Современные методы обеспечения безопасности информации в атомной энергетике (400,00 руб.)

Стр.1

Стр.2

Стр.3

Стр.4

Стр.5

Стр.632

Стр.633

Стр.634

Стр.635

Стр.636

Стр.637

Стр.1

ФГУП «Российский федеральный ядерный центр – Всероссийский научно-исследовательский институт экспериментальной физики» В. Г. Грибунин, В. Е. Костюков, А. П. Мартынов, Д. Б. Николаев, В. Н. Фомченко СОВРЕМЕННЫЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АТОМНОЙ ЭНЕРГЕТИКЕ Монография Под редакцией доктора технических наук, профессора, заслуженного деятеля науки РФ А. И. Астайкина Саров 2014

Стр.2

УДК 621.039:004.056 ББК 32.973 С56 Одобрено научно-методическим советом Саровского физико-технического института Национального исследовательского ядерного университета «МИФИ» и ученым советом ФГМУ «Институт информатизации образоваия» Российской академии образования Рецензенты: ректор НГТУ им. Р. Е. Алексеева, д-р техн. наук С. М. Дмитриев; декан радиофизического факультета ННГУ им. Н. И. Лобачевского профессор, д-р физ.-мат. наук А. В. Якимов; главный научный сотрудник РФЯЦ-ВНИИЭФ д-р. физ.-мат. наук В. А. Терехин С56 Грибунин В. Г., Костюков В. Е., Мартынов А. П., Николаев Д. Б., Фомченко В. Н. Современные методы обеспечения безопасности информации в атомной энергетике: Монография / Под ред. А. И. Астайкина. – Саров: ФГУП «РФЯЦ-ВНИИЭФ», 2014. – 636 с. – ил. ISBN 978-5-9515-0265-0 Рассмотрены аспекты информационной безопасности применительно к системам защиты, управления и контроля объектов атомной энергетики. Рассмотрены возможные модели несанкционированных действий и современные алгоритмы криптографического преобразования информации, используемые для обеспечения безопасности, целостности и подлинности данных в контурах защиты, управления и контроля устройств и объектов атомной энергетики. Книга предполагает известную математическую подготовку читателей, особенно в области криптографической защиты информации, теории вероятностей и математической статистики. УДК 621.039:004.056 ББК 32.973 ISBN 978-5-9515-0265-0  ФГУП «РФЯЦ-ВНИИЭФ», 2014

Стр.3

СОДЕРЖАНИЕ Предисловие ……………………………………………………………………... 5 Введение …………………………………………………………………………. 7 Глава 1. Введение в концептуальные основы построения систем управления и контроля. Особенности построения данных систем в атомной энергетике …………………………………………………………… 9 Глава 2. Информационная составляющая ядерной безопасности систем управления и контроля …..……………………………………………... 16 Глава 3. Криптографические системы и их модели ………………………….. 21 Глава 4. Источники исходного сообщения и их алфавиты …..……………… 35 Глава 5. Анализ языков ассемблера распространенных процессоров ….…... 80 Глава 6. Количество информации и энтропия ………………………………... 114 Глава 7. Теоретическая стойкость криптографических систем ……………... 130 Глава 8. Практическая стойкость криптографических систем .……………… 143 Глава 9. Криптоалгоритм ЛЮЦИФЕР фирмы IBM …………………………… 156 Глава 10. Анализ американского стандарта криптографического преобразования информации DES ……………………………………………... 165 Глава 11. Алгоритм криптографического преобразования систем расчета и обработки информации по ГОСТ 28147-89 и его программная реализация ..………………………………………………… 180 Глава 12. Симметричные криптографические системы ….………..………… 199 Глава 13. Асимметричные криптографические системы …………………..... 224 Глава 14. Анализ основных принципов организации криптографических протоколов ………………………………………………… 239 Глава 15. Протоколы аутентификации и шифрования в информационно-вычислительных сетях ……………………………………... 294 Глава 16. Защита на канальном уровне ……………………………………...... 298 Глава 17. Защита на сетевом уровне …………………………………………... 310 Глава 18. Защита на транспортном уровне ……………………………………. 331 Глава 19. Защита на сеансовом уровне ………………………………………... 342

Стр.4

4 Глава 20. Защита на прикладном уровне ……………………………………… 380 Глава 21. Другие прикладные протоколы аутентификации ………………….. 428 Глава 22. Инфраструктура открытых ключей ………………………………… 448 Глава 23. Структура и основные элементы архитектуры инфраструктуры открытых ключей ………………………………………………………………… 456 Глава 24. Структуры данных и политика инфраструктуры открытых ключей ………..……………………………………………………….. 479 Глава 25. Особенности построения инфраструктуры открытых ключей ………………………………………………………………… 508 Глава 26. Безопасные системы управления и контроля на базе виртуальных частных сетей ……………………………………………. 522 Заключение ……………………………………………………………………….. 562 Список терминов, условных обозначений и сокращений ……..……………… 563 Список литературы ……………………………………………………………… 566 Приложение 1. Статистические данные по темам «Вычислительная техника», «Политика» и «Художественная литература» .………………………………… 571 Приложение 2. Исходный текст программы STAT …………………………... 590 Приложение 3. Основы математической теории связи ……………………… 606 Приложение 4. Сравнительные характеристики средств криптографической защиты информации, межсетевых экранов и VPN-технологий ……………………………………………………………….. 629

