Примеры не выполнения: торпеда, «Союз»

Требования к управлению персоналом:

Минимизация правителей – выделение пользователю только прав, необходимых для использования им служебных обязанностей. Следование принципу «нет необходимости знать», что уменьшает ущерб от случайных или преднамеренных некорректных действий.

Разделение обязанностей. Следование принципу невозможности нарушения одним человеком критических для системы процессов.

Защита информации в ЛВС СТС. Внутренние угрозы.

Защита информационных воздействий должна производиться в процессе эксплуатации системы, но закладывается при ее разработке. Кроме того, в процессе разработки ПО также действуют перечисленные факторы безопасности, но дело осложняется тем, что в процессе разработки должен быть обеспечен легальный и частый доступ к информации и ПО системы для анализа и устранения ошибок, обнаруженных в процессе отладки и наладки системы.

Многие СУ СТС движущихся объектов должны работать в условиях воздействий небезопасной физической среды, сильно отличающихся от офисной. Прежде всего, в условиях повышенных или пониженных темпе5ратур, повышенной влажности, повышенных механических вибраций и ударов, радиации.

Для того чтобы построить защиту от этих неблагоприятных физический полей необходимо построить модели их взаимодействия на защищаемую систему, в том числе на элементы ЛВС, а также определить параметры этих моделей в частности интенсивность воздействий, приходящих на защищаемую систему. Эти интенсивности должны быть представлены к характеристикам элементов. Данные модели и их параметры определяются расчетно-теоретическими методами, но обязательно подтверждаются экспериментальными данными, полученными как в специально поставленных экспериментах, так и по результатам эксплуатации (не всегда удачными) системы. Ниже эта физическая защита будет рассмотрена подробнее.

 

1. Модели естественных физических воздействий на аппаратуру систем и ЛВС управления СТС. Физическая защита от этих воздействий.

Неблагоприятные физические условия функционирования аппаратуры сбора, обработки, хранения и передачи информации прямым образом влияют на ИБ, так как ведут к отказам аппаратуры. При этом поражается доступность, целостность, иногда конфиденциальность информации. Особенно остро эти проблемы стоят для средств промышленных ИТ и СТС.

Неблагоприятные температурные условия приводят либо к перегреву электронных компонент и выходу их из строя, либо к недопустимым температурным деформациям, приводящим к разрушению плат, разрыву проводников и т.п.

Вибрации и удары приводят к разрушению конструктивных элементов электронной аппаратуры, обрыву и механическому разрушению БИС, источников питания и т.п.

Искусственные и естественные ионизирующие излучения приводят к отказам и сбоям электронной аппаратуры, особенно с элементной базой высокой степени интеграции.

В случае аэрокосмических применений угроза приходит от потока электронов и протонов естественных радиационных поясов Земли, солнечных и галактических космических лучей. Воздействие ионизирующих излучений приводит к воздействию на БИС эффектов ионизации, структурных повреждений материалов, а также к локальному выделению тепла.

К основным радиационным эффектам относятся:

1) Деградация характеристик БИС вследствие накопления поверхностных и объёмных радиационных повреждений.

2) Возникновение мощных импульсных электрических разрядов вследствие электростатического пробоя изолирующих материалов.

3) Одиночных сбоев БИС от отдельных высокоэнергетических ядерных частиц (высокоэнергетических протонов и ТЗЧ), что связанно с несанкционированным переключением триггеров и искажений бит информации.

4) Отказ КМОП БИС от тиристорного эффекта (защелкивания), вызванного отдельными высокоэнергетическими частицами, проявляющийся через потерю работоспособности БИС с резким возрастание тока, протекающего через нее по цепям питания, от которого эта БИС обычно сгорает.

5) Сбои (ослепления) оптико-электронной аппаратуры, изменения прозрачности оптических сред (ВОЛС).

Элементы терминальных узлов ЛВС СТС, а так же кабель (среда передачи) повреждены всеми этими воздействиями.

Основная мера защиты от накапливаемых радиационных эффектов – создание защитных физических экранов из соответствующих материалов и соответствующей толщины (корпуса приборов должны защищать). Эта мера недостаточно эффективна для защиты от высокоэнергетических частиц. В этом случае рекомендуется либо ограничение степени интеграции БИС значение топологической нормы 0,25-0,3 мкм, либо специально разработанные радиационно-стойкие БИС, имеющие в топологии внутренние конструктивные средства защиты. Конечно, такие БИС гораздо дороже обычных и также имеют пониженную степень интеграции

 

 

1. Классификация элементной базы по качеству изготовления и допустимым значениям ВВФ, которым она соответствует.

