ФГУП «Российский федеральный ядерный центр –
Всероссийский научно-исследовательский институт
экспериментальной физики»
В. Г. Грибунин, В. Е. Костюков, А. П. Мартынов,
Д. Б. Николаев, В. Н. Фомченко
СОВРЕМЕННЫЕ МЕТОДЫ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В АТОМНОЙ ЭНЕРГЕТИКЕ
Монография
Под редакцией доктора технических наук, профессора,
заслуженного деятеля науки РФ А. И. Астайкина
Саров
2014
Стр.2
УДК 621.039:004.056
ББК 32.973
С56
Одобрено научно-методическим советом Саровского физико-технического
института Национального исследовательского ядерного университета «МИФИ»
и ученым советом ФГМУ «Институт информатизации образоваия» Российской
академии образования
Рецензенты: ректор НГТУ им. Р. Е. Алексеева, д-р техн. наук С. М. Дмитриев;
декан радиофизического факультета ННГУ им. Н. И. Лобачевского профессор,
д-р физ.-мат. наук А. В. Якимов; главный научный сотрудник РФЯЦ-ВНИИЭФ
д-р. физ.-мат. наук В. А. Терехин
С56
Грибунин В. Г., Костюков В. Е., Мартынов А. П.,
Николаев Д. Б., Фомченко В. Н.
Современные методы обеспечения безопасности информации в атомной
энергетике: Монография / Под ред. А. И. Астайкина. – Саров:
ФГУП «РФЯЦ-ВНИИЭФ», 2014. – 636 с. – ил.
ISBN 978-5-9515-0265-0
Рассмотрены аспекты информационной безопасности применительно
к системам защиты, управления и контроля объектов атомной энергетики.
Рассмотрены возможные модели несанкционированных действий и современные
алгоритмы криптографического преобразования информации,
используемые для обеспечения безопасности, целостности и подлинности
данных в контурах защиты, управления и контроля устройств и объектов
атомной энергетики.
Книга предполагает известную математическую подготовку читателей,
особенно в области криптографической защиты информации, теории
вероятностей и математической статистики.
УДК 621.039:004.056
ББК 32.973
ISBN 978-5-9515-0265-0
ФГУП «РФЯЦ-ВНИИЭФ», 2014
Стр.3
СОДЕРЖАНИЕ
Предисловие ……………………………………………………………………... 5
Введение …………………………………………………………………………. 7
Глава 1. Введение в концептуальные основы построения систем
управления и контроля. Особенности построения данных систем
в атомной энергетике …………………………………………………………… 9
Глава 2. Информационная составляющая ядерной безопасности
систем управления и контроля …..……………………………………………... 16
Глава 3. Криптографические системы и их модели …………………………..
21
Глава 4. Источники исходного сообщения и их алфавиты …..……………… 35
Глава 5. Анализ языков ассемблера распространенных процессоров ….…... 80
Глава 6. Количество информации и энтропия ………………………………... 114
Глава 7. Теоретическая стойкость криптографических систем ……………... 130
Глава 8. Практическая стойкость криптографических систем .……………… 143
Глава 9. Криптоалгоритм ЛЮЦИФЕР фирмы IBM …………………………… 156
Глава 10. Анализ американского стандарта криптографического
преобразования информации DES ……………………………………………... 165
Глава 11. Алгоритм криптографического преобразования систем
расчета и обработки информации по ГОСТ 28147-89
и его программная реализация ..………………………………………………… 180
Глава 12. Симметричные криптографические системы ….………..………… 199
Глава 13. Асимметричные криптографические системы …………………..... 224
Глава 14. Анализ основных принципов организации
криптографических протоколов ………………………………………………… 239
