Здавалка
Главная | Обратная связь

Характеристики різних методів пошуку

⇐ ПредыдущаяСтр 19 из 19
Метод Сегментне ВСШ, дБ Складність
Послідовний пошук 9,7
Метод А 10,1 1,02
Метод В 10,3 1,3
Метод С 10,6 1,4
Повний пошук 10,8

Ці коефіцієнти підсилення можуть бути потім підставлені в (7.60) для обчислення , максимізувати яке необхідно для правильного вибору індексів. Головні труднощі повного пошуку виникають при визначенні взаємної кореляції для кожної пари індексів кодових книг. Використання алгебраїчної фіксованої кодової книги [8] дозволяє одночасно з і визначити більш ефективно використовуючи серію з чотирьох вкладених циклів [7].

У табл. 7.3 представлені такі характеристики ACELP на 4,8 кбіт/с, як сегментне ВСШ і відносна складність для різних методів пошуку. Повний пошук дає виграш по показнику ВСШ приблизно 1 дБ у порівнянні з послідовним пошуком, але його складність у 60 разів вище. Метод С, що збільшує складність кодера приблизно на 40 % дає майже таке ж відношення ВСШ, як кодер з повним пошуком. Нарешті, метод А збільшує складність кодека на 2 %, але дає відчутне збільшення ВСШ.

7.5. Багатопозиційні фазова та амплітудно-фазова модуляція

Загальновідомо, що якщо повідомлення передається двоїчними посилками (двоїчним кодом), то швидкість передачі не може перевищувати біт/с, або 2 біт/с на 1 Гц смуги пропускання каналу. Для підвищення питомої швидкості передачі інформації необхідно перейти до багатократної модуляції (багатопозиційним кодом), при якій кожна елементарна посилка несе більше ніж 1 біт інформації.

Найбільше застосування багатократні методи найшли при фазовій модуляції. Тут кожній комбінації з одиночних двоїчних елементів, які поступають від джерела інформації, ставиться у відповідність якесь значення фази відрізку коливань. Правило відображення двоїчної послідовності у послідовність сигналів називають модуляційним кодом. Так, при двократній фазовій модуляції (ДФМ) послідовність, яка передається, розбивається на комбінації з двох елементів. Очевидно, що кількість різних комбінацій довжини дорівнює .

Якщо розглядати відносно фазову модуляцію (ДВФМ) то відповідає зсуву фаз між м та м сигналами. Отже при ДВФМ швидкість передачі інформації вдвічі більше, ніж при ОФМ, але й вірогідність помилки також вдвічі більше. Двократна відносно фазова модуляція застосовують для передачі інформації зі швидкістю 2400 біт/с.

Збільшення швидкостей передачі до 3 біт/(Гц×с) та вище може бути отримано спільним використанням амплітудної та фазової модуляції. У цьому разі для зменшення спектра сигналу в канал передається одна бокова смуга частот.

До сучасних протоколів, які використовуються в модемах, відносяться V.32, V.32 bis і також протокол V.34. У протоколі V.32 використовується квадратурна амплітудна модуляція з частотою несучого коливання 1800 Гц та швидкістю маніпуляції 2400 Бод. Існують режими двох-, чотирьох- та шістнадцятипозиційної QAM (Quadrature Amplitude Modulation). Відповідно інформаційна швидкість у них може бути 2400, 4800 та 9600 біт/с.

Розглянемо більш детально алгоритм модуляції QAM. У цьому алгоритмі сигнал, який передається, кодується одночасно зміною амплітуди сінфазної та квадратурної компонент несучого гармонійного коливання , які мають зсув по фазі відносно один одного на радіана. Результуючий сигнал формується при сумуванні цих коливань. Таким чином, QAM-модульований дискретний сигнал може бути представлений співвідношенням:

(7.31)

де – змінюється в діапазоні ; – порядковий номер дискрета часу; – крок квантування вхідного сигналу за часом; – крок квантування вхідного сигналу за амплітудою; та – модуляційні коефіцієнти:

,

Цей же сигнал можна представити у комплексному вигляді таким чином:

, або , (7.32)

де – алгоритм зміни амплітуди модульованого сигналу; – алгоритм зміни фази модульованого сигналу.

Таким чином, при використанні квадратурної амплітудної модуляції сигнал кодується одночасно зміною амплітуди та фази несучого коливання. На рис. 7.16 показано принцип формування результуючого коливання шляхом сумування вектора квадратурної складової з вектором синфазної складової . Амплітуда вектора визначається співвідношенням , а кут, який утворює вектор з вісью абсцис, визначається співвідношенням .

 

Рис. 7.16. Принцип формування сигналу QAM

У цьому алгоритмі при модулюванні синфазної та квадратурної складових несучого коливання використовується одне й те ж значення дискрета зміни амплітуди. Тому кінцівки векторів модульованого коливання утворюють прямокутну сітку на фазовій площині дійсної та . Кількість вузлів цієї сітки визначається типом алгоритму QAM, який використовується. Схему розташування вузлів на фазовій площині модульованого QAM коливання прийнято називати сузір’ям (constellation).

Звичайно для позначення типу алгоритму QAM прийнята така схема позначення QAM– . Де число відповідає кількості вузлів на фазовій сітці, а також максимальній кількості різних значень вектора модульованого сигналу. Слід зазначити, що в даному випадку значення відповідає показнику спектральної ефективності алгоритму, який використовується.

На рис. 7.17 наведена спрощена структурна схема формування QAM модульованого сигналу.

Рис. 7.17. Структурна схема формувача QAM модульованого сигналу

Формувач кодових символів перетворює двомірний кодовий символ на пару кодових символів та . Для алгоритму QAM‑16 припустимі значення та належать множині і визначають відповідно значення реальної та уявної координати вектора модульованого коливання. Сформовані значення та використовуються для амплітудної модуляції синфазної та квадратурної складових несучого коливання. На останньому етапі перетворення використовується то складання цих коливань, то формування результуючого сигналу .

Наприклад маємо послідовність модуляційних символів . Отже, для алгоритму QAM‑16 пара визначає номер квадранта фазової площини або знаки реальної та уявної координати вектора модульованого коливання таким чином:

Пара визначає значення амплітуди реальної та уявної координати вектора модульованого коливання відповідно таким чином:

Перетворення модуляційних символів у кодові символи виконується з застосуванням алгоритмів Грея для завадостійкого кодування даних. Так векторам модульованого коливання, які знаходяться близько один від одного на фазовій площині, ставлять у відповідність значення кодових символів, які розрізняються значенням тільки одного біта.

