Диссертация (Методы оценки аппаратурной надежности и защиты коммерческой информации электронной торговой площадки в телекоммуникационных сетях), страница 9

Проанализированы особенности математических моделей расчетанадежности телекоммуникационных сетей. Эти модели имеют дело свероятностными процессами и используют в качестве исходных данныхдостаточно недостоверную статистику, а иногда эта статистика вообщеотсутствует (первое относится, как правило, к данным по надежности, а второе– к информации о потоках в сетях, об интенсивности межабонентской связи, опараметрах пропускной способности, надежности передачи и т.д.).2.Разработанметодоценкинадежностиустройствтелекоммуникационных сетей электронной коммерции, критичных к задержкерезультатов вычислений, позволяющий определить и прогнозироватьвероятность выхода из строя узла/элемента сети (ЭТП), как при обслуживаниизаявок электронной торговой площадки, так и в свободном состоянии.3.

Разработан алгоритм резервирования устройств корпоративнойтелекоммуникационной сети электронной коммерции, который в отличие отуже существующих требует значительно меньше вычислительных ресурсов(примерно в 1,5 раза), и позволяет за небольшое число шагов получатьудовлетворительные результаты. Алгоритм основан на методе наискорейшегопокоординатного спуска, а процесс создания оптимальной резервированнойсистемы, т.е.

какого-либо участка (или элемента) сети представляется в видемногошагового процесса. На первом шаге определяется такая подсистема,54добавление к которой одного резервного элемента дает наибольший«удельный» выигрыш в приросте показателя аппаратурной надежности сети вцелом. На втором шаге определяется следующая подсистема (включая и ту, ккоторой был добавлен резервный элемент), характеризующаяся тем, чтодобавление к ней одного резервного элемента дает опять наибольшееотносительное приращение результирующего показателя надежности.Аналогичным образом процесс построения оптимальной системыпродолжается далее.Разработанныйалгоритмпозволяетэффективнореализоватьрезервирование элементов сети и ЭТП, обеспечив не только заданныепоказатели надежности, но и добиться этого как можно более экономично, снаименьшими суммарными затратами на резервные элементы, либо призаданных ресурсных ограничениях достичь максимально возможнойаппаратурной надежности всей сети.

Алгоритм проверен на большом числепрактических примеров и показал свою эффективность (АКД).4. Разработаны графовая модель оценки аппаратурной надежностителекоммуникационной электронной коммерции сети и алгоритм ее анализа,позволяющие:- проверять правильность проектных решений, находить «слабые места»и применять существенные меры по повышению надежности сетей, а такжеэффективности их функционирования, обеспечивая необходимую надежностьпередачи коммерческой информации ЭТП по телекоммуникационным сетям,- проводить оптимизацию аппаратурной надежности для широко спектрасетей- проводить многоуровневое моделирование с учетом специфики работысетевых устройств разных уровней,- прогнозировать стратегию модернизации и развития корпоративнойсети электронной коммерции.55ГЛАВА 3.

МЕТОДЫ ЗАЩИТА КОММЕРЧЕСКОЙИНФОРМАЦИИ ЭТП В КОРПОРАТИВНЫХТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ3.1. Стандарты информационной безопасностиВ настоящее время существует множество международных иотечественных наработок в области безопасности и защиты информации [28 –32, 53, 103].Имеются следующие основополагающие документы в областиинформационной безопасности: «Оранжевая книга» (критерии оценкибезопасности компьютерных систем" - Trusted Computer System EvaluationCriteria -TCSEC); стандарты «Радужная серия», Гармонизированные критерииЕвропейских стран (ITSEC), Рекомендации Х.800; Концепция защиты от НСДГоскомтехкомиссии при Президенте Российской Федерации.В качестве примера также можно привести Международный стандартинформационнойбезопасностиISO/IEC15408,известныйкак«CommonCriteria» - «Критерии оценки безопасности информационныхтехнологий».Среди стандартов по безопасности информационных технологий в РФможно выделить ряд документов [28-32], регламентирующих защитувзаимосвязи открытых систем, а также нормативные документы по средствам,системам и критериям оценки защищенности средств вычислительной техникии автоматизированных систем: ГОСТ Р ИСО 7498-2-99, ГОСТ Р ИСО/МЭК9594-8-98, ГОСТ Р ИСО/МЭК 9594-9-95, ГОСТ Р 50739-95, ГОСТ 28147-89,ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 и т.д.В Internet существует целый ряд комитетов, которые занимаютсястандартизацией интернет-технологий.

Это организации, составляют основнуючасть Рабочей группы инженеров Интернета – InternetEngineeringTaskForce,IETF [40, 53]. Можно также выделить OMG (Object Management Group), VRML(Virtual Reality Markup Language) Forum и Java Development Connection [25, 53].В качестве средств обеспечения безопасности в Internet имеются протоколызащищенной передачи данных – а именно SSL (TLS), SET, IPv.6 [25, 40, 53].563.2. Требования к классу защищенности 1Г для автоматизированнойсистемы электронной торговой площадкиАС Оператора должна соответствовать требованиям Руководящегодокумента Гостехкомиссии «Автоматизированные системы.