Глава 15. Протоколы аутентификации и шифрования
в информационно-вычислительных сетях ……………………………………... 294
Глава 16. Защита на канальном уровне ……………………………………...... 298
Глава 17. Защита на сетевом уровне …………………………………………... 310
Глава 18. Защита на транспортном уровне ……………………………………. 331
Глава 19. Защита на сеансовом уровне ………………………………………... 342
Стр.4
4
Глава 20. Защита на прикладном уровне ……………………………………… 380
Глава 21. Другие прикладные протоколы аутентификации ………………….. 428
Глава 22. Инфраструктура открытых ключей ………………………………… 448
Глава 23. Структура и основные элементы архитектуры инфраструктуры
открытых ключей ………………………………………………………………… 456
Глава 24. Структуры данных и политика инфраструктуры
открытых ключей ………..……………………………………………………….. 479
Глава 25. Особенности построения инфраструктуры
открытых ключей ………………………………………………………………… 508
Глава 26. Безопасные системы управления и контроля
на базе виртуальных частных сетей ……………………………………………. 522
Заключение ……………………………………………………………………….. 562
Список терминов, условных обозначений и сокращений ……..……………… 563
Список литературы ……………………………………………………………… 566
Приложение 1. Статистические данные по темам «Вычислительная техника»,
«Политика» и «Художественная литература» .………………………………… 571
Приложение 2. Исходный текст программы STAT …………………………... 590
Приложение 3. Основы математической теории связи ……………………… 606
Приложение 4. Сравнительные характеристики средств
криптографической защиты информации, межсетевых экранов
и VPN-технологий ……………………………………………………………….. 629
Стр.5
631
№
п/п
16
17
18
19
Функции
Поддержка TCP/IP
Функции IP-сервера
доступа (Dialup,X.25)
Функции IPмаршрутизатора
Функции
IPкриптомаршрутизатора
Статическая/динамическая
ip-маршрутизация/
поддержка RIP
Защита на транспортном
уровне (IP)
20
21
22
23
24
25
26
27
IP-фильтрация на транспортном
уровне
IP-фильтрация служебных
протоколов
IP-фильтрация с учетом
вх/вых интерф.
Возможность сокрытия
наличия МЭ
Фильтрация ip-port
Фильтрация URL
Трансляция IPадресов/портов
NAT/PAT
Динамический/статический
TCP,
UDP
Есть
Есть
Частично
Есть
Есть
Есть/Есть
(RFC 1631)
Есть/Есть
TCP, UDP
Есть
Есть
Нет
Есть
Есть
Есть/– (RFC 1631)
Есть
TCP, UDP
Есть
Есть
Обеспечивается
Есть
Средствами VPN
TCP, UDP
Есть
Есть
Есть
Есть
HTTP-Proxy
Есть/– (RFC 1631)
Есть/Есть
TCP, UDP
Есть
Есть
Есть
Есть
TCP, UDP
Есть
Есть
Частичная
Есть
Есть
Есть (RFC
1631)
Есть
Нет
Есть
Нет
Есть/Есть/Есть
Есть
Есть
Нет
Есть/Есть/Есть
Нет
Есть (до 34 Dialup)
Нет
Нет
Есть
Есть
Есть/Есть/Есть
Нет
Есть
Есть
Средствами ОС
Только IP,
Средствами
ОС
Средствами
ОС
Средствами
ОС
Средствами
ОС
Cisco PIX 520
Firewall v4.2
CISCO LTD
IOS Cisco Firewall
Feature Set
CISCO LTD
ФПСУ-IP
ООО «АМИКОН»
Технология DioNIS
ООО «ФАКТОР-ТС»
«КОНТИНЕНТ-К»
«Информзащита»
FireWall-1
Check Point
Стр.632
632
№
п/п
28
29
Функции
Поддержка NAT динамического
IP-адреса
IP-фильтрация по графику
(Дата, время)
Защита на прикладном
уровне (IP)
30
31
Фильтрация на прикладном
уровне посредством
сервис-посредников
Фильтрация почты
Smtp, http, ftp,
telnet, java,
snmp
Smtp только
по 25 port с
ограничением
команд
32
Архивация и резервирование
почтового трафика
(SMTP, Межхост …)
33
34
35
Шифрование почты
Контролируемая транзакция
файлов (Клиентсервер)
Возможность
доставки
почты по альтернативным
не IP-каналам
(X.25,..)
