лучшие книги по экономике
Главная страница

Главная

Замовити роботу

Последние поступления

Форум

Создай свою тему

Карта сайта

Обратная связь

Статьи партнёров


Замовити роботу
Книги по
алфавиту

Б
В
Г
Д
Е
Ж
З
И
К
Л
М
Н
О

Інформаційні технології віртуальних організацій

Страницы [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ]
[ 16 ] [ 17 ] [ 18 ] [ 19 ] [ 20 ] [ 21 ] [ 22 ] [ 23 ] [ 24 ] [ 25 ] [ 26 ] [ 27 ] [ 28 ] [ 29 ] [ 30 ] [ 31 ] [ 32 ]
[ 33 ] [ 34 ] [ 35 ] [ 36 ] [ 37 ] [ 38 ] [ 39 ] [ 40 ] [ 41 ] [ 42 ] [ 43 ] [ 44 ] [ 45 ] [ 46 ] [ 47 ] [ 48 ] [ 49 ] [ 50 ]

s'r,c = sr, (c+ shift(r,Nb))ModNb , де 0 ? r < 4, 0 ? c < Nb,
shift(1,4) = 1, shift(2,4) = 2, shift(3,4) = 3.
3. MіxColumns() — математичне перетворення, що передбачає роботу з кожним окремим стовпцем.
s'(x) = a(x) A s(x), де a(x) = {03}x3 + {01}x2 + {01}x + {02}.
Таким чином,

, де 0 ? c < Nb.

Результатом мультиплікації буде заміна чотирьох байтів стовпця наступними:

s'o,c = ({02} · so,c) A ({03} · s1,c) A s2,c A s3,c
s'1,c = so,c A ({02} · s1,c) A ({03} · s2,c) A s3,c
s'2,c = so,c A s'1,c A ({02} · s2,c) A ({03} · s3,c)
s3,c = ({03} · s0,c) A s'1,c A s2,cA ({02} · s3,c).

4. AddRoundKey () — здійснюється додавання ключа для чергового раунду.
Ключ раунду накладається шляхом виконання операції XOR над масивом State та ключовим словом Wl (рис. 10.6):

[s'0,c, s'1,c, s'2,c, s'3,c] = [s0,c, s1,c, s2,c, s3,c] A [w Round*Nb+c], 0 ? c < Nb

 



S0,0

S0,1

S0,2

S0,3

 

W1

 

W1+2

W1+3

 

S'0,0

S'0,1

S'0,2

S'0,3

S1,0

S1,1

S1,2

S1,3

S'1,0

S1,1

S'1,2

S'1,3

S2,0

S2,1

S2,2

S2,3

S'2,0

S'2,1

S'2,2

S'2,3

S3,0

S3,1

S3,2

S3,3

S'3,0

S'3,1

S'3,2

S'3,3

Рис. 10.6 . Функція AddRoundKey().
Слід відмітити, що ключове слово (вектор) Wl отримується в результаті ряду логічних операцій, в яких використовується початковий ключ алгоритму, попередні значення ключових слів та масив S-box.
В останньому раунді операція перемішування стовпців відсут-
ня, що робить всю послідовність операцій симетричною.
Усі перетворення в шифрі мають чітке математичне обґрунтування. Сама структура і послідовність операцій дозволяють виконувати даний алгоритм ефективно як на 8-бітних так і на 32-бітних процесорах. У структурі алгоритму закладена можливість розпаралелення операцій для виконання на багатопроцесорних комплексах. У найближчому майбутньому цей алгоритм захищений від атак методом перебору всіх можливих ключів.
Алгоритм сполучає високу швидкодію і помірні вимоги до пам’яті, тому він може бути реалізований у самих різних пристроях, включаючи мобільні телефони і смарт-карти. Оскільки алгоритм Rіjndael не захищений патентами, то він доступний для вільного використання в будь-яких продуктах.