Однако данные рекомендации имеют общий характер. Необходимо экспериментальное подтверждение радиационной стойкости в обоих случаях, так как стойкость БИС существенно зависит от ее конструкции и топологии.

Элементная база для устройств информационных технологий должна применяться и испытываться с учетом условий ее эксплуатации в этих устройствах. В настоящее время в России вследствие известных событий она в основном импортного производства. Это создает ряд дополнительных проблем ИБ. По степени защищенности и по степени надежности западная политика и практика разделяет элементную базу на три класса:

· industrial;

· military;

· space.

Отличия состоят в степени контроля качества при производстве, наличие в двух последних случаях военной приемки и специальной аттестации технологического оборудования, дополнительного объема отбраковочных испытаний. В ряде случаев отличается конструкция корпусов и самих микросхем. В результате одна и та же микросхема, но сделана по технологии разных классов отличается по стоимости. В среднем стоимость military на порядок выше, чем industrial, а space на порядок дороже military.

Однако, увеличение стойкости и надежности элементов оправдывает это увеличение стоимости. При этом поставка в РФ микросхем последних двух классов оговаривается часто неприемлемыми условиями.

Главная проблема состоит в том, что исходная сертификация импортной электронной базы особенно industrial не всегда прозрачна, также как и непрозрачен поставщик. Объем сопроводительной документации недостаточен для правильного конструирования и эксплуатации аппаратуры.

Часто встречаются ситуации, когда условия применения элементов в конкретных отечественных системах не соответствует условиям испытаний разработчика и поставщика и не соответствует их документации. Все это делает в ответственных случаях для критических систем обязательным проведение собственных сертификационных испытаний импортных элементов.

 

 

1. Проблема импортной элементной базы для управляющих сетей. Сертификация и лицензирование, как методы обеспечения информационной безопасности.

Для удостоверения качества, надежности и безопасности применяемых технических средств, в том числе ЛВС СТС, и ПО информационных технологий их следует подвергать сертификации в специально аттестованных испытательных лабораториях. Сертификационные испытания должны устанавливать соответствие характеристик средств ИТ и ПО документации на них в пределах измерений параметров внешней среды, установленных той же документацией и исследованных при испытаниях.

Если все испытания на заданные требования прошли успешно, то испытанным средствам ИТ и ПО выдается сертификат соответствия. Сертификационные испытания должны проводиться в лицензированных организациях, имеющих Государственную лицензию на проведение такого рода деятельности.

Лицензия – специальное разрешение, выдаваемое государством, на осуществление конкретного вида деятельности организации любого вида собственности при обязательном соблюдении лицензионных требований и условий, наличия необходимого оборудования и обученных кадров.

При использовании импортного ПО и технических средств ИТ, что в условиях РФ повсеместно имеет место, в них возможны как злоумышленные, так и случайные непредумышленные ошибки, откаты, нарушения ИБ. Парадокс, но в этом сугубо техническом вопросе исходно интересы потребителя при использовании импортных средств и ПО защищаются таможенными органами, которые следят за наличием международного сертификата импортированной продукции. При этом считается, что злоумышленные вирусы и закладки маловероятны в серийных широко тиражируемых в мире авторитетных продуктах авторитетных производителей. Однако гарантий на этот счет нет, а закладки могут быть сделаны спецслужбами помимо воли авторитетных производителей и тайком от них.

Поэтому применение в отечественных разработках критических систем импортной элементной базы, устройств и ПО должно сопровождаться дополнительными сертификационными испытаниями и прежде всего, следует полностью отказаться от применения контрафактных (нелегальных) программ и электронных элементов, происхождение которых не прослеживается (не прозрачно).

 

1. Типовая структура пакетов информации в локальных сетях.

Структура и размеры пакетов информации в каждой сети определены стандартом сети и поддерживаются аппаратурой сети, топологией сети и порядком обмена информации, заключённом в т.н. протоколе сети.
Пакет информации, передаваемой по сети, содержит в себе следующие основные поля:

 

1) Преамбула или стартовая комбинация бит обеспечивает предварительную настройку сетевого адаптера на приём и обработку пакета. Это поле может отсутствовать или сводиться к одному биту.

2) Идентификатор приёмника – уникальный сетевой адрес приёмника. Позволяет передатчику адресовывать, а приёмнику распознавать сообщение, адресованное ему лично либо всем абонентам сети (при широковещательном сообщении).

3) Идентификатор передатчика (передающего абонента) – уникальный сетевой адрес, информирующий приёмник, откуда пришло сообщение. В зависимости от того, кто передатчик, у приёмника может быть построена логика работы.

