такого рода
схемы используются практически во всех встроенных информационно-управляющих
системах. В связи с высоким ростом потребности во встроенных системах активно
усовершенствуются методы и средства проектирования. В предложенной работе
рассматривается процесс проектирования последовательного устройства и реализация
проекта на FPGA в среде проектирования Xilinx ISE WebPack.
Xilinx’s ISE WebPack 14.1 позволяет при правильной организации работы, легко и
удобно проектировать цифровые устройства. В данной среде процесс проектирования
состоит из трех этапов, которые в свою очередь состоят из определенных процедур. Aldec
Active-HDL
является
начальным
этапом
проектирования,
здесь
указываются
функциональность проекта, определяются входы и выходы, записываются определенные
коды на языке описания аппаратуры – VHDL. На следующем этапе указывается тип FPGA,
который в будущем будет программироваться под заданное устройство, сопоставляются
сигналы, производится синтез, трассировка и маршрутизация. После успешно выполненных
процедур создается файл с битовым потоком данных. И на завершающем этапе
используются тестовые платы для проверки работоспособности проекта, а именно Xilinx
Spartan-6 LX45 FPGA.
Реализация проекта - это процесс перевода, отображения, размещения, маршрутизации
и создание файла битового потока. Инструменты реализации проекта встроены в
программное обеспечение Xilinx ISE, что является очень удобным при управлении
проектами. На рисунке 1 показаны шаги реализации проекта внутри системы FPGA.
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
294
Рисунок 1. Реализации проекта внутри системы FPGA
При успешном запуске проекта можно увидеть множество информации, в том числе
количество задействованных ячеек в таблице поиска (lookup table) и количество блоков
используемых для ввода и вывода значений (рисунок 2).
Рисунок 2. Успешный запуск проекта
Так же можно посмотреть схему на уровне регистровых передач (RTL), где
описывается поведение синхронной цифровой схемы проектируемого устройства
(рисунок 3).
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
295
Рисунок 3. RTL схема проектируемого устройства
Используемая тестовая плата Xilinx Spartan-6 LX45 FPGA состоит из шести кнопок,
восьми ползунков и восемь светодиодов для цифрового входа и выхода. Так же имеется
кнопка "Reset" (Сброс) - данная кнопка ничем не отличается от остальных пяти кнопок, но
используется как сброс к заводским настройкам. Кнопки и ползунки соединены с FPGA
через резисторы, чтобы предотвратить ущерб от случайных коротких замыканий.
Высокоэффективные светодиоды подключены к FPGA через резисторы 390 Ом, и они
загорятся, когда высокое напряжение применится к соответствующему вводу/выводу
(Рисунок 4).
Рисунок 4. Подключение к кнопкам, ползункам, и светодиодов с FPGA
Переключатели используются для установления некоторых комбинаций на входы «а» и
«в» и результат выводится на светодиоды.
В данной работе была осуществлена разработка последовательного цифрового
устройства в среде Xilinx ISE WebPack, который является сложным программным
обеспечением с широким набором функций. В ходе работы был проведен анализ задачи, на
основе которого были определены количество используемых входов и выходов. На основе
требований была построена схема, которая была преобразована в битовый поток данных.
Для проверки работоспособности проекта система загружалась в тестовую плату Xilinx
Spartan-6 LX45 FPGA.
Литература
1. Адамова А.Д. Преобразование сигналов в цифровой связи. - Проблемы
дифференциальных уравнений, анализа и алгебры: материалы V международной научной
конференции. – Актобе, 2009 г. – С.374-375
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
296
2. Адамова А.Д., Палташев Т.Т. Встроенные информационно-управляющие системы. -
Вестник. – Алматы: КазНТУ, 2010 г. - №6(82). – С.128-132
3. Адамова А.Д., Палташев Т.Т. Средства моделирования, синтеза и верификации. -
Информатизация
общества:
материалы
II
международной
научно-практической
конференции. – Астана, 2010 г. – С.590-597
УДК 004.043
АДАМОВА А.Д.