У якості приклада можуть бути розглянуті два вектора та , яким відповідають кодові символи та .

На цей час найбільше поширення отримали декілька варіантів QAM. Наприклад QAM‑4, який кодує інформаційний сигнал зміною фази несучого коливання з кроком . Цей алгоритм модуляції носить назву QPSK (Quadrature Phase Shift Keying) тобто квадратурна фазова маніпуляція.

Слід мати на увазі, що алгоритм квадратурної амплітудної модуляції є різновидом алгоритму гармонічної амплітудної модуляції і тому має такі властивості, як:

- ширина спактру QAM модульованого коливання не перевищує ширину спектру модулюючого сигналу;

- положення спектра QAM модульованого коливання в частотній області визначається номіналом частоти несучого коливання.

Ці корисні властивості алгоритму забезпечує можливість побудови на його основі високошвидкісних ADSL систем передачі даних по двопровідній лінії з частотним розподілом інформаційних потоків, які приймаються та передаються.

Кожний з алгоритмів QAM визначає значення таких параметрів:

- розмір модуляційного символу кількість крапок сузір’я;

- значення символьної швидкості ;

- центральна частота (central rate);

- швидкість передачі даних .

Центральна частота для конкретної реалізації алгоритму модуляції визначається співвідношенням:

(7.33)

Параметри огинаючих ліній (масок) енергетичних спектрів модульованих сигналів ADSL регламентуються стандартом T1.413 ANSI.

Додержання цих масок забезпечує потрібний рівень електромагнітної сумісності сигналів різної природи, які передаються по різним парам в одному кабелі. Незалежно від типу алгоритма модуляції енергетичний спектр модульованого сигналу не повинен виходити за межі встановленої маски.

Завадостійкість алгоритму QAM зворотньо пропорційна його спектральній ефективності. Дія завад приводить до появи не контрольованих змін амплітуди сигналу, який передається по лінії. При збільшенні кількості кодових точок на фазовій площині відстань між ними зменшується та, як наслідок, зростає вірогідність помилкового розпізнання спотвореного прийнятого вектора на приймальній стороні.

Цей алгоритм є відносно простим для реалізації і, в той же час, досить ефективним алгоритмом лінійного кодування XDSL сигналів. Сучасні реалізації цього алгоритму забезпечують високі показники спектральної ефективності. Відносно високий рівень завадостійкості QAM‑модульованого сигнала забезпечує можливість побудови на основі цієї технології високошвидкісних систем передачі даних по двохпроводній лінії з частотним розподілом інформаційних потоків, які передаються та приймаються.

До недоліків алгоритму можна віднести відносно невеликий рівень корисного сигналу в спектрі модульованого коливання. Цей недолік є загальним для алгоритмів гармонічної амплітудної модуляції і проявляється в тому, що максимальна амплітуда в спектрі модульованого коливання має гармоніку з частотою несучого коливання. Тому цей алгоритм у чистому вигляді досить рідко застосовується на практиці. Значно більше поширення отримали алгоритми, які використовують принципи QAM і в той же час вільні від його недоліків. Наприклад, алгоритм CAP (Carrier less Amplitude modulation/ Phase modulation) тобто алгоритм амплітудно-фазової модуляції з придушеною несучею.

Алгоритм CAP являє собою один з різновидів алгоритму QAM, а його особливістю є спеціальна обробка модульованого інформаційного сигналу перед його передачею в лінію. В процесі цієї обробки із спектра модульованого сигналу вилучається складова, яка відповідає частоті несучого коливання QAM. Після того, як приймач приймає інформаційний сигнал, що передавався, він спочатку відновлює частоту несучого коливання, а після цього відновлює інформаційний сигнал. Такі маніпуляції зі спектром виконуються для того, щоб зменшити частку неінформативної складової в спектрі інформаційного сигналу, що передається. Це в свою чергу виконується для того, щоб забезпечити більшу відстань сигналу, який поширюється у просторі та зменшити рівень перехресних завад у сигналів, які передаються одночасно у одному кабелі.

Таким чином, основні принципи формування лінійного коду алгоритму CAP відповідають принципам формування лінійного коду QAM. Відмінність вказаних алгоритмів є у тому, що включені додаткові процедури, які використовуються для формування та відновлення спектра CAP‑модульованого сигналу.

Одна з можливих функціональних схем формування сигналу, модульованого за допомогою алгоритма CAP, показана на рис. 7.18.

Рис. 7.18. Функціональна схема формування CAP-модульованого сигналу

У даному випадку для придушення гармоніки несучого коливання використовуються синфазний та квадратурний фільтри. Для адекватного відновлення сформованого таким чином сигналу на приймальній стороні повинна бути виконана відповідна процедура з відновлення несучого коливання. Після відновлення несучого коливання, приймач, який функціонує у відповідальності з алгоритмом CAP, відновлює власне сигнал, що передавався, з використанням тих же алгоритмів, що й приймач QAM‑модульованого коливання. Тому, теоретично приймач CAP може взаємодіяти з передавачем QAM.

На цей час зустрічають такі типи алгоритму CAP, як CAP‑4, CAP‑8, CAP‑16, CAP‑32, CAP‑64, CAP‑128 та CAP‑256. В залежності від типу алгоритму відносне співвідношення сигнал/шум (SNR) змінюється від 14,5 до 33,8 dB.

До переваг цих алгоритмів слід віднести високу енергетичну ефективність сигналу, який формується. Саме цей алгоритм теоретично здатен забезпечити максимальне значення співвідношення SNR і, як наслідок, передачу сигналу на найбільшу відстань.

Основний недолік цього метода полягає у відсутності стандарту, який визначає процедури, у відповідності з якими виконується перетворення сигналу.

7.6. Критерії оцінки систем закриття мови

Існують чотири основних критерії, по яких оцінюються характеристики пристроїв закриття мовних сигналів, а саме: розбірливість мови, впізнаваємість, ступінь закриття й основні технічні характеристики системи.