36
Возможность антивирусной
проверки почты
Нет
Smtp, http
smtp
Telnet, snmp
Нет
ftp, telnet, smtp/pop3, http,
ftp
SMTP-сервер-посредник,
Черные-белые списки,
Расписание, альтернативные
маршруты,
Нет
Нет
Есть
Нет
Нет
Smtp, http, ftp,
telnet, java,
snmp
Smtp
Есть
Cisco PIX 520
Firewall v4.2
CISCO LTD
IOS Cisco Firewall
Feature Set
CISCO LTD
Нет
Нет
ФПСУ-IP
ООО «АМИКОН»
Технология DioNIS
ООО «ФАКТОР-ТС»
Есть
Есть ,PPP (Dialup, X.25)
Есть
«КОНТИНЕНТ-К»
«Информзащита»
FireWall-1
Check Point
Есть
Есть/Н.Д.
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Есть, на межузловом
уровне
Есть
Есть , Z-modem (X.25,
IPX, Dialup)
Нет
Нет
Нет
Есть (Диалог-наука)
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Есть
Стр.633
633
№
п/п
37
Функции
Аутентификация
Аутентификация
Cisco PIX 520
Firewall v4.2
CISCO LTD
Есть.
PAP/CHAP
(необходим
внешний сервер
RADIUS,
TACACS+),
SecurID,
AXENT,
CryptoCard,
NDS, NT домен,
UNIX
домен
Туннелирование,
шифрование
38
39
40
Туннелирование IP трафика
VPN
over X.25 (IP VPN
over X.25)
Метод шифрования,
маскирования IPтрафика
IPSec,
IETF
Нет
41
42
43
Компрессия IP-трафика
Число VPN направлений
Абонентское шифрование
DES
56, 112,
186 bit (аппаратно
или
программно)
CISCO PIX
Ravlin encr.
card
Нет
256
Нет
IPSec, IETF,
L2TP..
Есть
DES 40, 56, bit
(аппаратно или
программно)
CISCO PIX Ravlin
encr. card
Нет
Нет данных
Нет
Есть
Нет
Свой,
ГОСТ28147-89
IPSec
Есть
ГОСТ28147-89 (аппаратно
или программно)
IPSec
Нет
ГОСТ28147-89
(программно)
IKE, FWZ,
IPSec, SKIP
Нет
DES 40, 56,
168
RSA 512/1024
IOS Cisco Firewall
Feature Set
CISCO LTD
Нет, но есть в составе
маршрутизатора
и с внешним
сервером
RADIUS,
TACACS+
ФПСУ-IP
ООО «АМИКОН»
Технология DioNIS
ООО «ФАКТОР-ТС»
X.509 (АМИКОН) Есть
Межузловая и клиентская
(PAP/CHAP/ГОСТ2814789)
«КОНТИНЕНТ-К»
«Информзащита»
Есть
ГОСТ28147-89,
X.509
FireWall-1
Check
Point
RADIUS,
TACACS+,
X.509, MD5
Есть
1024
Нет данных
Есть
256 стат., 4000 динам.
