Tiêu chuẩn quốc gia TCVN13340:2021 (IEC 62280:2014) về Ứng dụng đường sắt an toàn trong hệ thống truyền dẫn

4  Kiến trúc tham chiếu

Tiêu chuẩn này xác định các yêu cầu cho việc truyền thông tin an toàn giữa thiết bị thông qua hệ thống truyền dẫn đóng hoặc mở. Thiết bị liên quan và không liên quan đến an toàn có thể được kết nối với hệ thống truyền dẫn. Điều khoản này mô tả các cấu hình có thể có của truyền dẫn liên quan đến an toàn trong các hệ thống truyền dẫn bao gồm sự xác định các khối chức năng liên quan. Các yêu cầu cụ thể được thực hiện bởi các khối này được thiết lập trong các điều khoản phụ.

Một dạng kết hợp - hệ thống truyền dẫn mở và khép kín - của kiến trúc chính được thể hiện trong Hình 1, trong đó tất cả các phần tử truyền dẫn được liên kết theo luồng thông tin để trao đổi thông tin liên quan đến an toàn giữa các thiết bị liên quan đến an toàn. Kiến trúc tham chiếu cũng cho thấy sự ghép nối không liên quan đến an toàn không phải lúc nào cũng hiện diện. Một cách sử dụng đặc trưng có thể là cho các bản tin phát hiện được chuyển đến một trung tâm bảo trì.

Bên cạnh nguồn và đích của truyền dẫn liên quan đến an toàn, kiến trúc tham chiếu đề cập đến một hệ thống truyền dẫn liên quan đến an toàn, có thể được chia thành:

• Các chức năng truyền dẫn liên quan đến an toàn được kết hợp trong các thiết bị liên quan đến an toàn. Các chức năng này đảm bảo tính xác thực, tính toàn vẹn, tính kịp thời và chuỗi dữ liệu,

• Các kỹ thuật mật mã liên quan đến an toàn bảo vệ bản tin liên quan đến an toàn. Chúng có thể được thực hiện bằng cách kết hợp trong các thiết bị liên quan đến an toàn hoặc để bên ngoài thiết bị liên quan đến an toàn nhưng phải được kiểm tra bằng kỹ thuật an toàn. Những kỹ thuật này bảo vệ bản tin liên quan đến an toàn trong một hệ thống truyền dẫn loại 3 và không cần thiết trong trường hợp hệ thống truyền dẫn loại 1 hoặc loại 2,

• Một hệ thống truyền dẫn mở hoặc khép kín không liên quan đến an toàn có thể tự bao gồm các chức năng bảo vệ truyền dẫn và chức năng bảo vệ truy cập.

Các đặc tính của hệ thống truyền dẫn khép kín (loại 1) như sau:

• Số lượng các thiết bị có thể kết nối - dù có liên quan đến an toàn hay không - với hệ thống truyền dẫn đã biết và cố định;

...

...

...

• Các đặc tính vật lý của hệ thống truyền dẫn (ví dụ: phương tiện truyền dẫn, môi trường theo giả thuyết thiết kế, ...) được cố định và không thay đổi trong suốt vòng đời của hệ thống.

Hệ thống truyền dẫn mở (loại 2 và 3) có thể bao gồm một vài hoặc tất cả những điều sau đây:

• Các yếu tố đọc, lưu trữ, xử lý hoặc truyền lại dữ liệu đã tạo ra và thể hiện bởi người dùng của hệ thống truyền dẫn theo một chương trình không cần biết đến người dùng, số lượng người dùng nói chung là không rõ, thiết bị liên quan đến an toàn, không liên quan đến an toàn và thiết bị không liên quan đến các ứng dụng đường sắt có thể được kết nối với hệ thống truyền dẫn mở;

• Phương tiện truyền dẫn của bất kỳ loại nào có đặc tính truyền dẫn và tính nhạy với các ảnh hưởng bên ngoài, mà không được biết đến người dùng;

• Các hệ thống quản lý và điều khiển mạng có khả năng định tuyến (và tự động định tuyến lại) các bản tin qua bất kỳ đường dẫn nào được tạo từ một hoặc nhiều loại phương tiện, truyền dẫn giữa các đầu nút của hệ thống truyền dẫn mở, theo chương trình không được biết đến người dùng;

• Những người dùng khác của hệ thống truyền dẫn, không được biết đến với bộ thiết kế ứng dụng liên quan đến an toàn, gửi lượng thông tin không xác định, các định dạng không xác định.

Hệ thống truyền dẫn mở của loại 3 có thể là đối tượng bị truy cập trái phép vào hệ thống truyền dẫn cho các mục đích phá hoại.

Hình 1 - Kiến trúc tham chiếu cho truyền dẫn liên quan đến an toàn

...

...

...

5  Các mối nguy cơ với hệ thống truyền dẫn

Mối nguy hiểm chính đối với truyền dẫn liên quan đến an toàn là sự cố nhận bản tin hợp lệ về tính xác thực, tính toàn vẹn, trình tự và tính kịp thời tại điểm tiếp nhận. Tiêu chuẩn này xem xét các mối đe dọa đối với các thuộc tính bản tin phát sinh từ hệ thống truyền dẫn. Các mối đe dọa đối với thiết bị liên quan đến an toàn phải được xem xét theo TCVN 12580:2019.

Tuy nhiên, việc đáp ứng các yêu cầu của tiêu chuẩn này không bảo vệ chống lạm dụng có chủ ý hoặc không cố ý đến từ các nguồn được ủy quyền. Đó là sự cần thiết cho các trường hợp an toàn để giải quyết các khía cạnh này.

Thông tin thêm, với các hướng dẫn về phân tích mối đe dọa và hồ sơ an toàn, được bao gồm trong Phụ lục A. Cần nhấn mạnh rằng việc phân tích sẽ được thực hiện cho từng dự án, vì vậy mặc dù phương pháp luận cho các lỗi bản tin của Phụ lục A có thể được thêm vào, không nhất thiết phải được hoàn thành.

Các trường hợp nguy hiểm được xác định có thể bao gồm những điều sau đây:

• Sự cố có tính hệ thống;

• Đứt dây;

• Lỗi cáp;

• Ăng ten sai lệch;

...

...

...

• Sự cố hỏng ngẫu nhiên phần cứng và sự lão hóa;

• Lỗi con người;

• Lỗi bảo trì;

• Nhiễu điện từ EMI;

• Xuyên âm;

• Nhiễu nhiệt;

• Hiệu ứng Fading;

• Quá tải hệ thống truyền dẫn;

• Bão từ;

...

...

...

• Động đất;

• Sét.

Cũng như các trường hợp được gây ra có tính cố ý như

• Nối dây;

• Hỏng hóc hoặc thay đổi trái phép phần cứng;

• Thay đổi trái phép phần mềm;

• Giám sát các kênh;

• Truyền tải các bản tin trái phép.

Tuy nhiên, mặc dù có thể có một loạt các trường hợp nguy hiểm, các lỗi bản tin cơ gốc, hình thành các mối đe dọa cho hệ thống truyền dẫn, là một trong những điều sau đây:

...

...

...

• Sự xóa đi;

• Chèn;

• Sự điều chỉnh tuần tự;

• Sự hỏng hóc;

• Sự trễ;

• Sự giả mạo.

Bảng A.1 cho thấy các mối đe dọa đối với hệ thống truyền dẫn có thể gây ra bởi từng loại trường hợp nguy hiểm. Các trường hợp nguy hiểm đã được xác định - không được bảo vệ bằng các biện pháp khác - Điều đó có thể xây ra cho một hệ thống cụ thể, bảng biểu này có thể được sử dụng làm hướng dẫn để xác định các mối đe dọa được xem xét cho hệ thống đó. Bảng A.1 không đưa ra khả năng xảy ra của sự cố; mà là một phần của việc phân tích các mối đe dọa.

6  Phân loại các hệ thống truyền dẫn

6.1  Khái quát

...

...

...

6.2  Các cơ sở chung để phân loại

Có nhiều yếu tố có thể ảnh hưởng tới các mối đe dọa đến một hệ thống truyền dẫn liên quan đến an toàn. Ví dụ, các dịch vụ truyền dẫn có thể thu được bởi người sử dụng hệ thống tín hiệu từ các nhà cung cấp dịch vụ viễn thông quốc doanh hoặc tư nhân. Theo các hợp đồng cung cấp dịch vụ như vậy, trách nhiệm của nhà cung cấp dịch vụ để đảm bảo hiệu năng của hệ thống truyền dẫn có thể bị giới hạn. Do đó, tầm quan trọng của các mối đe dọa (các yêu cầu về sự bảo vệ) phụ thuộc vào mức độ kiểm soát được thực hiện bởi người sử dụng trên hệ thống truyền dẫn, bao gồm các vấn đề sau:

• Các đặc tính kỹ thuật của hệ thống, bao gồm bảo đảm độ tin cậy hoặc tính khả dụng của hệ thống, mức độ lưu trữ dữ liệu vốn có trong hệ thống (có thể ảnh hưởng đến độ trễ hoặc sắp xếp lại các thông báo);

• Sự nhất quán về hiệu suất của hệ thống trong suốt vòng đời (ví dụ như thay đổi hệ thống và các thay đổi đối với cơ sở người dùng được thực hiện) và hiệu ứng tải thông tin của những người dùng khác;

• Truy cập vào hệ thống, tùy thuộc vào mạng lưới tư nhân hay quốc doanh, mức độ kiểm soát truy cập được thực hiện bởi nhà khai thác đối với những người dùng khác, cơ hội lạm dụng hệ thống của người dùng khác và quyền truy cập có sẵn cho người bảo trì để cấu hình lại hệ thống hoặc có quyền truy cập vào chính phương tiện truyền dẫn.

Theo những vấn đề này, ba loại hệ thống truyền dẫn có thể được xác định.

6.3  Tiêu chí phân loại các hệ thống truyền dẫn

6.3.1  Tiêu chí đối với hệ thống truyền dẫn loại 1

Một hệ thống truyền dẫn có thể được coi là loại 1 nếu các điều kiện tiên quyết sau được thỏa mãn.

...

...

...

Pr2  Các đặc điểm của hệ thống truyền dẫn (ví dụ: phương tiện truyền dẫn, môi trường trong suốt điều kiện, trường hợp xấu nhất, ...) được biết và cố định. Chúng sẽ được duy trì trong vòng đời của hệ thống. Nếu các thông số chính được sử dụng trong hồ sơ an toàn phải được thay đổi, tất cả các khía cạnh liên quan đến an toàn phải được xem xét.

Pr3  Nguy cơ truy cập trái phép vào hệ thống truyền dẫn sẽ không đáng kể.

Nếu hệ thống truyền dẫn đáp ứng tất cả các điều kiện tiên quyết ở trên, nó có thể được coi là loại 1 và là một hệ thống đóng, và nếu như vậy, hệ thống sẽ tuân thủ quy trình và yêu cầu chung được nêu trong điều 7.

6.3.2  Tiêu chí đối với hệ thống truyền dẫn loại 2

Nếu hệ thống truyền dẫn không đáp ứng các điều kiện tiên quyết 1 hoặc 2 (Pr1 hoặc Pr2) của 6.3.1, nhưng đáp ứng điều kiện tiên quyết 3 (Pr3), nó sẽ được coi là loại 2 và là hệ thống mở, và sẽ được đánh giá với các quy trình toàn diện hơn và yêu cầu được nêu trong điều 7.

6.3.3  Tiêu chí cho hệ thống truyền dẫn loại 3

Nếu hệ thống truyền dẫn không đáp ứng điều kiện tiên quyết 3 (Pr3) của 6.3,1, nó sẽ được coi là loại 3 và là một hệ thống mở, và sẽ được đánh giá với toàn bộ quy trình và yêu cầu được đưa ra trong điều 7.

6.4  Mối quan hệ giữa các hệ thống truyền dẫn và các mối đe dọa

Tầm quan trọng của các mối đe dọa đối với hệ thống thông tin liên quan đến an toàn sẽ được đánh giá theo mức độ kiểm soát được thực hiện bởi người sử dụng trên hệ thống truyền dẫn.

...

...

...

Trong phụ lục B, một ví dụ về phân loại các hệ thống truyền dẫn được nêu trong bảng B.1 và một ví dụ về mối quan hệ mối đe dọa/loại được nêu trong bảng B.2.

Khả năng áp dụng điều 7 phụ thuộc vào loại hệ thống truyền dẫn.

7  Các yêu cầu bảo vệ

7.1  Khái quát

Một số kỹ thuật đã được áp dụng trong các hệ thống truyền dữ liệu (không liên quan đến an toàn hoặc liên quan đến an toàn) trong quá khứ. Những kỹ thuật này hình thành một “thư viện” của các phương pháp có thể truy cập được để kiểm soát và bảo vệ hệ thống, để cung cấp sự bảo vệ chống lại từng mối đe dọa đã được xác định ở trên.

Để giảm thiểu rủi ro liên quan đến các mối đe dọa được xác định trong điều khoản trước, các dịch vụ an toàn cơ bản sau sẽ được xem xét và cung cấp trong phạm vi cần thiết cho ứng dụng, cho cả hệ thống truyền dẫn mở và đóng:

• Tính xác thực của bản tin;

• Tính toàn vẹn bản tin;

• Tính kịp thời của bản tin;

...

...

...

Tập hợp các biện pháp phòng vệ đã biết được trình bày như sau:

a) Số thứ tự;

b) Dấu thời gian;

c) Quá thời gian;

d) Mã định danh nguồn và đích;

e) Thông báo phản hồi;

f) Quy trình xác nhận;

g) Mã an toàn;

h) Kỹ thuật mật mã.

