ProHoster > Blog > διαχείριση > Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet

Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet

Έγραψα αυτήν την κριτική (ή, αν προτιμάτε, έναν οδηγό σύγκρισης) όταν μου ανατέθηκε η σύγκριση πολλών συσκευών από διαφορετικούς προμηθευτές. Επιπλέον, αυτές οι συσκευές ανήκαν σε διαφορετικές κατηγορίες. Έπρεπε να κατανοήσω την αρχιτεκτονική και τα χαρακτηριστικά όλων αυτών των συσκευών και να δημιουργήσω ένα «σύστημα συντεταγμένων» για σύγκριση. Θα χαρώ αν η κριτική μου βοηθήσει κάποιον:

  • Κατανοήστε τις περιγραφές και τις προδιαγραφές των συσκευών κρυπτογράφησης
  • Διακρίνετε τα χαρακτηριστικά «χάρτου» από εκείνα που είναι πραγματικά σημαντικά στην πραγματική ζωή
  • Πηγαίνετε πέρα ​​από το συνηθισμένο σύνολο προμηθευτών και λάβετε υπόψη τυχόν προϊόντα που είναι κατάλληλα για την επίλυση του προβλήματος
  • Κάντε τις σωστές ερωτήσεις κατά τη διάρκεια των διαπραγματεύσεων
  • Κατάρτιση απαιτήσεων διαγωνισμού (RFP)
  • Κατανοήστε ποια χαρακτηριστικά θα πρέπει να θυσιαστούν εάν επιλεγεί ένα συγκεκριμένο μοντέλο συσκευής

Τι μπορεί να αξιολογηθεί

Κατ' αρχήν, η προσέγγιση είναι εφαρμόσιμη σε οποιεσδήποτε αυτόνομες συσκευές κατάλληλες για κρυπτογράφηση της κυκλοφορίας δικτύου μεταξύ απομακρυσμένων τμημάτων Ethernet (κρυπτογράφηση μεταξύ τοποθεσιών). Δηλαδή, "κουτιά" σε ξεχωριστή θήκη (εντάξει, θα συμπεριλάβουμε και λεπίδες/modules για το πλαίσιο εδώ), τα οποία συνδέονται μέσω μίας ή περισσότερων θυρών Ethernet σε ένα τοπικό δίκτυο Ethernet (πανεπιστημιούπολη) με μη κρυπτογραφημένη κίνηση και μέσω άλλη(ες) θύρα(ες) σε κανάλι/δίκτυο μέσω του οποίου η ήδη κρυπτογραφημένη κίνηση μεταδίδεται σε άλλα, απομακρυσμένα τμήματα. Μια τέτοια λύση κρυπτογράφησης μπορεί να αναπτυχθεί σε ένα ιδιωτικό δίκτυο ή σε δίκτυο χειριστή μέσω διαφορετικών τύπων «μεταφοράς» (σκοτεινή ίνα, εξοπλισμός διαίρεσης συχνότητας, μεταγωγή Ethernet, καθώς και «ψευδοϊδρύλες» που τοποθετούνται μέσω ενός δικτύου με διαφορετική αρχιτεκτονική δρομολόγησης, πιο συχνά MPLS ), με ή χωρίς τεχνολογία VPN.

Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet
Κρυπτογράφηση δικτύου σε κατανεμημένο δίκτυο Ethernet

Οι ίδιες οι συσκευές μπορεί να είναι είτε ειδικευμένος (προορίζεται αποκλειστικά για κρυπτογράφηση) ή πολυλειτουργικό (υβριδικό, συγκεντρούμενος), δηλαδή εκτελώντας επίσης άλλες λειτουργίες (για παράδειγμα, τείχος προστασίας ή δρομολογητή). Διαφορετικοί προμηθευτές ταξινομούν τις συσκευές τους σε διαφορετικές κατηγορίες/κατηγορίες, αλλά αυτό δεν έχει σημασία - το μόνο σημαντικό πράγμα είναι αν μπορούν να κρυπτογραφήσουν την κυκλοφορία μεταξύ τοποθεσιών και ποια χαρακτηριστικά έχουν.

Για κάθε ενδεχόμενο, σας υπενθυμίζω ότι «κρυπτογράφηση δικτύου», «κρυπτογράφηση κυκλοφορίας», «κρυπτογράφηση» είναι άτυποι όροι, αν και χρησιμοποιούνται συχνά. Πιθανότατα δεν θα τα βρείτε στους ρωσικούς κανονισμούς (συμπεριλαμβανομένων εκείνων που εισάγουν GOST).

Επίπεδα κρυπτογράφησης και τρόποι μετάδοσης

Πριν αρχίσουμε να περιγράφουμε τα ίδια τα χαρακτηριστικά που θα χρησιμοποιηθούν για την αξιολόγηση, θα πρέπει πρώτα να κατανοήσουμε ένα σημαντικό πράγμα, δηλαδή το «επίπεδο κρυπτογράφησης». Παρατήρησα ότι αναφέρεται συχνά τόσο σε επίσημα έγγραφα προμηθευτών (σε περιγραφές, εγχειρίδια κ.λπ.) όσο και σε ανεπίσημες συζητήσεις (σε διαπραγματεύσεις, εκπαιδεύσεις). Δηλαδή, όλοι φαίνεται να ξέρουν πολύ καλά για τι πράγμα μιλάμε, αλλά προσωπικά είδα κάποια σύγχυση.

Τι είναι λοιπόν το "επίπεδο κρυπτογράφησης"; Είναι σαφές ότι μιλάμε για τον αριθμό του επιπέδου μοντέλου δικτύου αναφοράς OSI/ISO στο οποίο λαμβάνει χώρα η κρυπτογράφηση. Διαβάζουμε GOST R ISO 7498-2–99 «Τεχνολογία πληροφοριών. Διασύνδεση ανοιχτών συστημάτων. Βασικό μοντέλο αναφοράς. Μέρος 2. Αρχιτεκτονική ασφάλειας πληροφοριών." Από αυτό το έγγραφο μπορεί να γίνει κατανοητό ότι το επίπεδο υπηρεσίας εμπιστευτικότητας (ένας από τους μηχανισμούς παροχής του οποίου είναι η κρυπτογράφηση) είναι το επίπεδο του πρωτοκόλλου, το μπλοκ δεδομένων υπηρεσίας («ωφέλιμο φορτίο», δεδομένα χρήστη) του οποίου είναι κρυπτογραφημένο. Όπως είναι επίσης γραμμένο στο πρότυπο, η υπηρεσία μπορεί να παρέχεται τόσο στο ίδιο επίπεδο, "από μόνη της" και με τη βοήθεια ενός χαμηλότερου επιπέδου (έτσι, για παράδειγμα, εφαρμόζεται συχνότερα στο MACsec) .