Прийнятною чи комерційною якістю відновленої на прийомному кінці мови вважається таке, коли слухач може без труднощів визначити голос того що говорить і зміст вимовного повідомлення. Крім цього, під гарною якістю переданого мовного сигналу мається на увазі і можливість відтворення емоційних відтінків і інших специфічних ефектів розмови, властивим бесідам віч на віч.

Відновленого мовного сигналу, що впливають на якість, параметри вузькосмугових закритих систем передачі мови визначаються способами кодування, методами модуляції, впливом шуму, інструментальними помилками й умовами поширення. Шуми і спотворення впливають на характеристики кожного компонента системи по-різному, і зниження якості, що відчувається користувачем, походить від сумарного ефекту зниження характеристик окремих компонентів. Існуючі об'єктивні методи оцінки якості мови і систем не пристосовані для порівняння характеристик вузькосмугових дискретних систем зв'язку, у яких мовний сигнал перетвориться в систему параметрів на передавальній стороні, передається по каналу зв'язку, а потім синтезується в мовний сигнал у приймачі.

Існуючі суб'єктивні методи вимірів розбірливості і природності відрізняються значною трудомісткістю, оскільки в цій справі багато чого залежить від використовуваного словника, обраного каналу зв'язку, діалекту, віку й емоційного стану дикторів які проводять випробуварря. Тому проведення вимірів для одержання статистично надійних і повторюваних оцінок параметрів системи при умовах, що змінюються, вимагає великих витрат.

При використанні радіоканалів ці труднощі ще більш зростають через невизначеність умов поширення, і досягти повторюваності результатів неможливо без застосування моделей радіоканалів.

Для дуплексних систем додатковий вплив на якість робить часова затримка сигналу, внесена мовним скремблером чи шифратором.

Оскільки основним показником таємності переданих мовних повідомлень є його нерозбірливість при перехопленні потенційними противниками що підслухують, порівняння по ступенях захисту є визначальним моментом при виборі користувачем конкретної системи закриття мови.

Як правило, аналогові скремблери використовуються там, де застосування цифрових систем закриття мови утруднено через наявність можливих помилок передачі (наземні лінії зв'язку з поганими чи характеристиками канали далекого радіозв'язку), забезпечують тактичний рівень захисту і добре охороняють переговори від сторонніх "випадкових ушей", що мають обмежені ресурси, будь то сусіди чи товариші по службі. Для таких застосувань придатні системи із статичним закриттям, тобто здійснюючі шифрування по фіксованому ключі.

Якщо ж необхідно зберегти конфіденційність інформації від можливих конкурентів, що володіють достатнім технічним і спеціальним оснащенням, то потрібно застосовувати аналогові скремблери середнього рівня закриття з динамічно мінливим у процесі розмови ключем. Природно, що ці системи будуть дорожче, ніж системи закриття з фіксованим ключем, однак вони настільки ускладнять роботу супротивників по розробці алгоритму, що дешифрує, що час, витрачений на це, значно знецінить добуту інформацію з перехопленого повідомлення.

Оскільки в таких пристроях закриття, як правило, перед початком повідомлення передається синхропослідовність, що містить частину додаткової інформації про ключ саме цього переданого повідомлення, у супротивника є тільки один шанс спробувати його розкрити, перебравши велику безліч ключових установок, і, якщо ключі міняються щодня, то навіть при відомому алгоритмі перетворення мови супротивнику прийдеться перебрати багато тисяч варіантів у пошуках дійсної ключової підстановки.

У випадку, якщо є припущення, що з метою добування вкрай цікавлячої його інформації супротивник може скористатися послугами висококваліфікованих фахівців і їхнім технічним арсеналом, то для того, щоб бути упевненим у відсутності витоку інформації, необхідно застосовувати системи закриття мови, що забезпечують стратегічну (найвищу) ступінь захисту. Це можуть забезпечити лише пристрою дискретизації мови з наступним шифруванням і новий тип аналогових скремблерів. Останні використовують методи перетворення аналогового мовного сигналу в цифрову форму, потім застосовують методи криптографічного закриття, аналогічні тим, що використовуються для закриття даних, після чого результуюче закрите повідомлення перетвориться назад в аналоговий сигнал і подається в лінію зв'язку. Для розкриття отриманого сигналу на прийомному кінці виконуються зворотні перетворення. Ці новітні гібридні пристрої легко адаптуються до існуючих комунікаційних мереж і пропонують значно більш високий рівень захисту мовних повідомлень, чим традиційні аналогові скремблери, зі збереженням усіх переваг останніх у розбірливості й впізноваємості відновленої мови.

Слід зазначити, що в системах засекречування мови, заснованих на шифрі перестановки N мовних елементів, загальне число ключів-перестановок дорівнює N!. Однак це число не відбиває реальної криптографічної стійкості системи через надмірність інформації, що міститься в мовному сигналі, а також через розбірливість недосконалим образом переставленої й інвертованої мови. Тому криптоаналітику супротивника часто необхідно випробувати лише K«N! випадкових перестановок для розкриття мовного коду. Цей момент варто враховувати при виборі надійної системи аналогового скремблювання.

Тенденції розвитку систем закриття мови

Метою сучасних досліджень методів закриття й обробки мовних сигналів є поліпшення параметрів для заданих каналів передачі з використанням досягнень мікроелектронної технології.

У найближчі десять років не очікується яких-небудь значних змін в області аналогового скремблювання. Очікується, що аналогові скремблери і далі будуть використовуватися на неякісних лініях зв'язку, поки не будуть створені надійні модеми з виправленням помилок, що виникають у процесі цифрової передачі по таких каналах.

Деякі публікації [5] свідчать про те, що розвиток цифрових процесорів обробки сигналів (ЦПОС) дозволить набагато ефективніше використовувати існуючі алгоритми при загальному зниженні габаритів і енергоспоживання апаратури закриття мовних сигналів. Завдяки розвитку ЦПОС вже вдалося набагато ускладнити смугові скремблери [5], у міру удосконалювання яких легше буде реалізовувати складні методи скремблювання, наприклад, комбіновані частотно-часові. Застосування ЦПОС дозволить підвищити якість мови за рахунок більш точних методів фільтрації й обробки. Незабаром варто очікувати появи на ринку достатньої кількості аналогових скремблерів нового типу, що забезпечують рівень захисту мовних сигналів, порівнянний з цифровими пристроями закриття мови, при високій якості й впізноваємості відновленого мовного сигналу, властивого аналогової скремблерам. У якості одного з перспективних напрямків аналогового скремблювання в [5] розглядається гармонійна компресія в часовій області (Time Domain Harmonic Compression - TDHC), що може використовуватися для звуження смуг частот усіх видів скремблерів.