Есть. DiSec
Есть
Нет данных
Есть. АП Континент
Сторонних
фирм
Нет
Нет
Стр.634
634
№
п/п
44
45
Функции
Другие функции
Удаленное управление
Проверка целостности
ПО
Cisco PIX 520
Firewall v4.2
CISCO LTD
Есть (по
tcp/ip)
При старте (необходим
отдельный
модуль,
разработки
Анкей)
46
47
48
49
50
51
52
53
54
55
Резервирование своего
состояния
Мониторинг в р.в., трассировка
каналов
Фиксация событий, протоколирование
Сигнализация
Защита
целостности ПО,
Данных и системы
(НСД)
Используемые средства
НСД
DHCP-Server
DNS Server (разделяемый)
Интеллектуальное
взаимодействие
с UPS
Отказоустойчивое исполнение
с горячим резервом
Нет
Нет
Есть
На
ЦУС
Пароль
Собственные
Нет
Нет
Нет
Есть
IOS Cisco Firewall
Feature Set
CISCO LTD
Есть (по tcp/ip)
Нет
ФПСУ-IP
ООО «АМИКОН»
Нет
При старте, хэшфункция
Технология
DioNIS
ООО «ФАКТОР-ТС»
Есть. Интерактивное (по
tcp/ip,x.25, rs232), SNMP
В динамике, при старте,
хэш-функция по госту
«КОНТИНЕНТ-К»
«Информзащита»
Есть. В пакетном
режиме
В динамике, при
старте
FireWall-1
Check Point
Есть (по
tcp/ip)
В динамике,
при старте
Нет
Нет
На внешнем сервере
На
внешнем сервере
Пароль
Собственные
Нет
Нет
Нет
Нет
Есть
(администратором)
Нет
Встроенная
Встроенная,
ЦУС
ТМ, Floppy disk
key (Аккорд)
Аккорд
Нет
Нет
Нет
Нет данных
Есть
Есть
Встроенная
Консоль, ЦУС, SMTP
ТМ, Floppy disk key
(Криптон, Аккорд и др.)
Криптон, Аккорд , Secret N
Есть
Есть
Есть (корректное закрытие)
Есть
(+RAID HDD)
Есть
Нет
Есть
Нет данных
Есть
SecretNet, Соболь
Нет
Нет
Нет данных
Есть
Есть
Мониторинг
Есть
Есть
Пароль
Аккорд +
средства ОС
Средствами
ОС
Средствами
ОС
Есть
Нет
Стр.635
635
№
п/п
56
57
Функции
Функции защищенного
сервера доступа
Обеспечение QoS
Производительность
комплекса
58
59
60
61
Производительность с
NAT+Filtr
Производительность с
Ftr+NAT+шифр
Увеличение производительности
при включенной
компресссии
Число одновременных
виртуальных соединений
через Firewall
~ 50-90
Мбит/с
Нет данных
Нет
Лицензии на
128, 1024,
65536
> 10 Мбит/с
500 кбит/с
Нет
Лицензии на 25,
50, 250, 65536
Без NAT 55 Мбит/с
~10 Мбит/с
Нет
2048
~ 90 Мбит/с (PIII 500)
~ 90 Мбит/с
В 5 раз при скоростях до
1 Мбит/с и трафике FTP,
HTTP
IP-Filtr – Не ограниченно
NAT – 2048, SMTP – 32
Нет
30-80 Мбит/с
Нет данных
Нет данных
15-18 Мбит/с
4-18 Мбит/с
Нет
25, 50 …..
Cisco PIX 520
Firewall v4.2
CISCO LTD
Нет
Есть
IOS Cisco Firewall
Feature Set
CISCO LTD
Есть
Есть
ФПСУ-IP
ООО «АМИКОН»
Нет
Нет
Технология DioNIS
ООО «ФАКТОР-ТС»
Есть
Есть
«КОНТИНЕНТ-К»
«Информзащита»
Есть
Нет
FireWall-1
Check Point
Нет
Нет
Стр.636
Научное издание
Грибунин Вадим Геннадьевич, Костюков Валентин Ефимович,
Мартынов Александр Петрович, Николаев Дмитрий Борисович,
Фомченко Виктор Николаевич
Современные методы обеспечения безопасности информации
в атомной энергетике
Монография
Редактор Н. П. Мишкина
Компьютерная подготовка оригинала-макета
С. В. Макеева, Н. В. Мишкина
Подписано в печать 04.08.2014. Формат 70100/16
Усл. печ. л. 51,27 Уч.-изд. л. 49,67 Тираж 500 экз. Зак. тип. 1587-2013
Отпечатано в ИПК ФГУП «РФЯЦ-ВНИИЭФ»
607188, г. Саров Нижегородской обл.
Стр.637