Στην πράξη, είναι δυνατοί δύο τρόποι μετάδοσης κρυπτογραφημένων πληροφοριών μέσω δικτύου (το IPsec έρχεται αμέσως στο μυαλό, αλλά οι ίδιοι τρόποι βρίσκονται και σε άλλα πρωτόκολλα). ΣΕ μεταφορά Η λειτουργία (μερικές φορές ονομάζεται και εγγενής) είναι μόνο κρυπτογραφημένη υπηρεσία μπλοκ δεδομένων και οι κεφαλίδες παραμένουν «ανοιχτές», μη κρυπτογραφημένες (μερικές φορές προστίθενται επιπλέον πεδία με πληροφορίες υπηρεσίας του αλγόριθμου κρυπτογράφησης και άλλα πεδία τροποποιούνται και υπολογίζονται εκ νέου). ΣΕ σήραγγα ίδια λειτουργία όλα πρωτόκολλο το μπλοκ δεδομένων (δηλαδή το ίδιο το πακέτο) είναι κρυπτογραφημένο και ενθυλακωμένο σε ένα μπλοκ δεδομένων υπηρεσίας ίδιου ή υψηλότερου επιπέδου, δηλαδή περιβάλλεται από νέες κεφαλίδες.

Το ίδιο το επίπεδο κρυπτογράφησης σε συνδυασμό με κάποιο τρόπο μετάδοσης δεν είναι ούτε καλό ούτε κακό, επομένως δεν μπορεί να ειπωθεί, για παράδειγμα, ότι το L3 στη λειτουργία μεταφοράς είναι καλύτερο από το L2 στη λειτουργία σήραγγας. Απλώς πολλά από τα χαρακτηριστικά με τα οποία αξιολογούνται οι συσκευές εξαρτώνται από αυτά. Για παράδειγμα, ευελιξία και συμβατότητα. Για να εργαστείτε σε ένα δίκτυο L1 (ρελέ ροής bit), L2 (μεταγωγή πλαισίου) και L3 (δρομολόγηση πακέτων) στη λειτουργία μεταφοράς, χρειάζεστε λύσεις που κρυπτογραφούν στο ίδιο ή υψηλότερο επίπεδο (διαφορετικά οι πληροφορίες διεύθυνσης θα κρυπτογραφηθούν και τα δεδομένα θα να μην φτάσει στον προορισμό του) και η λειτουργία σήραγγας ξεπερνά αυτόν τον περιορισμό (αν και θυσιάζει άλλα σημαντικά χαρακτηριστικά).

Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet
Λειτουργίες κρυπτογράφησης μεταφοράς και σήραγγας L2

Τώρα ας προχωρήσουμε στην ανάλυση των χαρακτηριστικών.

Παραγωγικότητα

Για την κρυπτογράφηση δικτύου, η απόδοση είναι μια σύνθετη, πολυδιάστατη έννοια. Συμβαίνει ότι ένα συγκεκριμένο μοντέλο, ενώ είναι ανώτερο σε ένα χαρακτηριστικό απόδοσης, είναι κατώτερο σε ένα άλλο. Επομένως, είναι πάντα χρήσιμο να εξετάζουμε όλα τα στοιχεία της απόδοσης κρυπτογράφησης και τον αντίκτυπό τους στην απόδοση του δικτύου και των εφαρμογών που το χρησιμοποιούν. Εδώ μπορούμε να κάνουμε μια αναλογία με ένα αυτοκίνητο, για το οποίο δεν είναι μόνο σημαντική η μέγιστη ταχύτητα, αλλά και ο χρόνος επιτάχυνσης σε «εκατοντάδες», η κατανάλωση καυσίμου κ.λπ. Οι εταιρείες πωλητών και οι πιθανοί πελάτες τους δίνουν μεγάλη προσοχή στα χαρακτηριστικά απόδοσης. Κατά κανόνα, οι συσκευές κρυπτογράφησης ταξινομούνται με βάση την απόδοση στις γραμμές προμηθευτών.

Είναι σαφές ότι η απόδοση εξαρτάται τόσο από την πολυπλοκότητα των λειτουργιών δικτύωσης και κρυπτογράφησης που εκτελούνται στη συσκευή (συμπεριλαμβανομένου του πόσο καλά μπορούν να παραλληλιστούν και να δρομολογηθούν αυτές οι εργασίες), όσο και από την απόδοση του υλικού και την ποιότητα του υλικολογισμικού. Επομένως, τα παλαιότερα μοντέλα χρησιμοποιούν πιο παραγωγικό υλικό· μερικές φορές είναι δυνατό να εξοπλιστεί με πρόσθετους επεξεργαστές και μονάδες μνήμης. Υπάρχουν διάφορες προσεγγίσεις για την υλοποίηση κρυπτογραφικών λειτουργιών: σε κεντρική μονάδα επεξεργασίας γενικής χρήσης (CPU), ολοκληρωμένο κύκλωμα ειδικής εφαρμογής (ASIC) ή προγραμματιζόμενο λογικό ολοκληρωμένο κύκλωμα πεδίου (FPGA). Κάθε προσέγγιση έχει τα υπέρ και τα κατά της. Για παράδειγμα, η CPU μπορεί να γίνει εμπόδιο κρυπτογράφησης, ειδικά εάν ο επεξεργαστής δεν διαθέτει εξειδικευμένες οδηγίες για την υποστήριξη του αλγόριθμου κρυπτογράφησης (ή εάν δεν χρησιμοποιούνται). Τα εξειδικευμένα τσιπ δεν διαθέτουν ευελιξία· δεν είναι πάντα δυνατό να τα «ανανεώσετε» για να βελτιώσετε την απόδοση, να προσθέσετε νέες λειτουργίες ή να εξαλείψετε ευπάθειες. Επιπλέον, η χρήση τους γίνεται κερδοφόρα μόνο με μεγάλους όγκους παραγωγής. Αυτός είναι ο λόγος για τον οποίο η "χρυσή μέση" έχει γίνει τόσο δημοφιλής - η χρήση του FPGA (FPGA στα ρωσικά). Σε FPGA κατασκευάζονται οι λεγόμενοι επιταχυντές κρυπτογράφησης - ενσωματωμένες ή πρόσθετες εξειδικευμένες μονάδες υλικού για την υποστήριξη κρυπτογραφικών λειτουργιών.