Ріст попиту на найпростіші скремблери в таких областях, де вони раніш не застосовувалися, привів до появи пристроїв закриття мови, реалізованих в одному кристалі. Так у [5] повідомляється про початок виробництва спеціалізованої мікросхеми, що дозволяє здійснювати алгоритм закриття мови на основі часових перестановок і призначеної для використання в радіозв'язку таксі й автобусів.

Надалі серед систем дискретизації мови з наступним шифруванням поряд з наступним розвитком систем закриття мовних сигналів на основі відомих алгоритмів очікується широке поширення криптографічних систем з відкритими ключами, що, наприклад, дозволить створити нову захищену систему телефонного зв'язку з числом абонентів до 3 млн. для співробітників міністерства оборони США і його підрядчиків. Основні зусилля в області удосконалювання дискретної техніки кодування спрямовані на поєднання високих якостей звучання синтезованої мови в середньошвидкісних вокодерах з достоїнством низкошвидкісних перетворювачів - малою смугою частот. Одним з можливих способів є багатоімпульсне збудження вокодера, здатне замінити параметри основного тону й ознаки "тон/шум" набором імпульсів з різними амплітудами.

Розвитком ідеї векторного кодування є побудова вокодерів з кодовим збудженням і самозбудних вокодерів. Основний принцип їхньої роботи подібний із багатоімпульсним збудженням. Передані параметри заміняються єдиною адресою, що вибирає найбільш придатну форму сигналу збудження з числа сигналів, записаних у банку кодів.

Головні труднощі реалізації багатоімпульсного і векторного методів складаються у великій кількості розрахунків, проведених аналізатором з метою оптимального вибору форми сигналу збудження. Тому визначені зусилля спрямовані на спрощення цього аналізу.

Подальше зниження необхідної швидкості передачі можливо шляхом параметризації мови, що обгинає спектр, у залежності від частот формант і амплітуд. Труднощі точної і надійної ідентифікації формант обумовлюють низька якість формантного вокодеру. Однак при правильному керуванні його синтезатор відновлює мову з високою якістю. Використання коефіцієнтів лінійного передбачення для визначення частот формант дозволить сполучити властивості формантного вокодеру і вокодеру з лінійним передбаченням, але при більш низькій швидкості передачі. Очікується доведення швидкості передачі до величини 600 біт/с.

У більшості технічних додатків використовується мова з обмеженим словником, і перехід до кодування лише деяких звуків і слів може набагато знизити вимоги до швидкості передачі. Наприклад, для словника в 500 слів необхідна швидкість не перевершує 30 біт/с. Підвищена чутливість до помилок каналу зв'язки може бути подолана використанням завадостійкого кодування. Потенційний недолік таких систем полягає в тім, що синтезована на прийомній стороні мова не буде містити індивідуальних характеристик голосу того що говорить. Однак ці труднощі можна перебороти, використовуючи ознаку автентичності, яка передана заздалегідь. У майбутньому стане можливим керування синтезатором для імітації характеристики,того що говорить з використанням інформації, що міститься в посилці автентичності.

7.7. Вимоги до комплексної системи захисту інформації в авіаційних інформаційно-комунікаційних системах

Принципи побудови КСЗІ, виходячи з архітектури ІКС і тенденцій її подальшого розвитку, повинні враховувати особливості архітектури мережі аеропорту й базуватися на положеннях, які містяться в нормативних документах з технічного захисту інформації (НД ТЗІ) і в міжнародних стандартах ІSО й МСЕ-Т. При побудові КСЗІ необхідно реалізувати механізми захисту інформації на різних рівнях базової моделі OSI. Варто забезпечити реалізацію таких принципів архітектури безпеки:

КСЗІ будується на основі штатних вбудованих механізмів захисту інформації базового програмного забезпечення (ПЗ), операційної системи (ОС) мережного обладнання, серверів мережних служб і робочих станцій;

– - підвищення рівня захищеності базового ПЗ досягається завдяки модульній побудові КСЗІ, що дозволяє включати до її складу додаткові програмно-апаратні засоби захисту, поетапно розширювати й модернізувати систему із забезпеченням необхідного рівня захищеності інформаційних ресурсів ІКС;

– - централізоване адміністрування й керування засобами КСЗІ;

– узгодження архітектури КСЗІ з архітектурою й принципами побудови ІКС.

КСЗІ ІКС повинна будуватися у вигляді відносно незалежних логічних модулів, які можуть розглядатися як КСЗІ окремих фрагментів й (або) вузлів ІКС (ЛОМ, її доменів, технологій обробки інформації й т.п.) на всіх етапах створення, тобто має забезпечуватися можливість незалежного проектування, впровадження, експертизи й введення в експлуатацію цих компонентів.

Розподіл КСЗІ ІКС на окремі компоненти здійснюється для кожної складової частини ІКС, що має тільки їй властиві переліки конкретних погроз для інформації, критичні інформаційні ресурси або сервери, які надаються абонентам, програмно-апаратні засоби обробки, відображення, копіювання й друку даних, особливості розташування й характеристики середовища користувачів і технології обробки інформації.

Кожен домен безпеки повинен мати свої правила розмежування доступу, і вимоги до функціонального профілю захищеності інформації.

Вимоги до реалізації послуг безпеки повинні бути реалізовані по єдиним принципами й взаємодіяти між собою в рамках єдиної політики безпеки інформаційних ресурсів ІКС.

Типові компоненти КСЗі в рамках всієї ІКС повинні мати однотипні й функціонально однакові механізми, заходи й засоби захисту інформації.

Вихідні дані баз даних захисту (імена, ідентифікатори ресурсів, атрибути доступу користувачів й ін.) у кожному домені формуються окремо. Ці дані уточнюються на етапі технічного проектування КСЗІ.

КСЗІ ІКС повинна проектуватися таким чином, щоб була можливість оцінити (для будь-яких видів випробувань, у тому числі й державній експертизі) проектні рішення щодо кожного окремого компоненту КСЗІ.

Примітка. Оцінка коректності побудови КСЗІ ІКС у цілому може включати опції з перевірки взаємодії (адміністрування, керування, обмін даними бази даних захисту й т.п.) уже оцінених окремих компонентів КСЗІ.