4) Управляющая информация указывает тип пакета, его номер в сообщении, размер, формат.

5) Существуют специальные управляющие пакеты, у которых информация, записанная в поле данных, интерпретируется, как сетевые команды.

6) Контрольная сумма пакета – числовой код, формируемый передатчиком по определённому алгоритму и содержащий сжатую информацию обо всём пакете. Алгоритм контрольной суммы выбирается так, чтобы искажение любого бита или группы бит пакета приводило к изменению контрольной суммы. При совпадении считается, что сообщение принято без искажений. При несовпадении приёмник действует по логике протокола – чаще всего запрашивает повторение передачи.

7) Стоповая комбинация служит для обозначения окончания пакета. Может отсутствовать в конкретном протоколе, если используется самосинхронизирующийся код.

Часто поля описанных позиций 1, 2, 3, 4 называются заголовком пакета, а поля позиций 6, 7 – хвостом пакета (хвостовиком).

Иногда, например в TCP/IP, термин “packet” заменяется на “frame” (кадр). Чаще всего под этими терминами подразумевается одно и то же, но иногда есть отличие в стартовой и стоковой комбинации бит.

 

1. Контроль целостности информации при её передаче в сетях. Обнаружение ошибок целостности. CRC. Проверка на чётность.

Физический канал передачи данных подвержен затуханиям сигнала, динамическим искажением, внешним помехам, что не даёт гарантии, что данные будут доставлены без искажений. Эти ошибки влияют на безопасность информации (целостность, доступность).

Применяются методы защиты контрольной суммой, что предусмотрено структурой пакета.

Возможны и другие методы защиты, реализуемые на прикладном уровне. Например, трёхкратная передача сообщения и сравнение 3-х экземпляров принятого сообщения у приёмника. Или передача сообщения с обратной проверкой (с информационной обратной связью).

Во всех случаях речь идёт о внесении кодовой или временной избыточности.

Избыточностью можно компенсировать недостаточную надёжность устройств.

Существуют так же методы кодирования информации, обнаруживающие и исправляющие ошибки у приемника после получения им сообщения. Они тоже основаны на избыточности. К исходному сообщению добавляется контрольная информация, по которой приёмник может обнаружить и исправить возникшие ошибки.

Длина исходного сообщения при этом возрастает (>20%), тем больше, чем больше количество ошибок может исправить применяемый метод кодирования.

Поэтому более экономичным решением вопроса следует считать наличие простых методов обнаружения и запрос повтора передачи в случае их обнаружения. Например, путем подсчета контрольной суммы (К∑). Проблема состоит в том, что подсчёт K∑ должен иметь простой и быстрый алгоритм (на каждый пакет КС считается дважды) и обнаруживать двойные ошибки и ошибки большей кратности. Простой подсчёт 1 и 0 в сообщении (чистое K∑) не обнаруживает ошибки кратности 2, 4 и т.п. (четной кратности). Поэтому применяются более сложные методы K∑. В настоящее время наиболее популярными являются CRC.

Передаваемое сообщение рассматривается в виде одного многоразрядного двоичного числа. Например, кадр Ethernet размером 1024 байта (8192 бит). Контрольной информацией считается остаток от деления этого числа на известный делитель R. Обычно R – 17-ти или 34-битное число. Остаток от деления при этом имеет длину 2 или 4 байта и помещается в поле K∑ кадра.

Метод CRC обнаруживает все одинарные ошибки, двойные ошибки и ошибки в нечётном числе бит.

Длительность искажающей помехи может перекрывать несколько бит при современных высокоскоростных линиях, так что вероятность искажения чётного числа бит имеется.

После обнаружения ошибки при передаче приемник оповещает об этом передатчик, который в большинстве случаев повторяет передачу, поскольку ошибки появляются сравнительно редко. Общие потери производительности сети оказываются меньше, чем в случае с помехоустойчивым кодированием.

 

 

1. Стандартизация и структуризация сетевых технологий модель OSI. Функции коммуникационного, транспортного и проблемно ориентированных уровней.

В процессе обмена информацией по сети участвуют две стороны. Это означает, что оба участника информационного обмена должны принять множество соглашений, начиная с уровня кодирования и передачи битов и заканчивая уровнем обслуживания пользователей с обеих сторон. На момент появления первых сетей такие соглашения действительно принимались для каждой сети индивидуально.

 

Массовое применение сетевых технологий стало возможным после стандартизации процессов взаимодействия систем и придания упомянутым соглашениям обязательного характера для всех пользователей и создателей сетей. Необходимо, чтобы разъёмы кабелей, уровни и формы информационных сигналов были согласованы. ПО в разных узлах сети должно одинаково интерпретировать передаваемые сигналы и сообщения.