Αφού μιλάμε για δίκτυο κρυπτογράφηση, είναι λογικό η απόδοση των λύσεων να μετράται στις ίδιες ποσότητες όπως και για άλλες συσκευές δικτύου - απόδοση, ποσοστό απώλειας πλαισίου και καθυστέρηση. Αυτές οι τιμές ορίζονται στο RFC 1242. Παρεμπιπτόντως, δεν γράφεται τίποτα για τη συχνά αναφερόμενη παραλλαγή καθυστέρησης (jitter) σε αυτό το RFC. Πώς να μετρήσετε αυτές τις ποσότητες; Δεν βρήκα μεθοδολογία εγκεκριμένη σε κανένα πρότυπο (επίσημο ή ανεπίσημο όπως το RFC) ειδικά για την κρυπτογράφηση δικτύου. Θα ήταν λογικό να χρησιμοποιηθεί η μεθοδολογία για συσκευές δικτύου, η οποία κατοχυρώνεται στο πρότυπο RFC 2544. Πολλοί προμηθευτές την ακολουθούν - πολλοί, αλλά όχι όλοι. Για παράδειγμα, στέλνουν δοκιμαστική κίνηση προς μία μόνο κατεύθυνση αντί και για τις δύο, όπως συνιστάται πρότυπο. ΤΕΛΟΣ παντων.

Η μέτρηση της απόδοσης των συσκευών κρυπτογράφησης δικτύου εξακολουθεί να έχει τα δικά της χαρακτηριστικά. Πρώτον, είναι σωστό να πραγματοποιούνται όλες οι μετρήσεις για ένα ζεύγος συσκευών: αν και οι αλγόριθμοι κρυπτογράφησης είναι συμμετρικοί, οι καθυστερήσεις και οι απώλειες πακέτων κατά την κρυπτογράφηση και την αποκρυπτογράφηση δεν θα είναι απαραίτητα ίσες. Δεύτερον, είναι λογικό να μετρήσουμε το δέλτα, τον αντίκτυπο της κρυπτογράφησης δικτύου στην τελική απόδοση του δικτύου, συγκρίνοντας δύο διαμορφώσεις: χωρίς συσκευές κρυπτογράφησης και με αυτές. Ή, όπως συμβαίνει με τις υβριδικές συσκευές, οι οποίες συνδυάζουν πολλές λειτουργίες εκτός από την κρυπτογράφηση δικτύου, με απενεργοποιημένη και ενεργοποιημένη την κρυπτογράφηση. Αυτή η επιρροή μπορεί να είναι διαφορετική και εξαρτάται από το σχήμα σύνδεσης των συσκευών κρυπτογράφησης, από τους τρόπους λειτουργίας και, τέλος, από τη φύση της κίνησης. Συγκεκριμένα, πολλές παράμετροι απόδοσης εξαρτώνται από το μήκος των πακέτων, γι' αυτό, για τη σύγκριση της απόδοσης διαφορετικών λύσεων, χρησιμοποιούνται συχνά γραφήματα αυτών των παραμέτρων ανάλογα με το μήκος των πακέτων ή χρησιμοποιείται IMIX - η κατανομή της κίνησης ανά πακέτο μήκη, που αντικατοπτρίζει περίπου το πραγματικό. Εάν συγκρίνουμε την ίδια βασική διαμόρφωση χωρίς κρυπτογράφηση, μπορούμε να συγκρίνουμε λύσεις κρυπτογράφησης δικτύου που εφαρμόζονται διαφορετικά χωρίς να μπαίνουμε σε αυτές τις διαφορές: L2 με L3, αποθήκευση και προώθηση ) με cut-through, εξειδικευμένο με convergent, GOST με AES και ούτω καθεξής.

Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet
Διάγραμμα σύνδεσης για δοκιμή απόδοσης

Το πρώτο χαρακτηριστικό που προσέχουν οι άνθρωποι είναι η «ταχύτητα» της συσκευής κρυπτογράφησης, δηλαδή εύρος ζώνης (εύρος ζώνης) των διεπαφών δικτύου του, ρυθμός ροής bit. Καθορίζεται από τα πρότυπα δικτύου που υποστηρίζονται από τις διεπαφές. Για το Ethernet, οι συνήθεις αριθμοί είναι 1 Gbps και 10 Gbps. Αλλά, όπως γνωρίζουμε, σε οποιοδήποτε δίκτυο το μέγιστο θεωρητικό διακίνηση (παραγωγή) σε κάθε επίπεδό του υπάρχει πάντα λιγότερο εύρος ζώνης: μέρος του εύρους ζώνης «καταναλώνεται» από τα διαστήματα μεταξύ των πλαισίων, τις κεφαλίδες υπηρεσιών κ.λπ. Εάν μια συσκευή είναι σε θέση να λαμβάνει, να επεξεργάζεται (στην περίπτωσή μας, να κρυπτογραφεί ή να αποκρυπτογραφεί) και να μεταδίδει κίνηση με την πλήρη ταχύτητα της διεπαφής δικτύου, δηλαδή με τη μέγιστη θεωρητική απόδοση για αυτό το επίπεδο του μοντέλου δικτύου, τότε λέγεται να εργάζεσαι με ταχύτητα γραμμής. Για να γίνει αυτό, είναι απαραίτητο η συσκευή να μην χάνει ή να απορρίπτει πακέτα σε οποιοδήποτε μέγεθος και σε οποιαδήποτε συχνότητα. Εάν η συσκευή κρυπτογράφησης δεν υποστηρίζει λειτουργία με ταχύτητα γραμμής, τότε η μέγιστη απόδοση καθορίζεται συνήθως στα ίδια gigabits ανά δευτερόλεπτο (μερικές φορές υποδεικνύεται το μήκος των πακέτων - όσο μικρότερα είναι τα πακέτα, τόσο μικρότερη είναι συνήθως η απόδοση). Είναι πολύ σημαντικό να κατανοήσουμε ότι η μέγιστη απόδοση είναι η μέγιστη καμιά απώλεια (ακόμα κι αν η συσκευή μπορεί να «αντλήσει» την κυκλοφορία μέσω της ίδιας με υψηλότερη ταχύτητα, αλλά ταυτόχρονα να χάσει ορισμένα πακέτα). Επίσης, να γνωρίζετε ότι ορισμένοι προμηθευτές μετρούν τη συνολική διεκπεραίωση μεταξύ όλων των ζευγών θυρών, επομένως αυτοί οι αριθμοί δεν σημαίνουν πολλά εάν όλη η κρυπτογραφημένη κίνηση διέρχεται από μία μόνο θύρα.