...

...

...

• Các điều kiện để yêu cầu và duy trì việc tuân thủ đối với các điều kiện tiên quyết của hệ thống truyền dẫn loại 1 hoặc 2,

• Tiêu chí phân tách giữa các hệ thống truyền dẫn thuộc các loại khác nhau,

• Sự chắc chắn của các hệ thống truyền dẫn chống lại sự tấn công từ chối dịch vụ, ví dụ: cần tường lửa.

Với tham chiếu đến h), phạm vi của tiêu chuẩn này không bao gồm các vấn đề bảo mật công nghệ thông tin nói chung:

• Chỉ có các cuộc tấn công trong suốt giai đoạn vận hành mới được xem xét;

• Chỉ có các cuộc tấn công bằng thông báo tới các ứng dụng liên quan đến an toàn mới được gửi.

Tuy nhiên, một chính sách bảo vệ truy cập đầy đủ phải được xem xét:

• Các phương diện thủ tục và bào trì của sự bảo vệ truy cập,

• Lỗ hổng của phần mềm không phải là một phần của ứng dụng liên quan đến an toàn,

...

...

...

7.2  Yêu cầu chung

7.2.1  Sự phòng vệ thích hợp phải được dự phòng cho tất cả các mối đe dọa đã xác định đối với sự an toàn của các hệ thống sử dụng phương pháp truyền dẫn mở hoặc đóng. Bất kỳ giả định nào về các mối đe dọa bị bỏ qua phải được bảo đảm và được ghi lại trong hồ sơ an toàn. Phụ lục A đưa ra một danh sách các mối đe dọa có thể xảy ra, được sử dụng làm hướng dẫn.

7.2.2 Trong trường hợp thông tin giữa các ứng dụng liên quan đến an toàn và không liên quan đến an toàn truyền trên cùng hệ thống truyền dẫn cần yêu cầu bổ sung:

• Các biện pháp phòng vệ an toàn được thực hiện trong các chức năng truyền dẫn liên quan đến an toàn phải được chứng minh là độc lập về mặt chức năng với sự phòng vệ được sử dụng bởi các chức năng liên quan đến không an toàn;

• Các thông báo liên quan đến an toàn và không liên quan đến an toàn phải có các cấu trúc khác nhau được thực hiện bằng cách áp dụng mã an toàn cho các thông báo liên quan đến an toàn. Mã an toàn này phải có khả năng bảo vệ hệ thống về tính toàn vẹn an toàn cần thiết (xem 7.3.8) sao cho một thông báo liên quan đến không an toàn không thể bị hư hỏng trong hệ thống liên quan đến an toàn.

7.2.3  Các yêu cầu chi tiết về các biện pháp phòng vệ cần thiết cho ứng dụng phải được tính đến

• Mức độ rủi ro (tần suất/kết quả) được xác định cho từng mối đe dọa cụ thể,

• Mức độ toàn vẹn an toàn của dữ liệu và quy trình có liên quan.

Phụ lục C đưa ra hướng dẫn về việc lựa chọn các kỹ thuật hiện có để phòng vệ chống lại các mối đe dọa. Các vấn đề về hiệu quả được đề cập trong phụ lục này cần phải được xem xét cần thận khi lựa chọn sự bảo vệ.

...

...

...

7.2.5  Tất cả sự phòng vệ phải được thực hiện theo các yêu cầu đã được xác định trong TCVN 12580- 2019. Sự bao hàm này là các biện pháp phòng vệ

• Phải được thực hiện hoàn chỉnh trong thiết bị truyền dẫn liên quan đến an toàn (có thể ngoại trừ một số kiến trúc mã hóa, xem 7.3.9 và điều C.2),

• Phải được độc lập về mặt chức năng với các lớp được sử dụng trong hệ thống truyền dẫn không tin cậy.

7.2.6  Yêu cầu bắt buộc đối với các biện pháp phòng vệ cụ thể được đưa ra trong các điều khoản con sau. Chúng áp dụng khi sự phòng vệ cụ thể được sử dụng.

7.2.7  Các sự phòng vệ khác so với các biện pháp được mô tả trong tiêu chuẩn này có thể được sử dụng, miễn là sự phân tích hiệu quả của chúng đối với các mối đe dọa được đưa vào trong hồ sơ an toàn.

7.2.8  Bằng chứng về an toàn thuộc về chức năng và kỹ thuật phải theo cùng một quy trình như được quy định trong IEC 62425, bao gồm

• Một kiểu lỗi tổng thể;

• Thuyết minh thuộc về chức năng dựa trên phân tích kiểu lỗi tổng thể;

• Phân tích từng biện pháp phòng vệ được sử dụng trong truyền dẫn liên quan đến an toàn;

...

...

...

• Thuyết minh yêu cầu về tính toàn vẹn an toàn và phân bổ SIL.

7.2.9  Điều 7.3 quy định một tập hợp phòng vệ toàn diện. Tuy nhiên đối với hệ thống truyền dẫn loại 1, bộ rút gọn dưới đây là đủ, mà vẫn duy trì các tiện ích an toàn cơ bản:

• Bộ thiết bị nhận dạng nguồn hoặc đích (trong trường hợp có nhiều bên gửi và nhiều bên nhận);

• Số thứ tự hoặc dấu thời gian đến phạm vi mở rộng cần thiết của ứng dụng;

• Mã an toàn.

7.3  Các kỹ thuật bảo vệ đặc trưng

7.3.1  Khái quát

Các điều khoản phụ sau đây trình bày các giới thiệu ngắn và các yêu cầu đối với kỹ thuật bảo vệ, có hiệu quả trong sự độc lập hoặc kết hợp để chống lại các mối đe dọa đơn lẻ hoặc kết hợp. Tất cả các yêu cầu chung được liệt kê ở trên phải được áp dụng.

Những mô tả chi tiết về sự bảo vệ và mối quan hệ với tất cả các tác động được đưa ra trong phụ lục C.

...

...

...

7.3.2.1  Xuất phát điểm

Chuỗi số bao gồm việc thêm một số liên tục (được gọi là số thứ tự) cho mỗi bản tin được trao đổi giữa một bộ phát và một bộ thu. Điều này cho phép người nhận kiểm tra chuỗi các thông báo được cung cấp bởi bộ phát.

7.3.2.2  Yêu cầu

Hồ sơ an toàn phải chứng minh sự phù hợp liên quan đến mức độ toàn vẹn an toàn 7.3  Các kỹ thuật bảo vệ đặc trưng quy trình và tính chất của quy trình liên quan đến an toàn, như sau:

• Chiều dài của chuỗi số;

• Cung cấp cho việc khởi tạo và phân nhỏ chuỗi số;

• Cung cấp về khôi phục sau khi gián đoạn chuỗi các bản tin.

7.3.3  Dấu thời gian

7.3.3.1  Khái quát

...

...

...

Một giải pháp bao gồm các mối quan hệ thông tin thời gian là thêm các dấu thời gian vào thông tin. Loại thông tin này có thể được sử dụng thay cho hoặc kết hợp với chuỗi số tùy thuộc vào các yêu cầu ứng dụng. Việc sử dụng dấu thời gian khác nhau và các thuộc tính của chúng được thể hiện trong điều C.1.

7.3.3.2  Yêu cầu

Hồ sơ an toàn phải chứng minh sự phù hợp liên quan đến mức độ toàn vẹn an toàn của quy trình và tính chất của quy trình liên quan đến an toàn, như sau:

• Giá trị của tăng thời gian;

• Độ chính xác của tăng thời gian;

• Kích thước của bộ định thời gian;

• Giá trị tuyệt đối của bộ định thời (ví dụ: UTC (thời gian phối hợp toàn cầu) hoặc bất kỳ bộ định thời toàn cầu nào khác);

• Sự đồng bộ của bộ định thời trong các thực thể khác nhau;

• Sự trễ thời gian giữa việc khởi nguồn thông tin và thêm dấu thời gian vào đó;

...

...

...

7.3.4  Quá thời gian

7.3.4.1  Khái quát

Trong truyền dẫn (thông thường theo chu kỳ) bên nhận có thể kiểm tra sự trễ giữa hai bản tin có vượt quá thời gian tối đa cho phép hay không. Nếu là trường hợp này, một lỗi phải được giả định.

Hình 2 - Truyền bản tin theo chu kỳ

Nếu kênh ngược lại khả dụng, bộ phận phát có thể thực hiện giám sát. Bộ phận phát khởi động đếm thời gian khi gửi bản tin i. Bộ phận nhận bản tin hồi đáp với một bản tin xác nhận j liên quan đến bản tin đã nhận được i. Nếu bộ phận phát không nhận được bản tin xác nhận tương ứng j trong một thời gian xác định, sẽ có lỗi xảy ra.

Hình 3 - Truyền tin hai hướng

7.3.4.2  Yêu cầu

...

...

...

• Độ trễ chấp nhận được;

• Độ chính xác của quá thời gian.

7.3.5  Mã định dạng nguồn và đích

7.3.5.1  Khái quát

Các quy trình thông tin liên lạc nhiều bên cần có đầy đủ phương tiện để kiểm tra nguồn gốc của tất cả các thông tin nhận được, trước khi nó được sử dụng. Bản tin sẽ phải bao gồm dữ liệu bổ sung cho phép thực hiện việc này.

Bản tin có thể chứa một mã nhận dạng nguồn duy nhất hoặc một mã nhận dạng đích duy nhất hoặc cả hai. Sự lựa chọn được thực hiện theo các ứng dụng liên quan đến an toàn. Các mã nhận dạng này được thêm vào các chức năng truyền dẫn liên quan đến an toàn cho ứng dụng.

• Việc bao gồm mã nhận dạng nguồn trong bản tin có thể cho phép người dùng xác minh bản tin từ nguồn có chủ định, mà không cần bất kỳ sự tương tác nào giữa người dùng. Điều này có thể hữu ích, ví dụ: truyền dẫn một hướng hoặc truyền dẫn rộng.

• Việc bao gồm mã nhận dạng đích trong bản tin có thể cho phép người dùng xác minh bản tin đó được dành cho họ, mà không cần bất kỳ sự tương tác nào giữa người dùng. Điều này có thể hữu ích, ví dụ: trong truyền dẫn một hướng hoặc truyền quảng bá. Mã nhận dạng đích có thể được lựa chọn để nhận biết các đích đến riêng lẻ hoặc nhóm người dùng.

7.3.5.2  Yêu cầu

...

...

...

• Tính duy nhất của mã nhận dạng cho các thực thể trong hệ thống truyền dẫn;

• Kích thước của trường dữ liệu mã nhận dạng.

7.3.6  Bản tin phản hồi

7.3.6.1  Khái quát

Khi có sẵn kênh truyền thích hợp, bản tin phản hồi có thể gửi thông tin quan trọng về an toàn từ bộ phận thu đến bộ phận phát. Nội dung của bản tin phản hồi này có thể bao gồm:

• Dữ liệu thu được từ nội dung của bản tin gốc, ở dạng giống nhau hoặc bị thay đổi,

• Dữ liệu được thêm vào từ bộ phận thu, được lấy từ thông tin cục bộ,

• Dữ liệu bổ sung cho mục đích an toàn hoặc bảo mật.

Việc sử dụng bản tin phản hồi như vậy có thể góp phần vào sự an toàn của quy trình theo nhiều cách khác nhau:

...

...

...

• Bằng cách cung cấp xác nhận tích cực về việc tiếp nhận các bản tin bị hỏng, để cho phép thực hiện hành động thích hợp;

• Bằng cách xác nhận đặc tính của thiết bị nhận;

• Bằng cách tạo điều kiện đồng bộ hóa định thời gian trong thiết bị gửi và nhận;

• Bằng cách tạo điều kiện thúc đẩy cho các thủ tục kiểm tra giữa các bên.

7.3.6.2  Yêu cầu

Sự tồn tại của một kênh trả về không thực chất cung cấp sự phòng vệ chống lại bất kỳ mối đe dọa đã xác định nào; đó là một cơ chế cho phép phòng vệ ở cấp ứng dụng. Do đó, không có yêu cầu an toàn cụ thể cho kênh phản hồi như vậy.

7.3.7  Thủ tục nhận dạng

7.3.7.1  Khái quát

Điều khoản trước đó bao hàm các yêu cầu cho các thực thể được xác nhận.

...

...

...

Thủ tục nhận dạng được thiết kế phù hợp trong cách thức liên quan đến an toàn có thể giúp phòng vệ chống lại mối đe dọa này.

Có thể phân biệt hai loại thủ tục xác nhận.

• Nhận dạng song hướng: Khi có sẵn kênh liên lạc trả về, việc trao đổi thông tin mã nhận dạng đối tượng giữa bộ phận thu và phát có thể cung cấp thêm sự đảm bảo thông tin liên lạc thực sự giữa các bên.

• Nhận dạng động: Trao đổi thông tin động giữa bộ phận thu và phát, bao gồm chuyển đổi và phản hồi thông tin nhận được cho bộ phận phát, có thể đảm bảo rằng các bên giao tiếp không chỉ yêu cầu có tính đồng nhất chính xác mà còn xử lý theo cách như đã dự tính. Loại thủ tục nhận dạng động này có thể được sử dụng để dẫn tới việc truyền tải thông tin giữa các quy trình truyền dẫn liên quan đến an toàn và / hoặc nó có thể được sử dụng trong quá trình truyền thông tin.