КСЗІ ІКС необхідно розглядати як інтегровану систему, що утворена сукупністю КСЗІ кожного з доменів безпеки.

7.7.2 Загальні вимоги до КСЗІ

КСЗІ ІКС повинна забезпечувати цілісність інформації, що передається мережею, шляхом забезпечення доступу до неї тільки санкціонованих користувачів і тільки відповідно до встановлених правил розмежування доступу, а також шляхом впровадження механізмів і процедур виявлення фактів порушення цілісності зазначеної інформації, її видалення або копіювання.

КСЗІ ІКС повинна вести облік і здійснювати реєстрацію подій, які пов'язані з безпосереднім доступом (спробами доступу) до інформації, здійснювати безперервний контроль за такими подіями й забезпечувати захист реєстраційної інформації від несанкціонованої модифікації, руйнування або знищення. Обсяг реєстраційної інформації повинен бути достатнім для встановлення причин і джерела виникнення зареєстрованої події.

Послуги ІКС повинні надаватися тільки зареєстрованим користувачам за умови їхнього достовірного розпізнавання.

КСЗІ повинна мати можливість контролювати цілісність власного складу й окремих програмно-технічних компонентів ІКС.

Повинна забезпечуватися можливість однозначного встановлення приналежності інформації, що передається ІКС, певному користувачеві, і встановлення факту передачі або одержання користувачем певної інформації.

Повинне бути виключене з боку користувачів несанкціоноване або неконтрольоване використання ресурсів ІКС.

Критичні з погляду безпеки компоненти КСЗІ повинні контролюватися й (або) резервуватися, для того щоб їхня відмова не приводила до переривання процесу надання послуг.

У випадку виникнення відмов, які порушують функціонування КСЗІ, порядок надання послуг користувачам або абонентам визначається даним вимогами.

КСЗІ повинна підтримувати безпечну інформаційну технологію, в рамках якої доступ до різних видів інформаційних ресурсів, які вимагають захисту, організується таким чином, що тільки вповноваженим користувачам або процесам надається можливість роботи із цією інформацією й гарантується цілісність і доступність інформації при її транспортуванні каналами ІКС.

У випадку відмови КСЗІ (або окремого її модуля) повинен передбачатися режим аварійного блокування доступу користувачів до мережі (або окремого її модуля). Порядок дій користувачів й обслуговуючого персоналу в цих випадках визначається Планом захисту інформації в ІКС, затвердженого Адміністрацією.

ІКС є система, що передбачає можливість розробки й впровадження в її складі нових підсистем (як функціональних, так і систем забезпечення). Принципи й підходи покладені в основу створення КСЗІ повинні забезпечити можливість збільшення кількості виконуваних функцій ІКС або сервісів, які надаються абонентам, забезпечивши при цьому можливість реалізації захисту інформації в нових підсистемах з необхідним рівнем ефективності й гарантій.

Додаткові (закупівельні) технічні, апаратно-програмні й програмні засоби захисту інформації від НСД, які вводяться до складу комплексу засобів захисту (КЗЗ), повинні мати сертифікати або експертні висновки щодо їхньої відповідності вимогам нормативної документації ТЗІ.

7.7.3 Основні вимоги до реалізації політики безпеки

Політика безпеки розглядає інформацію, технології її обробки й користувачів, які ці технології використають, основні погрози для інформації й потенційних порушників, які ці погрози можуть створити, формулює моделі погроз і порушників, визначає інформаційні ресурси, які потребують захисту, і вимоги до захисту інформації.

КСЗІ повинна підтримувати коректно певну політику безпеки - множину правил, які при заданій класифікації суб'єктів доступу й об'єктів захисту, використаються для визначення можливості надання дозволу на доступ конкретного суб'єкта до конкретного об'єкта, надання й зміни повноважень, моніторингу всіх подій, які впливають на безпеку, і їхню реєстрацію.

В основу політики безпеки ІКС повинен бути покладений адміністративний принцип розмежування доступу, відповідно до принципу мінімуму повноважень, а саме право доступу може бути надано лише за фактом службової необхідності. Для втілення принципу мінімуму повноважень повинні бути розроблені відповідні організаційно-розпорядницькі документи аеропорту, інструкції, інші документи, які регламентують діяльність працівників аеропорту в сфері захисту інформації.

Об'єкти захисту в ІКС.

Об'єктами захисту в ІКС є структурні й програмно-інформаційні компоненти кожного з телекомунікаційних вузлів, у яких перебуває або може перебувати інформація, що підлягає захисту, та інформація в каналах транспорту даних у межах контрольованої зони.

Всі вузли нижнього рівня (ВНР) - однотипні, які складаються з локальної обчислювальної мережі (ЛОМ) й локального маршрутизатора. Вони утворюють локальний домен безпеки.

До програмно-інформаційних компонентів, які підлягають захисту, відносять:

– сукупність даних, що мають структури, які відповідають технологіям їхньої обробки й збереження у ЛОМ кожний з вузлів ІКС або в окремих її структурних компонентах;

– програмне забезпечення, що ці технології реалізує;

– потоки даних (дейтаграми), маршрутизацію яких за межі мережі передачі даних (МПД) здійснює локальний маршрутизатор.

До таких об'єктів захисту належать:

– потоки дейтаграм, які передаються каналами передачі даних до/від інших користувачів або до процесів, які цим користувачам належать;

– інформація адміністраторів і користувачів - суб'єкти доступу - і процеси, які функціонують від їхнього імені;

– об'єкти файлової системи - логічні диски, каталоги, підкаталоги, файли на дискетах і жорстких дисках серверів і робочих станцій, які містять інформацію, що підлягає захисту;

– таблиці баз даних, записи, поля баз даних, які містять інформацію, що підлягає захисту;

– інформація керування КСЗІ (дані щодо персональних ідентифікаторів і паролів користувачів, їхніх повноважень і прав доступу до об'єктів, установлених робочих параметрів окремих механізмів або засобів захисту, інша інформація баз даних захисти, інформація журналів реєстрації дій користувачів і т.п.);

– інформаційні об'єкти, які містять загальнодоступну інформацію (сайту, довідкову, і т.п.);

– активне мережне й серверне обладнання ЛОМ;

– системне й функціональне програмне забезпечення, яке використається для обробки інформації, що підлягає захисту, для забезпечення функцій комплексу засобів захисту (КЗЗ);

– засоби адміністрування обладнання телекомунікаційного вузла (ТВ) і технологічна інформація, що при цьому використається;

– окремі периферійні пристрої, які задіяні в технологічному процесі обробки інформації, що підлягає захисту (друку, накопичувачі інформації, введення даних у ЛОМ).