 

Структуризация процессов обмена сообщениями - представление его в виде последовательной многоуровневой системы, позволяет на каждом уровне отвлекаться (абстрагироваться) от деталей нижестоящих уровней. Благодаря структуризации сетевого обмена инженеру-пользователю не нужно вникать во множество деталей передачи данных. Основное внимание может сосредоточить на обеспечении функционального взаимодействия систем.

 

Иерархически организованный набор соглашений об интерфейсах, имеет форму обязательных для исполнения протоколов. Протоколы нижних уровней реализуются аппаратными и программными средствами. Протоколы верхних уровней реализуются ПО.

Модель OSI (BOC) представляет семиуровневую систему структурированных функций:

 

 

 

Большинство функций уровней 1и 2 реализуются аппаратно – сетевыми средствами и их драйверами. Пятый, шестой и седьмой уровни реализуются ПО. Транспортный уровень модели OSI осуществляет связь между коммуникационными уровнями (1.2,3) и проблемно ориентированными уровнями (5.6,7). Это тоже ПО.

Модель OSI критикуется справедливо. Уровни от 4 до 7 имеют несколько академический характер и в реальных сетях (стеках протоколах)

не разрабатываются и не поставляются как отдельные программные продукты, а поставляется ПО, целиком накрывающие уровни 4-7, как соответствующие прикладному уровню.

Стек протоколов TCP/IP структурно проще и имеет 4 уровня, не совпадающие с моделью OSI. Стек SPX/IPX также имеет 4 уровня. Все таки роль модели OSI велика, так как она наиболее подробно структурирует, разделяет на функциональные составляющие телекоммуникационный процесс и является теоретической базой для формирования рациональных телекоммуникационных систем.

Модель OSI создавал комитет не озабоченный реальной разработкой. А реальные сетевые системы создавали люди более или менее свободные в свободные в своих технических решениях и пристрастиях. Структура протоколов MIL STD 1553 и CAN не соответствует физическому и канальному уровням OSI.

 

1. Коммутация каналов, коммутация сообщений, коммутация пакетов.

 

1. Топология локальных вычислительных сетей. Топология «шина» её достоинства и недостатки.

Топология вычислительных сетей.

Когда компьютеров в сети становится больше 2, возникает задача выбора конфигурации (структуры) связей между ними.
Под топологией сети понимается структура взаимодействия компьютеров в сети. Топология сети оказывает существенное влияние на характеристики функционирования сети:
На время доступа абонента на ЛПИ – задержка в передаче данных

 

· На надёжность передачи данных, особенно при учёте возможных внештатных ситуаций – отказов узлов, обрывав ЛПИ.

· На простоту расширения – подключение новых узлов

· На допустимую длину ЛПИ, зависящую от затухания сигнала и искажения его амплитуды и формы из-за динамических характеристик линии, от частоты передачи потока бит.

· На безопасность сети

 

Физическое размещение компьютеров по кольцу, в линию и т.п. не есть топология сети.

Кольцевому физическому размещению компьютеров в сети могут соответствовать топология шина и топология кольцо и даже каждый с каждым.

Существует пять базовых топологий сетей:

• Шина, звезда, кольцо, дерево, ячеистая

 

Топология шина и безопасность сети

Схематическое изображение

 

 

Электрические соединения топология шина:

 

 

Все компьютеры электрически параллельно подключены к одной линии связи. Все компьютеры сети получают информацию, передаваемую одним из компьютеров. Если информация, передаваемая в сеть предназначена только одному абоненту, то должен быть указан его адрес. Остальные компьютеры сети, получив не предназначенную для них информацию не должны ее воспринимать, запоминать и реагировать на нее. Однако, безопасность сети может быть нарушена, если найдется абонент, который несанкционированно будет пытаться запомнить и обработать непредназначенную ему информацию. Ещё большая опасность – «генерация» в сеть.

В сети с топологией шина компьютеры выдавать информацию в сеть могут только по очереди, так как при одновременной передаче несколькими абонентами произойдет наложение информационных сигналов и сообщения, одновременно передающих узлов будут искажены.

Поэтому шина – общий разделяемый ресурс и требуется специальное управление строго поочередного доступа к ней. Это управление может быть централизованным от одного из узлов сети, который объявляется центральным - управляющим, либо распределенным без выделения «управляющего» узла. Характеристики топологии:

1. При данной топологии, отказ любого узла (кроме центрального при централизованном доступе) не приводит к отказу сети.