Πού είναι ιδιαίτερα σημαντικό να λειτουργεί με ταχύτητα γραμμής (ή, με άλλα λόγια, χωρίς απώλεια πακέτων); Σε συνδέσεις υψηλού εύρους ζώνης, υψηλής καθυστέρησης (όπως δορυφόρος), όπου πρέπει να ρυθμιστεί ένα μεγάλο μέγεθος παραθύρου TCP για να διατηρούνται υψηλές ταχύτητες μετάδοσης και όπου η απώλεια πακέτων μειώνει δραματικά την απόδοση του δικτύου.

Αλλά δεν χρησιμοποιείται όλο το εύρος ζώνης για τη μεταφορά χρήσιμων δεδομένων. Πρέπει να υπολογίσουμε το λεγόμενο παγια εξοδα (overhead) εύρος ζώνης. Αυτό είναι το τμήμα της απόδοσης της συσκευής κρυπτογράφησης (ως ποσοστό ή byte ανά πακέτο) που στην πραγματικότητα σπαταλιέται (δεν μπορεί να χρησιμοποιηθεί για τη μεταφορά δεδομένων εφαρμογής). Τα γενικά έξοδα προκύπτουν, πρώτον, λόγω της αύξησης του μεγέθους (προσθήκη, «γεμίσματος») του πεδίου δεδομένων σε κρυπτογραφημένα πακέτα δικτύου (ανάλογα με τον αλγόριθμο κρυπτογράφησης και τον τρόπο λειτουργίας του). Δεύτερον, λόγω της αύξησης του μήκους των κεφαλίδων πακέτων (λειτουργία σήραγγας, εισαγωγή υπηρεσίας του πρωτοκόλλου κρυπτογράφησης, εισαγωγή προσομοίωσης κ.λπ. ανάλογα με το πρωτόκολλο και τον τρόπο λειτουργίας του κρυπτογράφησης και του τρόπου μετάδοσης) - συνήθως αυτά τα γενικά έξοδα είναι τα πιο σημαντικό, και δίνουν προσοχή πρώτα. Τρίτον, λόγω κατακερματισμού πακέτων όταν ξεπεραστεί το μέγιστο μέγεθος μονάδας δεδομένων (MTU) (αν το δίκτυο μπορεί να χωρίσει ένα πακέτο που υπερβαίνει το MTU σε δύο, αντιγράφοντας τις κεφαλίδες του). Τέταρτον, λόγω της εμφάνισης κίνησης πρόσθετων υπηρεσιών (έλεγχος) στο δίκτυο μεταξύ συσκευών κρυπτογράφησης (για ανταλλαγή κλειδιών, εγκατάσταση σήραγγας κ.λπ.). Τα χαμηλά γενικά έξοδα είναι σημαντικά όταν η χωρητικότητα του καναλιού είναι περιορισμένη. Αυτό είναι ιδιαίτερα εμφανές στην κίνηση από μικρά πακέτα, για παράδειγμα, φωνή – όπου το γενικό κόστος μπορεί να «τρώει» περισσότερο από τη μισή ταχύτητα του καναλιού!

Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet
Εύρος ζώνης

Τέλος, υπάρχουν περισσότερα εισήγαγε καθυστέρηση – τη διαφορά (σε κλάσματα του δευτερολέπτου) στην καθυστέρηση δικτύου (ο χρόνος που απαιτείται για να περάσουν τα δεδομένα από την είσοδο στο δίκτυο στην έξοδο από αυτό) μεταξύ της μετάδοσης δεδομένων χωρίς και με κρυπτογράφηση δικτύου. Σε γενικές γραμμές, όσο χαμηλότερη είναι η καθυστέρηση («λανθάνουσα κατάσταση») του δικτύου, τόσο πιο κρίσιμη γίνεται η καθυστέρηση που εισάγουν οι συσκευές κρυπτογράφησης. Η καθυστέρηση εισάγεται από την ίδια τη λειτουργία κρυπτογράφησης (ανάλογα με τον αλγόριθμο κρυπτογράφησης, το μήκος του μπλοκ και τον τρόπο λειτουργίας του κρυπτογράφησης, καθώς και από την ποιότητα της εφαρμογής του στο λογισμικό) και την επεξεργασία του πακέτου δικτύου στη συσκευή . Η καθυστέρηση που εισάγεται εξαρτάται τόσο από τη λειτουργία επεξεργασίας πακέτων (διαβίβαση ή αποθήκευση και προώθηση) όσο και από την απόδοση της πλατφόρμας (η εφαρμογή υλικού σε FPGA ή ASIC είναι γενικά ταχύτερη από την εφαρμογή λογισμικού σε CPU). Η κρυπτογράφηση L2 έχει σχεδόν πάντα χαμηλότερο λανθάνοντα χρόνο από την κρυπτογράφηση L3 ή L4, λόγω του γεγονότος ότι οι συσκευές κρυπτογράφησης L3/L4 συχνά συγκλίνουν. Για παράδειγμα, με υψηλής ταχύτητας κρυπτογράφηση Ethernet που εφαρμόζονται σε FPGA και κρυπτογράφηση σε L2, η καθυστέρηση λόγω της λειτουργίας κρυπτογράφησης είναι εξαιρετικά μικρή - μερικές φορές όταν η κρυπτογράφηση είναι ενεργοποιημένη σε ένα ζεύγος συσκευών, η συνολική καθυστέρηση που εισάγουν μειώνεται ακόμη και! Η χαμηλή καθυστέρηση είναι σημαντική όταν είναι συγκρίσιμη με τις συνολικές καθυστερήσεις καναλιού, συμπεριλαμβανομένης της καθυστέρησης διάδοσης, η οποία είναι περίπου 5 μs ανά χιλιόμετρο. Δηλαδή, μπορούμε να πούμε ότι για δίκτυα αστικής κλίμακας (με διάμετρο δεκάδων χιλιομέτρων), τα μικροδευτερόλεπτα μπορούν να αποφασίσουν πολλά. Για παράδειγμα, για σύγχρονη αναπαραγωγή βάσεων δεδομένων, συναλλαγές υψηλής συχνότητας, το ίδιο blockchain.

Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet
Εισήχθη καθυστέρηση

Επεκτασιμότητα

Τα μεγάλα κατανεμημένα δίκτυα μπορούν να περιλαμβάνουν πολλές χιλιάδες κόμβους και συσκευές δικτύου, εκατοντάδες τμήματα τοπικού δικτύου. Είναι σημαντικό οι λύσεις κρυπτογράφησης να μην επιβάλλουν πρόσθετους περιορισμούς στο μέγεθος και την τοπολογία του κατανεμημένου δικτύου. Αυτό ισχύει κυρίως για τον μέγιστο αριθμό διευθύνσεων κεντρικού υπολογιστή και δικτύου. Τέτοιοι περιορισμοί μπορεί να συναντηθούν, για παράδειγμα, κατά την εφαρμογή μιας κρυπτογραφημένης τοπολογίας δικτύου πολλαπλών σημείων (με ανεξάρτητες ασφαλείς συνδέσεις ή σήραγγες) ή επιλεκτικής κρυπτογράφησης (για παράδειγμα, με αριθμό πρωτοκόλλου ή VLAN). Εάν σε αυτήν την περίπτωση οι διευθύνσεις δικτύου (MAC, IP, VLAN ID) χρησιμοποιούνται ως κλειδιά σε έναν πίνακα στον οποίο ο αριθμός των σειρών είναι περιορισμένος, τότε αυτοί οι περιορισμοί εμφανίζονται εδώ.

Επιπλέον, τα μεγάλα δίκτυα έχουν συχνά πολλά δομικά επίπεδα, συμπεριλαμβανομένου του βασικού δικτύου, καθένα από τα οποία εφαρμόζει το δικό του σχήμα διευθύνσεων και τη δική του πολιτική δρομολόγησης. Για την εφαρμογή αυτής της προσέγγισης, χρησιμοποιούνται συχνά ειδικές μορφές πλαισίου (όπως Q-in-Q ή MAC-in-MAC) και πρωτόκολλα προσδιορισμού διαδρομής. Για να μην εμποδίζεται η κατασκευή τέτοιων δικτύων, οι συσκευές κρυπτογράφησης πρέπει να χειρίζονται σωστά τέτοια πλαίσια (δηλαδή, υπό αυτή την έννοια, η επεκτασιμότητα θα σημαίνει συμβατότητα - περισσότερα για αυτό παρακάτω).

Ευκαμψία

Εδώ μιλάμε για υποστήριξη διαφόρων διαμορφώσεων, σχημάτων σύνδεσης, τοπολογιών και άλλων πραγμάτων. Για παράδειγμα, για δίκτυα μεταγωγής που βασίζονται σε τεχνολογίες Carrier Ethernet, αυτό σημαίνει υποστήριξη για διαφορετικούς τύπους εικονικών συνδέσεων (E-Line, E-LAN, E-Tree), διαφορετικούς τύπους υπηρεσιών (τόσο από θύρα όσο και VLAN) και διαφορετικές τεχνολογίες μεταφοράς (αναφέρονται ήδη παραπάνω). Δηλαδή, η συσκευή πρέπει να μπορεί να λειτουργεί τόσο σε γραμμική («point-to-point») και σε λειτουργία πολλαπλών σημείων, να δημιουργεί ξεχωριστές σήραγγες για διαφορετικά VLAN και να επιτρέπει την παράδοση πακέτων εκτός σειράς μέσα σε ένα ασφαλές κανάλι. Η δυνατότητα επιλογής διαφορετικών τρόπων κρυπτογράφησης (συμπεριλαμβανομένου με ή χωρίς έλεγχο ταυτότητας περιεχομένου) και διαφορετικών τρόπων μετάδοσης πακέτων σάς επιτρέπει να επιτύχετε μια ισορροπία μεταξύ ισχύος και απόδοσης ανάλογα με τις τρέχουσες συνθήκες.

Είναι επίσης σημαντικό να υποστηρίζονται τόσο ιδιωτικά δίκτυα, των οποίων ο εξοπλισμός ανήκει σε έναν οργανισμό (ή ενοικιάζεται σε αυτόν), όσο και δίκτυα χειριστή, των οποίων διαφορετικά τμήματα διαχειρίζονται διαφορετικές εταιρείες. Είναι καλό εάν η λύση επιτρέπει τη διαχείριση τόσο εντός όσο και από τρίτο μέρος (χρησιμοποιώντας ένα μοντέλο διαχειριζόμενης υπηρεσίας). Στα δίκτυα χειριστή, μια άλλη σημαντική λειτουργία είναι η υποστήριξη πολλαπλών μισθώσεων (κοινή χρήση από διαφορετικούς πελάτες) με τη μορφή κρυπτογραφικής απομόνωσης μεμονωμένων πελατών (συνδρομητών) των οποίων η κίνηση διέρχεται από το ίδιο σύνολο συσκευών κρυπτογράφησης. Αυτό συνήθως απαιτεί τη χρήση ξεχωριστών συνόλων κλειδιών και πιστοποιητικών για κάθε πελάτη.

Εάν μια συσκευή αγοράζεται για ένα συγκεκριμένο σενάριο, τότε όλες αυτές οι λειτουργίες μπορεί να μην είναι πολύ σημαντικές - απλά πρέπει να βεβαιωθείτε ότι η συσκευή υποστηρίζει αυτό που χρειάζεστε τώρα. Αλλά εάν μια λύση αγοραστεί «για την ανάπτυξη», για να υποστηρίξει επίσης μελλοντικά σενάρια, και επιλεγεί ως «εταιρικό πρότυπο», τότε η ευελιξία δεν θα είναι περιττή - ειδικά λαμβάνοντας υπόψη τους περιορισμούς στη διαλειτουργικότητα συσκευών από διαφορετικούς προμηθευτές ( περισσότερα για αυτό παρακάτω).