РАЗРАБОТКА КОМПЛЕКСНОГО АЛГОРИТМА ЦИФРОВОЙ ФИЛЬТРАЦИИ
СИГНАЛОВ
(Евразийский национальный унивеситет им.Л.Н.Гумилева г. Астана, Республика
Казахстан)
В данной статье рассмотрены вопрос аппаратной реализации комплексных алгоритмов
цифровой фильтрации в заказных СБИС и ПЛИС при переходе от алгоритмов
реализованных программно на языке С и адаптированных под микропроцессорную
платформу. В качестве примера используется алгоритм адаптивного шумоподавления
внешнего акустического шума, проникающего в канал связи вместе с речью человека через
микрофон, и не несущего полезной информации. Для решения этой задачи использовано
прямое/обратное преобразование Фурье и Винеровская фильтрация речевого сигнала. Целью
данной работы является разработка RTL кода на языке Verilog.
Рассмотрим теоретический и экспериментальный анализ возможности восстановления
сигнала из смеси его с шумом путем оптимальной фильтрации (Рисунок 1).
Рисунок 1.Зависимость словесной разборчивости от отношения сигнал/шум для
широкополосного (а) и узкополосного (б) маскирующего шума
Пусть на вход линейной системы (фильтра), характеризуемой импульсной переходной
характеристикой
)
( t
h
, поступает сумма статистически независимых сигнала
)
( t
x
и помехи
)
( t
n
:
)
(
)
(
)
(
t
n
t
x
t
z
. (1)
Как помеха, так и сигнал считаются стационарными случайными процессами (ССП),
корреляционные функции которых известны.
Отклик фильтра описывается интегралом свертки:
d
t
z
h
t
y
)
(
)
(
)
(
. (2)
«ҚОҒАМДЫ АҚПАРАТТАНДЫРУ» IV ХАЛЫҚАРАЛЫҚ ҒЫЛЫМИ-ПРАКТИКАЛЫҚ КОНФЕРЕНЦИЯ
297
Если фильтр предназначен для восстановления сигнала
)
(t
x
из смеси (1), тогда ошибка
восстановления имеет вид:
)
(
)
(
)
(
t
x
t
y
t
. (3)
Средний квадрат ошибки:
)
0
(
)
(
)
(
2
)
(
)
(
)
(
)
(
)
(
1
1
1
2
1
1
2
2
1
2
2
x
zx
z
K
d
K
h
d
d
K
h
h
t
x
t
y
(4)
Найдем минимум функционала (4), достигаемый «правильным» подбором функции
)
(t
h
. С этой целью возьмем от (4) производную по
)
(t
h
и приравняем ее нулю (т.е. используем
необходимое условие экстремума функционала [2]):
0
)
(
2
)
(
)
(
2
2
2
1
2
1
1
2
1
2
1
2
2
d
K
d
d
K
h
d
d
K
h
h
ZX
Z
Z
(5)
В соотношении (5) мы в последнем слагаемом заменили переменную
1
на
2
-
очевидно, такая замена никак не влияет на результат. Очевидно, столь же безвредна для
результата и взаимная замена переменных
1
и
2
в первом слагаемом соотношении (5).
После таких замен получаем:
0
)
(
)
(
)
(
2
1
2
1
1
2
2
2
1
2
1
1
d
d
K
h
d
K
d
d
K
h
Z
ZX
Z
(6)
Очевидно, для выполнения соотношения (6) достаточно выполнения равенства:
)
(
)
(
2
1
2
1
1
ZX
Z
K
d
K
h
. (7)
Соотношение (7), в котором неизвестной является функция
)
(t
h
, называется
интегральным уравнением Фредгольма первого рода [2]. Поскольку его левая часть является
сверткой (очевидно,
)
(
)
(
1
2
2
1
z
z
K
K
для ССП
)
(t
z
), его решение в явном виде легко
получить, переходя из временного домена в частотный. С этой целью используем
преобразование Фурье от левой и правой частей соотношения (7). В результате получим:
)
(
)
(
)
(
f
G
f
G
f
H
z
zx
, (8)
где
)
(
)
(
,
)
(
)
(
K
F
f
G
t
H
F
f
H
,
}
{
F
- оператор преобразования Фурье.
Поскольку для статистически независимых ССП сигнала
)
(t
x
и помехи
)
(t
n
справедливы соотношения:
)
(
)
(
)
(
2
1
2
1
2
1
n
x
z
K
K
K
, (9)
)
(
)
(
1
1
x
zx
K
K
, (10)
из (9)-(10) следуют соотношения:
)
(
)
(
)
(
f
G
f
G
f
G
n
x
z
, (11)
)
(
)
(
f
G
f
G
x
zx
. (12)
Из (8) с учетом (11)-(12) окончательно получаем выражение для частотной
характеристики Винеровского фильтра:
|