2. Хуже обстают дела с обрывом или коротким замыканием КЗ шины. При обрыве шины и при распределенном доступе, казалось бы, получившиеся половинки могут продолжать работать. Однако электрические согласование шины, которое проводиться установкой с обоих концов согласующих резисторов, в этом случае нарушается и необходимо предусмотреть при проектировании сети возможность работы электрически несогласованной шины. Это мера обеспечения пассивной безопасности.

3. Шинная топология опасна возможностью атаки на доступность. Безопасность сети можно нарушить не только несанкционированным перехватом данных, но и активной злоумышленной передачей делая сеть недоступной для передачи полезных сообщений.

4. Преимущество топологии шина связаны с тем, что длина линий передачи по сравнению с другими топологиями минимальная при одном и том же расположении компьютеров, что в ряде применений – дает серьезное преимущество.

Абоненты к шине могут подключаться на длинных шлейфах (ответвителях). Однако, длина шлейфов даже в случае применения специальных средств согласования ограничена допустимыми искажениями формы сигналов, возникающих от суммирования отраженных от шлейфов сигналов с сигналами линии.

Топология «шина» получила широкое распространение в различных вариантах обеспечения доступа (Ethernet, MILSTD1553B, CAN и т.п.) абонентов.

Серьезный недостаток топологии - низкая производительность из-за необходимости ожидания абонентами освобождения занятого общего ресурса-шины. Низкая надежность – из-за угрозы обрыва и угрозы «генерации», реализация которых – выход из строя всей сети.

 

1. Анализаторы протоколов сети и их использование.

Сетевой адаптер каждого компьютера, например, сети Ethernet слышит все о чем «толкуют между собой» ведущие передачу узлы, но должен обрабатывать и помещать в свою память только ту информацию, которая адресована ему – содержит в заголовке его адрес.

В дополнение к этому штатному варианту работы подавляющие большинство современных сетевых адаптеров, в том числе Ethernet сетевых адаптеров, имеет особый режим, называемый «беспорядочным» (promiscuous). При работе в данном режиме адаптер принимает и копирует в память компьютера все проходящие сообщения. Эти сообщения могут анализироваться ПО компьютера, что с точки зрения ИБ не есть хорошо.

Более того имеются официальные специализированные программы, переводящие сетевой адаптер в «беспорядочный режим» и собирающие весть трафик сети для последующего анализа. Такие программы называются «анализаторами протоколов» сети и широко используются сисадминами для контроля работы сетей и анализа их загрузки. К сожалению эти же программы могут быть использованы злоумышленниками. Установить сетевой адаптер в режим анализатора протоколов может абонент, который хочет иметь доступ к конфиденциальной информации сети и получать поток обменов интересующих его узлов сети.

В сети MIlSTD 1553 В есть аналогичная команда «монитор». Ее выдает контроллер, но никто не гарантирует, что один из абонентов настроен в режим монитора. Защита от функционирования узлов в «беспорядочном» режиме с тотальной записью трафика должна базироваться на использовании в сети сетевых адаптеров, которые не могут функционировать в «беспорядочном режиме» (кроме адаптера сисадмина?!). Либо использовать современные топологии сетей (не с шинной), с индивидуальной адресацией из интеллектуальных компьютеров, буферизирующих все обмены (пассивная интеллектуальная защита). Нужно попробовать изолировать подозрительный с точки зрения ИБ узел. Путем выделения ему частной ЛПИ.

На КА Р-ДК используется управляющая сеть, по которой циркулирует управляющая информация бортовых приборов системы управления и системы аппаратуры наблюдения в общем эта информация конфиденциальна, поскольку раскрывает программу наблюдения. Более опасным является даже не потеря конфиденциальной информации, а атака на доступность или целостность информации сети.

В эту же сеть предполагалось включить научную аппаратура Памела (итальянского происхождения). Эта аппаратура также имеет сетевой адаптер MIlSTD 1553 В импортного производства, который может быть в принципе переведен в режим тотального прослушивания и анализа сетевой информации во встроенном в «Памелу» компьютере, либо атакой заблокировать сеть.

Было принято решение установить эту аппаратуру на выделенную линию передачи информации такую же, но не связанную с бортовой управляющей ЛПИ, с установкой в компьютер еще одного сетевого адаптера. Такое решение об изоляции линии передачи информации на «Памелу» было принято во имя ИБ несмотря на весоэнергетические потери на прокладку выделенной ЛПИ и установки второго контроллера сети, которые для КА чувствительны.

 

1. Топология «звезда». Её достоинства и недостатки. Пассивная звезда.