7.3.7.2  Yêu cầu

Thủ tục nhận dạng là một phần của quy trình ứng dụng liên quan đến an toàn. Các yêu cầu chi tiết phải được xác định trong thuyết minh yêu cầu an toàn.

7.3.8  Mã an toàn

7.3.8.1  Khái quát

Trong các hệ thống truyền dẫn, nhìn chung, các mã truyền dẫn được sử dụng để phát hiện một hoặc nhóm lỗi, hoặc để cải thiện chất lượng truyền dẫn bằng các kỹ thuật hiệu chỉnh lỗi. Mặc dù các mã truyền này có thể rất hiệu quả nhưng chúng có thể bị hỏng vì lỗi phần cứng, ảnh hưởng từ bên ngoài hoặc các lỗi có tính hệ thống.

...

...

...

Các hồ sơ an toàn phải chứng minh sự phù hợp, liên quan đến tính toàn vẹn an toàn cần thiết và tính chất của các chức năng liên quan đến an toàn, như sau:

• Khả năng phát hiện các kiểu lỗi có tính hệ thống của bản tin sẽ xảy ra;

• Xác suất phát hiện các loại lỗi ngẫu nhiên của bản tin.

CHÚ THÍCH: Mã an toàn có thể là sự kết hợp của các mã khác nhau, ví dụ: một mã tuyến tính kết hợp với một giá trị không đổi.

Hướng dẫn lựa chọn mã an toàn được quy định tại điều C.3.

7.3.8.2  Yêu cầu

7.3.8.2.1.  Mã an toàn phải khác với mã truyền. Sự khác biệt này có thể đạt được

• Hoặc bằng cách sử dụng các thuật toán khác nhau

• Hoặc bằng cách sử dụng các thông số cấu hình khác nhau (ví dụ: đa thức) cho cùng một thuật toán. Nếu cả hai mã đều dựa trên CRC, các đa thức phải khác nhau. Nếu cả hai đa thức có các yếu tố chung, sự đóng góp của chúng đối với hiệu suất của mã an toàn sẽ bị bỏ qua trong phân tích an toàn.

...

...

...

7.3.8.2.2  Mã an toàn sẽ phải phát hiện

• Các lỗi truyền dẫn, ví dụ: gây ra bởi EMI,

• Các lỗi có tính hệ thống gây ra bởi các sự cố phần cứng trong hệ thống truyền dẫn không tin cậy.

CHÚ THÍCH: Các sự cố tương tự mã an toàn không thể được phát hiện đầy đủ. Do đó, mã an toàn phải phức tạp hơn những sự cố sẽ xảy ra. Do đó có thể giả định rằng lỗi phần cứng trong hệ thống truyền dẫn không tin cậy không thể tạo ra một mã an toàn hợp lệ.

7.3.8.2.3  Để thực hiện tính toàn vẹn an toàn cần thiết thì mã an toàn phải đủ phức tạp, ví dụ: dựa trên một CRC, để phát hiện và các hoạt động về sự cố và lỗi điển hình. Phân tích ít nhất phải bao gồm:

• Đường truyền bị gián đoạn;

• Tất cả các bit logic 0;

• Tất cả các bit logic 1;

• Sự hoán vị bản tin;

...

...

...

• Các lỗi ngẫu nhiên;

• Các lỗi nhóm;

• Lỗi có tính hệ thống, ví dụ: các dạng lỗi lặp lại;

• Các sự kết hợp ở trên.

7.3.8.2.4  Phân tích xác suất về tính năng của mã an toàn phải phù hợp với mục tiêu an toàn. Một mô hình của các kiểu sự cố sẽ được cung cấp và tất cả các giả định được thực hiện cho các tính toán phải được thẩm tra và phê chuẩn.

Xác suất của các lỗi không bị phát hiện của mã tuyến tính thường được tính toán bằng cách sử dụng mô hình kênh đối xứng nhị phân (BSC) (xem điều C.4). Trong trường hợp mã nhị phân không được sử dụng, kênh đối xứng q-nary (QSC) có thể phù hợp hơn. Tiêu chuẩn này khuyến nghị hạn chế xác suất này đến khả năng trường hợp xấu nhất được tính toán bởi các mô hình này.

CHÚ THÍCH: BSC rất phù hợp với các lỗi ngẫu nhiên do EMI gây ra. Nhưng các lỗi ngẫu nhiên đơn giản thường được loại bỏ bởi hệ thống truyền dẫn không tin cậy. Do đó, nếu một lỗi được phát hiện bởi mã an toàn, thường thì nhiều bit trong bản tin liên quan đến an toàn bị xáo trộn. Vì không có mô hình đơn giản nào cho các trường hợp này, tiêu chuẩn này khuyến cáo không sử dụng xác suất thấp hơn của các lỗi không bị phát hiện so với khả năng trường hợp xấu nhất thực hiện được bằng cách áp dụng BSC cho tỷ lệ lỗi bit dưới một nửa (xem điều C.4).

Một ví dụ về một mô hình đơn giản cho một hệ thống truyền dẫn khép kín được đưa ra trong điều C.4 (thông tin).

7.3.9  Kỹ thuật mật mã

...

...

...

Kỹ thuật mật mã có thể được sử dụng nếu các cuộc tấn công nguy hiểm trong mạng truyền dẫn mở không thể loại trừ được.

Đây thường là trường hợp khi truyền dẫn liên quan đến an toàn sử dụng

• Một mạng công cộng,

• Một hệ thống truyền dẫn vô tuyến,

• Một hệ thống truyền dẫn có kết nối với mạng công cộng.

Sự chống lại các cuộc tấn công có chủ ý bằng các bản tin đến các ứng dụng liên quan đến an toàn, các bản tin liên quan đến an toàn phải được bảo vệ bằng các kỹ thuật mật mã.

Yêu cầu này, nhằm tránh giả mạo từ những nơi gửi trái phép, có thể được đáp ứng bằng một trong các giải pháp sau:

a) Sử dụng một mã an toàn để bảo vệ mật mã;

b) Mã hóa các thông điệp sau khi mã an toàn đã được áp dụng;

...

...

...

Những kỹ thuật này có thể được kết hợp với cơ chế mã hóa an toàn hoặc được cung cấp riêng. Phụ lục C đưa ra một số giải pháp khả thi.

Kỹ thuật mật mã hàm ý việc sử dụng các khóa mã và các thuật toán. Mức độ hiệu quả phụ thuộc vào sức mạnh của các thuật toán và bí mật của các khóa mã. Bí mật của một khóa mã phụ thuộc vào độ dài và khả năng quản lý của nó.

7.3.9.2  Yêu cầu

Hồ sơ an toàn phải chứng minh sự phù hợp, liên quan đến mức độ toàn vẹn an toàn của quá trình và bản chất của quá trình liên quan đến an toàn, như sau:

• Lựa chọn kỹ thuật về kỹ thuật mật mã, bao gồm

- Hiệu quả của thuật toán mã hóa (ví dụ: đối xứng hoặc không đối xứng),

- Các đặc trưng chính (ví dụ: cố định hoặc dựa trên phiên),

- Sự căn chỉnh cho độ dài khóa mã đã chọn,

- Tần suất cập nhật khóa mã,

...

...

...

* Lựa chọn kỹ thuật về các kiến trúc mật mã, bao gồm

- Kiểm tra hoạt động chính xác (trước và trong giai đoạn vận hành) của các quá trình mã hóa khi chúng được thực hiện bên ngoài thiết bị liên quan đến an toàn,

• Hoạt động quản lý, bao gồm

- Sản xuất, lưu trữ, phân phối và thu hồi các khóa bí mật,

- Quản lý thiết bị,

- Xem xét quy trình đầy đủ các kỹ thuật mật mã, liên quan đến rủi ro của các cuộc tấn công nguy hiểm.

Thuật toán mã hóa phải được áp dụng cho tất cả dữ liệu người dùng và có thể được áp dụng trên dữ liệu bổ sung mà không được truyền nhưng được biết đến với bên gửi và bên nhận (dữ liệu ẩn).

Các giả định hợp lý phải được mô tả về bản chất, động lực, tài chính và phương tiện kỹ thuật của kẻ tấn công tiềm năng, có tính đến sự phát triển (cả về mặt kỹ thuật, như tăng sức mạnh của máy tính, giảm chi phí của bộ vi xử lý nhanh) của kiến thức về thuật toán, và “xã hội”, như trong các cuộc xung đột kinh tế, sự xấu đi do phá hoại, ...) có thể được mong đợi trong suốt thời gian sử dụng của hệ thống.

Đối với quản lý khóa mã, các kỹ thuật tiêu chuẩn hóa được khuyến khích cao (ví dụ: theo ISO / IEC 11770 series).

...

...

...

7.4.1  Khái quát

Sự phòng vệ được nêu trong 7.3 có thể liên quan đến tập hợp các nguy cơ được xác định tại khoản 5. Mỗi sự phòng vệ có thể bảo vệ chống lại một hoặc nhiều nguy cơ đối với việc truyền dẫn. Trong hồ sơ an toàn, nó phải được chứng minh có ít nhất một sự phòng vệ tương ứng hoặc sự kết hợp của các biện pháp phòng vệ cho mỗi nguy cơ được xác định.

7.4.2  Ma trận nguy cơ / phòng vệ

Các chữ X trong bảng 1 cho thấy một sự phòng vệ có thể bảo vệ chống lại nguy cơ tương ứng. Các sự phòng vệ trong bảng 1 có thể được mở rộng theo 7.2.7.

Bảng 1 - Ma trận nguy cơ / phòng vệ

Sự đe dọa

Sự phòng vệ

Chuỗi số

Dấu thời gian

...

...

...

Mã định dạng nguồn và đích

Bản tin hồi tiếp

Quy trình xác nhận

Mã an toàn

Kỹ thuật mật mã

Lặp lại

X

X

...

...

...

Hủy bỏ

X

...

...

...

Chèn

X

X^a

X^b

...

...

...

Nối tiếp

X

X

...

...

...

Sai lệch

X^c

...

...

...

Chậm trễ

X

X

...

...

...

X^b

X^b

X^c

^a Chỉ có thể áp dụng cho bộ xác nhận nguồn

...

...

...

Nếu các bộ xác nhận duy nhất không thể được xác định bởi người dùng lạ, một kỹ thuật mật mã phải được sử dụng, xem 7.3.9

^b Ứng dụng độc lập

^c Xem 7.4.3 và khoản C.2

7.4.3  Lựa chọn và sử dụng mã an toàn và kỹ thuật mã hóa

Việc lựa chọn mã an toàn và kỹ thuật mật mã phải được xác định theo các điều sau:

• Có hoặc không được phép truy cập trái phép;

• Loại mã của mật mã được đề xuất;

• Có hoặc không quy trình bảo vệ quyền truy cập liên quan đến an toàn được tách ra khỏi quy trình liên quan đến an toàn.

Hướng dẫn về những vấn đề này được nêu trong điều C.2.

...

...

...

Phụ lục A

(Tham khảo)

Các nguy cơ trên các hệ thống truyền dẫn mở

A.1  Tổng quan hệ thống

Các sự ảnh hưởng đối với bản tin được gửi qua liên kết bởi hệ thống kiểm soát và bảo vệ xảy ra như một kết quả của những thay đổi có thể có trong hiệu quả của liên kết, có thể phát sinh trong điều kiện bình thường (nghĩa là không có lỗi) hoặc điều kiện bất thường (nghĩa là sau sự cố của hệ thống truyền dẫn).

Cách tiếp cận được áp dụng đề tạo ra một loạt các mối đe dọa là sự chia nhỏ phân tích nguy cơ, được thực hiện dưới dạng cây (xem hình A.1), thành ba cấp độ riêng biệt:

• Cấp độ người dùng;

• Cấp độ mạng;

• Mức môi trường bên ngoài.

...

...

...

Thông qua việc phân tích các tính chất bản tin có thể quan sát được ở phần bên nhận, các tình huống nguy hiểm tiềm ẩn (mối nguy hiểm cơ bản) đã được nêu bật và một tập hợp các thông báo lỗi cơ bản (BME), được dùng để phân loại tất cả các chế độ lỗi bản tin có thể, đã được phác thảo.

Nguồn gốc của các mối đe dọa tương ứng, được hiểu là các kiểu sự cố mạng (nghĩa là các lỗi thông báo cơ bản được nhìn từ quan điểm mạng lưới), rất đơn giản. Mối nguy cơ là thực thể tạo ra một tình huống nguy hiểm cho sự an toàn (có thể dẫn đến tai nạn) và do đó là nguyên nhân (ở cấp độ mạng) của lỗi thông báo cơ bản có thể xảy ra: do đó, mối đe dọa - lỗi thông báo cơ bản là mối quan hệ 1:1.

Lần lượt, một mối nguy cơ có thể được tạo ra bởi một tập hợp các nguyên nhân, được gọi là các sự kiện nguy hiểm (H.E.), có thể xuất hiện ở cả cấp độ mạng và cấp độ môi trường bên ngoài. Sự kiện nguy hiểm tương tự rõ ràng có thể liên quan đến các mối đe dọa khác nhau.