Απλότητα και ευκολία

Η ευκολία εξυπηρέτησης είναι επίσης μια πολυπαραγοντική έννοια. Κατά προσέγγιση, μπορούμε να πούμε ότι αυτός είναι ο συνολικός χρόνος που αφιερώνουν ειδικοί με συγκεκριμένο προσόν που απαιτείται για την υποστήριξη μιας λύσης σε διαφορετικά στάδια του κύκλου ζωής της. Εάν δεν υπάρχει κόστος και η εγκατάσταση, η διαμόρφωση και η λειτουργία είναι πλήρως αυτόματη, τότε το κόστος είναι μηδενικό και η ευκολία είναι απόλυτη. Φυσικά, αυτό δεν συμβαίνει στον πραγματικό κόσμο. Μια λογική προσέγγιση είναι ένα μοντέλο "κόμπος σε ένα σύρμα" (bump-in-the-wire) ή διαφανής σύνδεση, στην οποία η προσθήκη και απενεργοποίηση συσκευών κρυπτογράφησης δεν απαιτεί χειροκίνητες ή αυτόματες αλλαγές στη διαμόρφωση του δικτύου. Ταυτόχρονα, η διατήρηση της λύσης απλοποιείται: μπορείτε να ενεργοποιήσετε/απενεργοποιήσετε με ασφάλεια τη λειτουργία κρυπτογράφησης και, εάν είναι απαραίτητο, απλώς να "παρακάμψετε" τη συσκευή με ένα καλώδιο δικτύου (δηλαδή, να συνδέσετε απευθείας εκείνες τις θύρες του εξοπλισμού δικτύου στις οποίες ήταν συνδεδεμένο). Είναι αλήθεια ότι υπάρχει ένα μειονέκτημα - ένας εισβολέας μπορεί να κάνει το ίδιο. Για να εφαρμοστεί η αρχή "κόμβος σε καλώδιο", είναι απαραίτητο να ληφθεί υπόψη όχι μόνο η κίνηση επίπεδο δεδομένωνΑλλά επίπεδα ελέγχου και διαχείρισης – οι συσκευές πρέπει να είναι διαφανείς σε αυτές. Επομένως, μια τέτοια κίνηση μπορεί να κρυπτογραφηθεί μόνο όταν δεν υπάρχουν παραλήπτες αυτών των τύπων κίνησης στο δίκτυο μεταξύ των συσκευών κρυπτογράφησης, καθώς εάν απορριφθεί ή κρυπτογραφηθεί, τότε όταν ενεργοποιήσετε ή απενεργοποιήσετε την κρυπτογράφηση, η διαμόρφωση του δικτύου ενδέχεται να αλλάξει. Η συσκευή κρυπτογράφησης μπορεί επίσης να είναι διαφανής στη σηματοδότηση φυσικού επιπέδου. Ειδικότερα, όταν χάνεται ένα σήμα, πρέπει να μεταδίδει αυτήν την απώλεια (δηλαδή να απενεργοποιεί τους πομπούς του) εμπρός και πίσω («για τον εαυτό του») προς την κατεύθυνση του σήματος.

Είναι επίσης σημαντική η υποστήριξη στην κατανομή των αρμοδιοτήτων μεταξύ των τμημάτων ασφάλειας πληροφοριών και πληροφορικής, ιδίως του τμήματος δικτύου. Η λύση κρυπτογράφησης πρέπει να υποστηρίζει το μοντέλο ελέγχου πρόσβασης και ελέγχου του οργανισμού. Η ανάγκη για αλληλεπίδραση μεταξύ διαφορετικών τμημάτων για την εκτέλεση εργασιών ρουτίνας θα πρέπει να ελαχιστοποιηθεί. Ως εκ τούτου, υπάρχει ένα πλεονέκτημα όσον αφορά την ευκολία για εξειδικευμένες συσκευές που υποστηρίζουν αποκλειστικά λειτουργίες κρυπτογράφησης και είναι όσο το δυνατόν πιο διαφανείς στις λειτουργίες δικτύου. Με απλά λόγια, οι υπάλληλοι της ασφάλειας πληροφοριών δεν θα πρέπει να έχουν λόγο να επικοινωνήσουν με «ειδικούς δικτύου» για να αλλάξουν τις ρυθμίσεις δικτύου. Και αυτοί, με τη σειρά τους, δεν θα πρέπει να έχουν την ανάγκη να αλλάξουν τις ρυθμίσεις κρυπτογράφησης κατά τη συντήρηση του δικτύου.

Ένας άλλος παράγοντας είναι οι δυνατότητες και η ευκολία των χειριστηρίων. Θα πρέπει να είναι οπτικά, λογικά, να παρέχουν εισαγωγή-εξαγωγή ρυθμίσεων, αυτοματισμό κ.λπ. Θα πρέπει αμέσως να προσέξετε ποιες επιλογές διαχείρισης είναι διαθέσιμες (συνήθως το δικό τους περιβάλλον διαχείρισης, διεπαφή ιστού και γραμμή εντολών) και τι σύνολο λειτουργιών έχει το καθένα από αυτά (υπάρχουν περιορισμοί). Μια σημαντική λειτουργία είναι η υποστήριξη εκτός ζώνης έλεγχος (εκτός ζώνης), δηλαδή μέσω ενός αποκλειστικού δικτύου ελέγχου, και εντός μπάντας (in-band) έλεγχος, δηλαδή μέσω ενός κοινού δικτύου μέσω του οποίου μεταδίδεται χρήσιμη κίνηση. Τα εργαλεία διαχείρισης πρέπει να σηματοδοτούν όλες τις μη φυσιολογικές καταστάσεις, συμπεριλαμβανομένων των περιστατικών ασφάλειας πληροφοριών. Οι συνήθεις, επαναλαμβανόμενες λειτουργίες θα πρέπει να εκτελούνται αυτόματα. Αυτό σχετίζεται κυρίως με τη διαχείριση κλειδιών. Θα πρέπει να δημιουργούνται/διανέμονται αυτόματα. Η υποστήριξη PKI είναι ένα μεγάλο πλεονέκτημα.

Συμβατότητα

Δηλαδή, η συμβατότητα της συσκευής με τα πρότυπα δικτύου. Επιπλέον, αυτό σημαίνει όχι μόνο βιομηχανικά πρότυπα που υιοθετούνται από έγκυρους οργανισμούς όπως η IEEE, αλλά και ιδιόκτητα πρωτόκολλα ηγετών του κλάδου, όπως η Cisco. Υπάρχουν δύο κύριοι τρόποι για να διασφαλιστεί η συμβατότητα: είτε μέσω διαφάνεια, ή μέσω ρητή υποστήριξη πρωτόκολλα (όταν μια συσκευή κρυπτογράφησης γίνεται ένας από τους κόμβους δικτύου για ένα συγκεκριμένο πρωτόκολλο και επεξεργάζεται την κυκλοφορία ελέγχου αυτού του πρωτοκόλλου). Η συμβατότητα με τα δίκτυα εξαρτάται από την πληρότητα και την ορθότητα της υλοποίησης των πρωτοκόλλων ελέγχου. Είναι σημαντικό να υποστηρίζονται διαφορετικές επιλογές για το επίπεδο PHY (ταχύτητα, μέσο μετάδοσης, σχήμα κωδικοποίησης), πλαίσια Ethernet διαφορετικών μορφών με οποιαδήποτε MTU, διαφορετικά πρωτόκολλα υπηρεσίας L3 (κυρίως η οικογένεια TCP/IP).

Η διαφάνεια διασφαλίζεται μέσω των μηχανισμών μετάλλαξης (προσωρινή αλλαγή των περιεχομένων των ανοιχτών κεφαλίδων στην κίνηση μεταξύ κρυπτογραφητών), παράβλεψης (όταν μεμονωμένα πακέτα παραμένουν μη κρυπτογραφημένα) και εσοχής της αρχής κρυπτογράφησης (όταν τα κανονικά κρυπτογραφημένα πεδία πακέτων δεν είναι κρυπτογραφημένα).