– інформація, що зберігається на змінних носіях інформації засобів обчислювальної техніки ЛОМ ТВ;

– обчислювальні ресурси (наприклад, дисковий простір, тривалість сеансу роботи користувача із засобами обробки інформації, час використання центрального процесора й т.д.), безконтрольне використання або захоплення яких окремим користувачем може привести до блокування роботи інших користувачів, компонентів ЛОМ ТВ, ЛОМ ТВ в цілому, або магістрального маршрутизатора;

– фізичні й логічні з'єднання;

– спеціалізоване програмне забезпечення для обробки статистичної інформації з обліку часу надання послуг й обсягів трафіку користувачів.

Класифікація об'єктів захисту

Кожен об'єкт (ресурс системи), що контролюється КЗЗ, повинен бути класифікований за наступними реквізитами:

– унікальний ідентифікатор - однозначно ідентифікує об'єкт серед інших об'єктів, повинен генеруватися при реєстрації об'єкта, може змінюватися протягом часу існування об'єкту;

– тип об'єкта - необхідний для визначення КЗЗ способу захисту об'єкта керування (наприклад, каталог, файл, база даних, таблиця бази даних, запис бази даних і т.ін.);

– ідентифікатор пов'язаного з ним ієрархічно вищого об'єкта - указує положення об'єкта в ієрархічній структурі ІКС (компонент ІКС ). Указується при реєстрації об'єкта, може змінюватися протягом існування об'єкта при модифікації його положення в ієрархічній структурі;

– ім'я об'єкта - визначає послідовність букв, що ідентифікує об'єкт, зрозумілого для адміністратора безпеки змісту. Указується при реєстрації об'єкта й не може змінюватися протягом його існування;

– рівень доступу до об'єкта - указує перелік режимів, за якими може здійснюватися доступ до об'єкта (модифікація, вилучення, створення, читання). Конкретний перелік визначається типом об'єкта;

– інформація керування доступом - визначає загальні параметри керування доступом для об'єктів, а також параметри доступу до об'єктів, параметри адміністрування об'єкта (пов'язана з об'єктом інформація бази даних захисту).

Додатково для мережних об'єктів можуть визначатися реквізити:

– унікальна адреса в мережі в числовій, доменній або бездоменній формі;

– унікальний номер процесу по даній мережній адресі (номер порту).

Інформація керування доступом повинна вказуватися при реєстрації об'єкта й може змінюватися протягом часу його існування. Внесення інформації про об'єкти в базу даних захисту КЗЗ повинне здійснюватися адміністратором безпеки відповідно до правил, установленими розпорядницькими документами, які регламентують експлуатацію КСЗІ.

Класифікація суб'єктів

Кожен суб'єкт, що може мати доступ до об'єктів (ресурсів) ІКС, повинен класифікуватися наступними реквізитами:

– унікальний ідентифікатор - повинен однозначно ідентифікувати суб'єкт серед інших суб'єктів, повинен генеруватися при реєстрації суб'єкта й не змінюватися протягом часу його існування;

– тип суб'єкта - може мати значення - "суб'єкт" при описі окремого суб'єкта, "група суб'єктів" при описі групи суб'єктів з однаковими повноваженнями, "суб'єкт - процес", коли описується процес, що активізує інші процеси й відноситься до зовнішніх користувачів, адміністраторів будь-якої категорії й т.д.

– ідентифікатор ієрархічно вищої групи - повинен указувати положення суб'єкта в ієрархічній структурі ІКС . Цей ідентифікатор визначає відносини суміжності ієрархічно вищого суб'єкта стосовно даного. Указується при реєстрації суб'єкта, може змінюватися протягом існування суб'єкта при зміні його положення в ієрархічній структурі;

– ім'я - визначає послідовність букв, що ідентифікує об'єкт. Указується при реєстрації об'єкта й може змінюватися протягом його професійної діяльності:

– рівень повноважень - призначений для реалізації механізмів керування доступом. Повинен разом з рівнем доступу до об'єкта використатися в процесі прийняття рішень про санкціонування або блокування доступу відповідно до адміністративного принципу;

– інформація керування доступом - визначає загальні параметри керування доступом для суб'єктів, а також параметри доступу до об'єктів. Інформація керування доступом повинна вказуватися при реєстрації суб'єкта (групи суб'єктів і може змінюватися протягом часу його діяльності відповідно модифікації його повноважень. Внесення інформації про суб'єкти в базу даних захисту ІКС повинно здійснюватися адміністратором відповідного рівня відповідно до встановлених правил.

Реквізити суб'єктів й об'єктів ІКС відповідно до наведеної класифікації становлять зміст бази даних захисту й утворюють основу формалізованої моделі розмежування доступу ІКС. База дані захисти КЗЗ, інформація керування КСЗІ, конфігураційні файли активного мережного обладнання, серверів мережних служб, таблиці маршрутизації (комутації) активного мережного обладнання; бази даних мережних служб автентифікації віддалених Remote Access Dial-In User Service (RADIUS) і протоколу контролю доступу користувачів Terminal Access Controller Access Control System (Тасасs+) утворюють службову інформацію КСЗІ.

Структура службової інформації й компоненти, які її утворюють визначається розроблювачем на етапі технічного проектування й визначається комплексом засобів обчислювальної техніки, які утворюють ЛОМ ТВ й програмними засобами відповідності до наведених критеріїв.

Конкретна структура реквізитів об'єктів і суб'єктів та їх множина, що дозволяє характеризувати об'єкт і суб'єкт у спосіб, що забезпечить реалізацію прав розмежування доступу відповідно до політики безпеки й формування бази даних захисту, визначається розроблювачем на етапі розробки технічного проекту.

Правила розмежування доступу

Правила розмежування доступу користувачів до ресурсів ІКС визначаються окремо для кожного з компонентів - ЛОМ вузла ІКС і магістрального маршрутизатора - стосовно яких висуваються вимоги щодо реалізації політики безпеки.