Стр.5

631 № п/п 16 17 18 19 Функции Поддержка TCP/IP Функции IP-сервера доступа (Dialup,X.25) Функции IPмаршрутизатора Функции IPкриптомаршрутизатора Статическая/динамическая ip-маршрутизация/ поддержка RIP Защита на транспортном уровне (IP) 20 21 22 23 24 25 26 27 IP-фильтрация на транспортном уровне IP-фильтрация служебных протоколов IP-фильтрация с учетом вх/вых интерф. Возможность сокрытия наличия МЭ Фильтрация ip-port Фильтрация URL Трансляция IPадресов/портов NAT/PAT Динамический/статический TCP, UDP Есть Есть Частично Есть Есть Есть/Есть (RFC 1631) Есть/Есть TCP, UDP Есть Есть Нет Есть Есть Есть/– (RFC 1631) Есть TCP, UDP Есть Есть Обеспечивается Есть Средствами VPN TCP, UDP Есть Есть Есть Есть HTTP-Proxy Есть/– (RFC 1631) Есть/Есть TCP, UDP Есть Есть Есть Есть TCP, UDP Есть Есть Частичная Есть Есть Есть (RFC 1631) Есть Нет Есть Нет Есть/Есть/Есть Есть Есть Нет Есть/Есть/Есть Нет Есть (до 34 Dialup) Нет Нет Есть Есть Есть/Есть/Есть Нет Есть Есть Средствами ОС Только IP, Средствами ОС Средствами ОС Средствами ОС Средствами ОС Cisco PIX 520 Firewall v4.2 CISCO LTD IOS Cisco Firewall Feature Set CISCO LTD ФПСУ-IP ООО «АМИКОН» Технология DioNIS ООО «ФАКТОР-ТС» «КОНТИНЕНТ-К» «Информзащита» FireWall-1 Check Point

Стр.632

632 № п/п 28 29 Функции Поддержка NAT динамического IP-адреса IP-фильтрация по графику (Дата, время) Защита на прикладном уровне (IP) 30 31 Фильтрация на прикладном уровне посредством сервис-посредников Фильтрация почты Smtp, http, ftp, telnet, java, snmp Smtp только по 25 port с ограничением команд 32 Архивация и резервирование почтового трафика (SMTP, Межхост …) 33 34 35 Шифрование почты Контролируемая транзакция файлов (Клиентсервер) Возможность доставки почты по альтернативным не IP-каналам (X.25,..) 36 Возможность антивирусной проверки почты Нет Smtp, http smtp Telnet, snmp Нет ftp, telnet, smtp/pop3, http, ftp SMTP-сервер-посредник, Черные-белые списки, Расписание, альтернативные маршруты, Нет Нет Есть Нет Нет Smtp, http, ftp, telnet, java, snmp Smtp Есть Cisco PIX 520 Firewall v4.2 CISCO LTD IOS Cisco Firewall Feature Set CISCO LTD Нет Нет ФПСУ-IP ООО «АМИКОН» Технология DioNIS ООО «ФАКТОР-ТС» Есть Есть ,PPP (Dialup, X.25) Есть «КОНТИНЕНТ-К» «Информзащита» FireWall-1 Check Point Есть Есть/Н.Д. Нет Нет Нет Нет Нет Нет Нет Нет Нет Нет Нет Есть, на межузловом уровне Есть Есть , Z-modem (X.25, IPX, Dialup) Нет Нет Нет Есть (Диалог-наука) Нет Нет Нет Нет Нет Нет Нет Есть

Стр.633

633 № п/п 37 Функции Аутентификация Аутентификация Cisco PIX 520 Firewall v4.2 CISCO LTD Есть. PAP/CHAP (необходим внешний сервер RADIUS, TACACS+), SecurID, AXENT, CryptoCard, NDS, NT домен, UNIX домен Туннелирование, шифрование 38 39 40 Туннелирование IP трафика VPN over X.25 (IP VPN over X.25) Метод шифрования, маскирования IPтрафика IPSec, IETF Нет 41 42 43 Компрессия IP-трафика Число VPN направлений Абонентское шифрование DES 56, 112, 186 bit (аппаратно или программно) CISCO PIX Ravlin encr. card Нет 256 Нет IPSec, IETF, L2TP.. Есть DES 40, 56, bit (аппаратно или программно) CISCO PIX Ravlin encr. card Нет Нет данных Нет Есть Нет Свой, ГОСТ28147-89 IPSec Есть ГОСТ28147-89 (аппаратно или программно) IPSec Нет ГОСТ28147-89 (программно) IKE, FWZ, IPSec, SKIP Нет DES 40, 56, 168 RSA 512/1024 IOS Cisco Firewall Feature Set CISCO LTD Нет, но есть в составе маршрутизатора и с внешним сервером RADIUS, TACACS+ ФПСУ-IP ООО «АМИКОН» Технология DioNIS ООО «ФАКТОР-ТС» X.509 (АМИКОН) Есть Межузловая и клиентская (PAP/CHAP/ГОСТ2814789) «КОНТИНЕНТ-К» «Информзащита» Есть ГОСТ28147-89, X.509 FireWall-1 Check Point RADIUS, TACACS+, X.509, MD5 Есть 1024 Нет данных Есть 256 стат., 4000 динам. Есть. DiSec Есть Нет данных Есть. АП Континент Сторонних фирм Нет Нет