ГОСТ 28147-89

Аналогічним алгоритму DES є вітчизняний ГОСТ 28147-89. Він схожий на алгоритм DES, але більш складний, включає на окремих етапах гамування, імітовставки (послідовність даних фіксованої довжини, отриманих за певним правилом з відкритих даних і ключа). Імітовставка передається після зашиф-
ровування даних. Дані розшифровуються і з отриманих відкритих даних формується імітовставка. Вона порівнюється з отриманою і, якщо з нею не співпадає, то всі розшифровані дані вважаються неістинними. Імітовставки потрібні для запобігання дезінформації при підключенні стороннього обладнання до каналу зв’язку. Цей алгоритм має ключ довжиною 256 біт, більш криптостійкий, ніж DES, але за рахунок цього досить повільний.
2.3. Асиметричні криптоалгоритми
Серед методів шифрування з відкритим ключем найбільш відомим є алгоритм RSA, розроблений в 1978 р. Ривестом, Шаміром і Алдеманом.
Цей алгоритм полягає в наступному:
І. Генеруються відкритий і закритий ключ:
1. вибирається два дуже великих простих числа p і q;
2. визначається n=p*q, M=(p-1)(q-1);
3. вибирається велике випадкове число d , яке буде взаємнопростим з M;
4. визначається число е для якого істинне співвідношення (e*d)modM=1;
5. відкритий ключ: e і n — ним повідомлення зашифровується, секретний ключ: d і n — ним повідомлення розшифровується.
ІІ. Зашифровка тексту за формулою Si = mod n,
де Ci — число початкового тексту; Si — зашифроване число.
ІІІ. Розшифровка даних за формулою Ci=mod n.
Криптостійкість алгоритму RSA ґрунтується на передбаченні, що виключно складно визначити секретний ключ за відомими методами. Оскільки на даний час задача про існування дільників цілого числа не має ефективного рішення.
Для числа з 200 цифр (рекомендується використовувати) традиційні методи потребують для розшифровки 1023 операцій.
Алгоритм RSA знайшов широке використання при розробці цифрових підписів, використовується для встановлення захищеного з’єднання через Інтернет (протокол SSL) та ін.
Відомим шифром з відкритим ключем є також алгоритм ЕльГамаля, який забезпечує більший ступінь захисту ніж RSA.
2.4. Програмні засоби шифрування інформації
Одним із найбільш популярних продуктів для шифрування інформації є PGP (Pretty Good Privacy). Назва PGP перекладається як «Досить гарна секретність». Перша версія програми була розроблена в 1990 р. Ф. Ціммерманом і поширювалася безплатно. На сьогодні розвитком і поширенням даного продукту займається Американська компанія PGP Corporation (http://www.pgp.com/). Існують також безкоштовно поширювані версії програми (можна отримати з http://www.pgpi.org/ ).
Подпись:    Рис. 10.7. PGP  До складу пакету входять функції шиф-
рування, цифрового підпису, верифікації даних і управління ключем. Можна працювати з текстом в буфері обміну. При роботі спочатку створюються секретний і відкритий ключі. Передбачена можливість шифрування файлу двома відкритими ключами.
Особливо популярним є використання PGP для шифрування повідомлень електронної пошти на основі «відкритих» ключів. (Відкритий ключ розсилається всім адресатам для того, щоб вони зашифровували свої повідомлення, секретним здійснюється розшифрування повідомлень).
Програмний комплекс Vіsual AES (рис. 10.8) являє собою багатофункціональну систему візуалізації, аналізу і, власне, реалізації шифрування даних з використанням алгоритму AES. Системні вимоги — комп’ютер на базі Іntel Pentіum і вище, ОС — Wіndows 95 + ІE 4.0 і вище. Отримати програму можна з www.
winaes.narod.ru
.

Рис. 10.8. Vіsual AES
3. Програмне забезпечення для захисту
інформації у віртуальних організаціях

Відповідно зі стандартом ISO17799, виділяють наступні типи програмного забезпечення, призначеного для захисту інформації в корпоративних мережах та і Інтернет:

  • Міжмережні екрани (брендмауери, Firewall) — основними функціями продуктів даного типу є контроль вхідного трафіка і регулювання вхідних і вихідних з’єднань. Основний постулат firewall — створення виділеного бастіону (bastіon host), на який покладається задача забезпечення контролю і безпеки в сегменті мережі і через який здійснюється зв’язок даного сегмента з зов-
    нішнім світом. Серед програм цього типу можна назвати: Norton Personal Fіrewall (раніше AtGuard), ZoneAlarm, Checkpoіnt, CІSCO PІ, WatchGuard LіveSecurіty, McAfee Personal Fіrewall. Існують також російські брендмауери: Застава, ФПСО, Акер, DG, Цитадель.
  • Мережні антивіруси — продукти для захисту від вірусів локальних та корпоративних мереж. Як приклади можна назвати: AVP (для серверів Novell NetWare 5, OS/2, Lіnux, Mіcrosoft Exchange Server), сімейство програм DrWeb32 (для Wіndows 95, 98, NT, Novell NetWare), ETrust Іntrusіon Detectіon (Wіndows 95/98, NT) . Для захисту Web-серверів: Panda ActіveScan від Panda Software, McAfee WebShіeld e250, AVP WEB Іnspector для Wіndows 95, 98, NT.
  • Засоби забезпечення VPN — використовуються при створенні VPN. Реалізуються в рамках програмно-апаратних рішень — VPN-шлюзів. Серед основних функцій VPN-шлюзів: автентифікація (MD5, SHA1), шифрування (DES, 3DES, AES), тунелювання пакетів даних через IP. Деякі шлюзи підтримують також функції firewall. Як приклади продуктів для малих і середніх підприємств можна назвати: ІntraPort2 + фірми Compatіble Systems, та Ravlіn 7100 фірми RedCreek; для великих корпорацій: AccessPoіnt VPN фірми Xedіa та VPN Gateway фірми Lucent Technologіes.
  • Системи аналізу захищеності (Securіty Scanners) — передбачають сканування портів та виявлення працюючих служб і їхньої конфігурації, при цьому, якщо знаходяться потенційні вразливості, сповіщають про це. На жаль, більшості систем притаман-
    ні такі недоліки як системозалежність, ненадійність, швидке застарівання. Слід відмітити також можливість використання цих систем і зломниками. Як приклади популярних сканерів можна назвати SATAN, Іnternet Scaner SAFESuіte та ін.
  • Системи виявлення атак (IDS — Intrusіon Detectіon Sys-
    tem) — здійснюють моніторинг системних і мережних ресурсів і виконуваних дій і на основі інформації, зібраної з цих джерел, повідомляють адміністраторів у випадку виявлення можливого проникнення зловмисників. Ці системи можна розділити на дві категорії — діючі на базі знань і аналізуючі поведінку. Більшість сучасних комерційних систем опираються на отримані раніше знання, виконуючи пошук сигнатур відомих атак при аналізі змін у системі чи потоків пакетів у мережі. Системи ІDS, аналізуючі поведінку (за рахунок моніторингу системної чи мережної активності) дозволяють виявити нові, невідомі до того атаки. Прикладами класичних систем виявлення атак є аналізатори протоколів і системи контролю журналів реєстрації.

На сьогоднішній день інтерес користувачів до систем виявлення атак і аналізу захищеності зростає — так, згідно з даними ІDC, обсяг ринку цих засобів у 2004 р. складе 1227,3 млн дол. (у порівнянні з 710,1 млн у 2000 р.).

3.1. Міжмережні екрани
Міжмережні екрани — програмні або програмно-апаратні засоби, призначені для захищеного підключення корпоративної мережі до мереж загального користування на базі протоколів TCP/IP, X.25; розмежування ресурсів усередині корпоративної мережі; а також для забезпечення контролю інформаційних потоків між різними сегментами корпоративної мережі і зовнішніми мережами. В табл. 10.1. подано характеристики основних типів міжмережних екранів.
Таблиця 10.1
ХАРАКТЕРИСТИКИ МІЖМЕРЕЖНИХ ЕКРАНІВ


Тип
екрана

Маршрутизатори
з фільтрацією пакетів

Шлюзи
мережного рівня

Шлюзи
прикладного рівня

Функції

Маршрутизатор із прог-
рамним забезпеченням або програма на сервері доступу, сконфігуровані та-
ким чином, щоб фільтрувати пакети, що проходять, на підставі інфор-
мації, що знаходиться в полях їхніх заголовків

Являє собою сервіс посередника між зов-
нішнім і внутрішні-
ми вузлами і виклю-
чає їхню пряму взаємодію.
Функція трансляції IP-адреса

Являє собою програмний засіб, що здійснює додаткову фільтрацію

Закінчення табл. 10.1


Тип
екрана

Маршрутизатори
з фільтрацією пакетів

Шлюзи
мережного рівня

Шлюзи
прикладного рівня

Переваги

Висока пропускна здатність;
Невисока вартість

Зазвичай входять до МЕ більш високого класу.
Частково здатні захистити від IP-spoo-
fing (атак із підміною IP-адреси).
Непрозорість топології внутрішньої ме-
режі