Τρόπος αξιολόγησης και σύγκρισης συσκευών κρυπτογράφησης Ethernet
Πώς διασφαλίζεται η διαφάνεια

Επομένως, ελέγχετε πάντα πώς ακριβώς παρέχεται υποστήριξη για ένα συγκεκριμένο πρωτόκολλο. Συχνά η υποστήριξη σε διαφανή λειτουργία είναι πιο βολική και αξιόπιστη.

Διαλειτουργικότητα

Αυτό είναι επίσης συμβατότητα, αλλά με διαφορετική έννοια, δηλαδή τη δυνατότητα συνεργασίας με άλλα μοντέλα συσκευών κρυπτογράφησης, συμπεριλαμβανομένων εκείνων από άλλους κατασκευαστές. Πολλά εξαρτώνται από την κατάσταση τυποποίησης των πρωτοκόλλων κρυπτογράφησης. Απλώς δεν υπάρχουν γενικά αποδεκτά πρότυπα κρυπτογράφησης στο L1.

Υπάρχει ένα πρότυπο 2ae (MACsec) για κρυπτογράφηση L802.1 σε δίκτυα Ethernet, αλλά δεν χρησιμοποιεί από άκρη σε άκρη (από άκρο σε άκρο), και interport, κρυπτογράφηση «hop-by-hop» και στην αρχική του έκδοση είναι ακατάλληλη για χρήση σε κατανεμημένα δίκτυα, επομένως έχουν εμφανιστεί οι ιδιόκτητες επεκτάσεις του που ξεπερνούν αυτόν τον περιορισμό (φυσικά, λόγω διαλειτουργικότητας με εξοπλισμό άλλων κατασκευαστών). Είναι αλήθεια ότι το 2018, η υποστήριξη για κατανεμημένα δίκτυα προστέθηκε στο πρότυπο 802.1ae, αλλά δεν υπάρχει ακόμα υποστήριξη για σύνολα αλγορίθμων κρυπτογράφησης GOST. Ως εκ τούτου, τα ιδιόκτητα, μη τυποποιημένα πρωτόκολλα κρυπτογράφησης L2, κατά κανόνα, διακρίνονται από μεγαλύτερη αποτελεσματικότητα (ιδίως χαμηλότερο γενικό εύρος ζώνης) και ευελιξία (δυνατότητα αλλαγής αλγορίθμων και τρόπων κρυπτογράφησης).

Σε υψηλότερα επίπεδα (L3 και L4) υπάρχουν αναγνωρισμένα πρότυπα, κυρίως IPsec και TLS, αλλά και εδώ δεν είναι τόσο απλό. Το γεγονός είναι ότι καθένα από αυτά τα πρότυπα είναι ένα σύνολο πρωτοκόλλων, το καθένα με διαφορετικές εκδόσεις και επεκτάσεις που απαιτούνται ή προαιρετικά για υλοποίηση. Επιπλέον, ορισμένοι κατασκευαστές προτιμούν να χρησιμοποιούν τα ιδιόκτητα πρωτόκολλα κρυπτογράφησης στο L3/L4. Επομένως, στις περισσότερες περιπτώσεις δεν θα πρέπει να υπολογίζετε στην πλήρη διαλειτουργικότητα, αλλά είναι σημαντικό να διασφαλίζεται τουλάχιστον η αλληλεπίδραση μεταξύ διαφορετικών μοντέλων και διαφορετικών γενεών του ίδιου κατασκευαστή.

Αξιοπιστία

Για να συγκρίνετε διαφορετικές λύσεις, μπορείτε να χρησιμοποιήσετε είτε τον μέσο χρόνο μεταξύ των αποτυχιών είτε τον παράγοντα διαθεσιμότητας. Εάν αυτοί οι αριθμοί δεν είναι διαθέσιμοι (ή δεν υπάρχει εμπιστοσύνη σε αυτούς), τότε μπορεί να γίνει μια ποιοτική σύγκριση. Οι συσκευές με βολική διαχείριση θα έχουν ένα πλεονέκτημα (λιγότερο κίνδυνο σφαλμάτων διαμόρφωσης), εξειδικευμένους κρυπτογραφητές (για τον ίδιο λόγο), καθώς και λύσεις με ελάχιστο χρόνο για την ανίχνευση και την εξάλειψη μιας αποτυχίας, συμπεριλαμβανομένων των μέσων «καυτού» αντιγράφου ασφαλείας ολόκληρων κόμβων και συσκευές.

Κόστος

Όσον αφορά το κόστος, όπως συμβαίνει με τις περισσότερες λύσεις πληροφορικής, είναι λογικό να συγκρίνουμε το συνολικό κόστος ιδιοκτησίας. Για να τον υπολογίσετε, δεν χρειάζεται να επανεφεύρετε τον τροχό, αλλά χρησιμοποιήστε οποιαδήποτε κατάλληλη μεθοδολογία (για παράδειγμα, από την Gartner) και οποιαδήποτε αριθμομηχανή (για παράδειγμα, αυτή που χρησιμοποιείται ήδη στον οργανισμό για τον υπολογισμό του TCO). Είναι σαφές ότι για μια λύση κρυπτογράφησης δικτύου, το συνολικό κόστος ιδιοκτησίας αποτελείται από απευθείας κόστος αγοράς ή ενοικίασης της ίδιας της λύσης, υποδομής για εξοπλισμό φιλοξενίας και κόστος εγκατάστασης, διαχείρισης και συντήρησης (εσωτερικά ή με τη μορφή υπηρεσιών τρίτων), καθώς και έμμεσος κόστος από το χρόνο διακοπής της λύσης (που προκαλείται από την απώλεια της παραγωγικότητας του τελικού χρήστη). Υπάρχει πιθανώς μόνο μια λεπτότητα. Ο αντίκτυπος της λύσης στην απόδοση μπορεί να θεωρηθεί με διάφορους τρόπους: είτε ως έμμεσο κόστος που προκαλείται από την απώλεια παραγωγικότητας είτε ως «εικονικό» άμεσο κόστος αγοράς/αναβάθμισης και συντήρησης εργαλείων δικτύου που αντισταθμίζουν την απώλεια απόδοσης δικτύου λόγω της χρήσης κρυπτογράφηση. Σε κάθε περίπτωση, τα έξοδα που είναι δύσκολο να υπολογιστούν με επαρκή ακρίβεια είναι καλύτερα να παραμείνουν εκτός υπολογισμού: έτσι θα υπάρχει μεγαλύτερη εμπιστοσύνη στην τελική αξία. Και, ως συνήθως, σε κάθε περίπτωση, είναι λογικό να συγκρίνουμε διαφορετικές συσκευές ανά TCO για ένα συγκεκριμένο σενάριο χρήσης τους - πραγματικό ή τυπικό.