Стр.634

634 № п/п 44 45 Функции Другие функции Удаленное управление Проверка целостности ПО Cisco PIX 520 Firewall v4.2 CISCO LTD Есть (по tcp/ip) При старте (необходим отдельный модуль, разработки Анкей) 46 47 48 49 50 51 52 53 54 55 Резервирование своего состояния Мониторинг в р.в., трассировка каналов Фиксация событий, протоколирование Сигнализация Защита целостности ПО, Данных и системы (НСД) Используемые средства НСД DHCP-Server DNS Server (разделяемый) Интеллектуальное взаимодействие с UPS Отказоустойчивое исполнение с горячим резервом Нет Нет Есть На ЦУС Пароль Собственные Нет Нет Нет Есть IOS Cisco Firewall Feature Set CISCO LTD Есть (по tcp/ip) Нет ФПСУ-IP ООО «АМИКОН» Нет При старте, хэшфункция Технология DioNIS ООО «ФАКТОР-ТС» Есть. Интерактивное (по tcp/ip,x.25, rs232), SNMP В динамике, при старте, хэш-функция по госту «КОНТИНЕНТ-К» «Информзащита» Есть. В пакетном режиме В динамике, при старте FireWall-1 Check Point Есть (по tcp/ip) В динамике, при старте Нет Нет На внешнем сервере На внешнем сервере Пароль Собственные Нет Нет Нет Нет Есть (администратором) Нет Встроенная Встроенная, ЦУС ТМ, Floppy disk key (Аккорд) Аккорд Нет Нет Нет Нет данных Есть Есть Встроенная Консоль, ЦУС, SMTP ТМ, Floppy disk key (Криптон, Аккорд и др.) Криптон, Аккорд , Secret N Есть Есть Есть (корректное закрытие) Есть (+RAID HDD) Есть Нет Есть Нет данных Есть SecretNet, Соболь Нет Нет Нет данных Есть Есть Мониторинг Есть Есть Пароль Аккорд + средства ОС Средствами ОС Средствами ОС Есть Нет

Стр.635

635 № п/п 56 57 Функции Функции защищенного сервера доступа Обеспечение QoS Производительность комплекса 58 59 60 61 Производительность с NAT+Filtr Производительность с Ftr+NAT+шифр Увеличение производительности при включенной компресссии Число одновременных виртуальных соединений через Firewall ~ 50-90 Мбит/с Нет данных Нет Лицензии на 128, 1024, 65536 > 10 Мбит/с 500 кбит/с Нет Лицензии на 25, 50, 250, 65536 Без NAT 55 Мбит/с ~10 Мбит/с Нет 2048 ~ 90 Мбит/с (PIII 500) ~ 90 Мбит/с В 5 раз при скоростях до 1 Мбит/с и трафике FTP, HTTP IP-Filtr – Не ограниченно NAT – 2048, SMTP – 32 Нет 30-80 Мбит/с Нет данных Нет данных 15-18 Мбит/с 4-18 Мбит/с Нет 25, 50 ….. Cisco PIX 520 Firewall v4.2 CISCO LTD Нет Есть IOS Cisco Firewall Feature Set CISCO LTD Есть Есть ФПСУ-IP ООО «АМИКОН» Нет Нет Технология DioNIS ООО «ФАКТОР-ТС» Есть Есть «КОНТИНЕНТ-К» «Информзащита» Есть Нет FireWall-1 Check Point Нет Нет

Стр.636

Научное издание Грибунин Вадим Геннадьевич, Костюков Валентин Ефимович, Мартынов Александр Петрович, Николаев Дмитрий Борисович, Фомченко Виктор Николаевич Современные методы обеспечения безопасности информации в атомной энергетике Монография Редактор Н. П. Мишкина Компьютерная подготовка оригинала-макета С. В. Макеева, Н. В. Мишкина Подписано в печать 04.08.2014. Формат 70100/16 Усл. печ. л. 51,27 Уч.-изд. л. 49,67 Тираж 500 экз. Зак. тип. 1587-2013 Отпечатано в ИПК ФГУП «РФЯЦ-ВНИИЭФ» 607188, г. Саров Нижегородской обл.

Стр.637