7.7.4 Вимоги до засобів захисту від несанкціонованого доступу (НСД)

Загальні вимоги й основні функції.

У кожній підмережі ЛОМ має бути структурована за своїми функціями на окремі сегменти.

Принципи реалізації, основні вимоги й склад функціональних послуг безпеки для сегментів повинні бути однаковими. Їхня відмінність має полягати лише в складі виконуваних ними функцій, задіяних інформаційних ресурсів, списку користувачів і правил розмежування доступу.

Політика безпеки повинна базуватися на адміністративному принципі розмежування доступу.

Організація робіт супроводу КСЗІ, включаючи керування засобами захисту інформації, контроль за дотриманням положень політики безпеки здійснюється службою захисту інформації. Організаційні й правові основи функціонування служби захисту інформації визначаються відповідальними посадовими особами аеропорту у встановленому порядку.

Політика безпеки інформації повинна поширюватися на об'єкти, які безпосередньо або побічно впливають на безпеку інформації.

Правила розмежування доступу й надання атрибутів доступу

Розмежування доступу різних категорій користувачів до різних типів ресурсів вузла доступу встановлюється в границях завдань, які вирішуються підрозділам аеропорту, виходячи з наступних правил:

– адміністратор безпеки має доступ до інформаційних об'єктів, які містять загальнодоступну інформацію, до службової інформації КСЗІ, до засобів захисту інформації, операційних систем і прикладного ПЗ, до технічних засобів, які задіяні в технологічному процесі керування КСЗІ, до інших об'єктів із правами доступу іншого адміністратора (для резервування цих функцій);

– адміністратор активного мережного обладнання має доступ до інформаційних об'єктів, які містять загальнодоступну інформацію, до активного мережного оснащення ЛОМ і магістрального маршрутизатора (або їхньої сукупності), до системного й функціональному ПЗ, що використається для адміністрування й керування ЛОМ і магістральним маршрутизатором, до службової інформації, що при цьому використається, до окремих периферійних пристроїв, які задіяні в технологічному процесі керування ЛОМ і магістральним маршрутизатором;

– адміністратор мережних служб має доступ до інформаційних об'єктів, які містять загальнодоступну інформацію, до об'єктів файлових систем і баз даних з технологічною інформацією вузла, до даних для автентифікації інших вузлів ІКС, до системного й функціональному ПЗ, що використається для забезпечення відповідних функцій КЗЗ, до логічної структури файлової системи, до окремих периферійних пристроїв, які задіяні в технологічному процесі відповідної задачі, до обчислювальних ресурсів відповідної задачі;

– адміністратор електронної пошти має доступ до інформаційних об'єктів, які містять загальнодоступну інформацію, до об'єктів файлової системи й бази даних з технологічною інформацією сервера електронної пошти, до системного й функціональному ПЗ, що використається для забезпечення відповідних функцій КЗЗ, до логічної структури файлової системи, до окремих периферійних пристроїв, які задіяні в технологічному процесі відповідної задачі, до обчислювальних ресурсів відповідної задачі;

– абонент мережі має доступ до завдань, які вирішуються в границях домена, до інформаційних об'єктів, які містять загальнодоступну інформацію, до об'єктів файлової системи й баз даних, які стосуються його перебування в ІКС, до необхідного для цього системного й функціонального ПО, до технічних засобів, які задіяні в технологічному процесі відповідної задачі, до обчислювальних ресурсів відповідної задачі;

– технічний обслуговуючий персонал має доступ до інформаційних об'єктів, які містять загальнодоступну інформацію, до інформаційних об'єктів, які містять технічну, проектну, експлуатаційну документацію, до відповідних технічних засобів ТВ й ПЗ для проведення робіт з їхнього обслуговування.

Взаємодія зазначених об'єктів, повноваження й права абонентів і правила розмежування доступу для цього типу користувачів установлюються та регламентується положеннями політики безпеки.

Надання користувачеві певної ролі, атрибутів доступу до певного ресурсу і його прав доступу здійснюється тільки у випадках виконання таких умов:

– категорія користувача відповідає типу об'єкта захисту, як це визначено в загальних правилах розмежування доступу;

– доступ до даного об'єкта захисту визначений службовими обов'язками користувача;

– вид взаємодії користувача з об'єктом захисту (перелік дій над об'єктом) установлений специфікаціями послуг безпеки як дозволений;

– вид взаємодії користувача з об'єктом захисту визначений службовими обов'язками користувача.

Вимоги до комплексу засобів захисту

Комплекс засобів захисту повинен складатися з ідентифікованих й оцінених програмних модулів, сукупність яких забезпечує необхідний рівень захищеності інформації.

Вимоги до КЗЗ ЛОМ і до КЗЗ центрального й проміжного вузлів ІКС розрізняються.

У КЗЗ повинна бути включена сукупність всіх програмно-апаратних засобів задіяних для реалізації політики безпеки.

КЗЗ повинен гарантувати користувачам стійкість ІКС до відмов і можливість проведення заміни окремих її компонентів з одночасним збереженням доступності до інших компонентів ІКС.

Під час зберігання, обробки й передачи інформації КЗЗ має забезпечувати реєстрацію дій абонентів і користувачів мережі (ідентифікатор користувача, пароль, Ір-адреса, МАС-адреса, номер телефону (якщо доступ отриманий через комутовані канали телефонної мережі загального користування), адреси до яких користувач одержувала доступ, час дії й т.п.) способом, що дозволяє однозначно ідентифікувати користувача, адресу робочого місця (місце з якого користувач одержувала доступ до ІКС), з якого здійснений доступ до ресурсів WЕВ, FТР, е-mail і т.п.) і час, протягом якого здійснювався доступ. Реквізити користувачів, які підлягають реєстрації за допомогою КЗЗ, визначаються на етапі технічного проектування.

КЗЗ повинен забезпечити ідентифікацію користувача з визначенням крапки його входу в ІКС, однозначно аутентифікувати його й зареєструвати результат (успішних або неуспішний) цих подій у системному журналі. У випадку виявлення неавторизованого користувача повинна блокуватися можливість його роботи в ІКС.

КЗЗ повинен забезпечити необхідний рівень цілісності інформації щодо дій користувачів і персоналу в журналах реєстрації компонентів ЛОМ вузлів доступу ІКС із можливим виділенням одного або декількох серверів аудиту. Статистика роботи користувачів повинна бути спостереженою й доступною для адміністратора безпеки й за структурою та обсягом відповідати централізованій моделі керування ІКС.