Защита отнесанкционированного доступа к информации. Руководящий документустанавливает классификацию автоматизированных систем, подлежащихзащите от несанкционированного доступа к информации, и требования позащите информации в автоматизированных систем (АС) различных классов[51, 59, 81]. Документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.60190, РД 50-680-88, РД 50-34.680-90 и других документов. Предполагаетсяделение АС на соответствующие классы по условиям их функционирования сточки зрения защиты информации необходимо в целях разработки иприменения обоснованных мер по достижению требуемого уровня защитыинформации, классы подразделяются на группы. Первая группа включаетмногопользовательские АС, в которых одновременно обрабатывается и (или)хранится информация разных уровней конфиденциальности.

Группа содержитпять классов - 1Д, 1Г, 1В, 1Б и 1А. К этой группе относится и АС оператораЭТП, а именно к классу 1Г (см. требования п.п. главы 1 данной работы).В общем случае, комплекс программно-технических средств иорганизационных решений по защите информации от несанкционированногодоступа (НСД) реализуется в рамках системы защиты информации от НСД(СЗИ НСД), условно состоящей из следующих четырех подсистем: управления доступом; регистрации и учета; криптографической; обеспеченияцелостности (таблица 3.1). В таблице используются обозначения: «-» - неттребований, «+» - есть требования к данному классу; СЗИ - система защитыинформации;СЗИНСДсистемазащитыинформацииотнесанкционированного доступа.Таблица 3.1.Подсистемы и требованияКласс1Г1.

Подсистема управления доступом571.1. Идентификация, проверка подлинности и контроль доступа субъектов:в системук терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМк программамк томам, каталогам, файлам, записям, полям записей1.2. Управление потоками информации2. Подсистема регистрации и учета2.1. Регистрация и учет:входа (выхода) субъектов доступа в (из) систему (узел сети)выдачи печатных (графических) выходных документовзапуска (завершения) программ и процессов (заданий, задач)доступа программ субъектов доступа к защищаемым файлам, включая их создание иудаление, передачу по линиям и каналам связидоступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналамсвязи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям,полям записейизменения полномочий субъектов доступасоздаваемых защищаемых объектов доступа2.2.

Учет носителей информации2.3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешнихнакопителей2.4. Сигнализация попыток нарушения защиты3. Криптографическая подсистема3.1. Шифрование конфиденциальной информации3.2. Шифрование информации, принадлежащей различным субъектам доступа(группам субъектов) на разных ключах3.3. Использование аттестованных (сертифицированных) криптографических средств4. Подсистема обеспечения целостности4.1. Обеспечение целостности программных средств и обрабатываемой информации4.2. Физическая охрана средств вычислительной техники и носителей информации4.3. Наличие администратора (службы) защиты информации в АС4.4.

Периодическое тестирование СЗИ НСД4.5. Наличие средств восстановления СЗИ НСД4.6. Использование сертифицированных средств защиты++++-+++++++++++-3.3. Средства защиты информации электронной торговой площадки втелекоммуникационных сетяхВ телекоммуникационных сетях электронной коммерции системыэлектронной торговли должны гарантировать юридически значимый58документооборот, т.е. обеспечить: аутентификацию, целостность информациии неотрекаемость.

Для обеспечения юридически значимого документооборотаиспользуется Электронная Подпись (ЭП).3.3.1. Криптографические хэш-функцииНа сегодняшний день имеется множество алгоритмов хэширования сразличными свойствами, такими как разрядность, вычислительная сложность,криптостойкость и т.д. [25, 31, 32, 51]. Хэш-функция H считаетсякриптографически стойкой, если удовлетворяет 3 основным требованиям:необратимость, стойкость к коллизиям первого рода, стойкость к коллизиямвторого рода [25, 51]. Эти требования не являются независимыми.

Хэшфункция из n-бит считается криптостойкой, если вычислительная сложностьнахождения коллизий для нее близка к 2 n / 2 .Хэширование часто используется в алгоритмах электронной подписи, гдешифруется не само сообщение, а его хэш-код, что уменьшает времявычисления, а также повышает криптостойкость. Во многих случаев вместопаролей хранятся значения их хэш-кодов [25, 55].Российский стандарт ГОСТ Р 34.11-94 основан на блочном алгоритмешифрования ГОСТ 28147-89 [32].

Его недостатки ГОСТ Р 34.11–94: в отличиеот SHA-2 и SHA-3, ГОСТ 34.11-94 не предусматривал возможности вариациидлины выходного хэша (это необходимо для встроенных реализаций сограниченными ресурсами); у хэш-функции ГОСТ Р 34.11–94 не самыебыстрые программные решения; неопределенность c S-блоками.Российский стандарт ГОСТР 34.11-2012 разработан в качестве заменыГОСТ Р 34.11–94 [31]. Стандарт определяет алгоритм и процедуру вычисленияхэш-функции для последовательности символов. Разработка вызванапотребностью в создании хэш-функции, соответствующей современнымтребованиям к криптографической стойкости и требованиям стандарта ГОСТ Р34.10-2012 к электронной подписи – «Стрибог».Определенная в стандарте функция хэширования используется приреализации систем электронной подписи на базе ассиметричногокриптографического алгоритма.