Невидимість структури ЛОМ;
можливість органі-
зації великого чис-
ла перевірок орга-
нізація аутентифі-
кації користувачів;
прості правила фільтрації

Недоліки

Прозорість топології внут-
рішньої мережі;
Відсутність аутентифікації
Не здатні захистити від IP-spoofing ;
Високі вимоги до знання протоколів IP, TCP, UDP — важкість конфігурації

Відсутність аутети-
фікації.
Високі вимоги до знання протоколів IP, TCP, UDP — важ-
кість конфігурації

Низька продук-
тивність обробки;
висока вартість;
при реалізації фільт-
рації складність ви-
користання прото-
колів UDP і RPC

3.2. Засоби забезпечення VPN
В табл. 10.2 подано характеристики основних типів VPN.
Таблиця 10.2
ХАРАКТЕРИСТИКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ VPN


Категорія
продукту

Переваги

Недоліки

Приклади

Програмне забезпечення VPN для брандмауерів

Загальне адміністрування VPN. Якщо VPN повинні за-
вершуватися поза брандмауером, то ка-
нал між закінченням тунелю і бренд-
мауером може стати вразливою ланкою в системі захис-
ту. Для підвищення продуктивності сер-
верних продуктів апа-
ратне забезпечення необхідно буде модернізувати

Операції, пов’яза-
ні з шифруванням даних, можуть над-
мірно завантажува-
ти систему і знижувати продуктив-
ність брендмауера. В випадку інтегрованих продукту VPN і брендмауера обоє вони можуть виявитися не кращими в своєму класі

Check Point
Software Techno-
logies VPN-1
Axent Technologi-
es Raptor Firewall Network Associa-
tes Gauntlet Global VPN Secure Com-
puting SecureZone

Закінчення табл. 10.2


Категорія
продукту

Переваги

Недоліки

Приклади

VPN на базі маршрутиза-
тора чи комутатора

Інтегральні мережі VPN можуть не потребувати додаткових витрат на придбання. Спрощення адміністрування VPN

Функціонування VPN може погано вплинути на інший трафік

Cisco Systems
PIX
Internetwork Ope-
rating System (IOS)
3Com NetBuilder

VPN на базі автономного програмного забезпечення

Завершення VPN час-
то являє собою склад-
ну задачу. За підви-
щення продуктивності серверних про-
дуктів апаратне забезпечення необхід-
но модернізувати

Адміністрування VPN може вимагати окремого до-
датку, можливо, навіть виділеного каталогу

Novell BorderMa-
nager Aventail VPN Server

VPN на базі апаратних засобів

Багатофункціональ-
ні пристрої полегшують конфігурацію і обслуговуван-
ня в віддалених офі-
сах. Однофункціональні пристрої допускають тонку настройку для досяг-
нення більш високої продуктивності

В багатофункціональних блоках продуктивність од-
ного додатку підвищується на шко-
ду іншому. Одно-
функціональні при-
строї можуть потребувати окремих інструментів адміністрування. Модернізація час-
то виявляється над-
то дорогою або не-
можливою

Bay Networks Con-
tivity Extranet Switch Internet Devices Fort Knox Policy Rou-
ter Radguard cIPro TimeStep Permit Ga-
te 4520 VPNet VPN-
ware VSU 1010

Страницы [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ]
[ 16 ] [ 17 ] [ 18 ] [ 19 ] [ 20 ] [ 21 ] [ 22 ] [ 23 ] [ 24 ] [ 25 ] [ 26 ] [ 27 ] [ 28 ] [ 29 ] [ 30 ] [ 31 ] [ 32 ]
[ 33 ] [ 34 ] [ 35 ] [ 36 ] [ 37 ] [ 38 ] [ 39 ] [ 40 ] [ 41 ] [ 42 ] [ 43 ] [ 44 ] [ 45 ] [ 46 ] [ 47 ] [ 48 ] [ 49 ] [ 50 ]


ВНИМАНИЕ! Содержимое сайта предназначено исключительно для ознакомления, без целей коммерческого использования. Все права принадлежат их законным правообладателям. Любое использование возможно лишь с согласия законных правообладателей. Администрация сайта не несет ответственности за возможный вред и/или убытки, возникшие или полученные в связи с использованием содержимого сайта.
© 2007-2018 BPK Group.