Việc chia nhỏ phân tích thành các cấp độ khác nhau cũng cung cấp khả năng (ít nhất) ba cấp độ phòng vệ:

a) Ở cấp độ ứng dụng hệ thống / người dùng, xử lý việc thực hiện hệ thống độc lập với phạm vi truyền dẫn; như bị xóa bản tin, điều đó có thể không nguy hiểm nếu hệ thống được thiết kế sao cho các bản tin bị xóa không thể hiện mối nguy hiểm;

b) Liên quan đến cấu trúc logic bản tin; ví dụ: tất cả các mã có thể có thể được áp dụng cho bản tin hoặc các biện pháp đối phó cụ thể như số thứ tự, nhãn thời gian, ...

c) Ở cấp độ vật lý; một ví dụ là che chắn để tránh sự hỏng hóc do nhiễu điện từ.

Phụ lục A sẽ không đề cập thêm đến chủ đề này, mà chỉ đề cập với mục đích cung cấp một hình ảnh tổng thể về phương pháp được thông qua.

...

...

...

A.2  Nguồn gốc của các lỗi thông báo cơ bản

Bản tin là chủ đề chính của toàn bộ phân tích, vì vậy quá trình giao tiếp đã được nghiên cứu từ quan điểm của bên nhận. Một bản tin có thể được định nghĩa là thông tin hữu ích có nguồn gốc từ một nguồn được gửi trong khoảng thời gian Δt từ khi bắt đầu truyền.

Tính toàn vẹn của luồng bản tin là xem xét chính trong việc xác định các mối nguy hiểm có thể xảy ra trong việc truyền thông tin liên quan đến an toàn qua hệ thống truyền dẫn mở.

“Luồng bản tin” được xác định như là một tập hợp các bản tin theo thứ tự và là duy nhất cho mỗi ô thời gian và bên nhận trong mạng lưới nếu không xảy ra sự cố, tấn công hoặc vận hành không chính xác.

Luồng bản tin thực sự nhận được có thể khác với luồng dự kiến vì một số lý do. Ba lớp con cụ thể được dự kiến (mối nguy cơ bản);

• Nhận được nhiều bản tin hơn dự kiến;

• Nhận được ít bản tin hơn dự kiến;

• Cùng số lượng bản tin nhận được và dự kiến.

Nhận được nhiều bản tin hơn dự kiến

...

...

...

Nhận được ít bản tin hơn dự kiến

Trong trường hợp này, một hoặc nhiều bản tin đã bị xóa. Do đó, lỗi thông báo cơ bản là bản tin bị xóa.

Cùng số lượng bản tin nhận được và dự kiến

Trong trường hợp này, một số khả năng có thể xảy ra:

• Tất cả các bản tin trong luồng đều chính xác về nội dung và trong thời gian vận chuyển nhưng sai trình tự: trình tự sắp xếp lại đã diễn ra;

• Đối với một bản tin trong luồng phải mất nhiều thời gian hơn quy định để đến được bên nhận: sự chậm trễ đã diễn ra;

• Bản tin đã được sửa đổi: lỗi hư hỏng đã diễn ra;

• Bên nhận cho rằng bên gửi bản tin đó là khác với bên gửi thực tế: sự giả mạo đã diễn ra.

Trong hai trường hợp cuối, tính toàn vẹn của bản tin đơn đã được xem xét. Các lỗi thông báo cơ bản là bản tin đã được sắp xếp lại, đã bị chậm trễ, đã bị hỏng, đã bị giả mạo.

...

...

...

• Bản tin lặp đi lặp lại;

• Bản tin đã bị xóa;

• Bản tin được chèn;

• Bản tin được sắp xếp lại;

• Bản tin bị hỏng;

• Bản tin bị trì hoãn;

• Bản tin bị giả mạo.

Các lỗi thông báo cơ bản được xác định ở trên không loại trừ lẫn nhau: có thể có nhiều bản tin trong một luồng và thậm chí một bản tin đơn bị ảnh hưởng bởi nhiều hơn một kiểu lỗi.

A.3  Các mối nguy cơ

...

...

...

Các lỗi thông báo cơ bản là các lỗi được chỉ định trong điều A.2, nguồn gốc của các mối đe dọa tương ứng là không phức tạp.

Đặt A, B và C là ba nhóm được quyền liên lạc các bản tin liên quan đến an toàn, trong khi X là nhóm tấn công.

Cần lưu ý rằng các sự cố HW/SW ngẫu nhiên và có hệ thống cũng được tính đến trong danh sách các mối đe dọa; các giải thích sau đây chỉ là ví dụ và do đó không đầy đủ.

A.3.2  Sự lặp lại

- X sao chép bản tin ['Tốc độ tối đa: 250 km/h’] và quay lại trong tình huống không phù hợp [trong khi tàu ở trong khu gian tốc độ chậm], hoặc là

- Do sự cố phần cứng, hệ thống truyền dẫn không an toàn lặp lại một bản tin cũ.

A.3.3  Xóa

- X xóa bản tin [X xóa bản tin ‘Dừng khẩn cấp’ hoặc 'Tốc độ tối đa: 250 km/h’], hoặc

- Bản tin bị xóa do sự cố phần cứng.

...

...

...

- X chèn bản tin [Tốc độ tối đa: 250 km/h’] hoặc

- Nhóm bên thứ ba C được ủy quyền vô tình chèn một bản tin vào giữa luồng thông tin từ A đến B (hoặc điều tương tự xảy ra do lỗi mạng).

A.3.5  Điều chỉnh tuần tự

- X cố ý thay đổi chuỗi bản tin cho B (ví dụ: bằng cách trì hoãn bản tin hoặc bằng cách buộc bản tin đi theo một đường dẫn khác qua mạng),

- Do sự cố phần cứng, chuỗi bản tin bị thay đổi.

A.3.6  Hỏng

- Bản tin vô tình bị thay đổi (ví dụ: EMI) thành một bản tin chính xác khác, hoặc

- X thay đổi bản tin [‘Tốc độ tối đa: 30 km/h’ thành Tốc độ tối đa: 250 km/h’] theo cách hợp lý để A và/hoặc B không thể phát hiện sự sửa đổi.

A.3.7  Chậm trễ

...

...

...

- X tạo quá tải trên hệ thống truyền dẫn bằng cách tạo ra các bản tin giả mạo để hệ thống dịch vụ chậm trễ hoãn hoặc dừng.

A.3.8  Giả mạo

- A và B giao tiếp dữ liệu liên quan đến an toàn và

- X giả mạo A là B hoặc hướng B là A (hoặc cả hai) để có quyền truy cập vào dữ liệu liên quan đến an toàn hoặc được coi là người dùng hợp pháp của hệ thống.

A.4  Cách tiếp cận khả thi để xây dựng hồ sơ an toàn

A.4.1  Khái quát

Cách tiếp cận sẽ được nêu ra sau đây là một ví dụ và không chỉ là cách duy nhất có thể được theo dõi. Việc phân tích nguy cơ hoàn chỉnh cần có kiến thức chuyên sâu về ứng dụng mà nó có liên quan, để thực hiện đánh giá rủi ro thích hợp.

A.4.2  Phương pháp cấu trúc để xác định sự kiện nguy hiểm

A.4.2.1  Khái quát

...

...

...

Các nhánh của cây trong hình A.2 đại diện cho các nguyên nhân gây nguy hiểm: mỗi nguyên nhân tương ứng sự kiện nguy hiểm được tạo ra được xác định. Cách tiến hành này cũng giúp dễ dàng hơn, ngay khi xác suất của một nguyên nhân duy nhất được xác định, để phân bổ xác suất cho mỗi sự kiện nguy hiểm được tạo ra.

Sau đây, mỗi nguyên nhân được chia thành một số sự kiện nguy hiểm có thể xảy ra; việc phân tách này không đầy đủ: trong phân tích nguy hiểm, một số sự kiện nguy hiểm khác có thể được tính đến tùy thuộc vào ứng dụng cụ thể.

Hình A.2 - Nguyên nhân của các nguy cơ

A.4.2.2  Mạng

A.4.2.2.1  Khái quát

Các giai đoạn của vòng đời hệ thống mạng có thể được xác định theo IEC 62278. Đối với phạm vi của phụ lục này (tức là xác định các sự kiện nguy hiểm phát sinh từ các lỗi trong mỗi giai đoạn), chúng có thể được nhóm lại với nhau theo cách sau:

• Khái niệm, định nghĩa hệ thống và điều kiện ứng dụng, phân tích rủi ro, các yêu cầu hệ thống, phân chia các yêu cầu hệ thống, thiết kế và triển khai, chế tạo: tất cả các giai đoạn này đều liên quan đến các hoạt động trước khi vận hành hệ thống;

• Thiết lập, xác nhận hệ thống và nghiệm thu hệ thống: những điều này có liên quan đến việc vận hành hệ thống;

...

...

...

• Ngừng hoạt động và thanh lý.

A.4.2.2.2  Hoạt động trước khi đưa vào vận hành

Lỗi trong giai đoạn này có thể dẫn đến

• Sự cố có tính hệ thống phần cứng (HW);

• Sự cố có tính hệ thống phần mềm (SW).

A.4.2.2.3  Hoạt động trong quá trình vận hành

Lỗi trong giai đoạn này có thể dẫn đến

• Nhiễu xuyên âm;

• Đứt dây;

...

...

...

• Lỗi cáp.

A.4.2.2.4  Vận hành và bảo trì

Trong suốt giai đoạn của các sự kiện nguy hiểm có thể phát sinh cả do giảm hiệu suất của các thành phần hệ thống và từ các lỗi trong quá trình sửa chữa hoặc nâng cấp:

• Giảm hiệu suất;

• Sự cố ngẫu nhiên phần cứng (HW);

• Lão hóa phần cứng (HW).

A.4.2.2.5  Bảo trì

• Sử dụng các dụng cụ chưa được hiệu chuẩn;

• Sử dụng các dụng cụ không phù hợp;

...

...

...

• Nâng cấp hoặc thay thế phần mềm (SW) không chính xác.

A.4.2.2.6  Sự nâng cấp

• Hiệu ứng Fading;

• Lỗi của con người1)

A.4.2.2.7  Ngừng hoạt động và thanh lý

Đó là sự không dự tính được các biến cố nguy hiểm liên quan đến lỗi giao tiếp có thể phát sinh trong suốt giai đoạn này của vòng đời hệ thống mạng.

A.4.2.3  Môi trường ngoài

A.4.2.3.1  Điện Từ trường

• EMI;

...

...

...

A.4.2.3.2  Ứng suất cơ

• Sự cố ngẫu nhiên phần cứng;

• Lão hóa phần cứng.

A.4.2.3.3  Khí hậu

• Nhiễu nhiệt;

• Lão hóa phần cứng;

• Sự cố ngẫu nhiên phần cứng;

• Hiệu ứng Fading.

A.4.2.3.4  Biến cố tự nhiên

...

...

...

• Cháy;

• Động đất;

• Sét đánh.

A.4.2.3.5  Người vận hành

• Lỗi của con người¹⁾.

A.4.2.3.6  Người dùng được phép

• Lỗi của con người¹⁾;

• Quá tải hệ thống truyền dẫn.

A.4.2.3.7  Nhân viên bảo trì

...

...

...

• Sử dụng các dụng cụ không phù hợp;

• Thay thế phần cứng không chính xác;

• Lỗi của con người¹⁾;

• Nâng cấp hoặc thay thế phần mềm không chính xác.

A.4.2.3.8  Phá hoại do con người2)

• Chích rút dây ra;

• Làm hư hại hoặc phá hỏng phần cứng;

• Sửa đổi phần mềm trái phép.

A.4.2.3.9  Người xâm nhập ²⁾

...

...

...

• Truyền bản tin trái phép.

A.4.3  Mối quan hệ nguy hiểm - nguy cơ

Tham chiếu đến điều A.1, mỗi nguy cơ có thể được coi là tập hợp các tác động nguy hiểm tạo ra nó. Bắt đầu từ các sự tác động nguy hiểm được xác định trong phần trước, bước tiếp theo bao gồm xây dựng mối quan hệ giữa chúng và các mối nguy hại được nêu trong điều A.3 bằng phương pháp từ dưới lên 3). Mục tiêu là để xác minh rằng không có mối đe dọa bổ sung nào được tìm thấy, để chứng minh tính hợp lệ của phương pháp được thực hiện. Các nguy cơ - các tác động nguy hiểm có thể được trình bày trong Bảng A.1.

Có thể thấy, không có thêm nguy cơ nào được phát hiện sau khi phân tích từng tác động nguy hiểm; điều này chứng tỏ thực tế rằng danh sách điều A.3 là đầy đủ.

(Rõ ràng, sự xem xét đối với bảng trên, mỗi tác động nguy hiểm, chỉ có các ảnh hưởng chính, tức là các mối quan hệ khác có thể được xác định).

A.5  Kết luận

Hai cách tiếp cận khác nhau để tạo ra tập hợp các nguy cơ có thể xảy ra đối với thông tin liên quan đến an toàn trong các hệ thống truyền dẫn đã xác định. Cách thứ nhất là phương pháp từ trên xuống bắt đầu từ mối nguy cơ chính và kết thúc bằng việc phân loại tất cả các tác động nguy hiểm có thể dẫn đến rủi ro. Cách thứ hai bắt đầu từ sự xác định của hai thực thể chính của hệ thống được xem xét (tức là mạng lưới và môi trường bên ngoài) để phân loại tất cả các nguyên nhân có thể gây ra các tác động nguy hiểm liên quan đến hệ thống đó; những sự việc này sau đó được gọi là các nguy cơ mà chúng tạo ra.

Hai phân tích hội tụ đến cùng một tập hợp các nguy cơ, do đó chứng minh tính hợp lệ của công việc.

Bảng A.1 - Mối quan hệ giữa các sự kiện nguy hiểm và nguy cơ

...

...

...

Các nguy cơ

Lặp lại

Xóa

Chèn

Điều chỉnh tuần tự

Hỏng

Trễ

Giả mạo

Hư hỏng có tính hệ thống phần cứng

...

...

...

X

X

X

X

X

Hư hỏng tính hệ thống phần mềm

X

X

...

...

...

X

X

X

Nhiễu xuyên âm

X

X

...

...

...

Đứt dây

X

X

X

...

...

...

Lệch ăng ten

X

X

Lỗi cáp

...

...

...

X

X

X

X

Sự cố ngẫu nhiên phần cứng

X

X

...

...

...

X

X

X

Lão hóa phần cứng

X

X

X

X

...

...

...

X

Sử dụng công cụ không hiệu chỉnh

X

X

X

X

X

X

...

...

...

Sử dụng công cụ không phù hợp

X

X

X

X

X

X

Thay thế phần cứng sai

...

...

...

X

X

X

X

X

Hiệu ứng Fading

X

...

...

...

X

X

X

Nhiễu điện từ (EMI)

X

...

...

...

Lỗi con người

X

X

X

X

X

...

...

...

Nhiễu nhiệt

X

X

Bão từ

...

...

...

X

X

X

Cháy

X

...

...

...

X

X

Động đất

X

...

...

...

X

Chiếu sáng

X

X

X

...

...

...

Quá tải hệ thống truyền

X

X

Nghe trộm

...

...

...

X

X

X

X

X

Hư hỏng phần cứng

X

...

...

...

X

X

Thay đổi phần mềm trái phép

X

X

X

X

...

...

...

X

X^a

Truyền bản tin trái phép

X

X

...

...

...

Giám sát kênh ^b

^a Trong trường hợp này, bản tin là giả mạo ngay từ đầu, cần thiết phải có sự bảo vệ mạnh, ví dụ như sử dụng mật mã.

...

...

...

Phụ lục B

(Tham khảo)

Danh mục các hệ thống truyền dẫn

B.1  Danh mục các hệ thống truyền dẫn

Điều 6.3 xác định ba loại hệ thống truyền dẫn:

• Loại 1 - Hệ thống truyền dẫn khép kín, trong đó tất cả các thuộc tính thiết yếu của hệ thống đều dưới sự kiểm soát của nhà thiết kế hệ thống liên quan đến an toàn và có thể xác định một tập hợp đơn giản các yêu cầu về an toàn;

• Loại 2 - Hệ thống truyền dẫn mở trong đó, việc truyền dẫn không hoàn toàn dưới sự kiểm soát của nhà thiết kế hệ thống liên quan đến an toàn, nguy cơ tấn công độc hại có thể được coi là không đáng kể;

• Loại 3 - Hệ thống truyền dẫn mở, nơi có khả năng tấn công độc hại và các biện pháp phòng ngừa bằng mật mã được yêu cầu.

...

...

...

Tuy không thể chính xác hoàn toàn về các hệ thống mô hình giả định, nhưng các đặc điểm chính được liệt kê trong bảng có thể hướng dẫn người dùng của tiêu chuẩn này hướng tới việc xác định xem một hệ thống cụ thể có nên được coi là hệ thống lại 1, 2 hoặc 3 cho mục đích phân tích.

Bảng B.1 - Danh mục các hệ thống truyền dẫn

Loại

Các đặc điểm chính

Ví dụ về hệ thống truyền dẫn

Loại 1

Được thiết kế cho số lượng tối đa người tham gia cố định.

Tất cả các tính năng của hệ thống truyền dẫn đã biết và cố định trong suốt vòng đời của hệ thống.

Cơ hội để truy cập trái phép là rất nhỏ.

...

...

...

Chuỗi tuyến dẫn nội bộ với hệ thống liên quan đến an toàn (ví dụ: PROFIBUS, CAN, MVB (truyền dẫn tuyến đa dụng được xác định bởi IEC)).

Mạng LAN tiêu chuẩn công nghiệp kết nối các thiết bị khác nhau (liên quan đến an toàn và không liên quan đến an toàn) trong một hệ thống duy nhất, tùy thuộc vào việc thực hiện và bảo trì các điều kiện tiên quyết.

Loại 2

Các tính năng không xác định, một phần chưa biết hoặc biến đổi trong suốt vòng đời của hệ thống.

Phạm vi giới hạn để mở rộng nhóm người dùng. Nhóm người dùng đã biết hoặc nhóm.

Khả năng truy cập trái phép là rất nhỏ (mạng lưới tin cậy).

Thỉnh thoảng sử dụng các mạng lưới không đáng tin cậy.

Chuỗi tuyên truyền dẫn nội bộ với hệ thống liên quan đến an toàn (ví dụ: PROFIBUS, MVB), nhưng với khả năng hệ thống truyền dẫn có thể được cấu hình lại hoặc thay thế bởi hệ thống truyền dẫn khác trong suốt vòng đời.

Mạng LAN tiêu chuẩn công nghiệp kết nối các hệ thống khác nhau (liên quan đến an toàn và không liên quan đến an toàn) trong một khu vực được kiểm soát và giới hạn.

...

...

...

Hệ thống chuyển mạch trong mạng điện thoại công cộng được sử dụng phụ và vào những thời điểm không dự đoán trước (ví dụ: chuyển mạch từ của hệ thống khóa liên động).

Thuê bao cố định trong mạng điện thoại công cộng.

Hệ thống truyền dẫn vô tuyến với quyền truy cập hạn chế (ví dụ: sử dụng các hệ thống dẫn sóng hoặc cáp với giới hạn dự toán chi phí, khả năng thu sóng chỉ với bộ thu phát gần hoặc sử dụng phương án điều biến riêng, không thể sao chép hoặc thiết bị phòng thí nghiệm giá cả phải chăng)

Loại 3

Các tính năng không xác định, có một phần chưa biết hoặc biến đổi trong suốt vòng đời của hệ thống.

Nhiều nhóm người dùng không xác định.

Khả năng truy cập trái phép cao.

Dữ liệu chuyển mạch gói trong mạng điện thoại công cộng Internet.

Dữ liệu vô tuyến chuyển mạch kênh (ví dụ: GSM-R). Dữ liệu vô tuyến chuyển mạch gói (ví dụ: GPRS).

...

...

...

Hệ thống truyền dẫn vô tuyến không hạn chế.

B.2  Mối quan hệ giữa các loại hệ thống truyền dẫn và các mối nguy cơ

Bảng B.2 sau đây cho thấy sự phân định rõ ràng các mối nguy cơ đối với từng loại hệ thống truyền dẫn được xác định ở trên.

Bảng B.2 - Mối quan hệ danh mục/ mối nguy cơ

Loại

Lặp lại

Xóa

Chèn

Điều chỉnh tuần tự

...

...

...

Trễ

Giả mạo

Loại 1

+

+

+

+

+ +

+

...

...

...

Loại 2

++

++

++

+

++

++

-

Loại 3

...

...

...

++

++

++

++

++

++

Chú dẫn

- Mối nguy cơ có thể bị bỏ qua

+ Mối nguy cơ tồn tại, nhưng hiếm, biện pháp đối phó yếu

...

...

...

Ở cấp độ thông dụng này, không thể phân bổ SIL, theo danh mục hệ thống truyền dẫn, cho các biện pháp phòng vệ cần thiết cho mỗi mối nguy cơ; việc phân tích ứng dụng cụ thể để phân bổ SIL là điều cần thiết.

Phụ lục C

(Tham khảo)

Hướng dẫn phòng vệ

C.1  Ứng dụng dấu thời gian

Một dấu thời gian có thể được sử dụng cho các mục đích khác nhau.

a) Để định rõ thời gian của một sự kiện trong một thực thể có tầm quan trọng đối với quá trình nhận thông tin. Các sự kiện có thể là thời gian liên quan đến nhau. Nếu chúng ta có kiến thức về thời gian và giá trị cho một chuỗi các sự kiện, có thể nội suy giữa các giá trị và tăng độ chính xác của các giá trị được tính toán (ví dụ: tốc độ, gia tốc). Sự chậm trễ trong truyền dẫn có thể được xử lý.

Hạn chế:

...

...

...

Sự thiếu hụt của bản tin sẽ không được phát hiện nếu một quy trình giao tiếp đối thoại không được cung cấp.

b) Để sắp xếp chuỗi sự kiện mà người nhận có thể kiểm tra.

Hạn chế:

Nếu độ chi tiế t thời gian quá thô, các tính chất tuần tự của các sự kiện có thể không xác định được. Trong những trường hợp như vậy, thông tin cần được bổ sung bằng số thứ tự;

Thứ tự của bản tin bị ảnh hưởng bởi việc định tuyến mạng của bản tin và thời gian trễ trong mạng;

Sự thiếu hụt của bản tin sẽ không được phát hiện nếu một quy trình giao tiếp đối thoại không được cung cấp.

c) Để đo thời gian giữa các sự kiện nhận được từ một thực thể gửi một chuỗi bản tin do đó cũng kiểm tra các sự kiện không bị trễ.

Nếu thông tin từ một thực thể (A) được yêu cầu lặp đi lặp lại từ một thực thể khác (B), khi đó thông tin nhận được sau cùng là thông tin của đồng hồ cục bộ từ dấu thời gian. Thông tin này có thể liên quan đến thời gian của chính nó bằng cách tính đến sự truyền chậm trễ. Đồng hồ logic đã được tạo từ đồng hồ cục bộ của thực thể (B).

Hạn chế:

...

...

...

d) Để kiểm tra tính hợp lệ thông tin của một thực thể (A) bằng cách yêu cầu trả lại dấu thời gian được gửi từ một thực thể (B) trong một bản tin trước đó cho thực thể (A). Điều này đảm bảo phản hồi cụ thể (danh tính) và cũng kiểm tra theo thời gian vòng lặp được xác định trước, số thứ tự (hoặc dấu) được tạo và thời gian được giám sát trong thực thể (B) sẽ thực hiện cùng một công việc. Không cần thiết có chuẩn thời gian toàn cầu (trừ khi các ứng dụng khác yêu cầu).

Người nhận phát hiện mất thông tin bằng cách sử dụng thời gian chờ.

Hạn chế:

- Quy trình xử lý gián đoạn do khởi tạo hoặc trạng thái lỗi;

- Quy trình sẽ không đảm bảo xác thực các bản tin.

e) Để tạo một quy trình gọi là dấu thời gian kép [A155]. Quy trình này kế thừa các thuộc tính của sự kết hợp của các trường hợp b), c) và d). Quy trình dấu thời gian kép cho phép đồng hồ không đồng bộ trong các thực thể, do đó tránh được các vấn đề liên quan đến việc giữ các thực thể được cập nhật theo thời gian toàn cầu. Phương pháp có thể được sử dụng cho:

- Tạo đồng hồ logic từ đồng hồ cục bộ của đối tác và dấu thời gian tương đối từ đồng hồ cục bộ riêng (và tổ chức đồng bộ hóa đồng hồ giữa hai thực thể);

- Các sự kiện liên quan đến nhãn thời gian tương đối bao gồm cả độ trễ mạng;

- Kiểm tra thứ tự chính xác của bản tin;

...

...

...

Thông tin liên lạc có giá trị cho một cuộc đối thoại hai đối tác hoặc cho mối quan hệ chủ - khách. Loại thứ hai có thể sử dụng nhiều hơn cho các mục đích truyền dẫn tuần hoàn hơn là các sự kiện đơn lẻ theo thời gian trong đó thời gian là quan trọng đối với một chức năng đặc biệt.

Hạn chế:

Nếu độ chi tiết thời gian quá thô, các thuộc tính tuần tự của các sự kiện có thể không xác định được. Trong những trường hợp như vậy, thông tin cần được bổ sung bằng số thứ tự;

Dấu thời gian kép có thể yêu cầu kiến thức về độ trễ truyền dẫn khứ hồi nếu ứng dụng xem xét trường hợp a) ở trên.

Các phương pháp phức tạp hơn so với dấu thời gian kép đã được hình thành cho phép sắp xếp các sự kiện xảy ra trên nhiều hơn hai hệ thống [TBaum].

C.2  Lựa chọn, sử dụng mã an toàn và kỹ thuật mã hóa

Mặc dù hệ thống truyền dẫn có thể không biết rõ hoặc biến đổi trong suốt vòng đời của nó, trong nhiều trường hợp người ta có thể xác định xem liệu các cuộc tấn công độc hại để các thông báo liên quan đến an toàn thể được loại trừ hay không. Sự khác biệt này là rất hữu ích bởi vì trong trường hợp khả năng của các cuộc tấn công độc hại, các cơ chế mã hóa với khóa bí mật được yêu cầu. Đó là khuyến cáo để làm cho sự khác biệt này ở giai đoạn đầu nhằm giới hạn số lượng các chức năng liên quan đến an toàn. Nếu có khả năng truy cập trái phép, một lớp bảo vệ truy cập riêng biệt có thể được áp dụng (loại B0 hoặc B1) hoặc bảo vệ được cung cấp bởi các chức năng truyền dẫn an toàn liên quan đến sử dụng cơ chế mã hóa (Type A1) và trong trường hợp này khái niệm “mật mã mã hóa an toàn” được sử dụng theo nguyên tắc sau đây.

Hình C.1 - Phân loại hệ thống thông tin liên quan đến an toàn

...

...

...

Hình C.2 - Mô hình miêu tả bản tin trong hệ thống truyền dẫn (kiểu A0, A1)

Các lớp bảo vệ truy cập riêng biệt rất hữu ích, trong những trường hợp nhóm máy tính liên quan đến an toàn được kết nối bởi mạng cục bộ (LAN), phải giao tiếp qua các hệ thống truyền dẫn mở (xem Hình C.3). Một giả định đằng sau mô hình được mô tả trong hình C.3 là mạng LAN có thể được phân loại là loại 2. Phần cứng và phần mềm mã hóa có thể được tập trung tại điểm truy cập duy nhất vào hệ thống truyền dẫn mở. Các giao diện khác cho hệ thống truyền dẫn mở nên được loại trừ. Các chức năng mã hóa có thể được kết hợp với các chức năng cổng vào và thường được yêu cầu khi mạng LAN được kết nối với mạng, ví dụ, mạng diện rộng.

Hình C.3 - Sử dụng lớp bảo vệ truy cập riêng biệt

Quá trình bảo vệ truy cập có thể được thực hiện bởi các hình thức khác nhau:

a) Mã hóa các bản tin;

b) Thêm một mã mật mã.

Trong cả hai trường hợp, mã an toàn được áp dụng trước khi một bản tin liên quan đến an toàn được gửi đến lớp bảo vệ truy cập. Thiết bị chứa lớp bảo vệ truy cập không nhất thiết phải an toàn, xem các yêu cầu chung trong 7.2. Lưu ý rằng các lỗi của quá trình bảo vệ truy cập nên được xem xét.

...

...

...

Những ví dụ này cho thấy bảo vệ bằng mật mã được áp dụng ngay sau mã an toàn. Trong các ví dụ khác, nó có thể được áp dụng ở các cấp thấp hơn (ví dụ: lớp vận chuyển hoặc mạng).

Hình C.4 - Mô hình miêu tả bản tin trong hệ thống truyền dẫn (kiểu B0)

Hình C.5 - Mô hình mô tả bản tin trong hệ thống truyền dẫn (kiểu B1)

C.3  Mã an toàn

C3.1  Khái quát

Các thuộc tính bắt buộc của mã an toàn phụ thuộc vào đặc tính của hệ thống truyền dẫn và kiến trúc của hệ thống truyền thông tin liên quan đến an toàn (xem hình C.1).

Nếu có thể loại trừ truy cập trái phép vào hệ thống truyền dẫn, mã an toàn phải phát hiện tất cả các loại lỗi bit ngẫu nhiên và có hệ thống. Lưu ý rằng, thông thường hệ thống truyền dẫn bảo vệ các bản tin của nó bằng mã truyền riêng, được thiết kế để đáp ứng chất lượng và tỷ lệ lỗi bit được xác định. Do đó, nếu hệ thống truyền dẫn chuyển thông báo không hợp lệ, thì nhiễu trên kênh truyền dẫn lớn đến mức mã truyền bị lỗi hoặc xảy ra lỗi. Trong cả hai trường hợp, cần xem xét các lỗi bit dư không phải là ngẫu nhiên và có thể có bất kỳ trọng số Hamming nào.

...

...

...

C.3.2  Mã khối chính

C3.2.1  Khái quát

Các điều khoản sau đây mô tả ngắn gọn một số mã khối và các đặc điểm chính của chúng.

C.3.2.2  Mã khối tuyến tính

Mã khối là tuyến tính khi và chỉ khi tổng của bất kỳ từ mã hiệu nào cũng là một từ mã hiệu.

Hầu hết các mã được sử dụng để kiểm soát lỗi là mã nhị phân tuyến tính. Mã không nhị phân cũng được sử dụng, ví dụ: Mã Reed-Solomon. Các mã rất tốt để chống lại lỗi ngẫu nhiên và lỗi khối. Các mã có thể được thiết kế với khoảng cách d Hamming tối thiểu cụ thể. Điều đó có nghĩa là các lỗi phù hợp d-1 sai ký hiệu được phát hiện đầy đủ. Do tính chất tuyến tính của chúng, các mã có thể được kiểm tra khả năng phát hiện lỗi truyền dẫn có hệ thống.

Các mô hình hữu ích là kênh đối xứng nhị phân (BSC) và kênh đối xứng chờ q-nary (QSC). Các mã cũng có thể được kiểm tra để phát hiện lỗi truyền dẫn có hệ thống.

C.3.2.3  Mã khối tuần hoàn

Mã khối tuyến tính là chu kỳ nếu mỗi lần dịch chuyển theo chu kỳ của một từ mã hiệu cũng là một từ mã hiệu. Một mã tuần hoàn có thể được mô tả bằng đa thức. Mã Toán học có thể được tìm thấy ví dụ trong [Peterson].

...

...

...

Trong một số ứng dụng nhất định, tính chất tuần hoàn của mã có thể được khai thác để tránh nguy cơ đồng bộ hóa từ mã sai. Để đạt được điều này, cần phải mở rộng mã nhưng kết quả cuối cùng sẽ vượt so với các hệ thống dựa trên các ký tự đồng bộ hóa riêng biệt.

C.3.2.4  Mã khối băm

Mã băm có thể là tuyến tính hoặc phi tuyến tính. Quan trọng nhất là các hàm một chiều phi tuyến tính, giúp nén dữ liệu đầu vào vào một dấu vân tay của Google. Do tính phi tuyến tính của chúng, khoảng cách Hamming tối thiểu không thể được lấy ra ngoại trừ các trường hợp nhỏ không đáng kể. Tuy nhiên, khả năng phát hiện lỗi cao đối với mã băm tốt. Trung bình, một thay đổi bit trong dữ liệu đầu vào thay đổi, một nửa số bit trong giá trị băm. Với một giá trị băm, không thể tính toán được dữ liệu đầu vào băm vào giá trị đó (thuộc tính một chiều) và, với dữ liệu đầu vào, không thể tính toán được việc tìm một dữ liệu đầu vào khác có cùng giá trị (thuộc tính va chạm đối với các hàm băm yếu) và không thể tính toán được bất kỳ hai bộ dữ liệu đầu vào nào băm đến cùng một giá trị (thuộc tính va chạm cho các hàm băm mạnh).

ISO/IEC 10118-1 định nghĩa một cách tổng quát mã băm cho mục đích bảo mật. ISO/IEC 10118-2 mô tả mã băm bằng thuật toán mã hóa khối n-bit mà không cần áp dụng khóa. Ngoài ra, MAC có thể được sử dụng làm mã băm, nhưng trong trường hợp này là bắt buộc phải có khóa.

Hiệu suất tốt trong phần mềm có thể đạt được với thuật toán phân loại bản tin miền công cộng MD4 và MD5 [Rivest] là các lớp của MDC. Không có yêu cầu cao về tiêu chí va chạm được yêu cầu vì các cuộc tấn công độc hại được bảo vệ bằng các phương tiện khác. Điều đó có nghĩa là mã khối mã hóa (MAC) được sử dụng hoặc bảo vệ bằng mật mã đối với toàn bộ bản tin liên quan đến an toàn bao gồm giá trị băm được áp dụng.

C.3.2.5  Chữ ký số

Chữ ký số là số lượng bit tùy thuộc vào tất cả các bit của dữ liệu đầu vào (dữ liệu người dùng và dữ liệu bổ sung) và cả trên một khóa bí mật. Tính chính xác của nó có thể được xác minh bằng cách sử dụng khóa chung [Davies].

C.3.2.6  Mã khối mật mã

Mã khối mật mã là một loại mã khối băm phi tuyến tính dựa trên các thuật toán mã hóa. Ưu điểm là chúng có thể bảo vệ chống lại cuộc tấn công độc hại nếu chúng dựa trên các khóa. Mã được biết đến nhiều nhất là mã xác thực tin nhắn MAC được tiêu chuẩn hóa trong ISO / IEC 9797-1 và ISO / IEC 9797-2.

...

...

...

Các ví dụ để đánh giá các kỹ thuật cơ bản đa dạng được nêu trong bảng C.1.

Bảng C.1 - Đánh giá các cơ chế mã hóa an toàn4)

Loại ^a

Tham khảo khoản 2 và thư mục

Loại hệ thống truyền dẫn liên quan đến an toàn, xem hình C.1

A0

A1

...

...

...

B1^b

CRC ^c

[Peterson]

R

US^d

- e

R

MAC ^c

ISO/IEC 9797-1 & 2

...

...

...

HR

R

R

Mã băm ^c

ISO/IEC 10118-2

R

US^d

HR

HR

...

...

...

ISO/IEC 9796-2 & 3

R

R

R

R

CHÚ DẪN

HR  Biểu tượng này có nghĩa là phương pháp kỹ thuật được đề xuất cao cho kiến trúc này. Nếu phương pháp kỹ thuật này không được sử dụng thì lý do đằng sau không sử dụng nó phải được nêu chi tiết trong Báo cáo an toàn kỹ thuật.

R  Biểu tượng này có nghĩa là phương pháp kỹ thuật được khuyến nghị cho kiến trúc này. Đây là mức khuyến nghị thấp hơn 'HR'.

- Biểu tượng này có nghĩa là phương pháp kỹ thuật hoặc biện pháp không có khuyến nghị cho hoặc không được sử dụng.

...

...

...

^a Các biện pháp an toàn khác là có thể nhưng không được xem xét ở đây.

^b Chỉ có ký hiệu an toàn không mã hóa. Kỹ thuật mật mã được xem xét riêng.

^c Khả năng phát hiện lỗi tương tự với cùng số bit dư.

^d Khóa bí mật được yêu cầu, không thể được thực hiện bởi cơ chế này.

^e Nếu các kỹ thuật mã hóa luồng được sử dụng thì việc áp dụng CRC như mã an toàn là không phù hợp. Mặt khác, kẻ tấn công có thể tạo các bản tin liên quan đến an toàn hợp lệ với CRC bằng cách thêm một bản tin tùy ý có CRC hợp lệ vào bản tin được mã hóa luồng, mà không cần phá khóa.

Mặc dù đặc trưng về các đặc điểm lỗi của một kênh cụ thể có thể cho phép bỏ qua một số loại lỗi và hiệu suất tốt hơn được yêu cầu, trong một kênh Open (kênh đen) không có đặc trưng nào có thể được thừa nhận. Trong kịch bản này, giải pháp lý tường sẽ là một mã ngẫu nhiên. Vì lý do này, không có yêu cầu nào về xác suất lỗi không được phát hiện PUE của mã an toàn, thấp hơn hiệu suất của mã ngẫu nhiên, đó là PUE = 2^-C , trong đó c biểu thị số bit dự phòng.

C.3.4  Kỹ thuật mật mã

Khi sử dụng các kỹ thuật mật mã, các phương thức tiêu chuẩn hóa vận hành được khuyến nghị, ví dụ: theo ISO / IEC 10116. Tiêu chuẩn này không khuyến nghị phương thức tập mật hiệu điện tử (ECB) cho độ dài đầu vào vượt quá độ dài khối của thuật toán mã hóa. Các thuật toán mã hóa có thể được đăng ký theo các quy tắc của tiêu chuẩn quốc tế ISO / IEC 9979, nhưng bản thân việc đăng ký không đảm bảo số lượng của các thuật toán.

Các thuật toán nổi tiếng và được thử nghiệm tốt như [AES] được khuyến nghị.

...

...

...

Phụ lục này chỉ áp dụng cho hệ thống truyền dẫn loại 1, tức là các hệ thống truyền dẫn khép kín, vì các công thức đã cho dựa trên các giả định cụ thể trên hệ thống truyền.

Trong thực tế, mô hình được mô tả ở đây phụ thuộc một phần vào các cơ chế phát hiện và quản lý lỗi của các hệ thống truyền dẫn. Thông thường, trong các điều kiện không có lỗi, cơ chế phát hiện lỗi của hệ thống truyền dẫn là phát hiện và chống lại tất cả các lỗi truyền. Trong trường hợp này, mã an toàn sẽ không phát hiện bất kỳ lỗi nào. Tuy nhiên, bản thân hệ thống truyền dẫn hoặc cơ chế phát hiện lỗi của nó có thể bị lỗi do lỗi phần cứng hoặc một số lỗi truyền dẫn quá cao đến mức chúng không được phát hiện. Trong tất cả các trường hợp, mã an toàn phải phát hiện những lỗi đó.

Sử dụng mô hình này dẫn đến các yêu cầu toàn vẹn an toàn thấp hơn cho mã an toàn so với các mô hình bỏ qua khả năng phát hiện lỗi của hệ thống truyền dẫn. Mặt khác, hệ thống truyền dẫn hiện đã được sửa chữa và không thể đổi lấy một cái khác mà không điều chỉnh hồ sơ an toàn. Mô hình này có thể (và nên được sửa đổi nếu cần thiết) cho các hệ thống bỏ qua các cơ chế phát hiện lỗi của chúng hoặc các ảnh hưởng đến từ tỷ lệ lỗi phần cứng.

Phụ lục này đưa ra các công thức đơn giản để tính độ dài của mã an toàn. Đáp ứng các yêu cầu nhất định đảm bảo đạt mục tiêu an toàn.

Mô hình cơ bản để tính toán độ dài của mã an toàn được hiển thị trong Hình C.6.

Hình C.6 - Mô hình lỗi cơ bản

Có ba cách để tạo ra mối nguy hiểm:

a) Phần cứng truyền dẫn bị lỗi, vì vậy các bản tin bị hỏng;

...

...

...

c) Lỗi xảy ra trong quá trình kiểm tra mã truyền, sao cho mọi bản tin bị hỏng có thể được truyền từ hệ thống truyền không đáng tin cậy đến các thiết bị liên quan đến an toàn.

Các định nghĩa sau đây được đưa ra:

R_H  Tỷ lệ sự cố nguy hiểm mục tiêu của hệ thống truyền dẫn hoàn chỉnh

R_H1  Tỷ lệ sự cố nguy hiểm của lỗi phần cứng mà không có trình kiểm tra mã truyền

R_H2 Tỷ lệ sự cố nguy hiểm của EMI

R_H3 Tỷ lệ thất bại nguy hiểm của trình kiểm tra mã truyền

R_HW Tỷ lệ sự cố phần cứng của hệ thống truyền dẫn không đáng tin cậy

P_UT Xác suất sự cố không bị phát hiện do hiệu suất của mã an toàn

P_US Xác suất sự cố không bị phát hiện do hiệu suất của mã truyền

...

...

...

f_M Tần suất tin nhắn tối đa cho một người nhận

f_W Tần suất của bản tin sai (bị hỏng)

T Khoảng thời gian, nếu nhận được nhiều hơn số lượng tin nhắn bị hỏng được xác định trong thời gian này, trạng thái quay lại an toàn sẽ được nhập.

k1 Yếu tố cho sự cố phần cứng bao gồm giới hạn an toàn

k2 Yếu tố mô tả tỷ lệ lỗi phần cứng dẫn đến vô hiệu hóa việc giải mã truyền dẫn không được phát hiện

m Hệ số an toàn được bao gồm trong k1

n Số lượng bản tin bị hỏng liên tiếp cho đến khi trạng thái dự phòng an toàn được nhập.

Với các định nghĩa này, các phương trình sau phải được đánh giá:

R_HW x P_US x k₁ =R_H1

...

...

...

P_UT x P_US x f_W = R_H25)

(2)

k₂ x P_US x 1/T = R_H3

(3)

Tổng của cả ba tỷ lệ không được vượt quá R_H:

R_H1 + R_H2 +R_H3 ≤ RH

Vì không thể giả định rằng sự cố là ngẫu nhiên, nên cần phải tính đến một mức an toàn m trong hệ số k1. Hệ số k1 phải được tính theo công thức sau:

k1 ≥ n x m

Hệ số m đại diện cho giới hạn an toàn với m ≥ 5.

...

...

...

• Theo ước tính trường hợp xấu nhất ƒW = ƒM,

• Hoặc bằng cách giới hạn giá trị tối đa hoặc số lượng bản tin sai trong đó bộ đếm an toàn hoặc bộ hẹn giờ an toàn được thực hiện. Nếu nhận được nhiều hơn một bản tin sai trong khoảng thời gian xác định, thông tin liên lạc an toàn sẽ bị hủy bỏ và phải nhập trạng thái dự phòng an toàn. Mỗi đạo hàm toán học chứng minh một giới hạn nhất định không thể vượt quá.

Trong truyền dẫn theo chu kỳ, tần số ƒM được xác định rõ. Trong trường hợp truyền không theo chu kỳ, tần số tối đa có thể được thực hiện.

Bằng cách sử dụng CRC thích hợp hoặc tin cậy6), giá trị tối đa của pUT có thể được ước tính là pUT = 2-b

trong đó b biểu thị số bit dự phòng.

Nếu các mã khác được sử dụng, ví dụ: nên kết hợp hai mã, xác suất lỗi khối trường hợp xấu nhất bằng cách sử dụng mô hình của “kênh đối xứng nhị phân”7).

Yếu tố k2 rất khó ước tính. Nếu kiểm tra định kỳ hoạt động chính xác của cơ chế mã hóa truyền là có thể, thì yếu tố k2 có thể bỏ qua.

Không có bất kỳ chứng minh nào k2 = 1 phải được thực hiện

CHÚ THÍCH: Các phép đạo hàm sau chỉ được cung cấp cho thông tin.

...

...

...

• Trong trường hợp này, thời lượng trung bình (không có EMI) của trạng thái này là:

T = MTBF_HW = 1 / R_HW

Lưu ý rằng sự suy giảm nhỏ chất lượng truyền thông thường sẽ dẫn đến trạng thái dự phòng an toàn, vì vậy ước tính này rất khó.

Theo các giả định này, giá trị k₂ = 10^-4 có thể được lấy.

Phương trình (3) dẫn đến một khoảng thời gian tối thiểu, trong đó chỉ cho phép một lỗi được phát hiện bởi mã an toàn. Nếu một cơ chế như vậy không được sử dụng, trạng thái dự phòng an toàn sẽ được nhập ngay sau lỗi được phát hiện đầu tiên, nếu không các biện pháp khác chống lại các điều kiện lỗi có thể được đưa ra.

Xác suất tối đa cho các lỗi không bị phát hiện của mã an toàn với các chữ số c nên được ước tính là

pUS = 2^-c

Công thức này có thể được sử dụng như một ước tính sơ bộ về xác suất của các lỗi không bị phát hiện. Điều này hợp lệ đối với một loại mã lớn (ví dụ: mã Hamming, một số mã BCH, mã mật mã, ...) theo các giả định thực tế. Tuy nhiên, nó phải được chứng minh rằng tính đúng đắn hoặc tính chất tốt⁶⁾ của mã tuyến tính đã chọn được đáp ứng.

Bằng cách lặp lại từng bản tin và kiểm tra tính nhất quán của hai bản tin độc lập lẫn nhau, giá trị của c có thể giảm đi một nửa ít nhất để đạt được cùng một mục tiêu. Trong thực tế, người ta có thể đạt được một số cải tiến hơn nữa, nhưng để tránh các phép tính toán phức tạp cho ước lượng khó khăn phải là giới hạn.

...

...

...

C.5  Giao tiếp giữa các ứng dụng liên quan đến an toàn và không liên quan đến an toàn

Một ví dụ về giao tiếp giữa các ứng dụng không liên quan đến an toàn và các ứng dụng liên quan đến an toàn được thể hiện trong hình C.7.

Trong các mạng đáng tin cậy (loại 1 và 2), các ứng dụng không liên quan đến an toàn có thể giao tiếp qua cùng một phương tiện truyền dẫn được sử dụng bởi các ứng dụng liên quan đến an toàn. Đối với các yêu cầu do đó, xem 7.2.

Trong ví dụ này, bản tin không liên quan đến an toàn cũng được bảo vệ bởi các kỹ thuật mã hóa khi đi qua hệ thống truyền tải loại 3.

Hình C.7 - Giao tiếp giữa các ứng dụng không liên quan và có liên quan đến an toàn

Phụ lục D

(Tham khảo)

...

...

...

D.1  Thủ tục

D.1.1  Khái quát

Một số bước riêng biệt có thể được xác định để thực hiện các hoạt động thiết kế hệ thống được nêu trong TCVN 12580: 2019. Các bước này được xác định dưới đây:

Mỗi bước được mô tả chi tiết hơn trong các điều khoản sau.

D.1.2  Ứng dụng

Người thiết kế hệ thống phải hiểu ứng dụng của hệ thống truyền dẫn. Các luồng dữ liệu, loại dữ liệu và tần suất và bản chất của các cập nhật (ví dụ: định kỳ hoặc hướng sự kiện) đều ảnh hưởng đến các quyết định được đưa ra khi thiết kế hệ thống truyền dẫn. Mục tiêu an toàn tổng thể (tỷ lệ hoặc thông số định tính và thông số không chức năng) cho hệ thống cũng sẽ được xác định (bởi người dùng hoặc cơ quan quản lý an toàn).

D.1.3  Phân tích nguy hiểm

Phân tích nguy cơ định tính của hệ thống (theo yêu cầu của TCVN 10935-1: 2015) sẽ xác định (các) nguy cơ cấp cao nhất có thể phát sinh do lỗi của thiết bị gửi và nhận hoặc của chính liên kết truyền. Phân tích này sẽ xem xét hoạt động hoặc các điều kiện bên ngoài khác có thể khiến hệ thống gặp nguy hiểm. Đối với mỗi mối nguy hại đối với hệ thống, có thể bao gồm khả năng phòng vệ trong thiết kế hệ thống.

...

...

...

Từ mục tiêu an toàn định lượng tổng thể cho hệ thống và phân tích mối nguy hại định tính, nhà thiết kế hệ thống có thể phân bổ các mục tiêu an toàn cho từng mối nguy hại được xác định. Việc phân bổ các mục tiêu như vậy có thể lặp đi lặp lại, bắt đầu từ phân bổ đơn giản và được tinh chỉnh theo phân tích chi tiết hơn và cân bằng giữa các trường hợp. Sử dụng thông tin định lượng về sự xuất hiện của các điều kiện bên ngoài khiến hệ thống gặp nguy hiểm, mức độ giảm thiểu rủi ro cần thiết từ mỗi sư phòng vệ có thể được xác định.

D.1.5  Phân bổ các mục tiêu SIL và định lượng

Tùy thuộc vào mức độ giảm thiểu rủi ro cần thiết cho mỗi sự phòng vệ, có thể phân bổ SIL, sử dụng các quy trình được xác định trong TCVN 12580: 2019. Biết được SIL cho sự phòng vệ, có thể chọn các kỹ thuật thiết kế phù hợp, để sử dụng trong công việc liên quan đến sự phòng vệ đó.

Từ tỷ lệ sự cố không an toàn (phía không tốt) được định lượng cho sự phòng vệ, có thể lựa chọn các kỹ thuật thiết kế phần cứng bằng cách sử dụng các bảng trong TCVN 12580: 2019 và có thể tính tỷ lệ xảy ra lỗi không an toàn do lỗi ngẫu nhiên.

D.1.6  Thông số kỹ thuật yêu cầu an toàn (SRS)

Các biện pháp phòng vệ được xác định là cần thiết cho hoạt động an toàn của hệ thống, SIL để thực hiện các sự phòng vệ và các mục tiêu an toàn được định lượng cho hệ thống sẽ được ghi lại trong SRS cho hệ thống.

D.2  Ví dụ

D.2.1  Khái quát

Ví dụ sau đây chỉ cho thấy một số nguyên tắc cơ bản của thủ tục. Nó không có ý định mô tả một ví dụ hoàn chỉnh mà chính xác trong tất cả các chi tiết.

...

...

...

Các hướng dẫn cho phép di chuyển được gửi đến các đoàn tàu trên một đường dây phụ bằng các bản tin qua mạng vô tuyến công cộng.

Mục tiêu an toàn tổng thể là 10^-x mỗi giờ được xác định cho hệ thống.

D.2.3  Phân tích nguy hiểm

Hai mối nguy hiểm cụ thể có thể được xác định (trong số những mối nguy khác không được xem xét ở đây):

a) Tiếp nhận thông báo không chính xác (phía không tốt) trên tàu có thể dẫn đến việc tàu đi vào khu vực bị chiếm dụng và va chạm với tàu khác;

b) Chậm trễ trong việc nhận thông báo dừng khẩn cấp có thể dẫn đến một chuyến tàu va chạm với vật cản trên đường ray.

Chúng được hiển thị trên cây lỗi (hình D.1), như một ví dụ về một phương pháp thực hiện phân tích mối nguy hiểm.

CHÚ THÍCH: Các ký hiệu được ưu tiên theo IEC 61025.

...

...

...

Hình D.1 - Cây sự cố cho nguy hiểm “tai nạn”

Mục tiêu an toàn toàn cầu 10^-x mỗi giờ cho hệ thống được phân bổ và mục tiêu được phân bổ cho các trường hợp 1 và 2 là (ví dụ) 10^-8 mỗi giờ trong mỗi trường hợp.

Trường hợp 1 và 2 sẽ được xem xét chi tiết.

D.2.4  Trường hợp 1

D.2.4.1  Giảm thiểu rủi ro

Nếu một thông báo cho một chuyến tàu bị hỏng do lỗi ngẫu nhiên, nó có thể cho phép tàu đi vào một phần bị chiếm dụng và va chạm với một chuyến tàu khác.

Ngoài ra, các nỗ lực có chủ ý có thể được thực hiện để chèn một thông báo không chính xác vào hệ thống (ví dụ: bởi một tin tặc).

Giả sử xác suất của phần bị chiếm dụng được đánh giá là 10^-1.

Tiêu chuẩn này cho thấy khả năng chống lại bản tin sai lạc là sử dụng mã an toàn được đính kèm với thông tin người dùng trong tin nhắn.

...

...

...

Hình D.2 - Cây sự cố cho trường hợp 1

Xem xét các mục tiêu an toàn định lượng, sẽ giả định rằng, trong một hệ thống mở, mọi thông điệp đều có thể bị hỏng (nghĩa là xác suất = 1). Tuy nhiên, không phải mọi thông điệp bị hỏng sẽ cho phép tàu vào khu đoạn cụ thể. Giả sử xác suất này là 10^-2 và giả sử rằng một bản tin có độ dài 100 bit được gửi đến một chuyến tàu qua kênh với tốc độ bit là 100 bit / s (tức là 3 600 tin nhắn mỗi giờ), rõ ràng là mã an toàn cho bản tin sẽ đảm bảo xác suất xảy ra lỗi không bị phát hiện dưới 3 x 10^-9 cho mỗi bản tin hoặc tần suất của loại sự kiện này không được vượt quá 10^-5 h^-1.

D.2.4.2  Phân bổ SIL và mục tiêu định lượng

Theo TCVN 12580: 2019, một SIL có thể thực hiện suy ra chức năng “tính toán mã của mã an toàn”. SIL này có thể thấp hơn so với toàn bộ hệ thống thông tin liên quan đến an toàn của hệ thống.

Người thiết kế hệ thống sẽ chọn một mã an toàn với độ dài đủ để đạt được hiệu suất cần thiết.

Tiêu chuẩn này cho thấy cần phải xem xét khả năng cố tình tạo ra các bản tin không chính xác trong một hệ thống truyền dẫn mở. Ví dụ, đối với việc truyền các bản tin ngắn không thường xuyên, khả năng cố tình tạo ra sự cố rủi ro có thể tương đối thấp. Các yếu tố này có thể ảnh hưởng đến quyết định có chấp nhận mã an toàn mã hóa hay không và nếu có, về việc lựa chọn tham số (độ dài khóa, ...) cho mã này.

D.2.5  Trường hợp 2

D.2.5.1  Giảm thiểu rủi ro

...

...

...

Giả sử rằng, sử dụng mạng vô tuyến công cộng được chia sẻ với số lượng người dùng khác không được kiểm soát, không có độ trễ bản tin tối đa được đảm bảo và do đó độ trễ sẽ được giả định (nghĩa là độ trễ được giả sử là có xác suất 1).

Tiêu chuẩn này cho thấy khả năng phòng vệ chống lại sự chậm trễ của tin nhắn là sử dụng thời gian chờ trong thiết bị nhận, cùng với việc truyền bản tin theo chu kỳ.

Đưa phần bảo vệ này vào phần cây lỗi trong trường hợp này, kết quả hình D.3 sau đây:

Hình D.3 - Cây sự cố cho trường hợp 2

Xem xét các mục tiêu an toàn định lượng, rõ ràng thời gian chờ sẽ có xác suất lỗi bên sai không quá 10^-4 theo yêu cầu.

D.2.5.2  Phân bổ SIL và mục tiêu định lượng

Tham chiếu đến TCVN 12580: 2019 chỉ ra cách đạt được SIL yêu cầu.

Do đó, việc triển khai chức năng này phải được thiết kế bằng cách sử dụng các kỹ thuật được đề xuất trong TCVN 12580: 2019 phù hợp với SIL có nguồn gốc, trừ khi việc triển khai được tích hợp với các chức năng khác với SIL cao hơn (ví dụ: trong hệ thống bộ xử lý).

...

...

...

Phụ lục E

(Tham khảo)

Thiết lập từ các tiêu chuẩn trước đó

Tiêu chuẩn này được chuyển đổi từ IEC 62280: 2014, đồng thời IEC 62280: 2014 là kết quả của việc sửa đổi và hợp nhất các tiêu chuẩn trước đó IEC 62280-1: 2002, IEC 62280-2: 2002. Chủ yếu chỉ sửa chữa và cải tiến phần đã được ban hành. Một số phần mới là cần thiết bổ sung vì lý do nhất quán.

Bảng E.1 và E.2 cho thấy sự thiết lập của các điều (phụ) và phụ lục của các tiêu chuẩn trước đó đối với các điều (phụ) và phụ lục của IEC 62280.

Việc này sẽ tạo thuận lợi cho công tác truy xuất nguồn gốc trong trường hợp bảo trì hoặc mở rộng hệ thống đã được phê duyệt, triển khai theo các tiêu chuẩn trước đó và hơn nữa là nắm rõ hơn về tiêu chuẩn mới.

Tham chiếu trong các bảng chỉ từ các tiêu chuẩn trước đó đến mới, nhưng không phải ngược lại.

Bảng E.1 - Thiết lập từ IEC 62280-1: 2002 sang IEC 62280

Điều khoản của IEC 62280-1:2002

...

...

...

Điều khoản của IEC 62280

Không đổi/ Sửa đổi

Giới thiệu

lnf.

Giới thiệu

E

1  Phạm vi

Nor.

1  Phạm vi

...

...

...

2  Tài liệu tham khảo

Nor.

2  Tài liệu tham khảo

E

3  Định nghĩa

Nor.

3  Thuật ngữ, định nghĩa và chữ viết tắt

E

4  Kiến trúc tham chiếu

...

...

...

4  Kiến trúc tham chiếu

T

Pr1

Nor.

6.3.1  Pr3

E

Pr2

Nor.

6.3.1  Pr1

...

...

...

Pr3

Nor.

6.3.1  Pr2

E

5 Mối quan hệ giữa các đặc tính của hệ thống truyền dẫn và quy trình an toàn

Nor.

7.2.8

E

5.1  Yêu cầu toàn vẹn chức năng (văn bản tới P1)

...

...

...

Không sử dụng

P1 đến P5

Nor.

7.1  Lời nói đầu

T

P6

Nor.

7.2.5

...

...

...

5.2  Yêu cầu toàn vẹn an toàn R1 đến R6

Nor.

7.2  Các yêu cầu chung

T

6.1  Tổng quan

Nor.

Không sử dụng

6.2  Thông tin giữa các thiết bị liên quan đến an toàn

...

...

...

7.1 và 7.2

T

6.3 Thông tin giữa các thiết bị liên quan đến an toàn và liên quan đến không an toàn

Nor.

7.2.2

E

7.3.7.2.1

E

6.4 Thông tin giữa các thiết bị liên quan đến không an toàn

...

...

...

Không sử dụng

7.1 Các yêu cầu chung

Nor.

7.3.7.2.3

E

7.2 Mục tiêu an toàn

Nor.

7.2.5

...

...

...

7.3 Độ dài của mã an toàn

Nor.

7.3.7.2.4

E

Phụ lục A Độ dài của mã an toàn

Inf.

C.4 Độ dài mã an toàn

U

CHÚ DẪN

...

...

...

Nor. Tiêu chuẩn

U (không thay đổi) bao gồm: Thay đổi các tham chiếu và thay đổi thuật ngữ để đạt được sự thống nhất của toàn bộ tiêu chuẩn.

E (thay đổi biên tập) bao gồm: Không thay đổi nội dung, chỉ sắp xếp lại và cải tiến.

T (thay đổi kỹ thuật) bao gồm: Nội dung được chuyển sang các điều khoản (phụ) khác hoặc đã thay đổi.

Bảng E.2 - Thiết lập từ IEC 62280-2:2002 sang IEC 62280

Điều khoản của IEC 62280-2:2002

Thông tin/ Tiêu chuẩn

Điều khoản của IEC 62280

Không đổi/ Sửa đổi

...

...

...

lnf.

Giới thiệu

E

1  Phạm vi

Nor.

1  Phạm vi

E

2  Tài liệu tham khảo

Nor.

...

...

...

E

3  Định nghĩa

Nor.

3  Thuật ngữ, định nghĩa và chữ viết tắt

E

4  Kiến trúc tham chiếu

Nor.

4  Kiến trúc tham chiếu

T

...

...

...

Nor.

5  Mối nguy hại đến hệ thống truyền dẫn

u

6.1  Giới thiệu

Nor.

7.1  lời nói đầu

u

6.2  Các yêu cầu chung

Nor.

...

...

...

T

6.3  Sự phòng vệ đặc trưng

Nor.

7.3  Sự phòng vệ đặc trưng

U

6.3.1  Số thứ tự

Nor.

7.3.1  Số thứ tự

U

...

...

...

Nor.

7.3.2  Dấu thời gian

U

6.3.3  Dừng thời gian

Nor.

7.3.3  Dừng thời gian

U

6.3.4  Nhận dạng nguồn và đích

Nor.

...

...

...

U

6.3.5  Bản tin hồi tiếp

Nor.

7.3.5  Bản tin hồi tiếp

U

6.3.6  Thủ tục phân loại

Nor.

7.3.6  Thủ tục phân loại

U

...

...

...

Nor.

7.3.7  Mã an toàn

T

6.3.8  Kỹ thuật mã hóa

Nor.

7.3.8  Kỹ thuật mã hóa

T

7.1  Giới thiệu

Nor.

...

...

...

U

7.2  Ma trận Mối nguy hại/ phòng vệ

Nor.

7.4.2  Ma trận Mối nguy hại/ phòng vệ

U

7.3  Lựa chọn và sử dụng mã an toàn và kỹ thuật mật mã

Nor.

7.4.3  Lựa chọn và sử dụng mã an toàn và kỹ thuật mật mã

U

...

...

...

Inf.

C.1  Ứng dụng dấu thời gian

U

A.2  Lựa chọn và sử dụng mã an toàn và kỹ thuật mật mã

Inf.

C.2  Lựa chọn và sử dụng mã an toàn và kỹ thuật mật mã

T

Thư mục

Inf.

...

...

...

T

C.1  Phạm vi/ mục đích

Inf.

6.1  Khái quát

T

C.2  Phân loại hệ thống truyền dẫn

Inf.

6.2  Khía cạnh chung của phân loại

T

...

...

...

T

C.2 Thủ tục

Inf.

D.1 Thủ tục

U

C.4 Ví dụ

Inf.

D.2 Ví dụ

U

...

...

...

Inf.

Phụ lục A Mối nguy hại trong các hệ thống truyền dẫn mở

E

CHÚ DẪN

lnf. Thông tin

Nor. Tiêu chuẩn

U (không thay đổi) bao gồm: Thay đổi các tham chiếu và thay đổi thuật ngữ để đạt được sự thống nhất của toàn bộ tiêu chuẩn.

E (thay đổi biên tập) bao gồm: Không thay đổi nội dung, chỉ sắp xếp lại và cải tiến.

T (thay đổi kỹ thuật) bao gồm: Nội dung được chuyển sang các điều khoản (phụ) khác hoặc đã thay đổi.

...

...

...

Thư mục tài liệu tham khảo

[1]. EN 61025, Fault Tree Analysis (FTA) (IEC 61025)

[2]. ISO/IEC 9796-2:2002, Information technology - Security techniques - Digital signatures scheme giving message recovery - Part 2: Integer factorization based mechanisms

[3]. ISO/IEC 9796-3:2006, Information technology - Security techniques - Digital signatures scheme giving message recovery - Part 3: Discrete logarithm based mechanisms

[4]. ISO/IEC 9797-1:2011, Information technology - Security techniques - Message Authentication Codes (MACs) - Part 1: Mechanisms using a block cipher

[5]. ISO/IEC 9797-2:2011, Information technology - Security techniques - Message Authentication Codes (MACs) - Part 2: Mechanisms using a dedicated hash-function

[6]. ISO/IEC 10116:2006, Information technology - Security techniques - Modes of operation for an n-bit block cipher

[7]. ISO/IEC 10118-1:2000, Information technology - Security techniques - Hash-functions - Part 1: General

[8]. ISO/IEC 10118-2:2010, Information technology - Security techniques - Hash-functions - Part 2: Hash-functions using an n-bit block cipher

...

...

...

[10]. ISO/IEC 10118-4:1998, Information technology - Security techniques - Hash-functions - Part 4: Hash-functions using modular arithmetic

[11]. ISO/IEC 11770-1:2010, Information technology - Security techniques - Key management - Part 1: Framework

[12]. ISO/IEC 11770-2:2008, Information technology - Security techniques - Key management - Part 2: Mechanisms using symmetric techniques

[13]. ISO/IEC 11770-3:2008, Information technology - Security techniques - Key management - Part 3: Mechanisms using asymmetric techniques

[14]. UIC 738, Processing and transmission of safety information

[15]. [A155] UIC/ORE A155.1 Report RP 4, September 1984: Survey of available measures for protection of safety information during transmission (also available in German and French)

[16]. [AES] FIPS PUB 197, 26.11.2001: Advanced Encryption Standard

[17]. [Davies] D.W. Davies and W.L. Price: Security for Computer Networks, 2nd edition, J. Wiley & Sons, Chichester

[18]. [Peterson] W.Wesley Peterson, Error correction Codes, M.l.T. Press, 1967

...

...

...

[20]. [Schneier] Bruce Schneier, Applied Cryptography, J. Wiley & Sons, Inc, 2^nd edition, 1995

[21]. [TBaum] A. Tanenbaum, Distributed Systems, Prentice Hall 1995

[22] . Woif, J. K., Michelson, A. M. und Levesque, A. H., On the probability of undetected error for linear block codes

[23]. IEEE COM-30, Dodunekova R., Dodunekov S. M., Sufficient conditions for good and proper detecting codes, 1982, 317-324

[24]. IEEE Trans. Inform. Theory, vol. 43. pp. 2023-2026, Nov. 1997

MỤC LỤC

Lời giới thiệu

Lời nói đầu

...

...

...

2  Tài liệu viện dẫn

3  Thuật ngữ, định nghĩa và chữ viết tắt

3.1  Thuật ngữ và định nghĩa

3.2  Từ viết tắt

4  Kiến trúc tham chiếu

5  Các mối nguy cơ với hệ thống truyền dẫn

6  Phân loại các hệ thống truyền dẫn

6.1  Khái quát

6.2  Các cơ sở chung để phân loại

...

...

...

6.4  Mối quan hệ giữa các hệ thống truyền dẫn và các mối đe dọa

7  Các yêu cầu bảo vệ

7.1  Khái quát

7.2  Yêu cầu chung

7.3  Các kỹ thuật bảo vệ đặc trưng

7.4  Khả năng áp dụng phòng vệ

Phụ lục A (Tham khảo) Các nguy cơ trên các hệ thống truyền dẫn mở

Phụ lục B (Tham khảo) Danh mục các hệ thống truyền dẫn

Phụ lục C (Tham khảo) Hướng dẫn phòng vệ

...

...

...

Phụ lục E (Tham khảo) Thiết lập từ các tiêu chuẩn trước đó

Thư mục tài liệu tham khảo