Журнали реєстрації подій повинні мати захист від несанкціонованого доступу, модифікації або руйнування.

В ІКС або в окремих її компонентах повинна існувати можливість із використанням засобів адміністрування формувати робочі групи (групи обслуговуючого персоналу, користувачів), які мають додаткові можливості щодо одержання окремих послуг:

– за ознакою приналежності до того або іншого сегменту ЛОМ (домену) ТВ ІКС;

– відповідно функціям, які необхідно виконувати конкретному користувачеві або групі користувачів.

При цьому КЗЗ вузла ІКС повинен забезпечувати контроль за можливостями встановлення, перегляду, модифікації стратегій керування (наприклад, реалізація керування віртуальними мережами), а також гарантувати забезпечення контролю за цілісністю засобів адміністрування ІКС.

У КЗЗ повинна бути реалізована можливість виявлення фактів несанкціонованого доступу до об'єктів й (або) процесів, які можуть привести до виникнення погроз для системи відповідно "Моделі погроз в ІКС", і забезпечена фіксація в журналі системи: імені користувача, об'єкта й (або) процесу, до якого була спроба доступу, місця й часу, коли виникла погроза. Допускається фіксація додаткової інформації, що дозволяє однозначно ідентифікувати процеси, які створили погрозу. КЗЗ повинен забезпечити блокування роботи робочих станцій, каналів, адреса, з яких була створена загроза інформації.

КЗЗ повинен:

– починати своє функціонування одночасно із завантаженням ядра операційної системи, контролювати завантаження ОС, попереджати про небезпечні дії із пристроями збереження інформації;

– працювати безперервно протягом усього часу функціонування ТВ ІКС;

– забезпечувати можливість установлення не менш 16 рівнів обмеження доступу до ресурсів і не менш 8 ролям адміністраторів й 8 ролей звичайних користувачів;

– класифікувати дії користувачів, виявляти спроби несанкціонованих дій і блокувати їх, реєструвати події, які можуть привести до порушення політики безпеки;

– реєструвати події, пов'язані з використанням механізмів ідентифікації іаутентифікації, взаємодією із ЛОМ іншого ТВ ІКС, виконанням команд на визначених мережних пристроях;

– забезпечувати взаємодію із КЗЗ ЛОМ іншого ТВ ІКС;

– автоматично передавати попередження заданих типів на консоль адміністратора безпеки (інших адміністраторів).

КЗЗ повинен забезпечувати такі рівні повноважень для доступу до ресурсів ІКС:

– адміністратора безпеки вузла доступу ІКС;

– адміністратора активного мережного оснащення вузла ІКС;

– адміністратора мережних служб (для здійснення керування сервисами вузла, які надаються (можуть надаватися) абонентам) вузла ІКС ;

– технічного обслуговуючого персоналу вузла ІКС;

– користувачам ІКС.

 

 

Питання для самоперевірки

  1. Які методи використовуються для закриття мовних повідомлень?
  2. Що таке скремблювання мови?
  3. Назвіть основні види систем закриття мовних повідомлень.
  4. Які параметри мови можуть змінюватись в аналогових скремблерах?
  5. В чому різниця між статистичними та динамічними системами аналогового скремблювання?
  6. Яким чином можна підвищити ступінь закриття в аналогових скремблерах?
  7. В чому принципова різниця між аналоговим скремблером та систем дискретизації мови з наступним шифруванням ?
  8. За допомогою яких пристроїв можна перейти від широкосмугових до вузько смугових систем закриття мовних повідомлень?
  9. Які критерії слід застосовувати для вибору того чи іншого пристрою закриття мовних повідомлень?

 

Список літератури

  1. Стеклов В.К., Беркман Л.Н. Телекоммуникационные сети.-Киев.,-2000,-396с.
  2. Современные телекоммуникации./ Под ред. Довгого С.А.-М.: Экотрендз,2003-320с.
  3. Паук С.М. Сети авиационной электросвязи.-М.,:Транспорт,1986-272с.
  4. Андрусяк А.І., Дем‘янчук В.С., Юр‘єв Ю.Н. Мережа авіаційного електрозв’язку. — К.: НАУ, 2001. – 448 с.
  5. Беккер П. ISDN. Цифровая сеть и интеграция служб. Пер. с англ. – М.: Радио и связь,1992. – 208 с.
  6. Баклеанов И.Г. ISDN и Frame Relay. Технология и практика измерений. – М.: Экто-Трендз, 1999. –и 264 с.
  7. Соколов А.В., Шоньгин В.Ф. Защита информации в распредиолительных корпоративных сетях и системах. – М.: ДМК Пресс, 2002. – 636 с.
  8. Романец Ю.В., Тимофеев П.А., Шоньгин В.Ф., Защита информации в копьютерных системах и сетях / Под ред. В.Ф. Шаньгина. – 2-е изд., перраб. и доп. — М.: Радио и связь, 2001. – 376 с.
  9. Оглтри Т. Firewalls. Практическое применение межсетевых экранов. Пер. с англ. — М.: ДМК Пресс, 2001. – 400 с.
  10. Герасименко В. А., Малюк А. А. Основы защиты информации. — М.: МГИФИ, 1997. – 538 с.
  11. Конахович Г.Ф. Системи радіозв*язку.- К.: НАУ,2004,-312с.
  12. Большая энциклопедия шпионажа.…
  13. Петраков А. В., Лагутин В. С. Защита абонентского телетрафика. — М.: Радио и связь, 2002. – 504 с.
  14. Андрианов В. И., Бородин В. А., Соколов А. В. «Шпионские штучки» и устройства для защиты объектов и информации. Справочное пособие. — Лань, Спб, 1996 – 272 с.
  15. Хорошко В. А., Чекатков А. А. Методы и средства защиты информации — К.: Издательство Юниор, 2003. – 504 с.
  16. Максименко Г. А., Хорошко В. А. Методы выявления, обработки и идентификации сигналов радио закладных устройств. — К.: ООО «Полиграф консалтинг», 2004. – 317
  17. Конеев Н. Р., Беляев А. В. Информационная безопасность предприятия. — СПБ: БХВ – Петербург, 2003 – 725 с.

 

⇐ Предыдущая10111213141516171819






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.