Αντίσταση

Και το τελευταίο χαρακτηριστικό είναι η επιμονή της λύσης. Στις περισσότερες περιπτώσεις, η ανθεκτικότητα μπορεί να αξιολογηθεί μόνο ποιοτικά με σύγκριση διαφορετικών λύσεων. Πρέπει να θυμόμαστε ότι οι συσκευές κρυπτογράφησης δεν είναι μόνο μέσο, ​​αλλά και αντικείμενο προστασίας. Μπορεί να εκτεθούν σε διάφορες απειλές. Στην πρώτη γραμμή βρίσκονται οι απειλές για παραβίαση του απορρήτου, αναπαραγωγή και τροποποίηση μηνυμάτων. Αυτές οι απειλές μπορούν να πραγματοποιηθούν μέσω τρωτών σημείων του κρυπτογράφησης ή των επιμέρους τρόπων λειτουργίας του, μέσω τρωτών σημείων στα πρωτόκολλα κρυπτογράφησης (συμπεριλαμβανομένων των σταδίων δημιουργίας σύνδεσης και δημιουργίας/διανομής κλειδιών). Το πλεονέκτημα θα είναι για λύσεις που επιτρέπουν την αλλαγή του αλγόριθμου κρυπτογράφησης ή την αλλαγή της λειτουργίας κρυπτογράφησης (τουλάχιστον μέσω ενημέρωσης υλικολογισμικού), λύσεις που παρέχουν την πληρέστερη κρυπτογράφηση, αποκρύπτοντας από τον εισβολέα όχι μόνο δεδομένα χρήστη, αλλά και πληροφορίες διεύθυνσης και άλλες υπηρεσίες , καθώς και τεχνικές λύσεις που όχι μόνο κρυπτογραφούν, αλλά προστατεύουν και τα μηνύματα από αναπαραγωγή και τροποποίηση. Για όλους τους σύγχρονους αλγόριθμους κρυπτογράφησης, ηλεκτρονικές υπογραφές, δημιουργία κλειδιών κ.λπ., που κατοχυρώνονται σε πρότυπα, η ισχύς μπορεί να θεωρηθεί ότι είναι η ίδια (διαφορετικά μπορείτε απλά να χαθείτε στην άγρια ​​φύση της κρυπτογραφίας). Θα πρέπει απαραίτητα να είναι αλγόριθμοι GOST; Όλα είναι απλά εδώ: εάν το σενάριο εφαρμογής απαιτεί πιστοποίηση FSB για CIPF (και στη Ρωσία αυτό συμβαίνει συχνότερα· για τα περισσότερα σενάρια κρυπτογράφησης δικτύου αυτό ισχύει), τότε επιλέγουμε μόνο μεταξύ των πιστοποιημένων. Εάν όχι, τότε δεν υπάρχει λόγος να αποκλείονται συσκευές χωρίς πιστοποιητικά από την εξέταση.

Μια άλλη απειλή είναι η απειλή εισβολής, η μη εξουσιοδοτημένη πρόσβαση σε συσκευές (συμπεριλαμβανομένης της φυσικής πρόσβασης εκτός και εντός της θήκης). Η απειλή μπορεί να πραγματοποιηθεί μέσω
τρωτά σημεία στην υλοποίηση - σε υλικό και κώδικα. Επομένως, λύσεις με ελάχιστη «επιφάνεια επίθεσης» μέσω του δικτύου, με περιβλήματα προστατευμένα από φυσική πρόσβαση (με αισθητήρες εισβολής, προστασία ανίχνευσης και αυτόματη επαναφορά βασικών πληροφοριών κατά το άνοιγμα του περιβλήματος), καθώς και εκείνες που επιτρέπουν ενημερώσεις υλικολογισμικού θα έχουν ένα πλεονέκτημα σε περίπτωση που γίνει γνωστή μια ευπάθεια στον κώδικα. Υπάρχει ένας άλλος τρόπος: εάν όλες οι συσκευές που συγκρίνονται έχουν πιστοποιητικά FSB, τότε η κλάση CIPF για την οποία εκδόθηκε το πιστοποιητικό μπορεί να θεωρηθεί ως δείκτης αντίστασης στο hacking.

Τέλος, ένας άλλος τύπος απειλής είναι τα σφάλματα κατά την εγκατάσταση και τη λειτουργία, ο ανθρώπινος παράγοντας στην πιο αγνή του μορφή. Αυτό δείχνει ένα άλλο πλεονέκτημα των εξειδικευμένων κρυπτογραφητών σε σχέση με τις συγκλίνουσες λύσεις, οι οποίες συχνά απευθύνονται σε έμπειρους «ειδικούς του δικτύου» και μπορεί να προκαλέσουν δυσκολίες σε «συνηθισμένους», ειδικούς γενικής ασφάλειας πληροφοριών.

Συνοψίζοντας

Κατ' αρχήν, εδώ θα ήταν δυνατό να προταθεί κάποιο είδος ενιαίου δείκτη για τη σύγκριση διαφορετικών συσκευών, κάτι σαν

$$display$$K_j=∑p_i r_{ij}$$display$$

όπου p είναι το βάρος του δείκτη και r είναι η κατάταξη της συσκευής σύμφωνα με αυτόν τον δείκτη, και οποιοδήποτε από τα χαρακτηριστικά που αναφέρονται παραπάνω μπορεί να χωριστεί σε «ατομικούς» δείκτες. Ένας τέτοιος τύπος θα μπορούσε να είναι χρήσιμος, για παράδειγμα, κατά τη σύγκριση των προτάσεων προσφορών σύμφωνα με προσυμφωνημένους κανόνες. Αλλά μπορείτε να τα βγάλετε πέρα ​​με ένα απλό τραπέζι όπως

Χαρακτηρισμός
Συσκευή 1
Συσκευή 2
...
Συσκευή Ν

Εύρος ζώνης
+
+

+ + +

Γενικά έξοδα
+
++

+ + +

Καθυστέρηση
+
+

++

Επεκτασιμότητα
+ + +
+

+ + +

Ευκαμψία
+ + +
++

+

Διαλειτουργικότητα
++
+

+

Συμβατότητα
++
++

+ + +

Απλότητα και ευκολία
+
+

++

ανοχή σε σφάλματα
+ + +
+ + +

++

Κόστος
++
+ + +

+

Αντίσταση
++
++

+ + +

Θα χαρώ να απαντήσω σε ερωτήσεις και εποικοδομητική κριτική.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο