В чем заключается основной недостаток аттестации: Управление персоналом. Тест 6 — ДЕКАН ТЕСТ

Управление персоналом. Тест 6 — ДЕКАН ТЕСТ

1. В чем заключается цель анализа работы?
выявить качества претендентов на вакантное рабочее место
определить квалификацию, уровень знаний работника
позволяет определить соответствие характеристик человека нормативной модели рабочего места
просегментировать рынок продукции
для составления обобщенной картины о хозяйственной деятельности предприятия

2. Какое понятие не используется при анализе работы?
задание
работа
социально-психологический климат
должность
описание работы

3. Какой метод сбора информации не применяется при анализе работы?
наблюдение за выполнением задач на рабочем месте
собеседование с сотрудниками и заполнение анкет
просмотр видеокассет
анализ психологического климата
изучение документов

4. Продолжите фразу: «Хорошая должностная инструкция …»
мотивирует сотрудника лучше работать
привлекает хороших специалистов при приеме на работу
описывает, каких результатов сотрудник должен достигать
мешает работать, потому что не нужна
позволяет экономить средства фирмы на оплате труда

5. Аттестация – это форма оценки человека, которую:
может дать только другой человек, группа людей
можно провести с помощью измерительных приборов
можно провести как с помощью измерительных приборов, так и с помощью людей
работник проводит самостоятельно
может проводить только непосредственный руководитель работника

6. В чем заключается основной недостаток аттестации?
субъективизм
высокая требовательность к аттестуемым
высокая требовательность к организаторам
высокая стоимость
ухудшение морально-психологического климата в коллективе

7. К явной функции аттестации относится:
установление факта пригодности человека к определенной социальной роли
углубление знакомства с подчиненными
разрушение круговой поруки
мотивация и стимулирование труда
поиск оснований для увольнения конкретных работников

8. Какой из ниже перечисленных вопросов является центральным в западном варианте аттестации (performance appraisal)?
конкретные соглашения между менеджером и работником об улучшении деятельности
проведение оценочного интервью
умение менеджера вести переговоры
понижение в должности
понижение заработка работника

9. Какой из ниже перечисленных пунктов нельзя отнести к факторам, лежащим в основе критериев оценки персонала?
знания
качество выполнения работы
способности к руководству
возраст работника
способность к развитию

10. Когда надо проводить аттестацию персонала:
когда персонал надо сократить
когда персонал надо оценить
когда персонал надо испугать, тогда люди станут лучше работать
когда надо переходить на новую систему оплаты труда
когда надо поменять структуру компании

11. Метод оценки персонала, предполагающий письменный отчет или устное выступление с анализом выполнения плана работы и личных обязательств, называется:
анкетный опрос
интервью
шкалирование
парные сравнения
самооценка

12. Метод оценки персонала, предполагающий создание критической ситуации и наблюдение за поведением человека в процессе ее разрешения, называется:
критический инцидент
интервью
упорядочение рангов
парные сравнения
самооценка

13. Процесс традиционной аттестации персонала (формальный классический государственный вариант) не предполагают выполнение следующих обязательных мероприятий:
разработка методики аттестации и привязка к конкретным условиям организации
формирование аттестационной комиссии с привлечением непосредственного руководителя испытуемого сотрудника
определение места и времени проведения аттестации
предварительное исследование социально-психологического состояния коллектива
проработка вопросов документационного и информационного обеспечения процесса аттестации

14. Что понимается под традиционной системой аттестации работника (формальный классический государственный вариант)?
процесс оценки эффективности выполнения сотрудником своих должностных обязанностей, осуществляемый непосредственным руководителем
процесс комплексной оценки выполнения сотрудником своих должностных обязанностей, осуществляемый специально формируемой комиссией в соответствии с положением о порядке проведения аттестации работников
процесс оценки выполнения сотрудником своих должностных обязанностей его коллегами
процесс регулярного наблюдения за работой непосредственного руководителя
хронометраж, проводимый сотрудниками отдела научной организации труда

15. Выполнение определенной служебной роли на ступени, не имеющей жесткого, формального закрепления в организационной структуре, например выполнение роли руководителя временной целевой группы, есть проявление внутриорганизационной карьеры:
горизонтального типа
вертикального типа
центростремительного типа
потенциального типа
ступенчатого типа

Сущность аттестации персонала. Проведение аттестации

Сущность аттестации персонала
Проведение аттестации
Выполнил студент группы 17 ЗМН
Перетятко Александр Сергеевич
Понятие аттестации
Аттестация — комплексный метод оценки персонала, использующий другие
методы (например: интервью, анкетирование, наблюдение,
тестирование и др.) для определения аттестационной комиссией
соответствия кандидата вакантной или занимаемой должности, также
по результатам проведения аттестации сотрудника, принимаются
решения о дальнейшем перемещении или увольнении сотрудника.
Периодичность аттестации — не реже одного раза в 3 года.
Аттестация осуществляется в соответствии с Положением о порядке
проведения аттестации работников, утверждаемыми Минтрудом РФ, и
отраслевыми положениями, где конкретизируются критерии и методы
оценки квалификации работников с учетом отраслевой специфики.
Этапы и подготовка к проведению аттестации
В работе по аттестации выделяют три основных этапа:
1) Подготовка к проведению аттестации;
2) Проведение аттестации;
3) Принятие решений по результатам аттестации.
Подготовка к аттестации организуется администрацией предприятия, она
включает:
• Подготовку необходимых документов на аттестуемых;
• Разработку графиков проведения аттестации;
• Определение состава аттестационных комиссий;
• Организацию разъяснительной работы о целях и порядке проведения
аттестации.
Проведение аттестации
Аттестационная комиссия предприятия возглавляется председателем,
назначаемым из числа заместителей руководителя предприятия.
• Членами комиссии назначаются ведущие специалисты различных
структурных подразделений;
• Секретарем назначается работник службы персонала.
Аттестуемый работник заслушивается на комиссии вместе с
руководителем подразделения, в котором он работает.
Комиссия путем голосования в отсутствие аттестуемого дает одну из
оценок:
1) Соответствует занимаемой должности;
2) Соответствует занимаемой должности при условии выполнения
рекомендации комиссии с повторной аттестацией через год;
3) Не соответствует занимаемой должности.
Принятие решений
По результатам прохождения аттестации аттестационная комиссия может давать
рекомендации о:
• Продвижении работников;
• Повышении должностных окладов;
• Переводах в другие подразделения с учетом деловых и личных качеств;
• Об освобождении от занимаемой должности как не справляющихся с
возложенными обязанностями.
А также рекомендации по:
• Повышению квалификации;
• Улучшению стиля деятельности и т. п., которые проверяются при следующей
очередной аттестации.
Одним из результатов аттестационного собеседования является утверждение
личного плана сотрудника на следующий аттестационный период. Основное
назначение плана — разработка плана действий для повышения эффективности
работы сотрудника. Существует несколько форм таких планов, наиболее
распространенными в настоящее время являются — индивидуальный план
развития и личные цели.
Индивидуальный план развития и личные цели
Индивидуальный план развития — представляет собой самооценку
сотрудника (применительно к занимаемой деятельности), его видение
того, как он мог бы улучшить результаты своей профессиональной
деятельности и мероприятия, которые могли бы помочь ему в
самосовершенствовании.
Личные цели — это ограниченный набор ключевых для сотрудника задач
на аттестационный период. Включаемые в личный план цели должны
быть конкретными, поддающимися измерению, напряженными и
связанными с задачами, стоящими перед организацией в целом и
подразделением, в котором работает сотрудник. Для того, чтобы достичь
этого, цели, намеченные работником, обсуждаются с его руководителем.
Результатом такого обсуждения является согласованный личный план
сотрудника, которым он руководствуется в течение аттестационного
периода.
Методы проведения аттестации
Наиболее старым и самым распространенным методом аттестации
является метод стандартных оценок. Руководитель заполняет
специальную форму, оценивая отдельные аспекты работы сотрудника в
течение аттестационного периода по стандартной шкале.
Данный метод имеет большой недостаток, аттестацию проводит один
человек – руководитель.
Чтобы устранить этот недостаток, многие организации привлекают к
проведению аттестации, не самого руководителя, а дополнительно
привлеченного сотрудника. Но это также имеет ряд своих недостатков.
Другая разновидность методов оценки аттестуемых сотрудников сравнительные методы. При их использовании руководитель сравнивает
одного сотрудника своего подразделения с другими. руководитель
«выстраивает» своих сотрудников в условную цепочку — от лучшего к
худшему по результатам работы за аттестационный период.
Одним из наиболее популярных сегодня методов оценки сотрудника
является метод управления посредством установки целей. Управление
посредством целей начинается с совместного определения ключевых
целей сотрудника на определенный период (пол года — год). Таких целей
должно быть немного, они должны отражать наиболее важные задачи
деятельности сотрудника на следующий период и быть:
1. Конкретными, т.е. предметными и специфическими;
2. Измеримыми, т.е. поддающимися количественной оценке;
3. Достижимыми, но напряженными;
4. Значимыми, т.е. относящимися к профессиональной деятельности
сотрудника и связанными с задачами организации в целом;
5. Ориентированными во времени, т.е. для каждой цели должен быть
определен срок ее исполнения.
Основной недостаток данного метода заключается в том, что оцениваются
не все аспекты работы сотрудника, а только степень выполнения
ключевых задач
Спасибо за внимание!

Достоинства и недостатки

По сравнению с другими формами контроля знаний
тестирование имеет свои преимущества и недостатки.

 Преимущества

  • Тестирование является более
    качественным и объективным способом оценивания,
    его объективность достигается путем
    стандартизации процедуры проведения, проверки
    показателей качества заданий и тестов целиком.

  • Тестирование — более
    справедливый метод, оно ставит всех учащихся в
    равные условия, как в процессе контроля, так и в
    процессе оценки, практически исключая
    субъективизм преподавателя. По данным английской
    ассоциации NEAB, занимающейся итоговой
    аттестацией учащихся Великобритании,
    тестирование позволяет снизить количество
    апелляций более чем в три раза, сделать
    процедуру оценивания одинаковой для всех
    учащихся вне зависимости от места проживания,
    типа и вида образовательного учреждения, в
    котором занимаются учащиеся.

  • Тесты это более объёмный
    инструмент, поскольку тестирование может
    включать в себя задания по всем темам курса, в
    то время как на устный экзамен обычно выносится
    2-4 темы, а на письменный — 3-5. Это позволяет
    выявить знания учащегося по всему курсу,
    исключив элемент случайности при вытаскивании
    билета. При помощи тестирования можно установить
    уровень знаний учащегося по предмету в целом и
    по отдельным его разделам.

  • Тест это более точный
    инструмент, так, например, шкала оценивания
    теста из 20 вопросов, состоит из 20 делений, в
    то время, как обычная шкала оценки знаний —
    только из четырёх.

  • Тестирование более эффективно
    с экономической точки зрения. Основные затраты
    при тестировании приходятся на разработку
    качественного инструментария, то есть имеют
    разовый характер. Затраты же на проведение теста
    значительно ниже, чем при письменном или устном
    контроле. Проведение тестирования и контроль
    результатов в группе из 30 человек занимает
    полтора два часа, устный или письменный
    экзамен — не менее четырёх часов.

  • Тестирование — это более
    мягкий инструмент, они ставят всех учащихся в
    равные условия, используя единую процедуру и
    единые критерии оценки, что приводит к снижению
    предэкзаменационных нервных напряжений.

 Недостатки

  • Разработка качественного
    тестового инструментария  — длительный,
    трудоемкий и дорогостоящий процесс.

  • Данные, получаемые
    преподавателем в результате тестирования, хотя и
    включают в себя информацию о пробелах в знаниях
    по конкретным разделам, но не позволяют судить о
    причинах этих пробелов.

  • Тест не позволяет проверять и
    оценивать высокие, продуктивные уровни знаний,
    связанные с творчеством, то есть вероятностные,
    абстрактные и методологические знания.

  • Широта охвата тем в
    тестировании имеет и обратную сторону. Учащийся
    при тестировании, в отличие от устного или
    письменного экзамена, не имеет достаточно
    времени для сколько-нибудь глубокого анализа
    темы.

  • Обеспечение объективности и
    справедливости теста требует принятия
    специальных мер по обеспечению
    конфиденциальности тестовых заданий. При
    повторном применении теста желательно внесение в
    задания изменений.

  • В тестировании присутствует
    элемент случайности. Например, учащийся, не
    ответивший на простой вопрос, может дать
    правильный ответ на более сложный. Причиной
    этого может быть, как случайная ошибка в первом
    вопросе, так и угадывание ответа во втором. Это
    искажает результаты теста и приводит к
    необходимости учета вероятностной составляющей
    при их анализе.

Именно последний из приведенных
выше недостатков побудил провести небольшое
исследование. Мне стало интересно, какой в среднем
балл может получить ученик, отвечая на вопросы теста
наугад.  Группе учеников было предложено десять
тестов на различные темы, которые отличались
количеством вопросов, интерфейсом и способом
реализации. Поскольку исследовалась именно
вероятностная составляющая теста, учащиеся отвечали
не задумываясь над сутью вопроса. Контрольным
измерением каждого теста был процент правильно
выполненных заданий. Всего было произведено 120
измерений. Контрольные значения колебались в
пределах от 5% до 64%. Среднее значение, полученное
по результатам всех измерений = 28,10%

 Результаты
исследования.


Большинство значений лежат в промежутке от 20% до
40%. Таким образом, ученик отвечающий наугад, может
рассчитывать лишь на тройку, в лучшем случае.
Конечно, случайность исключить нельзя, но
определяющей она не является.

Увы, элемент случайности и
интуиции неизбежен, разработчик теста должен
предвидеть такую ситуацию. Чтобы свести к минимуму
возможность угадать правильно, воспользуйтесь
следующими советами. Итак, если тестируемый не знает
настоящего правильного ответа, в своем выборе он
будет действовать следующим образом:

  • предпочитать более развернутые, более
    обоснованные ответы, которые учитывают частные
    случаи, и избегать кратких, менее развернутых.
    Разработчик теста знаний может этим
    воспользоваться и сделать верный ответ кратким;
  • если ответы образуют последовательность
    (например, на вопрос о дате Куликовской битвы:
    (1) 1200 год, (2) 1240 год, (3) 1300 год, (4)
    1380 год), респондент будет стремиться дать
    средний ответ, предполагая, что правда в золотой
    середине. И ошибется, потому что Куликовская
    битва была в 1380 году, а автор задания
    позаботился о том, чтобы поставить верный ответ
    с краю;
  • выбирать более наукообразные ответы,
    содержащие малоизвестные или иностранные слова;
  • выбирать ответы, напоминающие по стилю
    написания что-то очень знакомое, ассоциирующееся
    с известной частью предметной области.


Неоднозначное отношение педагогов к использованию
тестового контроля известно. А как относятся к
тестам ученики? Для ответа на этот вопрос я
предложила учащимся с 6 по 11 класс небольшую
анкету:


1. Обычно я осмысленно отвечаю на вопросы теста, не
рассчитывая на удачу.


2. Если бы я мог(могла) выбирать между ответом на
вопросы теста и выполнением письменной работы с развернутым
ответом, то я бы предпочел(предпочла) тест.


3. Я считаю, что оценка за тест объективно оценивает
мои знания по данной теме (в случае отрицательного
ответа поясните завышена эта оценка или занижена, на
ваш взгляд).


Результаты оказались предсказуемы. Большинство
(94,28%) предпочли бы тест письменной работе или
устному развернутому ответу. Возможно это
подтверждает одно из опасений, которое высказывают
некоторые исследователи, что при выборочных ответах
учащийся привыкает работать с готовыми
формулировками и оказывается не в состоянии излагать
получаемые знания грамотным языком.


Что же касается объективности оценки, то здесь
мнения разделились. 68,75% участников опроса
согласились с тем, что получают объективную,
действительную оценку своих знаний при ответе на
тест. Среди несогласных с этим мнением 12,5%
считают, что тест завышает оценку, 18,75% —
занижает.



Приведенные выше недостатки говорят о том, что
абсолютизировать возможности тестовой формы
измерения и контроля знаний не следует. Не все
необходимые характеристики усвоения знаний и умений
можно получить средствами тестирования. Например,
такие показатели, как умение конкретизировать свой
ответ примерами, знание фактов, умение связно,
логически и доказательно выражать свои мысли,
некоторые другие характеристики знаний, умений,
навыков, диагностировать тестированием невозможно.
Это значит, что тестирование должно обязательно
сочетаться с другими  формами и методами
проверки и контроля знаний учащихся.

Магнитные толщиномеры – виды, возможности, недостатки

Магнитные толщиномеры – виды, возможности, недостатки

Магнитные толщиномеры предназначены для контроля толщины немагнитных покрытий на ферромагнитном основании. В отличие от вихретоковых они как правило позволяют, измерять в равной степени толщину и диэлектрических, и электропроводящих покрытий. Наиболее часто магнитные толщиномеры применяются для таких сочетаний основания и покрытия как изоляция на стальных трубах, краска на стали, хром на стали и т.д. Недопустимыми сочетаниями для магнитных толщиномеров являются краска на алюминии, краска на дереве или пластике, незастывшая краска. По принципу действия все магнитные толщиномеры можно подразделить на три группы: 1) пондеромоторного действия, 2) индукционные; 3) магнитостатические.

Пондеромоторный метод основан на регистрации силы отрыва постоянного магнита или сердечника электромагнита от поверхности изделия и на оценке толщины контролируемого покрытия по значению этой силы. В первом случае сила определяется при помощи пружинных динамометров, во втором – по изменению тока намагничивания. Часть приборов работающих по данному принципу, особенно стационарного типа, уже потеряла практический интерес, так ка в последние годы были разработаны более совершенные устройства. Из приборов данной группы, сохранивших актуальность в настоящее время, следует выделить миниатюрные толщиномеры, которые работают по методу прямого отрыва (по ГОСТ 31993-2013 (ISO 2808:2007). Таких толщиномеров два типа:

  • карандашного типа. Суть их работы заключается в притяжении измерительного магнита к ферромагнитной поверхности через покрытие. Сила притяжения магнита зависит от толщины покрытия. Данная зависимость механически конвертируется в толщину покрытия на стрелочном индикаторе.
  • рычажного типа, конструкция которых обеспечивает компенсацию веса магнита в любом положении. Приборы рычажного типа позволяют осуществлять контроль различных немагнитных покрытий, с толщиной до 10 мм. По сравнению с толщиномерами карандашного типа они обеспечивают более высокую точность измерений, особенно при контроле покрытий на изделиях с плоской поверхностью. Применение этих приборов для измерения толщины покрытий на изделиях сложной формы затруднено. (на фото толщиномер покрытий MikroTest немецкой компании ElektroPhysik.

К общим недостаткам всех магнитно-отрывных толщиномеров с постоянным магнитом следует отнести изнашивание наконечника магнита, которое влияет на градуирование прибора, и загрязнение магнита различными веществами или ферромагнитными опилками. Кроме того, серьезным недостатком является эффект механического прилипания магнита к поверхности, а при контроле мягких покрытий, например, лакокрасочных, — проникновение магнита в покрытие. Необходимо также отметить, что используемые в приборах пружины в процессе эксплуатации изменяют упругие характеристики. Перечисленные факторы могут привести к дополнительным погрешностям измерений, значительно превосходящим значение основной погрешности, предусмотренной техническими условиями на прибор. Это требует тщательной подготовки таких толщиномеров к работе и, при необходимости, своевременного ввода соответствующих поправок.

Индукционные толщиномеры не имеют большинства недостатков пондеромоторного метода и получили наиболее широкое распространение среди толщиномеров магнитного типа. Принцип их действия основан на измерении изменений магнитного сопротивления цепи, состоящей из ферромагнитной основы изделия, измерительного преобразователя и немагнитного зазора между ними, соответствующего толщине покрытия. Индукционный измерительный преобразователь запитывается синусоидальным током. По сравнению с толщиномерами пондеромоторного действия индукционные толщиномеры обладают значительно более высокой точностью измерений (обычно 3% измеряемого значения), процесс измерения в них идет практически непрерывно, что значительно его упрощает и ускоряет.

Магнитостатические толщиномеры – третья группа магнитных толщиномеров. Принцип их действия основан на определении напряженности магнитного поля в зазоре между постоянным магнитом (или электромагнитом) и ферромагнитным материалом основы. В большинстве магнитных толщиномеров используется двухполюсная магнитная система с постоянными стержневыми и П-образными магнитами. Простейшими приборами такого типа являются толщиномеры, в которых сочетается применение П-образного магнита и механической магнитоуравновешенной системы, расположенной в межполюсном пространстве магнита.

На фото магнитный магнитостатический толщиномер ElektroPhysik MiniTest FH-7400

Магнитостатические толщиномеры имеют более простую схемную реализацию и более технологичный в исполнении измерительный преобразователь (отсутствует необходимость намотки катушек), это делает их развитие более перспективным по сравнению с индукционными толщиномерами. Другим важным преимуществом магнитостатических толщиномеров является отсутствие переменного магнитного поля, создаваемого измерительным преобразователем и приводящего к потерям на вихревые токи при контроле электропроводящих немагнитных покрытий. При имеющихся преимуществах двухполюсных систем они имеют недостатки. Такие толщиномеры чувствительны к анизотропии свойств и к шероховатости ферромагнитного основания; кроме того, при их использовании необходимо обеспечивать одинаковый и надежный контакт полюсов преобразователя с контролируемой поверхностью.

При работе с магнитными толщиномерами необходимо учитывать многочисленные факторы, влияющие на результаты измерений: колебания магнитных свойств покрытия или основы, состояние поверхности, форму изделия и др. В значительной мере влияние этих факторов обусловлено размерами и формой магнита, топографией и напряженностью магнитного поля. В связи с возросшими требованиями к точности и надежности производственного контроля толщины покрытий резко возросли требования к их поверке и калибровке. Для метрологического обеспечения толщинометрии покрытий производятся специальные образцы с разными сочетаниями материалов покрытия и основы. Большое число вновь разрабатываемых и применяемых материалов исключает возможность серийного выпуска всей гаммы эталонных образцов, поэтому важнейшей задачей, стоящей перед разработчиками приборов магнитной толщинометрии, является создание безобразцового метода измерения толщины покрытий. Для проведения толщинометрии покрытий на опасных производственных объектах необходима аттестация по магнитному методу неразрушающего контроля.

Назначение методов контроля

Неразрушающий контроль (НК)
Визуальный и измерительный контроль (ВИК)
Ультразвуковой контроль (УК)
Капиллярный контроль (ПВК)
Магнитный неразрушающий контроль (МК)
Радиационные методы контроля (РК)
Тепловой контроль (ТК)
Течеискание (ПВТ)
Вибрационная диагностика (ВД)
Электрический контроль (ЭК)
Акустико эмиссионный метод (АЭ)
Вихретоковый контроль (ВК)

НК

Неразрушающий контроль (НК) — контроль надежности и основных рабочих свойств и параметров объекта или отдельных его элементов или узлов, не требующий выведение объекта из работы либо его демонтажа.

Неразрушающий контроль также называется оценкой надёжности неразрушающими методами или проверкой без разрушения изделия. НК особенно важен при создании и эксплуатации жизненно важных изделий, компонентов и конструкций. Для выявления различных изъянов, таких как разъедание, ржавление, растрескивание.

ВИК

Визуальный и измерительный контроль считается весьма эффективным и удобным способом выявления самых различных дефектов. Именно с визуального осмотра обычно начинаются все мероприятия по неразрушающему контролю. Данный вид контроля проводится как с использованием специальных приспособлений так и без них. Визуальный метод контроля в частности доказал свою высочайшую эффективность при контроле качества основного металла, сварных швов, соединений и наплавок – как в процессе подготовки и проведения сварки, так и при исправлении выявленных дефектов.

По сравнению со многими другими методами визуальный контроль легко применим и относительно недорог. На практике доказано, что этот метод контроля является надежным источником максимально точной информации о соответствии сварных изделий необходимым техническим условиям. От других видов неразрушающего контроля визуально оптический контроль отличается границами спектральной области ЭМИ (электромагнитное излучение), используемого для получения информации об объекте. Он может проводится с использованием даже простейших измерительных средств. Естественно, очень многое здесь зависит от целей, задач и условий измерения (в ряде случаев необходимо использование довольно сложных средств визуального контроля в сочетании с высоким уровнем квалификации специалиста, который его проводит). Кроме того, визуально измерительный контроль является таким же надежным видом контроля, как ультразвуковой и радиационный. Разумеется, для эффективного выявления дефектов нужно уметь выбрать правильный подход и разработать соответствующую методику контроля.

Недостатком ВИК является человеческий фактор (физическое и эмоциональное состояние контролера, утомляемость и т.д.)

УК

Ультразвуковой контроль сварных соединений является эффективным способом выявления дефектов сварных швов и металлических изделий, залегающих на глубинах от 1-2 миллиметров до 6-10 метров. Данный метод позволяет выполнять весь комплекс работ по ультразвуковой диагностике сварных соединений и сокращает затраты на проведение экспертизы.

Ультразвуковой контроль позволяет осуществлять диагностику качества сварных соединений, контроль металлов, литых заготовок, стального литья и многого другого.

Ультразвуковой контроль позволяет выявлять и документировать участки повышенного содержания дефектов, классифицируя их по типам и размерам. Для разных типов сварных соединений применяются соответствующие методики ультразвукового контроля. При ультразвуковом контроле сварных соединений применяются эхо-импульсный, теневой или эхо-теневой методы УЗК. Способ ультразвукового контроля сварного соединения устанавливается в технической документации.

Ультразвуковой контроль сварных соединений позволяет провести полную диагностику сварных соединений без использования дорогостоящих методов неразрушающего контроля качества сварных швов.

ПВК

Капиллярная дефектоскопия — метод дефектоскопии, основанный на проникновении определенных жидких веществ в поверхностные дефекты изделия под действием капиллярного давления, в результате чего повышается свето- и цветоконтрастность дефектного участка относительно неповрежденного.

Капиллярный контроль предназначен для выявления невидимых или слабо видимых невооруженным глазом поверхностных и сквозных дефектов (трещины, поры, раковины, непровары, межкристаллическая коррозия, свищи и т.д.) в объектах контроля, определения их расположения, протяженности и ориентации по поверхности.

Различают люминесцентный и цветной методы капиллярной дефектоскопии.

В большинстве случаев по техническим требованиям необходимо выявлять настолько малые дефекты, что заметить их при визуальном контроле невооруженным глазом практически невозможно. Применение же оптических измерительных приборов, например лупы или микроскопа, не позволяет выявить поверхностные дефекты из-за недостаточной контрастности изображения дефекта на фоне металла и малого поля зрения при больших увеличениях. В таких случаях применяют капиллярный метод контроля.

При капиллярном контроле индикаторные жидкости проникают в полости поверхностных и сквозных несплошностей материала объектов контроля, и образующиеся индикаторные следы регистрируются визуальным способом или с помощью преобразователя.

МК

Магнитные методы неразрушающего контроля применяют для выявления дефектов в деталях, изготовленных из ферромагнитных материалов (сталь, чугун), т. е. материалов, которые способны существенно изменять свои магнитные характеристики под воздействием внешнего магнитного поля.

Магнитный неразрушающий контроль основан на выявлении различными способами магнитных полей рассеяния, возникающих над дефектами, или на определении и оценке магнитных свойств объекта контроля.

Магнитопорошковый метод основан на выявлении магнитных полей рассеяния, возникающих над дефектами в детали при ее намагничивании, с использованием в качестве индикатора ферромагнитного порошка или магнитной суспензии . Этот метод среди других методов магнитного контроля нашел наибольшее применение. Примерно 80 % всех подлежащих контролю деталей из ферромагнитных материалов проверяется именно этим методом. Высокая чувствительность, универсальность, относительно низкая трудоемкость контроля и простота — все это обеспечило ему широкое применение в промышленности вообще и на транспорте в частности. Основным недостатком данного метода является сложность его автоматизации.

РК

Радиационные методы контроля основаны на регистрации и анализе ионизирующего излучения при его взаимодействии с контролируемым изделием. Наиболее часто применяются методы контроля прошедшим излучением, основанные на различном поглощении ионизирующих излучений при прохождении через дефект и бездефектный участок сварного соединения. Интенсивность прошедшего излучения будет больше на участках меньшей толщины или меньшей плотности, в частности в местах дефектов — несплошностей или неметаллических включений.

Методы радиационного контроля классифицируются прежде всего по виду (и источнику) ионизирующего излучения и по виду детектора ионизирующего изучения.

Ионизирующим называют изучение, взаимодействие которого со средой приводит к образованию электрических зарядов. Так как ионизирующее излучение, состоящее из заряженных частиц, имеет малую проникающую способность, то для радиационного контроля сварных соединений обычно используют излучение фотонов или нейтронов. Наиболее широко используется рентгеновское излучение (Х-лучи). Это фотонное излучение с длиной волны 6х10-13…1х10-9 м. Имея ту же природу, что и видимый свет, но меньшую длину волны (у видимого света 4…7 х 10-7 м), рентгеновское излучение обладает высокой проникающей способностью и может проходить через достаточно большие толщины конструкционных материалов. При взаимодействии с материалом контролируемого изделия интенсивность рентгеновского излучения уменьшается, что и используется при контроле. Рентгеновское излучение обеспечивает наибольшую чувствительность контроля.

Получают рентгеновское излучение в рентгеновских трубках. Испускаемые с накаленного катода электроны под действием высокого напряжения разгоняются в герметичном баллоне, из которого откачан воздух, и попадают на анод. При торможении электронов на аноде их энергия выделяется в виде фотонов различной длины волны, в том числе и рентгеновских. Чем больше ускоряющее напряжение, тем больше энергия образующихся фотонов и их проникающая способность.

К недостаткам радиационных методов необходимо прежде всего отнести вредность для человека, в связи с чем требуются специальные меры радиационной безопасности: экранирование, увеличение расстояния от источника излучения и ограничение времени пребывания оператора в опасной зоне. Кроме того, радиационными методами плохо выявляются несплошности малого раскрытия (трещины, непровары), расположенные под углом более 7… 12° к направлению просвечивания, метод малоэффективен для угловых швов.

ТК

Тепловой контроль основан на измерении, мониторинге и анализе температуры контролируемых объектов. Основным условием применения теплового контроля является наличие в контролируемом объекте тепловых потоков. Процесс передачи тепловой энергии, выделение или поглощение тепла в объекте приводит к тому, что его температура изменяется относительно окружающей среды. Распределение температуры по поверхности объекта является основным параметром в тепловом методе, так как несет информацию об особенностях процесса теплопередачи, режиме работы объекта, его внутренней структуре и наличии скрытых внутренних дефектов. Тепловые потоки в контролируемом объекте могут возникать по различным причинам. Тепловизионная техническая диагностика получила широкое распространение в энергетике, строительстве и промышленности. Основное преимущество метода — контроль объектов без вывода из эксплуатации и без какого-либо воздействия на них. Очевидно, что успешному внедрению теплового метода контроля способствует развитие средств измерений, в основном тепловизионной техники.

Применение тепловизоров не ограничивается задачами неразрушающего контроля. Этот замечательный инструмент для визуализации тепловых полей и дистанционного измерения температуры нашел применение в военной технике, навигации, медицине, системах безопасности и охраны, противопожарном деле, экологии.

ПВТ

Течеискание — процесс обнаружения течей.

Стандартизация методов течеискания сегодня отвечает не только формальной необходимости выработки и применения наиболее правильных способов и приёмов контроля герметичности изделий, установок, систем, но и становится практически необходимым мероприятием в связи с рядом обстоятельств. К ним относятся:

  • повышение требований к надёжности работы объектов, представляющих опасность для населения и окружающей среды в случае возникновения аварий,
  • развитие приборной базы течеискания, как зарубежной, так и отечественной, дающей новые возможности при их использовании,
  • относительная сложность выполнения испытаний на герметичность, требующая специальных знаний и навыков,
  • ограниченное распространение опыта течеискания, который накапливался в основном в оборонных и закрытых отраслях промышленности,
  • неэффективность слепого распространения опыта контроля одних объектов на другие, относящиеся к другому классу технических систем.

Течеискание в вакуумной технике, обнаружение мест нарушения герметичности вакуумных систем. Осуществляется приборами, называемыми течеискателями. Простейший способ нахождения течей — с помощью искрового течеискателя, которым обнаруживают течи в стеклянных оболочках по искре, возникающей при прикосновении иглы течеискателя к дефектному месту. Наименьшее натекание оценивается в 10-4 н×м/сек, или 10-3 л×мм рт. ст./сек. Для обнаружения более «тонких» течей в любых оболочках (стеклянных, металлических и др.) используют масс-спектрометрические течеискатели. Негерметичность определяют по проникновению в систему пробного вещества (обычно Не), которым её обдувают снаружи. Масс-спектрометр, настроенный на индикацию Не, включают в вакуумную систему и по показанию его регистрирующего устройства судят о наличии и размерах течи. Гелиевым течеискателем обнаруживают течи 10-15 н×м/сек, или 10-14 л×мм рт. ст./сек. Применяются и др. пробные вещества (например, Аr).

Действие галогенного течеискателя основано на свойстве некоторых металлов (например, Pt, Ni), эмитирующих при нагреве ионы примесей щелочных металлов, увеличивать эмиссию в присутствии галогенов (галогенный эффект, обусловливающий поверхностную ионизацию). Пробными веществами чаще всего служат фреоны. По изменению ионного тока судят о наличии и размерах течи. Галогенными течеискателями обнаруживают течи до 10-9 н×мм рт. ст./сек, или 10-8 л×мм рт. ст./сек.
Менее распространены другие методы Течеискание: люминесцентный, меченых атомов и т. п.

ВД

Вибрационная диагностика — метод диагностирования технических систем и оборудования, основанный на анализе параметров вибрации, либо создаваемой работающим оборудованием, либо являющейся вторичной вибрацией, обусловленной структурой исследуемого объекта.

Вибрационная диагностика, как и другие методы технической диагностики, решает задачи поиска неисправностей и оценки технического состояния исследуемого объекта.

Наибольшее развитие метод получил при диагностировании подшипников качения. Также вибрационный метод успешно применяется при диагностике колёсно-редукторных блоков на железнодорожном транспорте.

Заслуживают внимания виброакустические методы поиска утечек газа и в гидрооборудовании. Суть этих методов заключается в следующем. Жидкость или газ, дросселируя через щели и зазоры, создаёт турбулентность, сопровождающуюся пульсациями давления, и, как следствие, в спектре вибраций и шума появляются гармоники соответствующих частот. Анализируя амплитуду этих гармоник, можно судить о наличии (отсутствии) течей.

Интенсивное развитие метода в последние годы связано с удешевлением электронных вычислительных средств и упрощением анализа вибрационнных сигналов.

Преимущества:

  • метод позволяет находить скрытые дефекты;
  • метод, как правило, не требует сборки-разборки оборудования;
  • малое время диагностирования;
  • возможность обнаружения неисправностей на этапе их зарождения.

Недостатки:

  • особые требования к способу крепления датчика вибрации;
  • зависимость параметров вибрации от большого количества факторов и сложность выделения вибрационного сигнала, обусловленного наличием неисправности;
  • низкая точность диагностирования.

ЭК

Электрические методы неразрушающего контроля основаны на создании электрического поля на контролируемом объекте либо непосредственным воздействием на него электрическом возмущении, либо косвенно с помощью теплового, механического воздействия. С помощью электрического контроля регистрируют параметры электрического поля.

Электрический контроль регистрирует параметры электрического поля, взаимодействующего с контролируемым объектом (собственно электрический метод), или поля, возникающего в контролируемом объекте в результате внешнего воздействия (термоэлектрический метод) и применяется для контроля диэлектрических и проводящих материалов.

Методы электрического контроля (электростатический порошковый, термоэлектрический, электроискровой, электрического потенциала, емкостной) позволяют определять дефекты различных материалов, измерять толщины покрытий и слоев, сортировать металлы по маркам, контролировать диэлектрические или полупроводниковые материалы. Недостатками перечисленных методов электрического НК являются необходимость контакта с объектом контроля, жесткие требования к чистоте поверхности изделия, трудности автоматизации процесса измерения и зависимость результатов измерения от состояния окружающей среды.

АЭ

Акустико эмиссионный метод – очень эффективное средство неразрушающего контроля и оценки материалов, основанное на обнаружении упругих волн, которые генерируются при внезапной деформации напряженного материала. Данные волны распространяются от источника непосредственно к датчикам, где затем преобразуются в электрические сигналы. Приборы акустико-эмиссионного контроля измеряют эти сигналы, после чего отображают данные, на основе которых происходит оценка состояния и поведения всей структуры исследуемого объекта.

Как известно, традиционные методы неразрушающего контроля (ультразвуковой, радиационный, вихретоковый) позволяют обнаруживать геометрические неоднородности (дефекты) путем излучения в структуру объекта некоторой формы энергии. В отличие от этих методов, в акустико эмиссионном контроле применяется другой подход: обнаруживаются не геометрические неоднородности, а микроскопические движения. Такой метод позволяет очень быстро обнаруживать рост даже самых небольших трещин, разломов включений, утечек газов или жидкостей. То есть большого количества самых разнообразных процессов, производящих акустическую эмиссию.

С точки зрения теории и практики метода акустической эмиссии, абсолютно любой дефект может производить свой собственный сигнал. При этом он может проходить довольно большие расстояния (до десятков метров), пока не достигнет датчиков. Более того, дефект может быть обнаружен не только дистанционно; но и путем вычисления разницы времен прихода волн к датчикам, расположенных в разных местах.

Основные особенности акустического метода контроля, определяющие его возможности и область применения:

  • Обеспечивает обнаружение дефектов по степени их опасности;
  • Обладает высокой чувствительностью к растущим дефектам и позволяет в рабочих условиях определять приращение трещины до долей миллиметров;
  • Предельная чувствительность приборов по теоретическим оценкам может составлять до 1*10-6мм2
  • Интегральность метода обеспечивает контроль всего объекта с использованием одного или нескольких преобразователей, неподвижно установленных на поверхности объекта;
  • Метод позволяет проводить контроль самых различных технологических процессов, а также процессов изменения свойств и состояния материалов;
  • Ориентация и положение объекта не влияет на выявляемость дефектов.

Особенностью метода, ограничивающей его применение, является возможная в ряде случаев трудность выделения нужных сигналов из помех. Если сигналы малы по амплитуде, то их выделение из помех представляет собой сложную задачу.

ВК

Вихретоковый контроль основан на анализе взаимодействия внешнего электромагнитного поля с электромагнитным полем вихревых токов, наводимых в объекте контроля (ОК) этим полем. Распределение и плотность вихревых токов определяются источником электромагнитного поля, геометрическими и электромагнитными параметрами ОК, а также взаимным расположением источника поля и ОК.

В качестве источника тока ЭЛМ поля чаще всего используется индуктивная катушка с синусоидальным током, называемая вихретоковым преобразователем (ВТП).

Основными достоинствами метода являются возможность осуществления многопараметрового и бесконтактного контроля ОК. Благодаря этому вихретоковый контроль можно осуществлять при движении ОК относительно ВТП, причем скорость движения при производственном контроле может быть значительной, что обеспечивает высокую производительность контроля.

Дополнительным преимуществом метода является то, что на сигналы ВТП практически не влияют влажность, давление и загрязненность газовой среды, радиоактивные излучения, загрязнения поверхности ОК непроводящими веществами, а также простота конструкции ВТП.

Т.к. вихревые токи возникают только в электропроводных материалах, то объектами контроля могут быть изделия, изготовленные из металлов, сплавов, графита, полупроводников и других электропроводящих материалов.

Метод ВК применяется для дефектоскопии, структуроскопии, определения толщины покрытий, размеров, проводимости и качества термической обработки. Объектами вихретокового контроля могут быть электропроводящие прутки, проволока, трубы, листы, пластины, покрытия, в т.ч. многослойные, железнодорожные рельсы, корпуса атомных реакторов, подшипники, крепежные детали и многие другие промышленные изделия.

Проблемы системы школьного образования — основные проблемы современных российских школ

Проблема 1. Отсутствие профильного обучения

Первая проблема современного образования — большинство образовательных программ предполагает равное изучение гуманитарных, точных и естественных наук. Интересы и склонности конкретного ребёнка не учитываются. Каждый предметник считает свою дисциплину главной и старается загрузить учеников по максимуму.

Возможность выбрать какой-либо профиль обычно есть только у старшеклассников, и то не во всех школах. Дети тратят время на ненавистные и ненужные предметы — это существенный недостаток современного школьного образования.

Семейная форма обучения позволяет сфокусироваться на профильных дисциплинах. Например, ученица «Фоксфорда» Есения Прокопьева занимается академическим вокалом и хочет связать жизнь с искусством, поэтому больше внимания уделяет гуманитарному профилю.

Читать целиком интервью с Есенией Прокопьевой →

«В обычной школе приходилось тратить большую часть дня на предметы, которые мне не пригодятся, — физику, химию, информатику. Онлайн-школа позволяет заниматься любимым делом. В “Фоксфорде” я могу сосредоточиться на дисциплинах, которые мне необходимы, — это русский язык, литература, история и английский язык. Ненужные предметы изучаю по минимуму, лишь для аттестации».

Проблема 2. Гонка за показателями

У каждой школы свой рейтинг. Чем он выше, тем у образовательной организации больше преференций. Рейтинг складывается из многих показателей, в частности «среднего балла» учащихся и результатов ЕГЭ. Из этого вытекает следующая проблема общеобразовательных школ.

Зачастую оценки не коррелируют с реальными знаниями. Более того, у многих школьников отметки порождают комплексы и становятся причиной для буллинга и других проблем обучения в школе. Вот что говорит о пятибалльной системе ученица 8 класса «Фоксфорда» Софья Голова.

Читать целиком интервью с Софьей Головой →

«В обычной школе о тебе судят по оценкам. С двоечником никто не хочет общаться. В четвёртом классе у нас была отличница. Всякий раз, когда меня вызывали к доске, и я получала “четыре” или “три”, я думала, что опозорилась, потому что училась хуже неё. Я бы отменила оценки — они только настроение портят и нас портят. Без оценок если задание не даётся сразу, думаешь “Ну буду стараться лучше”, а с оценкой — “Всё, я тупой!”».

<<Форма с консультацией>>

Проблема 3. Бюрократия

Формализм пронизывает все сферы школьной жизни — от ведения электронных журналов до пресловутых «четыре клетки вниз две вправо». Ребёнка с первого класса приучают к правилу «Без бумажки ты букашка» и заставляют соблюдать десятки никому не нужных правил, порождая все новые проблемы в области образования.

Наталья Фукс перевела дочь на семейное обучение, чтобы избавить её от давления системы школьного образования. Обучение в онлайн-школе «Фоксфорда» стало для них путешествием на машине времени.

‍Читать целиком интервью с Натальей и Лией Фукс →

«Качество образования гораздо выше по сравнению с обычной школой. Лии сейчас явно не хватает школьных знаний, приходится догугливать. Причём замечу, что училась Лийка всегда хорошо. Это именно разница в глубине материала. Безумно нравятся преподаватели. Молодые (в основном), весёлые, позитивные, увлечённые, а не измотанные люди! КПД семейного обучения отличается от школьного в десятки раз. Ни одной минуты не тратится на ерунду вроде “Куда сел?!”, “Перестань болтать!”, “А голову ты дома не забыл?”, “Где журнал?”. Никаких снижений оценок за почерк, зачёркивания, клеточки и отступы».

Проблема 4. Разный уровень подготовки учеников

Одни родители сами готовят детей к школе, другие полагают, что это зона ответственности педагогов. Одни дети в три года читают и считают, другие в семь едва складывают слоги и цифры. А потом 30–40 абсолютно разных ребят собираются в одном классе.

Неудивительно, что появляются лидеры и отстающие, и это тоже своего рода проблема современной школы. Классическая школьная система, в отличие от домашней школы, не учитывает интересы ни тех ни других. Быстро схватывающие материал ребята скучают на уроках, а те, кому нужен особый подход, находятся в постоянном стрессе.

Оба ребёнка Ксении Ярыш перешли в «Домашнюю школу Фоксфорда», потому что в государственном лицее не учитывали их индивидуальные особенности — такая проблема обучения есть и в обычных школах, и в гимназиях и лицеях.

Читать целиком интервью с Ксенией Ярыш →

«У сына всё пошло не так с первого дня. Что называется, не вписался. Возник конфликт с преподавателем по математике: Саше было трудно решать задачи в быстром темпе и давящей атмосфере (дома он с ними справлялся легко и быстро). В конце третьей четверти сын вовсе отказался решать математику, так как учительница сказала, что у него всё равно ничего не получится».

Проблема 5. Низкая эффективность занятий

Классический школьный урок длится 45 минут. Из них 10–15 уходит на организационные вопросы (все ли на месте, кто дежурный и так далее), ещё 10–15 на проверку и разъяснение домашнего задания. На подачу нового материала остаётся 15–20 минут, при условии, что класс спокойный и никто из учеников не саботирует. Такой режим негативно сказывается на качестве школьного образования.

Елена Янышина перешла в «Домашнюю школу Фоксфорда» потому, что каждый урок в её прежней школе походил на зоопарк. Дети стояли на ушах, а учителя вместо того, чтобы объяснять материал, пытались их успокоить. Получать знания в такой обстановке стало проблемой, и Лена решила попробовать онлайн-школу.

Читать целиком интервью с Еленой Янышиной →

«В “Фоксфорде” я чувствую себя более ответственной. Сама встаю утром, сама сажусь за уроки, сама делаю ДЗ или читаю учебник. Никто тебя не заставляет: либо учишься, либо нет — это твой выбор».

Проблема 6. Большие домашние задания

Всё, что не успели пройти на уроке, переходит в работу на дом.

По СанПину на выполнение домашних заданий в младшей школе должно уходить 1,5-2 часа, в 6 классе — 2,5, в 9-м — 3,5 часа. Реальные цифры гораздо больше. Домашняя работа зачастую настолько объёмна, что за уроками приходится засиживаться допоздна. Особенно если ребёнок несамостоятелен и ждёт, когда мама с папой придут с работы и помогут с заданиями. Эта актуальная проблема современного образования беспокоит многих родителей.

Семейное образование приучает детей к самостоятельности. Особенно быстро учатся распоряжаться своим временем экстерны. Ученик «Фоксфорда» Василий Полторацкий в этом году заканчивает 11 класс, хотя по возрасту должен быть только в 8-м.

Читать целиком интервью с Василием Полторацким →

«За год экстерната я полностью освоился в самообразовании и начал получать удовольствие от обучения дома. Долой подъёмы в шесть утра и часовые поездки в метро с двумя пересадками! Главное преимущество экстерната в гибком графике. Если сегодня сделал мало, завтра наверстаешь».

Проблема 7. Плохая подготовка молодых учителей

Слабая заинтересованность в результатах обучения проявляется как у молодых, так и у опытных педагогов. Это общая проблема современной системы школьного образования в России.

Первым чтобы получать достойную зарплату, приходится брать больше часов, классное руководство и репетиторство. Качество обучения при этом оставляет желать лучшего. Учителям некогда готовиться к урокам, большая нагрузка неизбежно приводит к физическому и эмоциональному выгоранию.

Очень точно об этой проблеме в системе образования высказалась мама выпускницы «Домашней школы Фоксфорда» Ирина Фомичёва. К слову, сама в прошлом педагог.

‍Читать целиком интервью с Ириной Фомичёвой →

«В школе много случайных людей. Сначала они случайно оказываются в педагогическом институте (он часто становится запасным аэродромом для не добравших баллы в топ-вузы), потом также случайно начинают преподавать.

Учитель — это призвание. Но его труд должен оплачиваться достойно. Иначе огонь в глазах быстро погаснет. Молодые педагоги тонут в отчётах и методичках. Канцелярщина и рутина убивают интерес к предмету, не оставляют времени для саморазвития. Добавьте к этому отсутствие материальных стимулов, и вы поймёте, почему на типичных школьных уроках скучно так, что зубы сводит».

Проблема 8. Устаревшие методы работы

Педагоги в возрасте зачастую не могут приспособиться к электронному документообороту, а главное — они не понимают ценностей поколения Z. Поэтому ходят на работу, лишь бы «доработать до пенсии», и порой открыто демонстрируют свою неудовлетворённость жизнью. А ведь таких учителей большинство, и их подход, безусловно, является недостатком современного образования.

В семье ученика «Домашней школы Фоксфорда» Тимофея Кожина решение о переходе на семейное обучение созрело внезапно. Мама опасалась, что сыну отобьют охоту учиться.

Читать целиком интервью Дарьи Горбачевой →

«Несмотря на гордое звание лицея, Тим часто сталкивался с враждебным отношением преподавателей. Сыну не нравился формальный подход к объяснению материала, а учителям — его стремление изучить темы глубоко, забегать вперёд. И мы ушли».

Проблема 9. Отсутствие подготовки к ОГЭ и ЕГЭ

Подготовка к основному и единому государственным экзаменам идёт вразрез с повседневной учебной деятельностью школ. ОГЭ и ЕГЭ — форматные экзамены. Недостаточно разбираться в предмете, от учеников требуются довольно специфические умения: правильно интерпретировать задания, писать ответы в строгом соответствии с критериями оценивания, грамотно заполнять бланки. Основная проблема обучения в школе состоит в том, что на уроках этому не учат — приходится нанимать репетиторов или посещать подготовительные курсы.

В «Домашней школе Фоксфорда» подготовка к ОГЭ и ЕГЭ является частью индивидуальной программы учеников. Например, девятиклассник Вячеслав Костюшко вносит занятия по подготовке к ОГЭ в свой ежедневный план и постепенно просматривает.

‍Читать целиком интервью с Вячеславом Костюшко →

«Главное — не бояться и быть честным с собой при подготовке. ОГЭ — это не монстр, а обычная контрольная, только в особом формате. Если посещал занятия и не читерил, всё будет хорошо».

Проблема 10. Внеурочная нагрузка

Современная общеобразовательная школа не выполняет воспитательной функции — только образовательную, но в обязательном порядке должна организовывать внеурочную деятельность обучающихся.

Добровольно-принудительное посещение дополнительных занятий, классных часов, чаепитий и концертов не нравится большинству детей и родителей. Особенно когда у ребёнка есть свои кружки и секции по интересам. И для многих учеников эта проблема в образовании является актуальной.

Дети на семейном обучении отнюдь не страдают от отсутствия социализации. Напротив, свободного времени становится больше. Так, ученик «Домашней школы Фоксфорда» Степан Павловских с трёх лет занимался хореографией, тхэквондо и художкой. А когда пошёл в школу, про кружки пришлось практически забыть — не хватало времени.

‍Читать целиком интервью со Степаном Павловских →

«В “Домашней школе Фоксфорда” действительно хорошее расписание. Занятия начинаются в 10:00 или 11:00, в четверг и воскресенье полностью свободные дни, а в субботу всего один урок. Это позволило мне вернуться в художку, а также записаться на самбо и в бассейн. В планах ещё заняться каллиграфией и скорочтением».

                                                                                       _________

Традиционная школьная система имеется массу проблем и недостатков и нуждается в реформировании. Это факт. Недаром разработан новый национальный проект «Образование», который планируется реализовать к 2024 году.

Избавиться от недостатков массовой школы можно уже сейчас. Закажите обратный звонок или заполните форму бесплатной консультации — специалист «Фоксфорда» свяжется с вами и проконсультирует по вопросам семейного и дистанционного обучения.

Оценка эффективности персонала | Определение эффективности персонала и способы её повышения


Образование, квалификация и опыт работы сотрудника не так важны для руководителя организации, как конкретный результат. Поэтому главным критерием оценки эффективности работы выступает результативность труда персонала. Остальные показатели – личностные данные, квалификация, опыт – учитываются как вспомогательный, а не первостепенный критерий.


Оценка результативности: понятие и значение


Давать оценку результативности исполнения обязанностей персоналом организации вправе менеджер по кадровой работе, непосредственный руководитель или работодатель. Анализ продуктивности профессиональной деятельности отдельного работника, оценка выполнения им поставленных задач позволяют отметить эффективность функционирования всей компании.


При оценке эффективности работы персонала учитываются:


  • объем выполненной работы;

  • сложность поставленных задач;

  • особенности возложенных функциональных обязанностей;

  • результаты труда.


Человек может справляться со своими обязанностями, однако никогда не вкладываться в сроки, постоянно отвлекать коллег для помощи с работой, в то время как эффективность складывается из двух показателей:


  • Время, потраченное на достижение результата.

  • Затраченные ресурсы.


Опытному специалисту по работе с персоналом хорошо известно: повысить эффективность деятельности персонала удастся, если выполнить три условия. И все три условия направлены на взаимодействие руководителя и подчиненного:


1. Желание трудиться должно стать обоюдным. Чтобы получить «отдачу» от рядового сотрудника, начальнику следует поговорить про  «бонусы» в виде премии или карьерного роста. Таким образом, обе стороны остаются в выигрыше: работник улучшает свое материальное положение или приобретает новый статус, а организация увеличивает прибыль благодаря эффективности использования персонала.


2. Использование «личных»/«эгоистичных» потребностей подчиненного для увеличения показателей его эффективности. Для каждого важен свой собственный интерес. Если удастся узнать, что важно для человека, это можно использовать в качестве мотивации.


3. Заинтересованность руководства в коллективе работников. Если подчиненные чувствуют свою «необходимость», понимают, что компания заинтересована в каждом из них, они  стараются не разочаровать руководство, а результаты труда послужат наградой и для подчиненного, и для руководителя.


Цели оценивания


Как возникла идея оценки труда? Каждый наниматель хочет знать, на что тратит деньги. Ему важно понимать, что  польза от деятельности работника соответствует вложенным в него средствам. Оценку эффективности проводят, чтобы узнать:


  • уровень работы управленческой системы, а также организацию распределения функциональных обязанностей среди персонала;

  • справляется ли отдельный сотрудник с возложенными на него задачами, и в каком объеме;

  • «нужность» сотрудника для фирмы: соотношение расходов компании на содержание работника с его личным вкладом в прибыль предприятия;

  • соответствие объема выполненной работы полученному заработку;

  • какие методы мотивации будут действенными для персонала;

  • насколько перспективен служащий, и стоит ли вкладывать средства в его обучение для повышения эффективности и производительности его труда, исходя из интересов организации.


Внедрение оценивания КРI (ключевых показателей эффективности) персонала – популярная методика современных руководителей.


На практике это выглядит следующим образом: начальник устанавливает для персонала определенные цели и задачи. Некоторые сотрудники задачи выполняют, другие нет. По оценке и награда: выполнившим план – бонус (денежное вознаграждение), остальным – спасибо за работу (или попытку с ней справиться). Цель таких оценок – справедливая оплата труда.


Для кого нужна оценка?


В оценке эффективности заинтересован, прежде всего, работодатель. Исходя из показателей эффективности, он оплату для персонала и назначает. Например, менеджера по продажам можно заинтересовать процентом от заключенных сделок. Чем выше его персональная эффективность, тем выше среднемесячный доход. Для офисных служащих важен оклад. А величина оклада будет зависеть от оценки результативности их труда. А вот с творческим персоналом – дизайнерами или программистами – все намного сложнее.  Российские компании только начинают использовать показатель КРI в оценке продуктивности творческого труда. Оплата труда наемных служащих компаний базируется на субъективной оценке руководителя или работодателя. Только часть руководителей сознаются в своем методе оценивания, а остальные это усердно скрывают.



Проблемы при внедрении системы оценивания


Не всем руководителям удается успешно внедрить систему оценок эффективности для своих подчиненных. И причина кроется, как в неудачном методе, так и в недостаточной эффективности самого руководителя. Какие проблемы анализа результативности трудовой деятельности могут возникать и почему?


Первый барьер на пути успешного внедрения системы оценок уровня результативности исполнения персоналом своих обязанностей – это сопротивление коллектива. Почему так происходит? Существует ряд причин:


  • опасения относительно нововведений. Персонал боится изменений, полагая, что объем работы увеличится, а размер зарплаты уменьшится;

  • сложная схема. Многоуровневая система оценивания эффективности использования персонала сбивает с толку и демотивирует работника. Если сотрудник не может понять, что он сделал не так и почему ему заплатили меньше, это негативно сказывается на его деятельности и отношении к работе;

  • непонятная система оплаты труда. Если премия выплачивается, исходя из результатов работы за прошлый, а то и позапрошлый месяц, сотрудник оказывается дезориентирован: работал хуже, а заработал больше;

  • разница в оценке выполненных задач и общей эффективности у самого работника и его руководителя. А такие оценки редко совпадают;

  • достижение поставленной цели не всегда полностью зависит от деятельности работника. То, что он считает правильным, эстетичным, может напрочь не понравиться заказчику. И работу придется переделывать, внося правки снова и снова. Поэтому, оценивая деятельность «творческих» работников, руководителю стоит применить особый метод или индивидуальный подход;

  • необходимость тратить время на отчеты. Кому понравится после выполнения работы поставленная задача написать подробный отчет с указанием потраченного времени, соблюдения сроков и анализа собственных ошибок.


Итак, главной проблемой внедрения оценок производительности и результативности труда является субъективность и непрозрачность методов оценивания.



Устранить субъективность в оценках поможет автоматизированный профайлинг. Алгоритм, который заложен в «СёрчИнформ ProfileCenter», беспристрастно составляет психологические профили сотрудников, определяя их сильные и слабые стороны. Собранная информация позволяет принимать справедливые управленческие решения.



Особенности оценивания качества труда


Главными критериями оценки продуктивности исполнения персоналом своих обязанностей являются:


  • итоговая прибыль организации;

  • задействованный персонал.


Сам по себе уровень прибыли не гарантирует одинаковой эффективности каждого сотрудника. Оценка труда всей команды может не соответствовать оценке работника, который «прячется» за коллегами и только «выглядит» эффективным сотрудником.


Помогают определить уровень работы персонала специально разработанные методы оценок, направленные на определение количества приложенных усилий сотрудника, его потенциала и внешних факторов, влияющих на его деятельность.



Методики оценивания


Оценка профессионального уровня персонала выставляется на основе анализа:


  • объема теоретических знаний сотрудников организации;

  • умения персонала применить знания на практике.


Методы оценки конкретного работника позволяют руководителю определить способность подчиненного создавать «продукт», нужный для организации, с наименьшими затратами со стороны последней.


Наиболее популярны такие методики оценки персонала:


  1. Аттестация.

  2. Тесты.

  3. Целевое упрвление (Management By Objectives).

  4. Управление эффективностью (Performance Management.)


Аттестация


Метод аттестации дает возможность проверить уровень профессионализма персонала компании. Проводится аттестация коллегиально, оценку знаний служащих дает комиссия, в состав которой входят специалисты отдельных направлений. Оценки при аттестации ставятся за:


  • теоретические знания персонала;

  • умение применять их в работе;

  • соответствует ли работник своей должности.


Аттестация – единственный метод оценивания профессионального уровня персонала, предусмотренный трудовым законодательством Российской Федерации. Если сотрудник получил низкую или неудовлетворительную оценку, работодатель вправе расторгнуть с ним контракт.


Тесты


Тестовые методики оценки персонала помогают составить объективное мнение о кандидате на должность при приеме на работу.


Практическое применение тестовых способов оценки заслужило доверие менеджеров по персоналу благодаря простоте проведения и достоверности результатов.


Биография


Формальный способ, дающий представление о субъективной оценке работником самого себя. Предоставляет работодателю возможность проведения анализа квалификации и опыта претендента на работу на основе изложенных фактов и предоставленных документов.


Анкета


Анкетирование подразделяют на две категории. Квалификационное – претенденту на работу предлагают пройти специализированные тесты для оценки уровня его знаний. Самый объективный анализ знаний проводится с помощью специально разработанных компьютерных программ. Например, бесплатная программа Айрен, основанная на методе тестирования знаний локально или через Интернет. Такие тесты состоят из комплекса заданий:


  1. с предложенным вариантом ответа;

  2. с развернутым ответом;

  3. на умение отнести понятия по классам;

  4. на установление соответствия.


Психологическое дает оценку стрессоустойчивости, эффективности, эмоциональности, моральных принципов человека. Такие тесты популярны в силовых ведомствах, а также в компаниях, где персонал ежедневно сталкивается с обработкой большого количества информации или работой с клиентами. Психологическое тестирование позволяет выявить у персонала такую проблему, как профессиональное «выгорание», и отсеять «неподходящих» для продуктивного труда кандидатов.


Наблюдение


Установление специальной аппаратуры, например, Yaware, TimeTracker или TimeInformer. Они предоставляют работодателю или руководителю возможность наблюдать за персоналом целый день. Такой метод позволяет проследить за деятельностью каждого сотрудника, выставить оценки коммуникативным навыкам, уровню профессионализма, работоспособности, компетенции. Главный недостаток такой оценки в ее субъективности. Мнение наблюдателя не всегда отражает реальность.


Собеседование


Эта методика используется при подборе персонала. Руководитель во время собеседования проводит анализ коммуникативных навыков претендента, опыта его предыдущей работы, конфликтности, адаптации в новом коллективе.


Регулярные собеседования с действующими сотрудниками помогают выявить проблемы среди персонала, избежать или урегулировать конфликты, возникающие среди коллег во время работы, определить потенциальных лидеров и аутсайдеров. Конечно, недостаток таких оценок в их субъективности. Ведь проводит собеседование зачастую один специалист.


Игра


Деловая игра предоставляет руководителю возможность оценить персонал по таким критериям:


  • активность;

  • инициативность;

  • быстрый ум;

  • креативность;

  • предусмотрительность.


Проведение анализа игры позволяет выделить самых перспективных работников, из которых формируется резерв претендентов на карьерный рост.


Объективно оценить деятельность персонала на основании одних тестовых методик не удастся. Они служат вспомогательным элементом оценивания производительности труда отдельных сотрудников и всего персонала компании в целом. Большинство тестовых методик применяется для предварительной оценки кандидата при приеме на работу.


Целевое управление (Management by Objectives)


Объективная методика оценивания эффективности работника и его труда, а также соответствие человека занимаемой должности.


Как это действует? Руководитель ставит перед персоналом несколько задач и уточняет сроки их выполнения. Это может быть неделя интенсивного труда, а может и несколько месяцев. Обязательным условием постановки задач является их ясность, точность, выполнимость.


Обязательно выслушивается мнение персонала о стратегических и тактических направлениях работы, согласовываются цифровые показатели плана.


Одним из направлений оценки по МВО является формирование схемы мотивации персонала путем создания системы оплаты труда, исходя из показателей эффективности. Соотношение показателей работы и зарплаты устанавливает руководитель.


Оценивание по методике МВО проводится по двум схемам:


  1. Оплата производится за каждый выполненный показатель результативности труда. Перевыполнение нормативов персоналом при такой схеме значения не имеет. А вот недовыполнение плана влечет за собой уменьшение оплаты труда. Присутствуют допустимые показатели результативности на уровне 80-85%.

  2. Для понимания персоналом возложенных на него задач и организации своей деятельности в соответствии с ними, а также для упрощения анализа показателей результативности труда отдельных сотрудников разрабатывается матрица МВО. В ней содержится информация о задачах и их цифровых коэффициентах.


Управление эффективностью (Performance Management)


Еще одна объективная методика оценивания труда сотрудников компании, предполагающая постановку задач и контроль эффективного их исполнения персоналом компании. Управление эффективностью – усовершенствованная методика МВО, позволяющая дать оценку профессионализму и компетентности персонала. В свою очередь, работник заинтересован в быстром достижении поставленных целей.


Преимущества методики в возможности оценивания труда служащих:


  • Стимулирование персонала повышать свой профессиональный уровень.

  • Увеличение продуктивности труда.

  • Объективная оценка соответствия человека занимаемой должности.


Этапы проведения РМ:


  1. Подготовка показателей результативности труда (КРІ).

  2. Постановка задач персоналу на основе показателей КРІ.

  3. Оценивание труда сотрудников по итогу выполнения КРІ.

  4. Моделирование компетенций персонала на основе результатов оценивания.


Критерии и результаты


Отсутствует единый механизм, способный объективно оценить работу отдельного сотрудника или всего персонала компании. Это связано с разнообразием методик расчета результативности, специфики функционирования отдельных предприятий, особенностей распределения профессиональных обязанностей, возложенных на персонал, а также «портретов» идеального сотрудника в конкретной организации.


Использование  перечисленных систем оценивания дает возможность рассчитать уровень продуктивности отдельного работника путем сложения оценок, выставленных по различным параметрам, исходя из поставленных задач.


Маленькое безумие, или главное – не переусердствовать


Руководитель небольшой, но стабильно работающей студии «Сибирикс» в Москве, изучил гору методик оценивания продуктивности сотрудников и решил внедрить в своем бизнесе справедливую оплату труда. Кстати, внедрить такую «справедливость» решили работникам, занимающимся разработкой сайтов, креативными идеями и другими направлениями IТ – технологий.  Для этого был разработан детальный план. Учитывать результативность служащих предписывалось по таким параметрам:


  • Соответствие выработки часов рабочего времени запланированному.

  • Ежемесячные нормативы «сбыта» услуг.

  • Количество подчиненных и их оклад.

  • Количество благодарностей от клиентов.

  • Количество повторных заказов от «постоянных» клиентов.

  • Награды за участие в конкурсах профильной направленности.

  • Количество отрицательных отзывов заказчиков.

  • Сумма дебиторского долга.

  • Количество прочтенных книг и так далее.


Очень подробный перечень получился. Таким образом, была создана единая схема оценивания. А чтобы отработать ее на практике, было принято решение потренироваться не с реальными деньгами, а с виртуальными «фантами». В офисе расположили большую доску с изображением всех служащих. На ней при помощи значков – «фантов» – отмечались успехи и провалы каждого работника, которые учитывались при начислении зарплаты. 


Разительные перемены в коллективе произошли в течение первого часа после запуска «проекта». Лица стали хмурыми. Еще через пару дней «работы по-новому» началась ожесточенная борьба за «фанты». Дружеская атмосфера в коллективе сменилась настороженной. Спустя семь дней оценивание проекта стало занимать в пять раз больше времени, чем раньше. А между разработчиками и руководителем проекта разгорались целые баталии. 


Прошел месяц, и о помощи коллеге не было и речи. У каждого была «своя работа». Начались бесконечные конфликты. «Фанты» стали субъективным мнением руководства. Работать без «фанта» отказывались все. Напряжение в коллективе нарастало, а вот эффективность работы, наоборот, упала. На третьем месяце тестирования «проект справедливой оплаты» тихо свернули. А через полтора месяца исчезла тревожность. Все снова стали друзьями, перестали конкурировать. Количество удовлетворенных клиентов и реализованных проектов увеличилось.


Подведем итоги


Методик оценивания много. И у каждой есть свои плюсы и минусы. В каком объеме какой метод и как применять – решает руководитель. Главное, не стоит переносить теоретические знания напрямую на своих подчиненных. Следует учесть и специфику работы, и особенность личного состава, и сложившиеся в коллективе отношения.


И еще: сотрудник относится к своим обязанностям так, как относится к нему руководство. Если служащий уверен в том, что его ценят, его труд уважают, им дорожат, он стремится не только не подвести коллектив и компанию в целом, но и принести как можно больше пользы. Он знает, что его усилия будут замечены, оценены и справедливо вознаграждены.


ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!


Полнофункциональное ПО без ограничений по пользователям и функциональности.

Trusted Computing: Promise and Risk

Октябрь 2003 г.

Введение

Компьютерная безопасность, несомненно, важна, и по мере обнаружения и использования новых
уязвимостей потребность в
новых решениях безопасности растет. Инициативы «доверенных вычислений» предлагают
для решения некоторых сегодняшних проблем безопасности путем изменения аппаратного обеспечения
на персональном компьютере. Изменение конструкции оборудования не является подозрительным по своей сути
, но ведущие предложения по надежным вычислениям имеют высокую стоимость
: они обеспечивают безопасность пользователей, в то же время предоставляя третьим сторонам возможность
для применения политик на компьютерах пользователей вопреки желанию пользователей
— они позвольте другим оказывать на вас давление, чтобы передать контроль над вашим ПК
кому-то другому.Это «функция», готовая к злоупотреблениям со стороны
авторов программного обеспечения, которые хотят в антиконкурентной борьбе задушить конкурирующее программное обеспечение
.

Так быть не должно: прямое изменение планов
доверенных поставщиков вычислительной техники может оставить без изменений преимущества безопасности
, в то же время гарантируя, что воля владельца ПК всегда превосходит желания тех
, которые загрузили программное обеспечение или данные на компьютер. ПК.

Модернизация аппаратного обеспечения ПК для обеспечения безопасности

Существует широко распространенное мнение, что система безопасности персонального компьютера
находится в плачевном состоянии и что
необходимо что-то сделать, чтобы это исправить.Есть много многообещающих подходов к повышению безопасности —
перепроектирование операционных систем, изменение методологий программирования,
или изменение самого оборудования ПК. Хорошо известно, что комплексная защита
от угроз безопасности, с которыми сталкиваются пользователи ПК
, будет включать в себя несколько подходов, а не только один. Небезопасная система
не может волшебным образом стать «безопасной» с добавлением единственного элемента технологии
.

Изменения в конструкции аппаратного обеспечения ПК — один из многих полезных инструментов
для повышения безопасности.Хотя изменения оборудования не являются обязательным условием
для повышения безопасности, они, несомненно, полезны — например,
, предоставляя способ безопасного хранения закрытых ключей (и, следовательно, закрытых документов
, защищенных этими ключами). Одно семейство проектов для
, повышающих безопасность ПК посредством изменения оборудования, известно как «доверенные вычисления
». Этот широкий термин включает в себя сочетание инициатив отдельных производителей процессоров
и OEM-производителей, а также два особенно хорошо известных крупных проекта
.

Первый из них — проект операционной системы Microsoft
, первоначально называвшийся Palladium, а теперь именуемый Microsoft
Secure Computing Base, или NGSCB. Проект NGSCB
определяет изменения программного обеспечения, которые используют преимущества безопасности
, предоставляемые запланированным новым дизайном аппаратного обеспечения ПК. Другой известный проект
— это проект спецификации оборудования, осуществляемый консорциумом
, первоначально называвшимся Trusted Computing Platform Alliance,
или TCPA.TCPA выпустила несколько документов со спецификациями, а затем изменила свое имя
на группу доверенных вычислений или TCG.

Между собой, эти два проекта создали
ошеломляющее множество новой терминологии, включая обязательную чащу новых сокращений.
В нескольких случаях один из этих проектов придумал много разных имен
для одной концепции — даже если в другом проекте
использовалась совершенно другая терминология. Достаточно полный глоссарий для
этих двух проектов может занять десятки страниц.В интересах простоты
отметим, что требования NGSCB сходятся с требованиями конструкции
, указанными TCG. (Microsoft является участником
TCG и выразила заинтересованность в использовании конструкции TCG в качестве аппаратных компонентов
, требуемых NGSCB.) Некоторые OEM-производители начали интегрировать
ранних микросхем TCG на материнские платы своих компьютеров; в будущем
большее количество производителей компьютеров могут включать будущие версии доверенных вычислительных схем
в свои ПК.Программное обеспечение NGSCB будет
одним из нескольких приложений, которые могут использовать преимущества
этих микросхем.

Хотя эти проекты все еще различаются, разумно говорить о
единой «доверенной вычислительной архитектуре», к которой стремятся оба проекта
. (Только часть этой архитектуры описана в
последней опубликованной спецификации TCG, и, как отмечает TCG, потребуется дополнительное программное обеспечение
для использования многих из этих функций
.) Менее известные доверенные вычислительные проекты, разрабатываемые
производителями процессоров (и членами TCG). Intel и AMD могут заполнить около
пробелов между тем, что TCG указала на данный момент, и тем, что потребуется для NGSCB
. Например, технология Intel LaGrande (LT) и AMD Secure Execution
Mode (SEM) обеспечивают аппаратную поддержку
, необходимую для всех основных групп функций в NGSCB. Проекты
Intel и AMD здесь не рассматриваются как отдельные объекты,
, но их функции будут основываться на функциях TCG для обеспечения поддержки оборудования
, требуемого NGSCB.

Одно важное сходство между дизайном NGSCB и существующей спецификацией
TCG состоит в том, что обе содержат функцию «удаленной аттестации»,
, которую мы будем подробно критиковать ниже. Несмотря на то, что существует
различий между техническими описаниями
удаленной аттестации Microsoft и TCG, оба могут, при надлежащей поддержке операционной системы, использоваться
функционально эквивалентными способами. Независимо от того, сходятся ли проекты NGSCB и TCG
в единой конструкции оборудования, общая критика
аттестации здесь будет справедливо применима к любому из них.

Мы описываем незавершенную работу, но важно, чтобы мы
начали сейчас, чтобы понять предлагаемые изменения в ПК и их вероятное влияние
на нашу вычислительную деятельность. Вообще говоря, надежная вычислительная архитектура
является ошибочной реализацией ценной идеи
и может предложить как преимущества, так и недостатки владельцам компьютеров
.

В отношении надежной вычислительной архитектуры Microsoft
ожидаемых изменений разделены на высоком уровне на четыре группы, все
из которых требуют добавления нового оборудования к сегодняшним ПК.Это

  1. Блокировка памяти
  2. Безопасный ввод и вывод
  3. Герметичный склад
  4. Удаленная аттестация

Каждая функция имеет различное обоснование безопасности, хотя функции
могут использоваться в сочетании друг с другом.

1. Зависание памяти

Под завесой памяти понимается сильная аппаратная функция изоляции памяти
, которая препятствует тому, чтобы программы могли читать или записывать
память друг друга.Сегодня злоумышленник или вредоносный код
часто могут считывать или изменять конфиденциальные данные в памяти ПК. В схеме доверенных вычислений
даже операционная система не должна иметь доступа к занавешенной памяти
, поэтому злоумышленник, получивший контроль над самой операционной системой
, не сможет вмешиваться в защищенную память программ.

Хотя изоляция памяти может быть достигнута программно,
требует некоторой комбинации перезаписи операционных систем, драйверов устройств и, возможно, даже прикладного программного обеспечения.Реализация этой функции в оборудовании
вместо этого обеспечивает большую обратную совместимость с существующим программным обеспечением
и сокращает количество программного обеспечения, которое необходимо переписывать.
(В общем, многие преимущества безопасности доверенных вычислений
могут быть достигнуты в той или иной форме просто путем переписывания программного обеспечения, но некоторым это кажется
непрактичным.)

2. Безопасный ввод / вывод

Безопасный ввод и вывод, или безопасный ввод-вывод, направлен на устранение угроз
, исходящих от клавиатурных шпионов и средств захвата экрана, программного обеспечения, используемого шпионами, и
злоумышленников для слежки за действиями пользователей компьютеров.Кейлоггер записывает
того, что вы вводите, а средство захвата экрана записывает то, что отображается на экране
. Secure I / O обеспечивает безопасный аппаратный путь от клавиатуры к
приложению — и от приложения обратно к экрану. Никакое другое программное обеспечение
, работающее на том же ПК, не сможет определить, что набрал пользователь
или как приложение отреагировало. (В то же время безопасный ввод-вывод
обеспечит защиту от некоторых более эзотерических атак. Он
позволит программам определять, предоставлен ли их ввод физически присутствующим пользователем
, в отличие от другой программы, олицетворяющей пользователя
.И это предотвратит некоторые случаи подделки, когда одна программа
пытается испортить или замаскировать вывод другой, чтобы обмануть пользователя
.)

3. Герметичный склад

Запечатанное хранилище устраняет серьезный недостаток безопасности ПК: неспособность ПК
надежно хранить криптографические ключи. Обычно ключи и пароли
, которые защищают личные документы или учетные записи, хранятся локально
на жестком диске компьютера вместе с самими документами. Этот
сравнивают с оставлением комбинации в сейфе в той же комнате
, что и сам сейф.На практике злоумышленники, которые взламывают компьютер
, часто могут скопировать ключи дешифрования и подписи с жесткого диска этого компьютера
. Поскольку ключи должны быть доступны пользователям компьютеров в
, чтобы их можно было использовать по назначению, инженеры по безопасности
столкнулись с затруднением: как можно хранить ключи, чтобы они были доступны
только законным пользователям, а не, скажем, вирус, который может получить
тех же привилегий, что и законный пользователь?

Запечатанное хранилище — это гениальное изобретение, которое генерирует ключи
частично на основе идентификатора программного обеспечения, запрашивающего их использование, и
частично на основе идентификатора компьютера, на котором это программное обеспечение
работает.В результате сами ключи
не нужно хранить на жестком диске, но могут быть сгенерированы всякий раз, когда они нужны
— при условии, что авторизованное программное обеспечение пытается сгенерировать их на авторизованном компьютере
. Если программа, отличная от программы, которая изначально
зашифровала или «запечатала» частные данные, должна попытаться расшифровать или
«распечатать» эти данные, эта попытка гарантированно потерпит неудачу. Точно так же, если
данные копируются в зашифрованном виде на другую машину, попытки
расшифровать их по-прежнему будут безуспешными.Таким образом, ваша электронная почта
может быть прочитана вашим почтовым клиентом, но непонятна вирусу. Запечатанное хранилище
представляет собой умное решение ранее неразрешимой проблемы хранилища ключей
.

Например, предположим, что сегодня вы ведете личный дневник на своем компьютере.
Вы хотите запретить перенос дневника с компьютера
без вашего разрешения, как если бы вы могли запереть бумажный дневник внутри
ящика стола. Хотя существующие системы контроля доступа и шифрования
решают эту задачу, их можно обойти или подорвать.Если кто-то
скомпрометирует вашу систему, или она будет заражена червем или вирусом, локальное программное обеспечение
может быть изменено, или личные документы могут быть отправлены по электронной почте
или скопированы на другие компьютеры. (Почтовый червь SirCam сделал именно это
— всякий раз, когда он заражал компьютер, он отправлял найденные там файлы
в виде вложений электронной почты случайно выбранным пользователям Интернета. Значительный объем личной и конфиденциальной информации
был раскрыт ненадлежащим образом
в результате.)

Вы можете зашифровать свой дневник с помощью пароля, но если ваш пароль будет коротким
, кто-то, кто сможет скопировать зашифрованный дневник, все равно сможет расшифровать его
(попробовав каждую возможность в атаке методом грубой силы).Более того,
, если программное обеспечение шифрования, которое вы используете, или редактор, в котором вы
составляете дневник, тайно заменяется модифицированной версией
, он может передать расшифрованный текст дневника (или ваш пароль) третьей стороне
.

Запечатанное хранилище

может работать вместе с защитой памяти и безопасным вводом-выводом
, чтобы ваш дневник можно было читать только на вашем компьютере,
и только с помощью того программного обеспечения, с помощью которого вы его создали. Даже
, если вирус или червь, например SirCam, просочит ваш зашифрованный дневник, получатель
не сможет его расшифровать.Если злоумышленник или вирус
тайно изменяет ваше программное обеспечение шифрования,
больше не сможет расшифровать дневник, поэтому содержимое вашего дневника останется защищенным
.

4. Удаленная аттестация

Удаленная аттестация — самая важная и самая революционная
из четырех основных групп функций, описанных Microsoft.
В целом, он направлен на то, чтобы позволить обнаруживать «неавторизованные» изменения программного обеспечения.
. Если злоумышленник заменил одно из ваших приложений или часть вашей операционной системы
злонамеренно измененной версией, вы сможете это определить.Поскольку аттестация является «удаленной», другие
, с которыми вы взаимодействуете, тоже должны знать об этом. Таким образом, они могут
избежать отправки конфиденциальных данных в скомпрометированную систему. Если ваш компьютер
должен быть взломан, другие компьютеры могут воздержаться от отправки на него частной информации
, по крайней мере, до тех пор, пока это не будет исправлено.

Хотя удаленная аттестация, очевидно, полезна, текущий подход TCG
к аттестации ошибочен. Аттестация TCG явно не позволяет
различать приложения, которые защищают владельцев компьютеров
от атак, и приложения, защищающие компьютер от владельца
.Фактически, владелец компьютера
иногда рассматривается как еще один злоумышленник или противник, которому необходимо предотвратить взлом
и изменение программного обеспечения компьютера.

Удаленная аттестация работает путем аппаратного генерирования криптографического сертификата
, удостоверяющего идентичность программного обеспечения, которое в настоящее время работает
на ПК. (Нет определения, является ли программное обеспечение
хорошим или плохим, скомпрометировано оно или нет. «Идентификатор»
представлен криптографическим хешем, который просто позволяет отличать различные программы
друг от друга, или изменения в их коде
, чтобы их можно было различить, без каких-либо оценочных суждений.)
Этот сертификат может, по запросу пользователя ПК, быть предоставлен любой удаленной стороне
и, в принципе, доказывает этой стороне
, что машина использует ожидаемое и неизмененное программное обеспечение. Если программное обеспечение
на машине было изменено, это будет отражено в сгенерированном сертификате
. Мы увидим, что этот подход, хотя и элегантный,
оказывается проблематичным.

Как доверенные вычисления влияют на ПК

Каждая из этих четырех групп функций, вероятно, будет полезна для безопасности компьютера
, потому что каждая может использоваться соответствующим программным обеспечением для предотвращения
или смягчения реальных атак, используемых в настоящее время против ПК.Таким образом, ПК с аппаратной поддержкой
для этих функций может обеспечить гарантии безопасности
, которые было бы трудно предложить без поддержки оборудования. Конечно,
недостатков в программном обеспечении по-прежнему допускают другие атаки, включая
разглашения частной информации.
Технология доверенных вычислений не может полностью предотвратить бреши в компьютерной безопасности. В общем, он стремится к
, чтобы сдержать и ограничить ущерб, который может возникнуть в результате определенного недостатка
. Например, не должно быть возможности злоупотребления кодом
в одном приложении (например, веб-браузере) для копирования или изменения данных
из другого приложения (например, текстового процессора).Этот вид изоляции и сдерживания
является важной областью исследований в области компьютерной безопасности
и используется во многих различных подходах к компьютерной безопасности
, включая многообещающие методы, выходящие за рамки доверенных вычислений
.

Только что описанные функции надежных вычислений добавят в ПК новые возможности
. Для использования они должны поддерживаться программным обеспечением
; в отсутствие драйверов доверенного программного обеспечения доверенный компьютер
является обычным ПК, на котором
может запускать все существующее программное обеспечение.Другими словами, архитектура доверенных вычислений
спроектирована так, чтобы обеспечивать обратную совместимость
с точки зрения поддержки возможности запуска существующих операционных систем и прикладного программного обеспечения
. Microsoft также ожидает, что будущие версии
Microsoft Windows (которые могут включать программное обеспечение NGSCB) будут иметь обратную совместимость с
и смогут запускать практически все современные приложения DOS
и Windows. Кроме того, новые ПК могут запускать новые приложения
для доверенных вычислений, которые используют преимущества новых аппаратных функций
.

Заблуждения о доверенных вычислениях

Существует множество заблуждений об этой конструкции. Наиболее распространенное заблуждение
отрицает, что доверенные компьютерные ПК действительно будут обратно совместимы с
или смогут запускать существующее программное обеспечение. Хотя производители
, безусловно, могут создавать несовместимые с предыдущей версией ПК
или ПК, неспособные запускать определенный код, ничто в спецификациях TCG
не настаивает на этом. Что еще более важно, модель безопасности архитектуры доверенных вычислений
не требует предотвращения запуска небезопасного, вредоносного,
или нежелательного программного обеспечения.Модель безопасности
вместо этого концентрируется на изоляции программного обеспечения — предотвращении взаимодействия запущенных программ
друг с другом.

Когда программы адекватно защищены от вмешательства со стороны других программ
, нет требований к безопасности, запрещающих запуск какого-либо конкретного программного обеспечения
. Подобно тому, как многопользовательские операционные системы
позволяют пользователям запускать программное обеспечение по своему выбору, одновременно защищая других пользователей
от воздействия этого программного обеспечения, NGSCB может позволить пользователям
запускать программное обеспечение по своему выбору, одновременно защищая другое программное обеспечение от
его воздействия.Только очень грубая модель безопасности потребует
, полностью запрещающего «плохое» программное обеспечение с компьютера, а модель NGSCB
не такая уж грубая. Кроме того, этот подход потребует около
средств определения того, какое программное обеспечение «плохое», что на самом деле было бы сложной задачей. (Некоторые проприетарные системы предполагают, что все программное обеспечение, не подписанное
признанным органом, является «плохим», но пользователи
должным образом отвергли бы этот деспотичный подход в компьютерной среде. Они
справедливо настаивают на том, чтобы иметь возможность писать и использовать программное обеспечение без
предварительное одобрение какого-либо органа.)

Ни одно из оборудования, требуемого NGSCB, похоже, не является специфическим для
Microsoft Windows. Аппаратный дизайн TCPA / TCG явно не привязан к
какой-либо конкретной операционной системе. Исследователи IBM недавно опубликовали
программного обеспечения под GNU GPL, чтобы заставить микросхему TCPA TPM работать с
ядром Linux. Это программное обеспечение можно использовать сегодня для повышения безопасности
хранилища криптографических ключей в системах на базе Linux, работающих на оборудовании
, поддерживающем TCPA.

Ни TCG, ни NGSCB сами по себе не будут препятствовать пользователям
использовать какую-либо конкретную операционную систему, программу или файл данных.
И ни один из них по сути не требует и не включает в себя механизм слежки за
пользователями.

В чем проблема?

Совершенно очевидно, что надежное вычислительное оборудование обеспечивает преимущества безопасности
, если программное обеспечение готово использовать его. Но доверенные вычисления
были восприняты скептически и остаются спорными.
Некоторые разногласия основаны на неправильных представлениях, но большая часть из них
уместна, поскольку доверенные вычислительные системы коренным образом меняют доверительные
отношения.Законные опасения по поводу доверенных вычислений
не ограничиваются одной областью, такой как конфиденциальность потребителей или вопросы авторского права.

У нас есть как минимум два серьезных опасения по поводу доверенных вычислений.
Во-первых, существующие конструкции в корне ошибочны, потому что
они подвергают общественность новым рискам антиконкурентного и антипотребительского
поведения. Во-вторых, производители тех или иных «доверенных» компьютеров и компонентов
могут тайно неправильно их реализовать. Мы обсудим
первую из этих проблем более подробно здесь.

Проблема: Неуверенность третьих сторон в отношении вашей программной среды обычно является функцией, а не ошибкой

Даже если оборудование реализовано в соответствии с опубликованными спецификациями
, оно все равно может быть использовано для нанесения вреда владельцам компьютеров
. (Лаки Грин, Росс Андерсон)

Даже несмотря на то, что доверенные вычислительные архитектуры обеспечивают преимущества безопасности,
они могут включать функции, которыми можно злоупотреблять, в ущерб
клиентам, которых просят принять эту технологию.Главной среди этих функций
является удаленная аттестация, которую Microsoft описывает как
, «открывая новые горизонты в распределенных вычислениях», потому что сопоставимая функция
не существует в современных компьютерах.

Дизайн безопасности обязательно включает определение модели угроз:
Какие виды атак и какие типы злоумышленников должны предотвращаться с помощью меры безопасности
? Мера безопасности, предотвращающая
одной атаки, может быть совершенно неэффективной против
другой атаки; и наоборот, мера безопасности, необходимая для какой-то цели
, может быть в лучшем случае бесполезной для тех, кто не разделяет эту цель.Наша основная проблема
заключается в том, что доверенные вычислительные системы
специально разработаны для поддержки моделей угроз, в которых владелец
«доверенного» компьютера считается угрозой. Эти модели
являются скорее исключением, чем правилом в истории компьютерной безопасности и
коммуникационной безопасности, и они не являются частью обоснований для
доверенных вычислений, публично предлагаемых его сторонниками.

Аттестация

подходит для предотвращения изменения программного обеспечения
на компьютере без ведома владельца компьютера
(например, вирусом).К сожалению, модель аттестации
в текущем дизайне TCG может столь же эффективно
предотвратить намеренное изменение программного обеспечения на компьютере со стороны
владельца компьютера с его или ее полного ведома и согласия. В то время как владелец
всегда вправе изменять программное обеспечение, аттестация добавляет новый риск
: теперь это может лишить компьютер возможности взаимодействия
с другими компьютерами.

Поскольку в настоящее время третьи стороны не имеют надежного способа сообщить
, какое программное обеспечение вы используете, у них нет надежного способа заставить
вас использовать программное обеспечение по их выбору.Этот аспект статуса
-кво почти всегда является преимуществом для владельцев компьютеров — с точки зрения
улучшенной конкуренции, выбора программного обеспечения, функциональной совместимости программного обеспечения и способности владельцев
управлять своими компьютерами — и, следовательно,
не имеет схемы аттестации, которая меняет это.
ситуация будет выгодна потребителям. Примеры проблем с изменением этой части
статус-кво приведены ниже.

Примеры злоупотреблений удаленной аттестацией

Давайте рассмотрим несколько конкретных примеров того, как подход TCG attestation
может нанести ущерб совместимости или использоваться против владельцев компьютеров.

1. В Интернете

Веб-сайт может потребовать аттестацию программного обеспечения от людей, желающих
прочитать его. Если они откажутся предоставить подтверждение, сайт
вообще откажется иметь с ними дело; если аттестация покажет, что они
используют «несанкционированное» программное обеспечение, сайт также откажется до
взаимодействовать с ними. Только тем, кто сможет предоставить цифровой сертификат
, подтверждающий, что программное обеспечение их компьютеров подходит для удаленного сайта
, будет разрешено использовать его.И этот сертификат может быть произведен
— по нынешней схеме вещей TCG —
, только если его содержание было точным.

На сегодняшний день действительно надежного способа добиться такого эффекта не существует.
Следовательно, попытки заставить пользователей использовать определенное программное обеспечение
в настоящее время неэффективны;
веб-сайтам трудно контролировать, какие операционные системы и приложения могут использовать их пользователи. Инжиниринг Reverse
позволяет создавать конкурентоспособное новое программное обеспечение, которое
хорошо работает с существующим программным обеспечением и услугами, и поэтому владельцы компьютеров
имеют реальный выбор.Фактически невозможно наказать их
за то, что они выбрали использование программного обеспечения, отличного от того, которое одобрено теми, с которыми они имеют дело
. Если они хотят использовать другой веб-браузер или другую операционную систему
, они знают, что они вряд ли будут заблокированы
наиболее важными для них службами.

Например, некоторые из сегодняшних онлайн-банковских услуг заявляют, что
«требует» браузера Microsoft, но пользователи другого программного обеспечения
легко могут указать своим браузерам выдавать себя за Internet Explorer.
Что касается банка, то его клиенты получают доступ к сайту
с помощью требуемого браузера, но пользователи
не привязаны к технологическим решениям, продиктованным близорукостью их финансовых учреждений
.

В широко разрекламированном случае MSN, сеть Microsoft, на короткое время
отказалась обслуживать веб-страницы для браузеров сторонних производителей. Тем временем
пользователей конкурирующих продуктов смогли обмануть MSN, заставив думать
, что они используют браузеры Microsoft.Это было бы невозможно в среде
обычных удаленных аттестаций в стиле NGSCB. Разрешив веб-сайту
заблокировать нежелательное программное обеспечение таким образом, эти аттестации
позволили бы любому, у кого есть рыночная власть, использовать эту власть для контроля выбора программного обеспечения
.

Безопасность не имеет ничего общего с мотивами многих сайтов предотвратить использование
нежелательного программного обеспечения. Действительно, их причины могут быть совершенно произвольными. В некоторых случаях оператор сайта хочет заставить вас использовать конкретную программу
, чтобы подвергнуть вас рекламе.Подтвердив
, что вы используете «одобренного» клиента, сайт может убедиться, что вы
были вынуждены просмотреть определенное количество рекламных объявлений.

2. Совместимость программного обеспечения и блокировка

Совместимость программного обеспечения также находится под угрозой. Разработчик серверной программы Web
, программы файлового сервера, программы сервера электронной почты и т. Д. Может
запрограммировать ее так, чтобы требовать аттестации; сервер может категорически
отказаться работать с клиентами, которые были созданы кем-то другим
, а не издателем серверной программы.Или издатель может потребовать от разработчиков клиентов
лицензионных сборов и обеспечить взаимодействие своего сервера
только с теми, кто заплатил сбор. (Аналогично,
может создавать проприетарные зашифрованные форматы файлов, которые могут быть прочитаны только «одобренным» программным обеспечением
, и для которых ключи дешифрования должны быть получены
с сетевого сервера, и их чрезвычайно трудно восстановить с помощью обратного проектирования
.)

В этом случае издатель может значительно увеличить затраты на переключение
для своих пользователей на использование программного обеспечения конкурента.Если у пользователя
большой объем важных данных, хранящихся внутри проприетарной системы,
и система взаимодействует только с клиентским программным обеспечением, написанным издателем проприетарной системы
, то пользователю
может быть чрезвычайно сложно перенести свои данные в новый программный комплекс. Когда новая система
пытается связаться со старой системой для извлечения данных
, старая система может отказаться отвечать.

Файловый сервер Samba — важный пример совместимого программного обеспечения
, созданного посредством обратного проектирования.Разработчики Samba изучили
сетевой протокол, используемый файловыми серверами Microsoft Windows, а
создали альтернативную реализацию, которую они затем опубликовали как
бесплатное программное обеспечение с открытым исходным кодом. Samba может быть развернута в компьютерной сети
вместо файлового сервера Windows, и клиентские машины Windows
будут взаимодействовать с ним так же, как если бы это был сервер Windows. (Аналогичным образом
Samba предоставляет средства, позволяющие клиентам, отличным от Windows, получать доступ к файловым серверам Windows
.) Без конкурирующего программного обеспечения, такого как Samba, пользователи клиентов
Windows были бы вынуждены использовать серверы Windows, и наоборот.
Но если бы программное обеспечение могло регулярно идентифицировать программное обеспечение на другом конце
сетевого подключения, разработчик программного обеспечения мог бы заставить программы
требовать аттестации, а затем запретить программному обеспечению любого конкурента подключаться или взаимодействовать
. Если бы Microsoft решила использовать NGSCB таким образом, она могла бы
навсегда заблокировать Samba для файловых служб Windows и запретить использование
полезных конкурирующих реализаций соответствующих протоколов, за исключением специальной авторизации
.

Точно так же службы обмена мгновенными сообщениями (IM) часто пытались заблокировать
клиентов своих конкурентов и, в некоторых случаях, бесплатно / открывали исходные IM-клиенты
.Сегодня эти службы обычно не работают
, создавая нечто большее, чем временное нарушение работы пользователей. Механизм аттестации
был бы мощным инструментом для ограничения конкуренции и взаимодействия
в службах обмена мгновенными сообщениями. Некоторым клиентским приложениям
можно навсегда запретить подключение, даже если они
предлагают функции, которые предпочитают конечные пользователи.

Это примеры более общей проблемы «привязки»,
часто практикующейся как целенаправленная бизнес-стратегия в индустрии программного обеспечения
, в ущерб как бизнес-пользователям, так и пользователям домашних компьютеров.
К сожалению, конструкция TCG предоставляет новые мощные инструменты, позволяющие заблокировать
. Аттестация несет ответственность за эту проблему; Запечатанное хранилище
может усугубить ситуацию, позволяя программе, которая изначально создала файл
, предотвратить его чтение любой другой программой. Таким образом, как сетевые протоколы
, так и форматы файлов могут использоваться для атаки на совместимость программного обеспечения
.

3. DRM, модем, принудительное обновление и принудительное понижение версии

Многие люди предполагали, что надежная вычислительная технология
— это способ перенести технологию управления цифровыми правами (DRM) на платформу
для ПК.Некоторые части программы
для надежных компьютерных исследований уходят корнями в DRM, и Microsoft анонсировала технологию DRM
(Microsoft Rights Management Services), которая, по ее словам, будет использовать
NGSCB. Однако разработчики доверенных вычислений отрицают, что DRM является основным направлением их усилий
, а доверенные вычисления полезны для многих приложений
помимо DRM. В конечном счете, DRM — это всего лишь одно из нескольких применений
такой технологии, как NGSCB, но оно иллюстрирует общую проблему
, заключающуюся в том, что текущий подход NGSCB к аттестации имеет тенденцию наносить ущерб конкуренции
и контролю владельцев компьютеров.

Все элементы дизайна NGSCB могут быть полезны разработчикам систем
DRM. Завешивание предотвращает копирование информации в дешифрованной форме из
из пространства памяти DRM-клиента, что предотвращает создание неограниченной чистой копии
. Защищенный вывод может предотвратить запись информации
, отображаемой на экране, что препятствует использованию
«скребков экрана» или драйверов устройств, которые записывают информацию, а не
, а не отображают ее. Запечатанное хранилище позволяет хранить файлы
в зашифрованном виде на жестком диске таким образом, что только DRM-клиент, создавший их
, сможет их использовать.А удаленная аттестация
может предотвратить получение какой-либо программой, отличной от одобренного издателем DRM-клиента, от
, когда-либо получавшего конкретный файл.

Среди этих элементов удаленная аттестация — это стержень применения политики DRM
. Если удаленной системе не хватает достоверных сведений о
вашей программной среде, она никогда не может быть уверена, что ваше программное обеспечение
будет применять политики против вас. (Возможно, вы заменили клиент DRM
с ограничениями на обычный клиент, который не ограничивает
, как вы можете использовать информацию.Таким образом, даже несмотря на то, что другие функции NGSCB
помогают реализации DRM, только удаленная аттестация позволяет установить политики
DRM в первую очередь, предотвращая замену
менее ограничивающего программного обеспечения во время первого получения файла.

Другое недружелюбное к потребителю поведение программного обеспечения, которое может быть реализовано с помощью средств аттестации
в сочетании с запечатанным хранилищем, включает привязку
(предотвращение переноса программы или файла с одного компьютера
на другой), принудительное обновление или переход на более раннюю версию программного обеспечения и включение некоторых
ограниченных классов «шпионского ПО» — в данном случае приложений, которые звонят по
домой, чтобы описать, как они используются.(Некоторые из этих поведений
могут быть полезны, если они происходят по указанию владельца компьютера, но
— нет, если они происходят по прихоти издателя программного обеспечения или поставщика услуг.
Например, вы можете захотеть предотвратить перемещение конфиденциального файла
выключите ваш компьютер, но вы бы не хотели, чтобы другие люди имели возможность
, чтобы помешать вам перемещать ваши собственные файлы.) Хотя все эти недружелюбные действия
могут быть реализованы в программном обеспечении сегодня, они могут в принципе
быть побеждены хорошо: понятные методы, такие как запуск программы
в эмулируемой среде или ее изменение для удаления нежелательного поведения
.Удаленная аттестация позволяет программе
впервые получить и передать надежные свидетельства
о том, работает ли она в эмуляторе или
были изменены.

В более общем плане аттестация в службе удаленного применения политики
приводит к множеству механизмов «удаленного управления» программным обеспечением
, запущенным на вашем компьютере. Мы подчеркиваем, что эти функции удаленного управления
не являются частью NGSCB, но NGSCB действительно обеспечивает надежную реализацию их
программистами.Lucky Green предоставляет
пример программы, написанной для получения от некоего органа власти «списка отзыва»
запрещенных документов, которые больше не разрешено отображать
. Этот механизм должен был быть реализован в программном обеспечении
, когда оно было изначально написано (или его нужно было бы добавить
посредством принудительного обновления). Однако, если бы такое ограничение было реализовано,
, пользователь не смог бы изменить его.
В этом случае какой-либо орган может удаленно отозвать документы,
уже размещенные на компьютерах по всему миру; эти компьютеры, несмотря на
пожеланий их владельцев, будут соответствовать политике отзыва.Применение
этой политики, как и других, к владельцу компьютера
зависит от функции удаленной аттестации.

4. Владелец компьютера как противник?

Текущая версия удаленной аттестации
упрощает применение политик вопреки желанию владельцев компьютеров. Если программное обеспечение
, которое вы используете, написано с учетом этой цели, надежная вычислительная архитектура
защитит данные не только от злоумышленников и вирусов
, но и от вас.Фактически, вы, владелец компьютера,
рассматриваете как злоумышленник.

Эта проблема возникает из-за целеустремленности дизайна
аттестации на точном отражении состояния компьютера
в любой ситуации — без исключений. Владелец компьютера может
полностью отключить аттестацию, но не вызывать аттестацию, которая
не отражает текущее состояние ее ПК — вы не можете обмануть свой банк
относительно того, какой браузер вы используете, или с другим вашим ПК о том, какой
клиента обмена файлами Windows, который вы используете.Этот подход приносит пользу
владельцу компьютера
только тогда, когда удаленная сторона, которой дается аттестация
, имеет те же интересы, что и владелец. Если вы дадите аттестацию
поставщику услуг, который хочет помочь вам обнаружить несанкционированные модификации
на вашем компьютере, аттестация принесет вам пользу. Если от вас требуется
для аттестации кому-то, кто стремится запретить вам
использовать программное обеспечение по вашему выбору, аттестация вредит вам.

Ориентированный на пользователя, ориентированный на конкуренцию подход к функциям аттестации
даст владельцу возможность гарантировать, что аттестация никогда не будет
злоупотреблять с целью, которую не одобряет владелец, максимизируя практический контроль владельцев компьютеров
над своими компьютерами в реальном мир
сетевых сред.

Некоторые разработчики доверенных компьютеров настаивают на том, что их существующий подход
к аттестации является разумным, поскольку предоставление аттестации
является добровольным. Они утверждают, что в любой ситуации вы можете отказаться давать
свидетельство, если предпочитаете не предъявлять его. (Действительно, конструкция TCG
позволяет полностью отключить микросхему TCG TPM или решить
, следует ли представлять аттестацию в конкретной ситуации.) Но, как мы видели
, аттестацию можно использовать для создания препятствий для взаимодействия
и
. доступ, поэтому пользователи столкнутся с огромным давлением, чтобы
представить аттестацию.Экономически неразумно предполагать, что технология
принесет пользу людям только потому, что они могут решить, использовать ли ее
.

Мы не говорим, что возможность передавать информацию о
программной среде компьютера нежелательна. Эта возможность
может быть полезна для некоторых приложений безопасности. Мы просто отмечаем, что
содержание информации о программной среде компьютера
всегда должно находиться под строгим контролем владельца этого компьютера.
Владелец компьютера, а не третья сторона, должен иметь возможность решать по своему собственному усмотрению
, будет ли информация, полученная третьей стороной
, точной. Это гарантирует, что возможность аттестации
не будет использоваться вопреки интересам владельца компьютера.

Решение: переопределение владельца

Отсутствие контроля со стороны владельца компьютера над содержанием аттестаций
является центральной проблемой с текущими предложениями по доверенным вычислениям.
Это неприемлемо серьезный недостаток дизайна, который необходимо исправить до
, когда надежная вычислительная архитектура в целом будет приносить явную выгоду владельцам компьютеров.

Простая мера, которую мы называем Owner Override, может решить проблему,
восстановив неспособность других точно знать, какое программное обеспечение вы используете
— если только вы не решите, что вам было бы лучше, если бы они знали.
Owner Override тонко меняет характер преимущества безопасности
, обеспечиваемого аттестацией. В настоящее время аттестация сообщает удаленным сторонам
, было ли изменено программное обеспечение на вашем компьютере. Аттестация
плюс приоритет владельца позволит удаленным сторонам узнать, было ли программное обеспечение на вашем компьютере
изменено без вашего ведома.Таким образом, обнаружение
незаконной деятельности по-прежнему будет практичным. Если, однако, вы внесли преднамеренные изменения в
на своем собственном компьютере, вы могли бы скрыть их
, как вы можете сегодня, чтобы не позволить кому-то другому использовать ваш выбор
как повод для дискриминации по отношению к вам.

Owner Override работает, давая возможность владельцу компьютера, когда
физически присутствует на рассматриваемом компьютере, сознательно выбрать создание
аттестации, которая не отражает фактическое состояние среды программного обеспечения
— чтобы представить картину по своему выбору. операционная система
ее компьютера, прикладное программное обеспечение или драйверы.Поскольку такая аттестация
может быть сгенерирована только по осознанному выбору
владельцем компьютера, значение
для обнаружения неавторизованных изменений сохраняется. Но владелец ПК восстановил детальный контроль,
, даже в сетевой среде, и нельзя больше ожидать, что ПК
будет применять политику в отношении своего владельца. Owner Override удаляет набор инструментов
, который позволяет использовать доверенную вычислительную архитектуру
для предотвращения взаимодействия и предотвращения конкуренции.Он восстанавливает
важную способность реконструировать компьютерные программы для обеспечения совместимости
между ними. В целом, он исправляет доверенные вычисления
, так что он защищает владельца компьютера и авторизованных пользователей от атак
, не ограничивая полномочия владельца компьютера
решать, какие именно политики следует применять. Это происходит без ущерба для
каких-либо преимуществ, заявленных для архитектуры TCG, или без демонстрации
в публичной демонстрации Microsoft NGSCB.И это
согласуется с заявлениями TCG и большинства поставщиков о целях доверенных вычислений
.

(В корпоративных условиях корпорация может быть владельцем
компьютеров, используемых ее сотрудниками, сохраняя право устанавливать вычислительные политики сети
для своих пользователей. Поскольку функция Owner Override требует, чтобы пользователи
предоставили учетные данные владельца, прежде чем отменять политики, она это делает не нарушать контроль
владельца компьютера над авторизованными пользователями.Корпорация может, например,
, по-прежнему использовать аттестации для контроля того, какое программное обеспечение сотрудники
могут использовать на корпоративных настольных компьютерах при доступе к корпоративным сетевым ресурсам
.)

Owner Override действительно препятствует появлению некоторых интересных новых приложений, особенно
в распределенных вычислениях. При существующем статусе
обычно невозможно отправить данные на компьютер противника, в то время как
контролирует, что злоумышленник может с ними делать. Owner Override сохраняет
этот аспект статус-кво, к сожалению разработчиков приложений
, которые хотели бы иметь возможность доверять удаленным компьютерам, даже если
не доверяет своим владельцам. Аналогичным образом, функция Owner Override предотвращает использование доверенных вычислений
для предотвращения мошенничества в сетевых играх.Поскольку
Owner Override — как и надежные вычисления в целом — не удаляет
существующих функций или функций из ПК, мы полагаем, что его преимущества
значительно перевешивают его недостатки.

Несмотря на кажущуюся желательность аппаратных улучшений для
для повышения компьютерной безопасности,
подойдет не только для любого набора аппаратных изменений. Владельцы ПК должны хорошо подумать, в каком направлении
они хотят, чтобы их платформа развивалась. Надежные вычислительные системы, которые защищают ваш компьютер
от вас и не позволяют вам отменять политики, по мнению
, являются шагом назад.Функция Owner Override или ее эквивалент
— необходимое исправление для проектирования надежных вычислительных систем.

(В этой таблице показано, как функция Owner Override сохраняет большинство преимуществ безопасности
удаленной аттестации, избегая при этом рисков.)

Статус-кво Аттестация Аттестация + переопределение владельца
Плюсы

Конкуренция и совместимость — норма

Пользователь
, управление и выбор защищены

Блокировка и удаленное управление
затруднены, потому что владельцы компьютеров имеют
существенный контроль над всем локальным программным обеспечением при любых обстоятельствах

Компрометация программного обеспечения (напр.g., вирусом) могут быть сделаны
обнаруживаемыми удаленной стороной, которая может действовать на основе этой информации

Обман в сетевых играх можно предотвратить, и
распределенных приложений (Distributed.net, SETI @ Home и т. Д.)
могут работать на компьютерах, принадлежащих ненадежным сторонам, без риска
целостности вычислений или конфиденциальности данных

Организации могут более эффективно применять политики
в отношении своих собственных членов

«Патерналистские» политики безопасности, защищающие пользователей от
последствий некоторых собственных ошибок, могут быть реализованы

Взлом программного обеспечения все еще может быть обнаружен удаленной стороной

Организация может более эффективно применять политики
к своим собственным членам, если они используют
компьютеров, принадлежащих организации

Компьютеры
Владельцы сохраняют значительный контроль над локальным программным обеспечением

Конкуренция, взаимодействие, пользовательский контроль и выбор
сохранены

Минусы

Как правило, нет возможности разрешить удаленной стороне
определять, было ли без ведома владельца компьютера локальное программное обеспечение
изменено ненадлежащим образом

Накрутка в
сетевых играх предотвратить невозможно

Накрутка недобросовестных участников
участников проектов распределенных вычислений не может быть предотвращена

«Патерналистские» политики безопасности, которые
защищают пользователей от их собственных ошибок, трудно применять

Третьи стороны могут применять политики в отношении владельца компьютера
, где
традиционно не было технологически обязательным
, или могло бы применяться только при сложности
— например:

  • DRM
  • блокировка приложений
  • Ограничения на перенос и резервное копирование
  • активация продукта
  • привязка продукта
  • принудительное обновление
  • принудительное понижение версии
  • шпионское ПО для конкретного приложения
  • предотвращение обратного проектирования и т. Д.

Мошенничество в сетевых играх или недобросовестное распределение участников
вычислений по-прежнему невозможно предотвратить

«Патерналистская» безопасность
политик по-прежнему трудно обеспечить

В той мере, в какой владельцы компьютеров
потенциально могут извлечь выгоду из надежного применения
политик DRM, они не получат этих преимуществ

Проблема: Проверка реализаций

Как владельцы компьютеров могут узнать, что их доверенное компьютерное оборудование
реализовано в соответствии с опубликованными спецификациями? (Ruediger
Weiss)

Это важная проблема для всего криптографического оборудования,
не только для надежного вычислительного оборудования.Но поскольку на большинстве ПК
ранее не было специального криптографического оборудования, у большинства пользователей ПК
просто не было повода беспокоиться об этой проблеме в прошлом
. В то время как любое оборудование может содержать лазейки или недокументированные функции
, криптографическое оборудование уникально тем, что оно имеет доступ к важной секретной информации
, а также возможность утечки этой информации
через необнаруживаемые скрытые каналы (например, в сертификатах аттестации
).Таким образом, важно убедиться, что
доверенных производителей компьютерного оборудования правильно реализуют спецификации,
без включения недокументированных функций, которые позволили бы им или третьим сторонам
получить несанкционированный доступ к частной информации.

Заключение

Мы понимаем, что усовершенствование оборудования может быть одним из способов
повысить компьютерную безопасность. Но отношение к владельцам компьютеров как к злоумышленникам — это еще не прогресс в области компьютерной безопасности. Функциональная совместимость
, конкуренция, контроль со стороны владельцев и аналогичные проблемы, присущие подходу
, TCG и NCSCB, достаточно серьезны, поэтому мы не рекомендуем
использовать эти доверенные вычислительные технологии до тех пор, пока эти проблемы не будут решены
.К счастью, мы считаем, что эти проблемы не являются непреодолимыми, и
надеемся на сотрудничество с отраслью для их решения.

Плюсы и минусы аттестации

Согласно AUA, CMS начала применять штрафы в 2015 году за отчетный период 2013 года для поставщиков, которые не прошли аттестацию или не смогли добиться значимого использования. Хотя закон допускает освобождение от уплаты налогов на отчетный период 2015/2017 год корректировки, он не обеспечивает защиты на 2016/2018 гг.

Связано: изменение направления значимого использования

«Модификации Этапа 2 на 2015–2017 гг. Вносят несколько изменений в цели программы и связанные с ними пороговые значения мер, чтобы упростить достижение значимого использования, включая использование специализированного реестра», — пишет AUA. в заявлении для Urology Times.«AUA считает, что участие в его реестре качества AUA (AQUA) позволит квалифицированным специалистам выполнить меру в рамках цели общественного здравоохранения Этапа 2, касающуюся успешной передачи данных в« специализированный реестр », при условии, что данные передается непосредственно из сертифицированной электронной записи в реестр AQUA ».

Врачи должны подтвердить значимое использование измененного Этапа 2 за отчетный период 2015 г., за некоторыми исключениями, включая Medicaid и участников, впервые участвующих в программе.Целью CMS с изменениями является подготовка врачей к переходу на этап 3; однако врачи, вероятно, столкнутся со многими из тех же препятствий — огромными затратами на запуск и обслуживание, отсутствием функциональной совместимости и требованием аттестации по принципу «все или ничего». По мнению AUA, обязательный годовой отчетный период для 2016 и 2017 годов также может стать проблемой для некоторых врачей.

Далее: «Финансовые стимулы могут помочь компенсировать некоторые расходы на практику и административные расходы.»

« В 2018 году планируется прекратить действие штрафных санкций в отношении ЭУЗ; однако те же значимые цели использования и связанные с ними меры будут переведены на MIPS, взвешенные на уровне 25% от совокупной оценки производительности », — говорится в ответе AUA. «Преимущество MIPS заключается в том, что поставщики могут получать положительную, отрицательную или нейтральную корректировку платежей в размере максимум от 4% до 9% в течение нескольких лет. Финансовые стимулы могут помочь компенсировать некоторые расходы на практику и административные расходы ».

См. Также — Рекомендации AUA по осмысленному использованию: 6 шагов вперед

Согласно MIPS, закон позволяет министру здравоохранения и социальных служб уменьшать или переносить вес EHR (до 15%) на другие категории, если доля врачей демонстрация значимого использования составляет 75% или больше.Это обнадеживает, но маловероятно, учитывая высокий процентный порог и растущее снижение уровня аттестации поставщиков услуг.

Правомочные поставщики (EP), которые имеют право участвовать в альтернативных моделях оплаты (APM), будут исключены из MIPS и получат единовременную стимулирующую выплату в размере 5% за этот год. Тем не менее, EP по-прежнему будут обязаны использовать сертифицированную технологию EHR (CEHRT) для соответствующих APM, поэтому отчетность EHR никуда не исчезнет. Начиная с 2026 года, EP в MIPS будут иметь более низкий коэффициент преобразования (0.25%), по сравнению с коэффициентом преобразования 0,75% для EP, которые соответствуют критериям APM. Согласно AUA, ожидается, что лишь небольшое количество провайдеров будут первыми внедрять APM.

More from Urology Times:

Нефинансированные поручения, выгорание заклинаний для отказа от оплаты: State of the Speciality 2015

Как защитить информацию о ваших пациентах

Остерегайтесь этих 7 распространенных ошибок EHR

Подпишитесь на Urology Times, чтобы ежемесячно получать новости от ведущего новостного ресурса для урологов.

% PDF-1.3
%
498 0 объект
>
эндобдж

xref
498 97
0000000016 00000 н.
0000003175 00000 н.
0000003312 00000 н.
0000003356 00000 п.
0000003392 00000 н.
0000003803 00000 н.
0000003943 00000 н.
0000004083 00000 н.
0000004218 00000 н.
0000004355 00000 п.
0000004493 00000 н.
0000004632 00000 н.
0000004771 00000 п.
0000004909 00000 н.
0000005048 00000 н.
0000005185 00000 п.
0000005322 00000 н.
0000005460 00000 н.
0000005597 00000 н.
0000005734 00000 н.
0000005870 00000 н.
0000006007 00000 н.
0000006145 00000 н.
0000006372 00000 п.
0000006610 00000 н.
0000013373 00000 п.
0000013952 00000 п.
0000014373 00000 п.
0000030813 00000 п.
0000031288 00000 п.
0000031654 00000 п.
0000046379 00000 п.
0000046950 00000 п.
0000047517 00000 п.
0000068224 00000 п.
0000068663 00000 п.
0000068824 00000 п.
0000068990 00000 н.
0000069155 00000 п.
0000069316 00000 п.
0000070289 00000 п.
0000071238 00000 п.
0000072315 00000 п.
0000073341 00000 п.
0000074292 00000 п.
0000075280 00000 п.
0000076269 00000 п.
0000077007 00000 п.
0000077079 00000 п.
0000077153 00000 п.
0000077227 00000 п.
0000077271 00000 п.
0000077358 00000 п.
0000077388 00000 п.
0000077430 00000 п.
0000077517 00000 п.
0000077553 00000 п.
0000077595 00000 п.
0000077682 00000 п.
0000077718 00000 п.
0000077760 00000 п.
0000077847 00000 п.
0000077892 00000 п.
0000077934 00000 п.
0000078056 00000 п.
0000078100 00000 п.
0000078142 00000 п.
0000078216 00000 п.
0000078290 00000 п.
0000078412 00000 п.
0000078449 00000 п.
0000078491 00000 п.
0000078565 00000 п.
0000078639 00000 п.
0000078761 00000 п.
0000078814 00000 п.
0000078856 00000 п.
0000078930 00000 п.
0000079004 00000 п.
0000079030 00000 н.
0000079077 00000 н.
0000079164 00000 п.
0000079220 00000 п.
0000079267 00000 п.
0000079313 00000 п.
0000079360 00000 п.
0000079397 00000 п.
0000079444 00000 п.
0000079486 00000 п.
0000079533 00000 п.
0000079583 00000 п.
0000079630 00000 н.
0000079677 00000 п.
0000079724 00000 п.
0000079775 00000 п.
0000079817 00000 п.
0000002236 00000 н.
трейлер
] / Назад 1153799 >>
startxref
0
%% EOF

594 0 объект
> поток
hb«c`, d`g`Pga @

Возможности и открытые проблемы для Интернета вещей

В этом разделе мы представляем обзор программных схем RA в хронологическом порядке.Обсуждаются их сильные и слабые стороны, а также возможные расширения.

5.1. Описание схем

5.1.1. Reflection

Reflection [13] — это самая ранняя найденная аттестация, и она разработана как простой протокол «запрос-ответ» для аттестации проверяющего. Во время аттестации верификатор отправляет два запроса, и каждый запрос содержит диапазон адресов памяти для подтверждения. Получив запрос, доказывающая сторона вычисляет хэш или дайджест сообщения заданного пространства памяти и его версию программы.Затем доказывающая программа возвращает хэш и его версию в ответ на запрос. Когда проверяющий получил оба ответа, он вычисляет ожидаемые значения хеш-функции и сравнивает их с ответами проверяющего; если они не совпадают, прувер считается скомпрометированным. Чтобы гарантировать безопасность, эта схема аттестации налагает ограничения на два диапазона, отправляемые в запросе. Чтобы гарантировать аттестацию всей программной памяти, диапазоны должны перекрываться и быть непредсказуемыми. Например, верификатор случайным образом выбирает два целых числа m1 и m2 так, что 0≤m2≤m1≤L, где [0, L] — это диапазон адресов памяти программ, в которых хранится программа.Когда первый вызов подтверждает диапазон [0, m1], второй вызов подтверждает диапазон [m2, L] и m2

Этот протокол уязвим для злоумышленника, который сначала сжимает неиспользуемую программную память, чтобы создать пространство, чтобы скрыть себя, а затем во время аттестации распаковывает память для вычисления действительной контрольной суммы. В документе рекомендуется, чтобы состояние программы, запущенной в системе, было включено в ответ в качестве меры противодействия такой атаке.В документе также предлагается заполнить неиспользуемую память случайным высокоэнтропийным шумом, чтобы иметь возможность аттестовать память. Злоумышленник также может скрыть исходные значения памяти в памяти данных устройства, которая не проверяется. Чтобы обнаружить этого злоумышленника, в документе предлагается установить ограничение по времени, в течение которого доказывающая сторона отвечает. Кроме того, в документе упоминается, что протокол уязвим для атак типа «злоумышленник в середине», поскольку скомпрометированное устройство может перенаправить запрос на бескомпромиссное устройство, перехватить ответ и использовать его для прохождения аттестации.Эта атака не рассматривалась в документе, потому что предполагается, что стоимость перевешивает выгоду для злоумышленника.

Хотя Reflection является первой программной схемой аттестации, она также имеет несколько слабых мест. В документе упоминается энтропия памяти, но не рассматривается энтропия случайно выбранных целых чисел, используемых для диапазонов памяти. В документе не объясняется, как вычисляется хэш и как перемещается память. Например, если хэш представляет собой только значение памяти, а память просматривается в предсказуемом последовательном порядке, злоумышленнику легче перенаправить со смещением подтверждение туда, где хранится исходная память, вычисляя действительный ответ. .Позднее эта проблема была решена в SWATT [4] путем отказа от последовательной проверки памяти. Кроме того, Reflection может оказаться неэффективным. Например, если m1 = L и m2 = 0, тогда вся память аттестуется дважды, в чем нет необходимости, а если m1 и m2 находятся близко к границам диапазона, это означает, что большая часть памяти аттестуется дважды. С точки зрения Интернета вещей, проверка памяти дважды во время одной и той же работы потребляет драгоценную батарею, пропускную способность и не позволяет устройствам выполнять свои обычные операции.В зависимости от того, как часто устройства проходят аттестацию, аттестация может оказаться дорогостоящей операцией.

5.1.2. SWATT

SWATT [4] — это простой протокол запрос-ответ, подобный тому, который показан на. SWATT вычисляет ответ, вычисляя контрольную сумму памяти. Он использует генератор псевдослучайных чисел (PRNG) для перебора памяти в непредсказуемом порядке. Таким образом, злоумышленник должен проверять каждый доступ к памяти во время аттестации, чтобы перенаправить доступ к памяти туда, где хранится исходный код для этой области памяти.Доказывающая сторона получает начальное значение для ГПСЧ в вызове от проверяющей стороны. Чтобы обеспечить высокую вероятность того, что устройство не будет взломано, SWATT проходит O (nln (n)) адресов памяти, где n — количество адресов памяти, в которых хранится программа, запущенная на устройстве. Это значение взято из проблемы сборщиков купонов, в которой говорится, что при таком количестве обращений к памяти вполне вероятно, что каждый адрес памяти в устройстве будет доступен хотя бы один раз. При обращении к каждому адресу памяти хотя бы один раз злоумышленник не может сохранить неожиданные значения в аттестованной памяти.

Чтобы злоумышленник не мог вычислить действительный ответ на лету во время выполнения аттестации, перенаправив аттестацию в области памяти, где злоумышленник сохранил исходные значения, SWATT требует строгого времени выполнения процедуры аттестации. Чтобы соответствовать верхнему пределу времени выполнения процедуры аттестации, код аттестации SWATT должен быть полностью оптимизирован. Из-за свойств PRNG злоумышленник должен вставить операторы if в код аттестации, чтобы перенаправить проверку туда, где хранится исходный код.Таким образом, любой внедренный вредоносный код приведет к измеримой задержке. Другое требование к проверке времени — это то, что ответ подтверждения не может быть вычислен одновременно, то есть разные части не могут быть вычислены одновременно. Если бы это было возможно, несколько устройств смогли бы вступить в сговор, чтобы вычислить законный ответ в течение разрешенного времени. Чтобы предотвратить параллельные вычисления, каждая контрольная сумма и адрес памяти зависят от предыдущей.

Тот факт, что SWATT полагается на строгое ограничение по времени и оптимизированное выполнение функций, считается недостатком.В частности, по мере того, как устройства становятся мощными, а алгоритмы улучшаются, алгоритм SWATT необходимо будет постоянно обновлять, чтобы гарантировать отсутствие более быстрой реализации. Кроме того, это создает проблему при использовании в сетях с непредсказуемыми задержками. В этом случае допустимое время может быть слишком большим, что позволит злоумышленникам остаться незамеченными. Напротив, если разрешенное время недостаточно велико, устройства могут считаться скомпрометированными, даже если это не так.

5.1.3. Pioneer

Pioneer [5] — это схема RA, аналогичная SWATT [4], но она ориентирована на устаревшие устройства с большей вычислительной мощностью и большим объемом памяти.Pioneer отличается от SWATT тем, что включает больше информации в контрольную сумму. В отличие от SWATT, который включает в контрольную сумму только значения адресов памяти, Pioneer также включает программный счетчик и указатель данных в контрольную сумму для обнаружения атак копирования памяти. Кроме того, в контрольную сумму также включаются места перехода для инструкций перехода для обнаружения недопустимых переходов.

Pioneer — это двухэтапный протокол запрос-ответ. Во-первых, он вычисляет контрольную сумму кода контрольной суммы, чтобы убедиться, что он работает правильно.Затем он вычисляет хэш аттестованного исполняемого файла. Верификатор проверяет и контрольную сумму, и хэш, чтобы подтвердить, что исполняемый файл является доверенным. Pioneer также отличается от других представленных схем тем, что проходит аттестацию. Для устройств с большим объемом памяти и множеством различных программ Pioneer подтверждает только один исполняемый файл, который затем используется для обеспечения маршрута доверия для этого исполняемого файла. Pioneer требует тех же жестких временных ограничений, что и SWATT, и использует тот же ГПСЧ для выбора адресов памяти.

5.1.4. PIV

Проверка целостности программы (PIV) [36] — это схема RA, основанная на рандомизированной хеш-функции (RHF). Используемый RHF представляет собой многомерный квадратичный многочлен (MQ). Многочлены MQ успешно использовались в качестве односторонней функции лазейки. Специальная характеристика полинома MQ, которую использует PIV, заключается в том, что одно и то же значение хеш-функции может быть вычислено как из содержимого памяти, так и из специального дайджеста содержимого памяти. То есть, запуск RHF как для программы, так и для специального дайджеста программы даст одно и то же значение.Многочлены MQ обладают следующей особенностью. Если программа x разбита на n блоков [x0,…, xn], где каждый блок представляет собой вектор am × 1 xi = [xi, 0,…, xi, m] T, то специальный дайджест представляет собой матрицу размера m × m Xl = XLXLT.

Дайджест явно относится к программе x. Во время проверки верификатор вычисляет хэш Y из дайджеста Xl по

и доказывающий вычисляет хэш Y из программы x по

где H — случайная хеш-функция, gl — криптографический ключ, а n — количество блоков, из которых состоит программа.

PIV — это типичный протокол запрос-ответ, но он отправляет больше сообщений для аутентификации проверяющего. Протокол запускается либо при попытке устройства подключиться к сети, либо когда механизм обнаружения вторжений отмечает устройство как потенциально взломанное. Когда устройство пытается подключиться к сети, оно сначала находит как минимум верификатор и сервер аутентификации (AS), а затем запрашивает у AS аутентификацию верификатора. Как только он найдет аутентифицированного верификатора, он попросит его подтвердить свой код.Верификатор отправляет устройству рандомизированную хеш-функцию H и ключ gl. Устройство вычисляет хэш из программы и отправляет его в ответ на запрос. Если она не совпадает с ожидаемой контрольной суммой проверяющего, устройство считается взломанным и не может подключиться к сети. Предположим, устройство уже подключено к сети и система обнаружения вторжений помечает его как подозрительное. В этом случае проверяющий может инициировать протокол, отправив хеш-функцию и ключ. Устройство по-прежнему аутентифицирует верификатор на сервере аутентификации.

В отличие от Reflection [13] или SWATT [4], в PIV [36] верификатор хранит не программы, а только дайджест программных блоков. Поскольку программы с разных датчиков могут использовать одни и те же блоки, это означает, что верификатору может потребоваться хранить меньше информации. PIV утверждает, что он эффективен, поскольку он не часто проверяет устройства: устройство проверяется, когда оно подключается, и когда система обнаружения вторжений (IDS) помечает устройство как возможное взломанное. Поскольку то, как часто PIV будет проверять устройства, зависит от IDS, он может часто запускаться, если IDS очень чувствительна или если многие атаки запускают IDS для проверки устройств.

5.1.5. Самомодифицирующийся код

Shaneck et al. [37] предлагают протокол RA, который улучшает жесткие временные ограничения SWATT [4]. Ключевая идея состоит в том, чтобы затруднить злоумышленникам вставку условных смещений в операторы чтения кода аттестации, сделав код различным для каждой аттестации. Для этого код аттестации должен быть свежим и непредсказуемым. Свежесть заключается в том, чтобы избежать атак повторного воспроизведения, в то время как непредсказуемость предотвращает предварительные вычисления.В предлагаемом решении верификатор отправляет код подтверждения по сети. Для этого код должен быть небольшим, чтобы не создавать больших накладных расходов на связь во время процедуры аттестации.

Схема направлена ​​на то, чтобы сделать статический программный анализ кода аттестации сложным и трудоемким, не позволяя злоумышленникам вычислить действительный ответ в течение ожидаемого срока. В отличие от SWATT, который полагается на строгие временные ограничения и оптимизированный код аттестации, эта схема имеет более слабые временные ограничения и не полагается на оптимизированный код.В частности, схема основана на обфускации кода, чтобы предотвратить анализ кода злоумышленником и своевременное вычисление правильного ответа. Предлагаемое решение предназначено для увеличения задержки от атаки, чтобы облегчить жесткие временные ограничения, допуская большую задержку в сети. Предлагаемое ограничение по времени для этой схемы аттестации составляет (2 × r) + e + Δ, где r — время передачи запроса и ответа, e — ожидаемое время выполнения кода аттестации, а Δ — переменное время.Δ основывается на задержке до злоумышленника и, следовательно, является допустимой задержкой в ​​сети.

Эта схема представляет собой протокол запроса-ответа с добавлением использования кодов шифрования и аутентификации сообщений (MAC). Запрос содержит фактический код подтверждения, который был зашифрован и отправлен вместе с его MAC. После того, как доказывающая сторона проверила MAC, она расшифровывает код и загружает его в память программы для выполнения. Когда верификатор создает код аттестации, используется некоторая форма случайности, чтобы обеспечить свежесть и сделать код непредсказуемым.

Эта схема является улучшением по сравнению с SWATT, когда дело касается ремонтопригодности. Поскольку код аттестации SWATT должен быть полностью оптимизирован, его необходимо постоянно проверять и обновлять, чтобы ни у одного злоумышленника не было более быстрой версии с условными смещениями. Самомодифицирующийся код не требует этого, поскольку код является новой версией, предоставляемой проверяющим при каждой аттестации. Это означает, что верификатор должен отправить больше данных, что может быть проблемой для сенсорных сетей с низкой пропускной способностью.Например, если датчик находится где-то вдали и работает от батареи, эти накладные расходы на связь могут оказаться слишком дорогостоящими.

5.1.6. Proactive

Proactive Code Verification [38] — это схема аттестации, которая пытается улучшить SWATT [4]. Как и схема самомодифицирующегося кода [37], она направлена ​​на устранение строгих временных ограничений, налагаемых SWATT. Вместо того, чтобы изменять код аттестации, Proactive фокусируется на заполнении памяти случайными значениями, чтобы злоумышленник не мог скрыть исходные значения или вредоносный код.Этот протокол представляет собой классический протокол «запрос-ответ», удостоверяющий память путем вычисления контрольной суммы над содержимым. Он предлагает добавить к запросу идентификатор для проверяющего, что позволяет проверяющей аутентифицировать его. В запросе доказывающий получает семя, как и SWATT. Вместо использования начального числа для подтверждения памяти в случайном порядке из случайно сгенерированных значений Proactive использует начальное значение для генерации случайных значений, используемых для заполнения пустой памяти. Кроме того, вместо того, чтобы отвечать только контрольной суммой памяти программы, Proactive включает память данных в контрольную сумму.Для проверки контрольной суммы верификатору необходимо содержимое памяти данных, которое проверяющее отправляет в ответе вместе с контрольной суммой.

Эта схема также имеет временные ограничения, но не требуется, чтобы она была такой же строгой, как SWATT. Поскольку вся память аттестована, злоумышленник не может использовать неиспользуемую память для вычисления действительного ответа на основе исходных значений. Более того, в Proactive значения, используемые для заполнения памяти, зависят от предыдущих значений. Поэтому злоумышленник не будет легко генерировать значения и хэшировать их.Поскольку Proactive заполняет память дважды, злоумышленник не может просто вычислить цепочки, поскольку результаты распространяются по значениям для всей заполненной памяти. Proactive включает память данных в контрольную сумму и отправляет содержимое памяти в ответ, чтобы ввести дополнительные данные для отправки по сети. Поскольку верификатор не знает легитимного состояния памяти данных, он принимает содержимое ответа, несмотря на потенциально вредоносный код, который он может включать.

Усовершенствование Proactive по временным ограничениям SWATT связано с тем, что злоумышленнику потребуется много времени, чтобы вычислить каждый блок памяти, который должен быть аттестован, без перезаписи собственного вредоносного кода.Злоумышленнику придется вычислять каждый блок памяти с самого начала, поскольку каждый блок полагается на предыдущие блоки. Поскольку память заполняется дважды, это означает, что первый блок зависит от всех остальных блоков.

5.1.7. Распространено

Yang et al. [39] предлагают две разные схемы распределенной аттестации. Идея, стоящая за ними обоими, состоит в том, чтобы устранить необходимость в доверенном верификаторе, как в других схемах аттестации. Кроме того, предлагается повышение эффективности псевдослучайного обхода памяти SWATT [4] за счет безопасности.Эта схема основана на SWATT, но с той разницей, что она работает с блоками памяти, а не с ячейками. Вместо вычисления контрольной суммы путем итерации по каждому адресу памяти и обновления контрольной суммы предлагаемый блочный подход обрабатывает блок ячеек за один раз, которые объединяются вместе для вычисления контрольной суммы. Такой подход приводит к меньшему количеству итераций, поскольку каждая итерация обрабатывает больше памяти. Если размер блока установлен на единицу, то он такой же, как SWATT. Если размер блока равен размеру памяти, то контрольная сумма вычисляется за одну итерацию, при которой вся память объединяется с помощью Xor.Размер блока, равный размеру аттестованной памяти, представляет собой угрозу безопасности, поскольку позволяет злоумышленнику легко сохранить вычисленную контрольную сумму, поскольку фактического обхода нет. Поэтому нужно быть осторожным при выборе размера блока.

В первой схеме выбирается одно устройство, которое действует как проверяющий. Правило большинства проверяет ответ аттестации во второй схеме. В обеих схемах память заполняется перед развертыванием устройств. Память заполнена псевдослучайным шумом.Он использует RC5 в режиме CTR для заполнения памяти, что является обычным алгоритмом хеширования, работающим в режиме счетчика. Режим счетчика означает, что генерируемые значения не зависят от ранее вычисленных значений. Вместо этого вычисленные значения зависят от счетчика, который зашифрован. Это означает, что если начальное число и значение счетчика известны для определенного блока, то можно вычислить значение без необходимости вычислять какие-либо другие значения. Это менее безопасно, поскольку значения не смешиваются так, как в режиме CBC.Эти схемы не имеют мощного верификатора с большим объемом памяти для обработки режима CBC, поэтому был выбран режим CTR, поскольку он использует меньше памяти.

В первой схеме идея состоит в том, чтобы соседи доказывающего устройства имели начальное значение для заполнения памяти в качестве общего секрета. Это означает, что соседи могут воссоздать значения, используемые для заполнения памяти, для вычисления контрольной суммы для подтверждения. После того, как устройство развернуто, оно находит своих соседей и затем отправляет часть начального числа вместе с хеш-кодом начального значения каждому соседу.Совместное использование секрета основывается на пороге (n, k), где n — количество соседей, а k — значение, представляющее компромисс между безопасностью и производительностью. Это связано с определением количества соседей, между которыми должен быть разделен секрет для обеспечения безопасности. Порог k определяет, сколько долей необходимо для восстановления секрета. Чем выше k, тем больше требуется общих ресурсов, что затрудняет получение секрета и требует большего взаимодействия, когда устройству действительно необходимо получить секрет.

Вторая схема основана не на главе кластера, а на демократическом процессе. Вместо того, чтобы разделять начальное число между соседями, каждое устройство загружается n парами запрос-ответ перед его развертыванием, где n — количество ожидаемых соседей. Количество итераций обхода памяти настраивается и является компромиссом между безопасностью и производительностью. Когда устройство развернуто, оно находит своих соседей и отправляет каждому из них пару запрос-ответ. После того, как устройство выбрано для аттестации, каждый сосед последовательно отправляет свой запрос.Программа доказательства вычисляет ответы с обходом памяти на основе блоков PRNG. Затем соседи голосуют по результату и правилам большинства.

В первой схеме защита семени имеет решающее значение. Если семя скомпрометировано, злоумышленник может пройти любую аттестацию для устройства, которому принадлежит семя. Это означает, что злоумышленнику необходимо получить k или более секретных ресурсов, например, скомпрометировав соседей. Другая возможность злоумышленника — быть во главе кластера во время аттестации, а затем скомпрометировать те устройства, которые он аттестовал.Таким образом, у него будет секретное семя для них, позволяющее им пройти аттестацию и сделать то же самое, когда они являются главой кластера.

Вторая схема лишена указанного выше недостатка. Напротив, это демократичная схема, поэтому, если злоумышленник скомпрометировал достаточно устройств, атака не будет обнаружена. Это означает, что эта схема зависит от вероятности взлома каждого устройства и механизма обнаружения для обнаружения атаки до того, как будет скомпрометировано слишком много устройств. Более того, вторая схема может оказаться крайне неэффективной, если будет слишком сосредоточена на безопасности.Если доказывающая сторона имеет много соседей, и она должна пройти всю память для каждого соседа, это окажется крайне неэффективным. Первая схема имеет здесь преимущество, поскольку выполняется только одно выполнение аттестации.

Кроме того, представленные здесь схемы имеют высокие накладные расходы на связь, которые могут быть дорогостоящими из-за энергопотребления устройств, особенно при рассмотрении IoT-устройств с батарейным питанием и устройств с ограниченными ресурсами. Вторая схема вводит накладные расходы на связь и вычислительные затраты, поскольку доказывающему устройству может потребоваться несколько раз подтвердить всю свою память.

5.1.8. Заполнение памяти

AbuHmed et al. [40] представляют еще одну попытку использования заполнения памяти для преодоления временных ограничений, налагаемых SWATT. Заполнение памяти предлагается производить двумя разными способами вместе с двумя протоколами аттестации. Кроме того, предлагается изменение блочного псевдослучайного обхода памяти, используемого в распределенных [39] схемах. Схема заполнения памяти перед развертыванием в Memory Filling [40] очень похожа на схему [39]. Обе схемы используют RC5 в режиме CTR для заполнения памяти устройств перед их развертыванием.Разница в том, что в [40] аттестацию выполняет доверенный верификатор. Предлагаемое изменение PRNG состоит в том, чтобы сделать размер блока динамическим в алгоритме. Это включает в себя вычисление нового размера блока на каждой итерации. В документе предлагается, чтобы размер блока был функцией выходных данных хэш-функции RC5, но не предлагает никаких требований.

В статье предлагается два протокола аттестации. Первый — это тот же базовый протокол, что и любая другая схема аттестации, но с идентификаторами и шифрованием для аутентификации и защиты сообщений во время связи.Он также отправляет одноразовый номер от проверяющего к проверяющему и другой одноразовый номер от проверяющего к проверяющему. Это основной и распространенный способ обеспечить свежесть обеих сторон. Вторая схема аттестации добавляет метку времени к запросу аттестации, чтобы предотвратить атаки повторного воспроизведения.

Заполнение памяти после развертывания может быть полезно, если некоторые данные собираются и хранятся в программной памяти, чтобы использоваться для нормальной работы устройств. Он уведомит проверяющего о семени и памяти.Алгоритм обхода псевдопамяти на основе блоков — интересное предложение, позволяющее сделать его менее предсказуемым, но оно не оправдано с точки зрения производительности или безопасности. Это случайным образом повысит производительность или безопасность, в зависимости от того, станет ли блок больше или меньше. В конце концов, это будет зависеть от количества сделанных итераций. Размер динамического блока O (nln (n) b) не является хорошей мерой для количества итераций, поскольку b не является фиксированным. Вероятный сценарий — выполнить O (nln (n)) итераций на всякий случай.

Заполнение памяти этих схем осуществляется с помощью RC5 в режиме CTR. Причина, по которой Distributed [39] использовал режим CTR, заключалась в лучшей производительности по использованию памяти. Этот выбор был сделан потому, что код выполнялся на других устройствах с ограниченными ресурсами, где производительность использования памяти имеет значение. В Memory Filling [40] аттестацию выполняет верификатор, который, вероятно, является более мощной машиной. Доказатель не должен снова заполнять память, ему просто нужно вычислить контрольную сумму, поэтому на нее не влияет CTR vs.Режим CBC. У верификатора, вероятно, будет память для создания ожидаемой памяти с RC5 в режиме CBC, а не в режиме CTR, что делает его более безопасным за счет некоторого временного использования памяти. После аттестации память с ожидаемым содержимым памяти может быть перезаписана и использована для следующей аттестации.

5.1.9. USAS

USAS [41] — это схема RA, направленная на улучшение временных и энергетических характеристик распределенных [39] и SWATT [4]. Таким образом, он полагается на два уровня аттестации, где только один уровень зависит от ГПСЧ, улучшая производительность второго уровня.Несмотря на то, что схема в основном основана на распределенной [39], она использует доверенный верификатор, а не распределенную модель [39]. Основное внимание уделяется времени и мощности аттестации.

На представленной схеме I- и F-устройства различают два уровня. I-устройство является инициатором, а это означает, что с него начинается аттестация. F-устройства — это последователи, которые находятся на втором уровне аттестации. Аттестованные устройства, как I-устройство, так и F-устройства, выбираются проверяющим случайным образом для обеспечения непредсказуемости.Основная идея состоит в том, что верификатор отправляет I-устройству случайный запрос. Устройство вычисляет контрольную сумму из запроса. Затем I-устройство отправляет контрольную сумму F-устройствам, а не верификатору. F-устройства используют контрольную сумму для вычисления своей контрольной суммы. F-устройства отправляют свою контрольную сумму верификатору, и верификатор сравнивает их с рассчитанной локально ожидаемой контрольной суммой.

Память устройств заполняется перед их развертыванием, аналогично ранее описанным схемам.Сообщение вызова содержит начальное число для ГПСЧ и начальное число, используемое для генерации случайного шума, используемого для заполнения памяти. В устройствах хранится хэш начального числа, который они используют для аутентификации запроса. I-устройство, получающее первый запрос, использует RC4 для генерации случайных адресов памяти для аттестации. Это алгоритм аттестации, используемый в SWATT [4]. Полученная контрольная сумма отправляется на все выбранные F-устройства. Вот где самое существенное различие. Вместо использования RC4 для генерации случайного адреса для аттестации F-устройства используют контрольную сумму I-устройства для генерации адресов.Заметная часть алгоритма состоит в том, что адрес памяти, который должен быть аттестован, вычисляется из контрольной суммы I-устройства в сочетании с его контрольной суммой, которую он вычисляет в настоящее время. Он по-прежнему выполняет итерацию по памяти O (nln (n)) раз, но не запускает RC4 на каждой итерации для генерации нового случайного адреса. Следовательно, значение RC4 также не используется для обновления контрольной суммы. Когда верификатор сравнивает контрольные суммы от F-устройств с его собственными локально вычисленными контрольными суммами, он также каждый раз проверяет контрольную сумму I-устройства.Это связано с тем, что контрольная сумма I-устройства используется для вычисления всех остальных контрольных сумм. Если контрольная сумма I-устройства не пройдет, то ни одна из других контрольных сумм не пройдет. Это означает, что если хотя бы одно F-устройство проходит аттестацию, то I-устройство также проходит. Однако это также означает, что если I-устройство взломано и не может пройти, то все F-устройства также выйдут из строя, даже если они не скомпрометированы. Это означает, что одного раунда аттестации недостаточно, чтобы сказать, что F-устройство вышло из строя, если все F-устройства вышли из строя.Если проходит только одно F-устройство, то I-устройству можно доверять, а любое F-устройство, которое выходит из строя, можно считать скомпрометированным. Если проверка всех контрольных сумм завершилась неудачно, потребуется еще один раунд, чтобы проверить, было ли это из-за I-устройства. Таким образом, устройства будут повторно аттестованы до тех пор, пока не пройдет хотя бы одно устройство.

Даже если производительность может быть лучше для каждой аттестации, это зависит от того, насколько велика вероятность взлома I-устройства. Каждый раз, когда I-устройство оказывается взломанным, все аттестации F-устройства бесполезны, и SWATT был бы более эффективным.Также всегда существует вероятность того, что I-устройство не скомпрометировано, но все F-устройства скомпрометированы, в зависимости от того, сколько F-устройств присутствует в каждой аттестации.

Риск безопасности этой схемы заключается в том, что проблема включает начальное число, используемое для заполнения памяти. Это означает, что злоумышленник может получить начальное значение и сгенерировать ожидаемое содержимое памяти на лету. Поскольку ограничений по времени нет, у злоумышленника есть достаточно времени, чтобы сгенерировать правильный ответ. Это начальное число используется только для аутентификации проверяющего и, следовательно, для проверки.Вместо отправки начального числа следует отправлять хеш-значение, чтобы не раскрывать фактическое начальное число. Однако, если злоумышленник подслушивает и узнает сообщение, будь то семя или его хэш, то злоумышленник может пройти аутентификацию в качестве проверяющего. Это означает, что крайне важно иметь безопасный протокол аутентификации с сообщениями, зашифрованными с помощью достаточно надежного шифрования.

5.1.10. DataGuard

DataGuard [42] фокусируется на предотвращении атак переполнения памяти данных. В отличие от других схем, он обеспечивает гарантии безопасности целостности памяти данных без перезаписи содержимого памяти.До тех пор, пока не удается восстановить данные, схема обнаружит любую атаку переполнения, которая произошла с момента последней аттестации.

Схема предотвращения подобных атак заключается в введении новых переменных, называемых датами. Ярлыки данных добавляются в конец переменных, используемых программой. Дело в том, что память всегда заполняется в одном направлении, поэтому, если заполнено больше памяти, чем выделено для переменной, она заполнит поле данных. Поскольку данные были изменены, устройство не сможет пройти аттестацию.Чтобы злоумышленник не прошел аттестацию, нельзя воссоздать защиту данных без какой-либо секретной информации, которая не хранится в устройстве.

Защита данных инициализируется с помощью секрета e и одноразового номера, предоставленного доверенным верификатором. Первый блок данных — это хэш двух значений от верификатора и начального значения счетчика c, то есть начальный блок данных H (e, nonce, 1) = dg0, где dg0 — это блок данных, а 1 = c — это начальное значение счетчика c.И e, и nonce являются свежими и выбираются случайным образом, что обеспечивает энтропию и затрудняет их угадывание. Безопасность устройств защиты данных зависит от того, что злоумышленник не знает e и nonce, так как их знание позволит злоумышленнику вычислить все действительные средства защиты данных для прохождения аттестации. Когда вычисляется новый блок данных, также обновляется предыдущий блок данных dgi-i. Предыдущий щит данных становится dgi − 1 = H (dgi − 1, c + 1), а новый щит данных устанавливается на dgi = H (dgi − 1, — (c + 1)). Обратите внимание, что новый блок данных вычисляется из старого значения предыдущего блока данных, а не из его нового значения.Вычисленные датагоды никогда не удаляются и не удаляются. Если они больше не используются, потому что принадлежали временной переменной, они сохраняются в списке данных, поскольку они все еще необходимы во время аттестации.

Протокол аттестации этой схемы снова является схемой запрос-ответ. Проверяющий отправляет вызов доказывающему. Доказывающая программа вычисляет контрольную сумму отправляемых ею ящиков данных вместе с количеством вычисленных ящиков данных m в качестве ответа на запрос.Затем проверяющий вычисляет ожидаемое значение локально, поскольку ему известны как e, так и nonce. Если какая-либо из этих данных не имеет ожидаемого значения, тогда контрольные суммы не будут совпадать, аттестация не удастся, и устройство считается скомпрометированным.

Этого можно избежать, подтвердив, что программная память не была изменена, или с помощью оборудования, такого как TPM, для программы генерации защиты данных. Более того, интересно, что верификатор отправляет и e, и nonce во время инициализации, но это не актуально в реальной проблеме аттестации.Если e — это только что сгенерированный секрет, он обеспечивает свежесть, делая одноразовый идентификатор избыточным. С другой стороны, это увеличивает энтропию, что затрудняет угадание исходного кода данных.

Поскольку в запросе подтверждения нет актуальности, можно использовать старый вычисленный ответ. То есть злоумышленник может вычислить контрольную сумму текущих данных и сохранить значение счетчика. Затем злоумышленник может перезаписать все текущие и новые данные. Когда наступает время аттестации, злоумышленник отправляет вычисленную контрольную сумму со счетчиком в качестве ответа и проходит аттестацию.

Если это будет сделано как часть операции обновления, злоумышленник также получит новый секрет и одноразовый номер, таким образом, он сможет вычислить действительные данные.

Эта схема аттестации во многом полагается на то, что программа, генерирующая данные, не будет скомпрометирована, но не пытается гарантировать ее, аттестируя ее или используя оборудование. Это также может вызвать некоторые проблемы с производительностью. Согласно [42], в списке может храниться 150 данных, если он имеет 1 Кбайт памяти. Кроме того, в нем говорится, что он может вычислить данные в 0.01 с. При этом не упоминаются накладные расходы на связь из-за операций обновления. Накладные расходы на связь зависят от программы, так как это зависит от того, как часто генерируется защита данных. Если программа использует много локальных переменных, она сгенерирует много информационных сообщений. Предположим, программа генерирует 150 блоков данных каждый час и сохраняет 150 блоков данных в списке, затем она будет запускать операцию обновления с запуском аттестации каждый час. Это может быть дорогостоящим для устройств IoT с батарейным питанием и ограниченными ресурсами.

5.1.11. Lightweight

Схема аттестации, представленная в Lightweight [43], очень похожа на вторую схему Distributed [39]. Обе они являются распределенными схемами, поскольку в них не используется доверенный верификатор. Они также распределяют ответы на вопросы аттестации. В Lightweight [43] используется фаза инициализации, на которой ответы распределяются между устройствами. Он работает, когда каждое устройство заполняет некоторую аттестационную память контрольными суммами значений из регистров других устройств.Для проверки всех регистров устройства и во избежание проверки одного регистра несколькими устройствами каждый регистр передается только одному другому устройству. Для этого в этой работе предполагается, что память разделена на память программ и память аттестации, которые по-прежнему являются статической памятью. Две ячейки памяти должны быть одинакового размера, и если программная часть памяти не заполнена какой-либо программой на устройстве, она должна быть заполнена случайным шумом. Фаза инициализации завершена, когда все устройства заполнили свою аттестационную память контрольными суммами значений регистров с других устройств.

Протокол аттестации включает только два устройства. Допустим, устройство a инициирует аттестацию. Затем он выбирает один регистр из памяти программ и один из памяти аттестации, и оба они должны быть аттестованы. Затем он собирает эквивалентные значения с устройств, которые их хранят. Регистр из программной памяти хранит фактическое значение, поэтому устройство собирает соответствующую контрольную сумму от устройства, которое ее хранит, вычисляет контрольную сумму для своего регистра и сравнивает их. Регистр в памяти аттестации содержит контрольную сумму, поэтому он собирает исходное значение с устройства, с которого он получил значение, для вычисления контрольной суммы, вычисляет контрольную сумму только что полученного значения и сравнивает их.Если одна из этих двух проверок завершилась неудачно, оба устройства прекращают работу.

В Distributed [39] ответы на вызовы также распределяются между устройствами. Однако каждый ответ учитывает более одного регистра. Кроме того, он не завершает работу двух устройств при одной неудачной аттестации, поскольку только одно устройство аттестуется многими в рамках демократического процесса. Облегченный предполагает, что программа и код аттестации хранятся в постоянной памяти, чтобы предотвратить его изменение.Причина, по которой он завершает работу обоих устройств, заключается в том, что он проверяет оба устройства вместе по одной и той же контрольной сумме один к одному и выполняется одним устройством. Это также делает его уязвимым для DoS-атак, которые в [43] не рассматриваются. Одна из проблем здесь заключается в предположении, что неисправное устройство отключится при выходе из строя. Предполагается, что это происходит потому, что код хранится в постоянной памяти и не может быть изменен. Кроме того, эта процедура завершения означает, что бескомпромиссное устройство завершает работу для каждого устройства, не прошедшего аттестацию.Это может означать, что многие бескомпромиссные устройства отключены, что нежелательно, так как это может прервать работу, зависящую от них.

Еще одно соображение по этому поводу — это то, как влияет на всю схему, когда многие устройства терминируют. Если контрольная сумма регистра хранится на другом устройстве, то этот регистр не может быть аттестован, если устройство завершено. Если отключено достаточное количество устройств, у злоумышленника может быть достаточно непроверенной памяти, чтобы избежать обнаружения. Однако для этого требуется, чтобы злоумышленник знал, какие регистры были в оконечных устройствах, что может оказаться трудным.Кроме того, Ref. [43] не объясняет, как он работает с устройством, выбирающим регистр, который хранится в оконечном устройстве, для подтверждения.

Еще один интересный вопрос для этого протокола — как он будет работать в более гетерогенной сети. Текущий дизайн ориентирован на однородную сеть, в которой каждое устройство имеет одинаковый объем памяти, чтобы все регистры были сохранены на другом устройстве. Тем не менее в гетерогенной сети IoT это может быть невозможно. В качестве примера рассмотрим сеть с 2 устройствами a и b.Устройство a имеет размер памяти n, а устройство b — размер памяти m, где n

5.1.12. LRMA

Недорогая аттестация удаленной памяти [44] построена на основе SWATT [4]. Схема направлена ​​на строгие временные ограничения, налагаемые SWATT. Он изменяет обработку времени, чтобы позволить аттестацию устройств, не находящихся в прямом контакте с проверяющим. Кроме того, он добавляет вероятностный уровень риска, который используется для определения последовательности и частоты аттестации.Эти две части не пересекаются, поэтому сначала будет описана обработка времени, а затем уровень риска.

В устройствах LRMA можно засвидетельствовать любое количество удаленных переходов. В большинстве схем аттестации рассматриваются только устройства, напрямую взаимодействующие с проверяющим. Поскольку [44] использует SWATT в качестве базовой схемы аттестации, им необходимо учитывать временные ограничения в настройке с несколькими сетевыми сообщениями, которые могут быть задержаны. LRMA обрабатывает это, позволяя верификатору получать сетевую задержку для каждого перехода в ответе.Затем он использует эти задержки для вычисления среднего значения и использует среднее значение для оценки фактического времени аттестации.

LRMA [44] вводит использование уровней риска для определения частоты аттестации устройства. Это означает, что устройство с высоким уровнем риска аттестуется чаще, чем устройство с более низким уровнем риска. Уровень риска рассчитывается как сумма неудавшихся аттестаций за несколько последних прогонов аттестации. При определении частоты Ti, на которой устройство должно быть аттестовано, оно использует вычисленный риск Ri, средний уровень риска R˜, единицу времени T, коэффициент масштабирования β и константу φ.

Проверяющий использует эту частоту для определения времени следующей аттестации устройств. Это делается путем выбора случайного значения между нулем и Ti и добавления его к сумме предыдущих частот. Если бы ноль был выбран случайным образом, а сумма предыдущих частот не была добавлена, это означало бы, что устройство должно быть аттестовано немедленно; таким образом, сумма обеспечивает компенсацию. Интересно, что это сумма, а не среднее значение, что означает, что смещение увеличивается с течением времени.

С другой стороны, если устройство все еще прерывается, если оно не проходит аттестацию, то риск будет отражать, как часто устройство скомпрометировано.Таким образом, можно сказать что-то об этом конкретном устройстве, имеющем некоторую уязвимость, которую необходимо исправить, если она имеет высокий уровень риска. Однако может потребоваться некоторое время, чтобы взломанный был исправлен и был разрешен обратно в сеть. Когда устройство возвращается в сеть, его необходимо идентифицировать как то же устройство. Поскольку неизвестно, когда устройство вернется в сеть, следующее время аттестации не следует определять до тех пор, пока оно снова не будет подключено.

Другой способ использования уровня риска — использовать его только для проверки тайм-аута.Если аттестация не удалась из-за несоответствия контрольной суммы, устройство прекращает работу. Однако, если проверка использованного времени завершается неудачно, уровень риска и частота аттестации обновляются. Затем должен быть установлен порог уровня риска, поэтому, если уровень риска устройств превышает пороговое значение, он прекращается. Это позволит среднему временному измерению сетевой задержки иметь немного больше времени для вычисления более точного среднего. Однако это также даст злоумышленнику больше времени, чтобы оставаться незамеченным на устройстве, что увеличивает количество ложноотрицательных свидетельств.

Если скомпрометированное устройство не отключено, а просто аттестовано чаще, это также вносит большой перекос в расчеты производительности и эксперименты. В [44] приведены результаты некоторых экспериментов по его работе. Один из экспериментов показывает, что LRMA имеет намного больше успешных аттестаций и через некоторое время не обнаруживает необнаруженных атак. В этих экспериментах успешная аттестация — это аттестация, которая правильно обнаруживает атаку. Однако, если скомпрометированное устройство никогда не прекращает работу, а вместо этого скомпрометированные устройства аттестуются чаще, то в какой-то момент аттестуются только скомпрометированные устройства, и из-за той же атаки происходит сбой.

Поскольку общее количество аттестаций одинаково, это также будет означать, что через некоторое время некоторые устройства могут никогда не пройти аттестацию, что станет идеальной целью для злоумышленника, если он узнает об этом. За счет сбора и учета сетевой задержки эта схема должна уменьшить количество ложноотрицательных подтверждений. Эти ложноотрицательные результаты были бы неудачной аттестацией из-за того, что они использовали слишком много времени, но на самом деле использованное время было связано с задержкой в ​​сети, а не из-за взлома устройства.

Identity Manager 8.1.1 — Руководство администратора аттестации

Определение ответственных лиц

Процессор DBQueue вычисляет, какой сотрудник авторизован в качестве утверждающего на каком уровне утверждения. После запуска аттестации подтверждающие определяются для каждого шага утверждения рабочего процесса, который должен быть обработан. Изменения в обязанностях могут привести к тому, что сотрудник больше не будет авторизован в качестве утверждающего лица для аттестации, которая еще не была окончательно утверждена.В этом случае необходимо произвести пересчет подтверждающих. Следующие изменения могут вызвать перерасчет ожидающих подтверждения:

  • Политика утверждения, рабочий процесс, шаг или процедура изменения.

  • Уполномоченный утверждающий теряет свою ответственность в One Identity Manager, например, если изменяется руководитель отдела, утверждающий политику аттестации или целевой системный менеджер.

  • Сотрудник получает обязанности в One Identity Manager и, следовательно, авторизуется как утверждающий, например, как руководитель аттестуемого сотрудника.

  • Сотрудник, авторизованный в качестве утверждающего, деактивирован.

После изменения обязанностей сотрудника в One Identity Manager задача пересчета подтверждающих ставится в очередь в DBQueue. Все шаги утверждения незавершенных случаев аттестации также пересчитываются по умолчанию. Уже утвержденные шаги утверждения остаются утвержденными, даже если их подтверждающий изменился. Пересчет подтверждающих может занять много времени в зависимости от конфигурации системной среды и объема обрабатываемых данных.Чтобы оптимизировать это время обработки, вы можете указать шаги утверждения, для которых должны быть пересчитаны подтверждающие.

Настроить пересчет подтверждающих

Подробная информация по теме
Связанные темы
Настройка многофакторной аутентификации для аттестации

Вы можете настроить дополнительную аутентификацию для особо важных аттестаций, требующих, чтобы каждый подтверждающий вводил код безопасности для подтверждения.Определите, какие политики аттестации требуют этой аутентификации в ваших политиках аттестации.

Используйте One Identity Manager Двухфакторную аутентификацию One Identity Starling для многофакторной аутентификации. Необходимая информация для аутентификации определена в параметрах конфигурации в QER | Человек | Starling или QER | Человек | Защитник . Для получения подробной информации о настройке многофакторной аутентификации см. Руководство по авторизации и аутентификации One Identity Manager.

Для использования многофакторной аутентификации

  1. Настройте многофакторную аутентификацию, как описано в Руководстве по авторизации и аутентификации One Identity Manager.

  2. В Manager выберите политики аттестации, для которых будет использоваться многофакторная аутентификация.

  3. Включить опцию «Утверждение с помощью многофакторной аутентификации» .

    Многофакторная аутентификация не может использоваться для политик аттестации по умолчанию.

После того, как параметр Утверждение посредством многофакторной аутентификации установлен в политике аттестации, код безопасности запрашивается на каждом этапе утверждения в процессе утверждения. Это означает, что у каждого сотрудника, который определен как подтверждающий для этой политики аттестации, должен быть токен Starling 2FA.

ВАЖНО: Аттестацию нельзя отправить по электронной почте, если для политики аттестации настроена многофакторная аутентификация.Электронные письма с аттестацией для таких аттестаций выдают сообщение об ошибке.

Для получения подробной информации о многофакторной аутентификации см. Руководство пользователя веб-портала One Identity Manager.

Связанные темы
Запретить аттестацию сотрудником, ожидающим аттестации

Объект аттестации также может быть определен как подтверждающий в случае аттестации. Это означает, что аттестуемые сотрудники могут пройти аттестацию сами. Чтобы предотвратить это, установите параметр конфигурации QER | Аттестация | Личный кабинет .

ПРИМЕЧАНИЕ:

  • Изменение параметра конфигурации влияет только на новые случаи аттестации. Подтверждающие не пересчитываются для существующих случаев аттестации.

  • Параметр конфигурации также применяется для утверждающих резервных копий; это не относится к руководящей группе утверждения.

  • Если параметр Утверждение затронутым сотрудником установлен на этапе утверждения, этот параметр конфигурации не действует.

Чтобы сотрудники не аттестовали себя

Этот параметр конфигурации влияет на все случаи аттестации, в которых сотрудники, включенные в объект аттестации или в объектные отношения, одновременно являются подтверждающими. из группы подтверждающих исключаются следующие сотрудники.

  • Сотрудники включены в AttestationCase.ObjectKeyBase

  • сотрудников включены в AttestationCase.UID_ObjectKey1, ObjectKey2 или ObjectKey3

  • Персональные данные сотрудников

  • Все подчиненные лица этих основных идентификаторов

Если параметр конфигурации не задан или если Утверждение затронутым сотрудником включено для этапа утверждения, эти сотрудники могут подтвердить себя.

Связанные темы

Свойства ступени согласования

Управление делами аттестации

Во время аттестации вам может потребоваться назначить кого-то еще в качестве подтверждающего по умолчанию, ответственного за аттестацию, потому что, например, фактический подтверждающий отсутствует.Вам может потребоваться дополнительная информация об объекте аттестации. One Identity Manager предлагает различные возможности для участия в открытом процессе аттестации.

SPIFFE | Настройка SPIRE

Чтобы настроить поведение сервера SPIRE и агента SPIRE в соответствии с потребностями вашего приложения, вы редактируете файлы конфигурации для сервера и агента.

Сервер и агент SPIRE настраиваются в файле server.conf и агент.conf соответственно.

По умолчанию Сервер ожидает, что файл конфигурации будет находиться по адресу conf / server / server.conf , однако Сервер может быть настроен на использование файла конфигурации в другом месте с флагом --config . Дополнительную информацию см. В справочнике по серверу SPIRE.

Аналогично, агент ожидает, что этот файл будет находиться по адресу conf / agent / agent.conf , однако сервер может быть настроен для использования файла конфигурации в другом месте с флагом --config .См. Дополнительную информацию в справочнике по агенту SPIRE.

Файл конфигурации загружается один раз при запуске сервера или агента. Если файл конфигурации для любого из них был изменен, необходимо перезапустить сервер или агент, чтобы конфигурация вступила в силу.

При запуске SPIRE в Kubernetes файл конфигурации обычно сохраняется в объекте ConfigMap, который затем монтируется как файл в контейнер, на котором выполняется процесс агента или сервера.

Агент SPIRE поддерживает HCL или JSON в качестве синтаксиса для структурирования файлов конфигурации.В приведенных ниже примерах предполагается наличие HCL.

Эта конфигурация применяется к серверу SPIRE и агенту SPIRE

.

Доверительный домен соответствует доверительному корню поставщика удостоверений SPIFFE. Доверительный домен может представлять человека, организацию, среду или отдел, использующий свою собственную независимую инфраструктуру SPIFFE. Всем рабочим нагрузкам, идентифицированным в одном и том же доверенном домене, выдаются документы, удостоверяющие личность, которые можно проверить по корневым ключам доверенного домена.

Каждый сервер SPIRE связан с одним доверенным доменом, который должен быть уникальным в пределах этой организации.Доверенный домен имеет ту же форму, что и DNS-имя (например, prod.acme.com ), однако он не обязательно должен соответствовать какой-либо инфраструктуре DNS.

Доверенный домен настраивается на сервере SPIRE перед его первым запуском. Он настраивается с помощью параметра trust_domain в разделе server в файле конфигурации. Например, если домен доверия сервера должен быть настроен на prod.acme.com , тогда он будет установлен как:

  trust_domain = "prod.acme.com "
  

Аналогичным образом агент должен быть настроен для выдачи идентификаторов одному и тому же домену доверия путем настройки параметра trust_domain в разделе agent файла конфигурации агента.

Сервер и агент SPIRE могут выдавать удостоверения только для одного доверенного домена, и доверенный домен, настроенный агентом, должен совпадать с доменом сервера, к которому он подключается.

Эта конфигурация применима к SPIRE Server

.

По умолчанию сервер SPIRE прослушивает порт 8081 на предмет входящих соединений от агентов SPIRE; чтобы выбрать другое значение, отредактируйте параметр bind_port на сервере .conf файл. Например, чтобы изменить порт прослушивания на 9090:

  bind_port = "9090"
  

Если эта конфигурация отличается от конфигурации по умолчанию на сервере, то конфигурация обслуживающего порта также должна быть изменена на агентах.

Эта конфигурация применяется к серверу SPIRE и агенту SPIRE

.

Сервер SPIFFE идентифицирует и аттестует агентов в процессе аттестации и разрешения узлов (подробнее об этом читайте в Концепции SPIRE).Это достигается с помощью подключаемых модулей Node Attestor и Node Resolver, которые вы настраиваете и включаете на сервере.

Ваш выбор метода аттестации узла определяет, какие подключаемые модули узла-аттестатора вы настраиваете SPIRE для использования в разделах подключаемых модулей сервера и подключаемых модулей агента файлов конфигурации SPIRE. Вы должны настроить как минимум один подтверждающий узел на сервере и только один подтверждающий узел на каждом агенте.

Аттестация узлов, на которых работает Kubernetes

Для выдачи идентификаторов рабочим нагрузкам, выполняющимся в кластере Kubernetes, необходимо развернуть агент SPIRE на каждом узле в этом кластере, на котором выполняется рабочая нагрузка (подробнее о том, как установить агенты SPIRE в Kubernetes).

Токены учетной записи службы

можно проверить с помощью API просмотра токенов Kubernetes. По этой причине самому серверу SPIRE не нужно работать в Kubernetes, и один сервер SPIRE может поддерживать агентов, работающих на нескольких кластерах Kubernetes с включенной аттестацией PSAT.

Прогнозируемые токены сервисных аккаунтов

На момент написания этой статьи прогнозируемые сервисные учетные записи являются относительно новой функцией в Kubernetes, и не все развертывания поддерживают их.В документации по платформе Kubernetes вы узнаете, доступна ли эта функция. Если ваше развертывание Kubernetes не поддерживает токены прогнозируемой учетной записи службы, вам следует вместо этого включить токены учетной записи службы.

Аттестация узла

с использованием токенов учетной записи службы Kubernetes (PSAT) позволяет серверу SPIRE проверять подлинность агента SPIRE, запущенного в кластере Kubernetes. Проецируемые токены служебных учетных записей предоставляют дополнительные гарантии безопасности по сравнению с традиционными токенами служебных учетных записей Kubernetes, а при поддержке кластером Kubernetes PSAT является рекомендуемой стратегией аттестации.

Чтобы использовать аттестацию узла PSAT, настройте включение подключаемого модуля PSAT Node Attestor на сервере SPIRE и агенте SPIRE.

Токены сервисного аккаунта

В случаях, когда рабочие нагрузки выполняются в Kubernetes, но функция прогнозируемого токена учетной записи службы недоступна для кластера, в котором они работают, SPIRE может установить доверительные отношения между сервером и агентом, используя токены учетной записи службы. В отличие от использования токенов прогнозируемых учетных записей служб, этот метод требует, чтобы сервер SPIRE и агент SPIRE были развернуты в одном кластере Kubernetes.

Поскольку токен учетной записи службы не содержит утверждений, которые можно использовать для точной идентификации узла / демона / модуля, на котором запущен агент, любой контейнер, работающий в учетной записи службы из белого списка, может маскироваться под агента. По этой причине при использовании этого метода аттестации настоятельно рекомендуется, чтобы агенты работали под выделенной учетной записью службы.

Чтобы использовать аттестацию узла SAT, настройте и включите подключаемый модуль SAT Node Attestor на сервере SPIRE и агенте SPIRE.

Аттестация узлов под управлением Linux

SPIRE может подтверждать подлинность рабочих нагрузок, выполняющих физические или виртуальные машины (узлы) под управлением Linux.В рамках процесса аттестации серверу SPIRE необходимо установить доверие к агенту SPIRE, работающему на узле Linux. SPIRE поддерживает множество удостоверяющих узлов в зависимости от того, где работает узел, что позволяет использовать различные селекторы при создании регистрационных записей для определения конкретных рабочих нагрузок.

Токен присоединения

Маркер присоединения — это простой метод подтверждения сервера агенту с помощью одноразового маркера, который генерируется на сервере и передается агенту при запуске агента.Работает на любом узле под управлением Linux.

Сервер SPIRE может быть настроен для поддержки аттестации токена присоединения путем включения встроенного подключаемого модуля join-token NodeAttestor через следующую строку в файле конфигурации server.conf :

  NodeAttestor "join_token" {
    plugin_data {
    }
}
  

После настройки аттестации узла токена присоединения на сервере можно сгенерировать маркер соединения с помощью команды spire-server token generate .При желании вы можете связать конкретный идентификатор SPIFFE с токеном присоединения с флагом -spiffeID . Узнайте больше об использовании этой команды.

При первом запуске агента SPIRE с включенной аттестацией токена присоединения агент может быть запущен с помощью команды spire-agent run и указания токена присоединения, сгенерированного сервером, с помощью флага -joinToken . Подробнее об этой команде.

Сервер проверит токен присоединения и выдаст агенту SVID, и этот SVID будет автоматически изменяться, пока он поддерживает соединение с сервером.При последующих запусках Агент будет использовать этот SVID для аутентификации на сервере, если срок его действия не истек и он не был продлен.

Чтобы использовать аттестацию узла токена присоединения, настройте и включите подключаемый модуль подтверждения узла токена присоединения на сервере SPIRE и агенте SPIRE.

Чтобы отключить аттестацию токена присоединения на сервере, закомментируйте или удалите этот раздел из файла конфигурации перед его запуском.

X.509 Сертификат

Во многих случаях, особенно когда узлы инициализируются вручную (например, в центре обработки данных), узел может быть идентифицирован путем проверки существующего сертификата X.509 листовой сертификат, который ранее был установлен на узле, и однозначно его идентифицирует.

Обычно эти конечные сертификаты генерируются из одного общего ключа и сертификата (для целей
в этом руководстве они будут называться комплектом корневых сертификатов). Сервер должен быть настроен с корневым ключом и любыми промежуточными сертификатами, чтобы иметь возможность проверять конечный сертификат, представленный конкретной машиной. Только когда будет найден сертификат, который может быть подтвержден цепочкой сертификатов на сервере, аттестация узла будет успешной, и рабочим нагрузкам на этом узле будут выданы идентификаторы SPIFFE.

Кроме того, аттестатор предоставляет селектор subject: cn , который будет соответствовать любому сертификату, который является (а) действительным, как описано выше, и (б) чье общее имя (CN) совпадает с описанным в селекторе.

Чтобы использовать аттестацию узла сертификата X.509, настройте и включите подключаемый модуль x509pop Node Attestor на сервере SPIRE и агенте SPIRE.

Сертификат SSH

В некоторых средах каждому узлу автоматически предоставляется действительный и уникальный сертификат SSH, который идентифицирует узел.SPIRE может использовать этот сертификат для начальной загрузки своей личности.

Узлам, аттестованным с помощью этого метода, автоматически присваивается идентификатор SPIFFE в виде:

  spiffe: // <домен доверия> / spire / agent / sshpop / <отпечаток пальца>
  

Где <отпечаток> — хэш самого сертификата. Затем этот идентификатор SPIFFE можно использовать в качестве основы для других записей регистрации рабочей нагрузки.

Чтобы использовать аттестацию узла сертификата SSH, настройте и включите подключаемый модуль sshpop Node Attestor на сервере SPIRE и агенте SPIRE.

Аттестация для узлов Linux в облачном провайдере

Многие облачные провайдеры предлагают привилегированные API, которые позволяют процессу, запущенному на определенном узле, размещенном у этого провайдера, иметь возможность доказать, на каком узле он работает. SPIRE можно настроить для использования этих API-интерфейсов для аттестации узлов. Это особенно удобно для автоматизации, поскольку агент, впервые запускающий новый экземпляр, может автоматически подтвердить свою личность на сервере SPIRE без выдачи ему ранее существовавших сертификатов или токенов присоединения.

Экземпляры Google Compute Engine

Аттестация и разрешение узла Google Compute Engine (GCE) позволяет серверу SPIRE автоматически идентифицировать и аутентифицировать агента SPIRE, работающего на экземпляре GCP GCE. Вкратце, это достигается с помощью следующего:

  1. Плагин SPIRE Agent gcp_iit Node Attestor извлекает токен идентификатора экземпляра GCP и идентифицирует себя для плагина SPIRE Server gcp_iit Node Attestor.
  2. Плагин SPIRE Server gcp_iit Node Attestor вызывает API GCP для проверки действительности токена, если для значения конфигурации use_instance_metadata установлено значение true .
  3. После проверки агент SPIRE считается аттестованным и выдает собственный идентификатор SPIFFE.
  4. Наконец, SPIRE выдает SVID рабочим нагрузкам на узлах, если они совпадают с регистрационной записью. Регистрационная запись может включать в себя селекторы, предоставляемые Аттестатором узла или Резолвером, или иметь идентификатор SPIFFE агента SPIRE в качестве родительского.

Чтобы использовать аттестацию узла GCP IIT, настройте и включите подключаемый модуль gcp_iit Node Attestor на сервере SPIRE и агенте SPIRE.

Инстансы Amazon EC2

Аттестация и разрешение узла

EC2 позволяет серверу SPIRE автоматически идентифицировать и аутентифицировать агент SPIRE, работающий на инстансе AWS EC2. Вкратце, это достигается с помощью следующего:

  1. Плагин SPIRE Agent aws_iid Node Attestor извлекает документ, удостоверяющий личность экземпляра AWS, и идентифицирует себя для плагина SPIRE Server aws_iid Node Attestor.
  2. Подключаемый модуль SPIRE Server aws_iid Node Attestor вызывает API AWS для проверки действительности документа, используя роль AWS IAM с ограниченными разрешениями.
  3. Если подключаемый модуль aws_iid Node Resolver настроен, SPIRE будет использовать подтвержденную идентичность узла для поиска дополнительной информации об узле. Эти метаданные можно использовать в качестве селектора в регистрационной записи.
  4. После проверки агент SPIRE считается аттестованным и выдает собственный идентификатор SPIFFE.
  5. Наконец, SPIRE выдает SVID рабочим нагрузкам на узлах, если они совпадают с регистрационной записью. Регистрационная запись может включать в себя селекторы, предоставляемые Аттестатором узла или Резолвером, или иметь идентификатор SPIFFE агента SPIRE в качестве родительского.

Для получения дополнительной информации о настройке подключаемых модулей AWS EC2 Node Attestors или Resolver см. Соответствующую документацию SPIRE для AWS SPIRE Server Node Attestor и SPIRE Server Node Resolver на сервере SPIRE и SPIRE Agent Node Attestor на агенте.

Виртуальные машины Azure

Аттестация и разрешение узла MSI Azure
позволяет серверу SPIRE автоматически идентифицировать и аутентифицировать агент SPIRE, работающий на виртуальной машине Azure. SPIRE использует токены MSI для аттестации агента.Токены MSI должны быть ограничены для предотвращения злоупотреблений в случае перехвата. Вкратце, это достигается с помощью следующего:

  1. Подключаемый модуль проверяющего узла azure_msi агента SPIRE извлекает токен MSI виртуальной машины Azure и идентифицирует себя для подключаемого модуля проверяющего узла azure_msi сервера SPIRE.
  2. Подключаемый модуль сервера SPIRE azure_msi Node Attestor извлекает документ JSON Web Key Set (JWKS) из Azure через вызов API и использует информацию JWKS для проверки токена MSI.
  3. Плагин azure_msi Node Resolver SPIRE Server взаимодействует с Azure для получения информации о виртуальной машине агента, такой как идентификатор подписки, имя виртуальной машины, группа безопасности сети, виртуальная сеть и подсеть виртуальной сети, для создания набора атрибутов виртуальной машины агента. которые затем можно использовать в качестве селекторов узлов для набора узлов Azure.
  4. После проверки агент SPIRE считается аттестованным и выдает собственный идентификатор SPIFFE.
  5. Наконец, SPIRE выдает SVID рабочим нагрузкам на узлах, если они совпадают с регистрационной записью. Регистрационная запись может включать в себя селекторы, предоставляемые Аттестатором узла или Резолвером, или иметь идентификатор SPIFFE агента SPIRE в качестве родительского.

Ресурс по умолчанию, назначаемый подключаемым модулем агента, имеет относительно широкую область видимости; он использует диспетчер ресурсов Azure ( https: // management.azure.com endpoint) идентификатор ресурса. По соображениям безопасности рассмотрите возможность использования пользовательского идентификатора ресурса, чтобы охватить более узкую область.

Если вы настраиваете пользовательский идентификатор ресурса в файле конфигурации агента, вы должны указать пользовательские идентификаторы ресурса для каждого клиента в разделе NodeAttestor файла конфигурации server.conf .

Для получения дополнительной информации о настройке подключаемых модулей Azure MSI Node Attestors или Resolver см. Соответствующую документацию SPIRE для Azure MSI Server Node Attestor и SPIRE Server Node Resolver на сервере SPIRE и SPIRE Agent Node Attestor на агенте.

Эта конфигурация применяется к агенту SPIRE

.

В то время как аттестация узла касается того, как сервер SPIRE идентифицирует агента SPIRE на конкретной физической или виртуальной машине, аттестация рабочей нагрузки касается того, как агент SPIRE идентифицирует конкретный процесс. Они обычно используются совместно для определения конкретных рабочих нагрузок.

Как и в случае с аттестацией узла, аттестация рабочей нагрузки выполняется путем включения соответствующих подключаемых модулей. Разные плагины делают доступными разные селекторы, которые можно использовать в регистрационных записях для определения конкретных рабочих нагрузок.В отличие от аттестации узла, где для любой заданной рабочей нагрузки одновременно может использоваться только одна стратегия, аттестация рабочей нагрузки может включать несколько стратегий для одной рабочей нагрузки. Например, отдельная рабочая нагрузка может потребоваться для работы в данной группе Unix и запускаться из определенного образа Docker.

Аттестация рабочей нагрузки для рабочих нагрузок, запланированных Kubernetes

Когда рабочие нагрузки выполняются в Kubernetes, полезно иметь возможность описывать их в терминах конструкций Kubernetes, таких как пространство имен, учетная запись службы или метка, связанная с модулем, в котором выполняется рабочая нагрузка.

Подключаемый модуль Kubernetes Workload Attestor опрашивает локальный Kubelet для получения специфичных для кубернетов метаданных о конкретном процессе, когда он вызывает API рабочей нагрузки, и использует их для определения рабочих нагрузок, регистрационные записи которых соответствуют этим значениям.

Дополнительную информацию, в том числе подробные сведения о доступных селекторах, см. В соответствующей документации SPIRE для подключаемого модуля Kubernetes Workload Attestor.

Аттестация рабочей нагрузки для контейнеров Docker

Когда рабочие нагрузки выполняются в контейнере Docker, может быть полезно иметь возможность описать их в терминах атрибутов этого контейнера, таких как образ Docker, из которого был запущен контейнер, или значение конкретной переменной среды.

Подключаемый модуль Docker Workload Attestor работает, опрашивая локальный демон Docker, чтобы получить специфичные для Docker метаданные о конкретном процессе, когда он вызывает API рабочей нагрузки.

Для получения дополнительных сведений, в том числе подробностей об открытых селекторах, обратитесь к соответствующей документации SPIRE для подключаемого модуля Docker Workload Attestor.

Аттестация рабочей нагрузки для процессов Unix

Когда рабочие нагрузки выполняются в Unix, может быть полезно иметь возможность описать их с точки зрения того, как этот процесс управляется Unix, например, имя группы unix, в которой он выполняется.

Аттестатор рабочей нагрузки Unix работает, определяя метаданные ядра из рабочей нагрузки, вызывая API рабочей нагрузки, проверяя вызывающий сокет домена Unix.

Для получения дополнительной информации, включая подробности о доступных селекторах, обратитесь к соответствующей документации SPIRE для подключаемого модуля Unix Workload Attestor.

Эта конфигурация применяется к серверу SPIRE и агенту SPIRE

.

Параметр data_dir на сервере agent.conf и .conf устанавливает каталог для данных времени выполнения SPIRE.

Если вы укажете относительный путь для data_dir , начав путь с ./ , тогда data_dir будет оцениваться на основе текущего рабочего каталога, из которого вы выполнили команду spire-agent или spire-server . Использование относительного пути для data_dir может быть полезно для первоначальной оценки SPIRE, но для производственных развертываний вы можете задать для data_dir абсолютный путь.По соглашению, укажите "/ opt / spire / data" для каталог_данных , если вы установили SPIRE в / opt / spire .

Убедитесь, что путь, указанный для data_dir , и все подкаталоги доступны для чтения пользователю Linux, который запускает агент SPIRE или исполняемый файл сервера. Вы можете использовать chown, чтобы передать права собственности на эти каталоги данных пользователю Linux, который будет запускать исполняемый файл.

Если путь, указанный вами для каталог_данных , не существует, агент SPIRE или исполняемый файл сервера создаст путь, если пользователь Linux, запускающий исполняемый файл, имеет соответствующие разрешения.

Обычно вы должны использовать значение data_dir в качестве базового каталога для других путей к данным, которые вы настраиваете в файлах конфигурации agent.conf и server.conf . Например, если вы установите data_dir на «/ opt / spire / data» в agent.conf , установите для KeyManager «disk» каталог plugin_data как «/ opt / spire / data / agent» . Или, если вы установите data_dir на / opt / spire / data на сервере .conf , установите connection_string на "/opt/spire/data/server/datastore.sqlite3" , если вы используете SQLite для хранилища данных SPIRE Server, как описано ниже.

Эта конфигурация применима к SPIRE Server

.

Хранилище данных — это место, где SPIRE Server сохраняет динамическую конфигурацию, такую ​​как регистрационные записи и политики сопоставления идентификаторов, полученные с SPIRE Server. По умолчанию SPIRE связывает SQLite и устанавливает его по умолчанию для хранения данных сервера.SPIRE также поддерживает другие совместимые хранилища данных. В производственных целях вам следует тщательно продумать, какую базу данных использовать, особенно при развертывании SPIRE в конфигурации высокой доступности.

Сервер SPIRE может быть сконфигурирован для использования различных SQL-совместимых бэкэндов хранилища, настроив подключаемый модуль хранилища данных SQL по умолчанию, как описано ниже. Полный справочник по настройке этого блока можно найти в документации SPIRE.

В качестве альтернативы SPIRE можно настроить для использования серверных модулей хранения, несовместимых с SQL, с помощью сторонних подключаемых модулей хранилища данных.В руководстве по расширению SPIRE это рассматривается более подробно.

Настроить SQLite как хранилище данных SPIRE

По умолчанию сервер SPIRE создает и использует локальную базу данных SQLite для резервного копирования и хранения данных конфигурации. Хотя это удобно для тестирования, это обычно не рекомендуется для производственных развертываний, поскольку сложно совместно использовать хранилище данных SQLite на нескольких машинах, что может усложнить резервное копирование, развертывание и обновление высокой доступности.

Чтобы настроить сервер для использования базы данных SQLite, включите раздел в файле конфигурации, который выглядит следующим образом:

  DataStore "sql" {
        plugin_data {
            database_type = "sqlite3"
            connection_string = "/ opt / spire / data / server / datastore.sqlite3 "
        }
    }
  

В файле конфигурации не должно быть других разделов (без комментариев) DataStore .

База данных будет создана по пути, указанному в connection_string . Дополнительные сведения о выборе места для данных, связанных со SPIRE, см. В разделе Настройка места для хранения данных агента и сервера.

Настроить MySQL как хранилище данных

В производстве рекомендуется использовать выделенную базу данных для резервного копирования и хранения данных конфигурации.Хотя установка и настройка базы данных MySQL выходит за рамки этого руководства, стоит отметить, что для SPIRE Server требуется:

Специальная база данных на сервере MySQL для конфигурации сервера SPIRE.

Пользователь MySQL, который имеет возможность подключаться к любому экземпляру EC2, на котором запущен сервер SPIRE, и который может как ВСТАВЛЯТЬ, так и DROP таблицы, столбцы и строки из этой базы данных.

Чтобы настроить сервер SPIRE для использования базы данных MySQL, включите раздел в файле конфигурации, который выглядит следующим образом:

  DataStore "sql" {
        plugin_data {
            database_type = "MySQL"
            connection_string = "имя пользователя: пароль @ tcp (localhost: 3306) / dbname? parseTime = true"
        }
    }
  

В строке подключения выше замените следующее:

  • имя пользователя для имени пользователя MySQL, которое должно использоваться для доступа к базе данных
  • пароль для пароля пользователя MySQL
  • localhost: 3306 для IP-адреса или имени хоста сервера MySQL, и
    номер порта
  • dbname для имени базы данных

Настроить Postgres как хранилище данных

В производстве рекомендуется использовать выделенную базу данных для резервного копирования и хранения данных конфигурации.Хотя установка и настройка базы данных Postgres выходит за рамки этого руководства, стоит отметить, что для SPIRE Server требуется:

  • Выделенная база данных на сервере Postgres для конфигурации сервера SPIRE
  • Пользователь Postgres, который может подключаться к любому экземпляру, на котором запущен сервер SPIRE, и который может как ВСТАВЛЯТЬ, так и удалять таблицы, столбцы и строки из этой базы данных

Чтобы настроить сервер SPIRE для использования базы данных Postgres, включите следующий раздел в файле конфигурации сервера:

  DataStore "sql" {
        plugin_data {
            database_type = "postgres"
            connection_string = "dbname = [имя_базы_данных] пользователь = [имя пользователя]
                                 пароль = [пароль] хост = [имя хоста] порт = [порт] "
        }
    }
  

Значение connection_string имеет формат ключ = значение, однако вы также можете использовать URI соединения (см.1.1. Строки подключения в документации Postgres для поддерживаемых форматов строк подключения).

В следующем списке перечислены установленные вами значения строки подключения:

  • [имя-базы-данных] — имя базы данных
  • [имя пользователя] — имя пользователя Postgres, имеющего доступ к базе данных
  • [пароль] — пароль пользователя
  • [hostname] — IP-адрес или имя хоста сервера Postgres
  • [порт] — номер порта сервера Postgres

Эта конфигурация применяется к серверу SPIRE и агенту SPIRE

.

И агент SPIRE, и сервер SPIRE генерируют закрытые ключи и сертификаты во время нормальной работы.Важно поддерживать целостность этих ключей и сертификатов, чтобы гарантировать сохранение целостности выданных идентификаторов SPIFFE.

В настоящее время SPIRE поддерживает две стратегии управления ключами как на агенте, так и на сервере.

  • Сохранить в памяти. В этой стратегии ключи и сертификаты хранятся только в памяти. Это означает, что в случае сбоя Сервера или Агента или его перезапуска по иным причинам ключи должны быть сгенерированы заново. В случае агента SPIRE обычно требуется, чтобы агент повторно аттестовал сервер при перезапуске.Этой стратегией можно управлять, включив и настроив подключаемый модуль диспетчера ключей памяти для сервера SPIRE и / или агента SPIRE.

  • Хранить на диске. В этой стратегии ключи и сертификаты хранятся в указанном файле на диске. Преимущество этого подхода в том, что они выживают после перезапуска сервера или агента SPIRE. Недостатком является то, что, поскольку эти ключи хранятся в файлах на диске, необходимо принять дополнительные меры предосторожности, чтобы предотвратить чтение этих файлов вредоносным процессом.Этой стратегией можно управлять, включив и настроив плагин диспетчера ключей диска для сервера SPIRE и / или агента SPIRE.

В качестве альтернативы SPIRE может быть настроен для интеграции пользовательского внутреннего интерфейса, такого как секретное хранилище, через плагины стороннего менеджера ключей. В руководстве по расширению SPIRE это рассматривается более подробно.

Эта конфигурация применима к SPIRE Server

.

Каждый сервер SPIRE использует определенный корневой ключ подписи, который используется для выполнения нескольких важных действий:

  • Для установления доверия агента SPIRE к серверу SPIRE, поскольку агент имеет сертификат, подписанный этим ключом (обратите внимание, что доверие от сервера к агенту устанавливается посредством аттестации).
  • Для создания SVID X.509 или JWT, которые выдаются рабочим нагрузкам
  • Для создания пакетов доверия SPIFFE (используется для установления доверия с другими
    Серверы SPIRE)

Этот ключ подписи следует считать чрезвычайно секретным, так как его получение позволит злоумышленнику выдать себя за сервер SPIRE и выдавать идентификационные данные от его имени.

Чтобы обеспечить целостность ключа подписи, сервер SPIRE может либо подписывать сам материал с помощью ключа подписи, хранящегося на диске, либо делегировать подпись независимому центру сертификации (CA), например AWS Secrets Manager.Это поведение настраивается в разделе UpstreamAuthority в разделе
файл server.conf .

Полный справочник по конфигурации сервера см. В Справочнике по настройке сервера SPIRE.

Настройка ключа подписи на диске

Сервер SPIRE можно настроить для загрузки учетных данных CA с диска, используя их для генерации промежуточных сертификатов подписи для органа подписи сервера.

Сервер SPIRE поставляется с «фиктивным» ключом и сертификатом, которые можно использовать для упрощения тестирования, однако, поскольку этот же ключ распространяется среди всех пользователей SPIRE, его не следует использовать ни для чего, кроме целей тестирования.Вместо этого должен быть сгенерирован ключ подписи на диске.

Если установлен инструмент openssl , действительный корневой ключ и сертификат могут быть сгенерированы с помощью команды, подобной следующей:

  sudo openssl req \
       -subj "/C=/ST=/L=/O=/CN=acme.com" \
       -newkey rsa: 2048 -nodes -keyout /opt/spire/conf/root.key \
       -x509 -дней 365 -out /opt/spire/conf/root.crt
  

Этой стратегией можно управлять, включив и настроив подключаемый модуль disk UpstreamAuthority для сервера SPIRE.

Настроить AWS Secrets Manager

Сервер SPIRE можно настроить для загрузки учетных данных ЦС из Amazon Web Services Secrets Manager, используя их для создания промежуточных сертификатов подписи для органа подписи сервера.

Этой стратегией можно управлять, включив и настроив подключаемый модуль awssecret UpstreamAuthority для сервера SPIRE.

Настроить AWS Certificate Manager

Сервер SPIRE можно настроить для загрузки учетных данных ЦС из частного центра сертификации (PCA) Amazon Web Services Certificate Manager для создания промежуточных сертификатов подписи для центра подписи сервера.

Этой стратегией можно управлять, включив и настроив подключаемый модуль aws_pca UpstreamAuthority для сервера SPIRE.

Настроить другую установку SPIRE

Сервер SPIRE можно настроить для загрузки учетных данных CA из API рабочей нагрузки другой реализации SPIFFE, например SPIRE. Это позволяет использовать метод под названием «Вложенный SPIRE», который, как дополнение к развертываниям высокой доступности, позволяет независимым серверам SPIRE выдавать идентификационные данные для одного доверенного домена.

Полное описание вложенного SPIRE выходит за рамки этого руководства. Однако этой стратегией можно управлять, включив и настроив подключаемый модуль spire UpstreamAuthority для сервера SPIRE.

Эта конфигурация применяется к серверу SPIRE и агенту SPIRE

.

Чтобы настроить сервер или агент SPIRE для вывода данных в сборщик метрик, отредактируйте раздел телеметрии в server.conf или agent.conf . SPIRE может экспортировать метрики в
Datadog (формат DogStatsD),
M3,
Прометей и
StatsD.

Вы можете настроить несколько коллекторов одновременно. DogStatsD, M3 и StatsD поддерживают несколько объявлений в случае, если вы хотите отправить метрики более чем одному сборщику.

Если вы хотите использовать Amazon Cloud Watch для сбора метрик, просмотрите этот документ о получении пользовательских метрик с помощью агента CloudWatch и StatsD.

Ниже приведен пример блока конфигурации для agent.conf или server.conf , который экспортирует телеметрию в Datadog, M3, Prometheus и StatsD и отключает сборщик в памяти:

  телеметрия {
        Прометей {
                порт = 9988
        }

        DogStatsd = [
            {address = "localhost: 8125"},
        ]

        Statsd = [
            {address = "localhost: 1337"},
            {адрес = "сборщик.example.org:8125 "},
        ]

        M3 = [
            {address = "localhost: 9000" env = "prod"},
        ]

        InMem {
            включен = ложь
        }
}
  

Дополнительную информацию см. В руководстве по настройке телеметрии.

Эта конфигурация применяется к серверу SPIRE и агенту SPIRE

.

Вы можете установить расположение файла журнала и уровень ведения журнала для сервера SPIRE и агента SPIRE в их соответствующих файлах конфигурации. Измените значение log_file , чтобы задать расположение файла журнала, и значение log_level , чтобы установить уровень ведения журнала.Это может быть одно из значений DEBUG, INFO, WARN или ERROR.

По умолчанию журналы SPIRE отправляются в STDOUT. Однако агент и сервер SPIRE могут быть настроены вместо этого для записи журналов непосредственно в файл, указав путь к файлу в атрибуте log_file .

После настройки сервера и агентов рассмотрите возможность изучения руководства по регистрации рабочих нагрузок.

Аудит: Стандарт аттестации [более пристальный взгляд]

Одно время услуги аттестации, предоставляемые CPA, ограничивались выражением положительного мнения об исторической финансовой отчетности на основе аудита, проведенного в соответствии с общепринятыми стандартами аудита (GAAS).Тем не менее, от CPA все чаще просят предоставить заверения в отношении заявлений, отличных от прошлой финансовой отчетности, и в формах, отличных от положительного заключения. Практикующий специалист, который нанят для выпуска или выпускает отчет об экспертизе, обзоре или согласованных процедурах по предмету изучения или утверждение о предмете, за который отвечает другая сторона, должен сделать это в соответствии с одиннадцатью аттестациями стандарты, описанные в этом посте.

Руководство по услугам аттестации также предусматривает отчеты, основанные на согласованных процедурах или согласованных критериях, при условии, что использование отчета ограничено сторонами, которые согласовали процедуры или критерии.Основная цель принятия стандартов аттестации состояла в том, чтобы предоставить руководство и установить широкую основу для разнообразных услуг аттестации, требуемых от CPA.

Существует 11 (одиннадцать) стандартов аттестации и два уровня подтверждения аттестации, о которых можно сообщать для общего распространения, а именно:

  • Положительное заверение в отчетах, в которых делаются выводы по результатам исследования.
  • Умеренная уверенность в отчетах, в которых делаются выводы на основе обзора.

11 стандартов подразделяются на 3 основные группы:

  • Общий стандарт (от 1 до 5)
  • Стандарт полевых работ (от 6 до 7)
  • Стандарт отчетности (с 8 по 11)

Общий стандарт

1. Первый общий стандарт — задание должно выполняться практикующим специалистом, имеющим надлежащую техническую подготовку и навыки в области аттестации. (AT 101.19)

2. Второй общий стандарт — задание должно выполняться практикующим специалистом, обладающим достаточными знаниями предмета задания.(AT 101.21)

3. Третий общий стандарт. Практикующий специалист должен выполнить задание только в том случае, если у него есть основания полагать, что предмет задания можно оценить по разумным критериям, которые подходят и доступны пользователям. (AT 101.23):

  • Подходящими критериями должны быть: (1) объективность — отсутствие предвзятости. (2) Измеримый — разрешить достаточно последовательные измерения (качественные или количественные) предмета изучения. Практикующий специалист должен рассмотреть, являются ли критерии достаточно точными, чтобы позволить людям, обладающим компетенцией и использующим один и тот же критерий измерения, получить материально аналогичные измерения.(3) Завершено — соответствующие факторы, которые могут повлиять на вывод о предмете исследования, не пропущены. (4) Соответствие — иметь отношение к предмету. Независимо от того, кто устанавливает критерии, ответственная сторона или клиент несет ответственность за выбор критериев. Клиент несет ответственность за определение соответствия критериев его цели.
  • Критерии должны быть доступны пользователям одним или несколькими из следующих способов (1) публично (2) путем четкого включения в презентацию предмета изучения или утверждения или в отчете практикующего специалиста.(3) Хорошо понятые большинству пользователей, хотя официально не доступны.

Примечание. Если критерии доступны только определенным сторонам, например условия контракта или критерии, выпущенные отраслевой ассоциацией и доступные только тем, кто работает в отрасли, то отчет практикующего специалиста должен быть ограничен сторонами, имеющими доступ к критерии.

4. Четвертый общий стандарт. Во всех вопросах, касающихся задания, практикующий специалист должен сохранять независимость в мыслях.(AT 101.35)

5. Пятый общий стандарт — При планировании и выполнении задания необходимо проявлять должную профессиональную осторожность. (AT 101.39)

Стандарт полевых работ

6. Первый стандарт полевых работ — Работа должна быть надлежащим образом спланирована, а помощники, если таковые имеются, должны находиться под надлежащим контролем. (AT 101.42) Факторы, которые следует учитывать при планировании аудиторского задания, включают следующие (AT 101.45):

  • Критерии, которые будут использоваться.
  • Предварительные суждения об аттестационном риске и существенности.
  • Характер предмета изучения или элементов утверждения, которые могут потребовать доработки или корректировки.
  • Условия, при которых может потребоваться продление или изменение процедур аттестации.
  • Характер отчета (см. Стандарты отчетности), который будет выпущен.

7. Второй стандарт полевых исследований — Должны быть получены достаточные доказательства, чтобы обеспечить разумную основу для вывода, выраженного в отчете.(AT 101.51) [Примечание: стандарт также охватывает задания, разработанные исключительно для удовлетворения потребностей определенных пользователей, которые участвовали в определении характера и объема задания (согласованные процедуры или согласованные критерии)]. При разработке соответствующей комбинации процедур для сбора доказательств и надлежащего ограничения риска аттестации практикующий специалист должен учитывать следующее:

  • Доказательства, полученные из источников за пределами организации, например, путем подтверждения, обеспечивают большую уверенность в надежности утверждения, чем доказательства, полученные исключительно внутри организации.
  • Информация, полученная на основе непосредственных личных знаний подтверждающего, например, путем физического осмотра, наблюдения, вычислений, эксплуатационных испытаний или инспекции, является более убедительной, чем информация, полученная косвенным путем.
  • Чем эффективнее средства контроля над предметом изучения, тем больше уверенности они предоставляют в отношении предмета изучения или утверждения.

В задании по подтверждению, предназначенном для обеспечения высокого уровня уверенности (экзамен), практикующий специалист должен выбрать из всех доступных процедур любую комбинацию, которая может ограничить аттестационный риск до приемлемо низкого уровня.В задании по подтверждению, предназначенном для обеспечения умеренного уровня уверенности (обзорная проверка), процедуры практикующего специалиста обычно ограничиваются запросами и аналитическими процедурами и не включают процедуры поиска и проверки, такие как подтверждение и физический осмотр.

Примечание. В задании по подтверждению, предназначенном исключительно для удовлетворения потребностей определенных сторон, участвовавших в определении характера и объема задания, практикующий специалист должен выполнять только те процедуры, которые были разработаны или согласованы сторонами.) Если практикующий специалист не может получить письменное утверждение от ответственной стороны, он должен рассмотреть влияние на его или ее способность получить достаточные доказательства для формирования вывода о предмете задания. Если клиент практикующего специалиста является ответственной стороной, он обычно должен сделать вывод о наличии ограничения объема. Если клиент практикующего специалиста не является ответственной стороной, практикующий специалист может сделать вывод о том, что он или она располагает достаточными доказательствами, чтобы сделать вывод о предмете задания.

Стандарт отчетности

8. Первый стандарт отчетности — в отчете должен быть указан предмет или утверждение, о котором идет речь, и изложен характер задания. (AT 101.63) Описание характера аудиторского задания включает:

  • Описание характера и объема выполненных работ, и
  • Ссылка на профессиональные стандарты, регулирующие задание.

Примечание. Если утверждение не сопровождает отчет практикующего специалиста, первый абзац отчета также должен содержать изложение утверждения.Это требование может быть выполнено путем использования «горячей ссылки» в отчете практикующего специалиста на утверждение руководства.)

9. Второй стандарт отчетности — в отчете должен быть изложен вывод практикующего специалиста о предмете изучения или утверждение относительно критериев, по которым оценивался предмет изучения. Однако если существуют условия, которые по отдельности или в сочетании приводят к одному или нескольким существенным отклонениям от критериев, практикующий специалист должен изменить отчет и обычно должен выражать свое заключение непосредственно по предмету изучения, а не по утверждению.(AT 101.66)

10. Третий стандарт отчетности. В отчете должны быть указаны все существенные оговорки практикующего специалиста в отношении задания, предмета задания и, если применимо, утверждения, относящегося к нему (AT 101.71). Оговорки в отношении задания включают нерешенные проблемы, возникшие у практикующего специалиста при соблюдении аттестации, других стандартов толкования или определенных согласованных процедур. Оговорки по поводу задания также включают ограничения объема. Ограничения объема могут потребовать от практикующего специалиста: (a) квалифицировать предоставление уверенности; (б) отказаться от каких-либо заверений; или c.Отказаться от задания на экспертизу или обзор.

Обычно, если ограничение объема является повсеместным или налагается клиентом, уместен отказ от выражения мнения или отзыв. В рамках задания по обзорной проверке обзор является неполным, и практикующий специалист должен отказаться от задания, когда:

  • Практикующий специалист не может выполнить необходимые расследования и аналитические процедуры.
  • Клиент является ответственной стороной и не предоставляет письменных заявлений.

Оговорки в отношении предмета изучения или утверждения относятся к вопросам о том, справедливо ли изложен предмет или утверждение во всех существенных аспектах на основе установленных или заявленных критериев, включая адекватность раскрытия. Они могут привести как к квалифицированному, так и к отрицательному мнению. Оговорки также включают вопросы об оценке, форме, структуре, содержании или лежащих в основе суждениях и допущениях, применимых к предмету изучения или утверждению.Оговорки могут потребовать внесения изменений в отчет практикующего специалиста.

11. Четвертый стандарт отчетности — в отчете должно быть указано, что использование отчета ограничено определенными сторонами при следующих обстоятельствах (AT 101.78):

  • Когда критерии, используемые для оценки предмета задания, определяются практикующим специалистом как подходящие только для ограниченного числа сторон, которые либо участвовали в их создании, либо, как можно предположить, имеют адекватное понимание критериев.
  • Когда критерии, используемые для оценки предмета изучения, доступны только определенным сторонам.
  • При сообщении по предмету и письменного утверждения ответственной стороной не было.
  • Если отчет представляет собой задание по подтверждению применения согласованных процедур к предмету изучения.

Ряд обстоятельств может повлиять на необходимость ограничения отчета, в том числе:

  • Цель отчета.
  • Критерии, использованные при подготовке предмета изучения.
  • Степень, в которой выполняемые процедуры известны или понятны.
  • Вероятность того, что отчет будет неправильно понят, если вырвать его из контекста.

Хотя практикующему специалисту следует рассмотреть возможность информирования клиента о том, что отчеты об ограниченном использовании не предназначены для распространения среди неопределенных сторон, независимо от того, включены ли они в документ, содержащий отдельный отчет об общем использовании, практикующий специалист не несет ответственности за контроль над отчетами клиента. распространение отчетов об ограниченном использовании.

Отчеты об ограниченном использовании должны содержать:

  • Заявление о том, что отчет предназначен исключительно для информации и использования указанными сторонами.
  • Идентификация указанных сторон, использование которых ограничено.
  • Заявление о том, что отчет не предназначен и не должен использоваться кем-либо, кроме указанных сторон.

Примечание. Практикующий специалист может ограничить использование любого отчета. Если практикующий специалист выпускает единый комбинированный отчет, охватывающий как предмет изучения или презентации, требующие ограничений, так и те, которые не требуют ограничений, использование единого комбинированного отчета должно быть ограничено указанными сторонами.Если в документ, содержащий отчет об общем использовании, включен отдельный отчет об ограниченном использовании, это не влияет на предполагаемое использование любого из отчетов (т. Е. Отчет об ограниченном использовании остается ограниченным, а отчет об общем использовании остается для общего пользования.

Протоколы экспертизы

В задании по подтверждению, предназначенном для достижения высокого уровня уверенности (экспертиза), вывод практикующего специалиста должен быть выражен в форме мнения. Практикующий специалист должен, по его мнению, четко указать, что: (1) предмет задания основан на критериях (или соответствует им) во всех существенных аспектах, или (2) утверждение представлено (или справедливо изложено) в во всех существенных отношениях, исходя из критериев.Отчеты могут быть уточнены или изменены в зависимости от предмета, утверждения или задания. В отчетах также могут быть подчеркнуты определенные вопросы, относящиеся к заданию. Форма заключения практикующего специалиста зависит от того, выражено ли мнение практикующего специалиста по предмету изучения или утверждению.

Согласно AT 101.85 отчет практикующего специалиста об экспертизе предмета должен включать следующее:

  • Заголовок, содержащий слово «независимый».
  • Идентификация предмета изучения и ответственной стороны.
  • Ответственность за этот вопрос несет ответственная сторона.
  • Практикующий врач обязан выразить мнение по предмету на основе его или ее исследования.
  • Экзамен проводился в соответствии со стандартами аттестации, установленными AICPA, и, соответственно, включал процедуры, которые практикующий специалист считал необходимыми в данных обстоятельствах.
  • Практикующий врач считает, что экспертиза дает разумные основания для его или ее мнения.
  • Мнение практикующего специалиста о том, основан ли предмет задания на критериях (или соответствует ли им) во всех существенных аспектах.
  • Заявление, ограничивающее использование отчета указанными сторонами, когда критерии, используемые для оценки предмета изучения, определены как подходящие только для ограниченного числа сторон, которые понимают критерии, или когда такие критерии доступны только указанным сторонам. Отчет также должен быть ограничен, если письменное утверждение не было предоставлено ответственной стороной, и заявление об этом должно быть включено во вводный абзац.
  • Руководство или печатная подпись фирмы практикующего специалиста.
  • Дата заключения экспертизы.

Согласно AT 101.86 отчет практикующего специалиста о проверке утверждения должен включать следующее:

  • Заголовок, содержащий слово «независимый».
  • Идентификация утверждения и ответственной стороны. (Если утверждение не сопровождает отчет практикующего специалиста, первый абзац отчета также должен содержать изложение утверждения.)
  • Ответственность за утверждение лежит на ответственной стороне.
  • Практикующий врач обязан выразить мнение по поводу утверждения на основе его или ее обследования.
  • Экзамен проводился в соответствии со стандартами аттестации, установленными Американским институтом дипломированных бухгалтеров, и, соответственно, включал процедуры, которые практикующий специалист считал необходимыми в данных обстоятельствах.
  • Практикующий врач считает, что экспертиза дает разумные основания для его или ее мнения.
  • Мнение практикующего специалиста о том, представлено ли утверждение (или справедливо ли изложено) во всех существенных отношениях, на основе критериев.
  • Заявление, ограничивающее использование отчета указанными сторонами, когда критерии, используемые для оценки предмета изучения, подходят только для ограниченного числа сторон, которые понимают критерии, или когда такие критерии доступны только указанным сторонам.
  • Руководство или печатная подпись фирмы практикующего специалиста.
  • Дата заключения экспертизы.

Примечание. Практикующему специалисту не запрещается проверять утверждение, а высказывать свое мнение непосредственно по предмету.

Обзорные отчеты

В задании по подтверждению, предназначенном для достижения лишь умеренного уровня уверенности (обзорная проверка), вывод практикующего специалиста должен быть выражен в форме отрицательной уверенности. Практикующий должен указать, дошла ли до его или ее внимания какая-либо информация, которая указывает:

  • предмет задания не основан на критериях (или не соответствует им); или
  • утверждение не представлено во всех существенных отношениях на основе установленных или заявленных критериев.

Согласно AT 101.89 отчет практикующего специалиста о проверке предмета изучения должен включать:

  • Заголовок, содержащий слово «независимый».
  • Идентификация предмета изучения и ответственной стороны.
  • Ответственность за этот вопрос несет ответственная сторона.
  • Проверка проводилась в соответствии со стандартами аттестации, установленными AICPA.
  • Обзор существенно меньше по объему, чем экспертиза, целью которой является выражение мнения по предмету, и, соответственно, такое мнение не выражается.
  • Заявление о том, осведомлен ли практикующий специалист о каких-либо существенных модификациях, которые следует внести в предмет задания, чтобы он основывался (или соответствовал) во всех существенных отношениях критериям, кроме этих модификаций, если любой, указанный в его или ее отчете.
  • Заявление, ограничивающее использование отчета указанными сторонами, когда критерии, используемые для оценки предмета изучения, подходят только для ограниченного числа сторон, которые понимают критерии, или когда такие критерии доступны только указанным сторонам.Отчет также должен быть ограничен, если письменное утверждение не было предоставлено ответственной стороной, и заявление об этом должно быть включено во вводный абзац.
  • Руководство или печатная подпись фирмы практикующего специалиста.
  • Дата заключения экспертизы.

Согласно AT 101.90 отчет практикующего специалиста о проверке утверждения должен включать следующее:

  • Заголовок, содержащий слово «независимый».
  • Идентификация утверждения и ответственной стороны.(Если утверждение не сопровождает отчет практикующего специалиста, первый абзац отчета также должен содержать изложение утверждения.)
  • Ответственность за утверждение лежит на ответственной стороне.
  • Обзор проводился в соответствии со стандартами аттестации, установленными Американским институтом сертифицированных бухгалтеров.
  • Обзор существенно меньше по объему, чем экспертиза, целью которой является выражение мнения по утверждению, и, соответственно, такое мнение не выражается.
  • Заявление о том, осведомлен ли практикующий специалист о каких-либо существенных изменениях, которые следует внести в утверждение, чтобы оно было представлено (или справедливо изложено) во всех существенных отношениях на основе (или в соответствии с) критериями, другими чем те изменения, если таковые имеются, указанные в его или ее отчете.
  • Заявление, ограничивающее использование отчета указанными сторонами, когда критерии, используемые для оценки предмета изучения, подходят только для ограниченного числа сторон, которые понимают критерии, или когда такие критерии доступны только указанным сторонам.
  • Руководство или печатная подпись фирмы практикующего специалиста.
  • Дата отчета об обзоре.

Связь аттестации со стандартами контроля качества

Стандарты аттестации и контроля качества взаимосвязаны, поскольку стандарты аттестации относятся к проведению отдельных заданий по аттестации, а стандарты контроля качества относятся ко всей практике аттестации фирмы.

Политика и процедуры контроля качества, применяемые фирмой, могут повлиять как на выполнение отдельных заданий по аттестации, так и на проведение практики аттестации фирмы в целом.Таким образом, SSAE 10 требует, чтобы фирмы внедрили систему контроля качества при проведении своей аттестационной практики. Однако недостатки или несоблюдение системы контроля качества сами по себе не указывают на то, что задание не было выполнено в соответствии с соответствующими стандартами.

Аттестационная документация

Практикующий специалист должен подготовить и вести документацию по заданию по подтверждению. Форма и содержание подтверждающей документации будут зависеть от обстоятельств конкретного задания.Практикующий специалист должен использовать профессиональное суждение при определении количества, типа и содержания подтверждающей документации.

Аттестационная документация — это основная запись примененных процедур, полученной информации, а также выводов или выводов, сделанных практикующим специалистом. Он служит основной поддержкой отчета практикующего специалиста и помогает в проведении задания и надзоре за ним.

Достаточно:

  • Разрешить членам аудиторской группы, на которых возложены обязанности по надзору и проверке, понять характер, сроки, объем и результаты выполненных процедур подтверждения, а также полученную информацию; и
  • Укажите, какие члены аудиторской группы выполнили и проанализировали работу.

Аттестационная документация, которая может быть в бумажной или электронной форме, включает рабочие программы, анализы, меморандумы, письма-подтверждения и заявления, выдержки или копии документов организации, а также графики или комментарии, подготовленные или полученные практикующим специалистом.

Практикующий специалист владеет подтверждающей документацией, и некоторые штаты признают это право собственности в своих уставах. Однако практикующий специалист имеет этическое, а иногда и юридическое обязательство сохранять конфиденциальность клиента или ответственной стороны.

Практикующий специалист должен принять разумные процедуры для сохранения конфиденциальности информации, содержащейся в подтверждающей документации, и предотвращения несанкционированного доступа к этой документации. Практикующий специалист также должен хранить подтверждающую документацию в течение периода, достаточного для удовлетворения потребностей его или ее практики, а также для удовлетворения любых соответствующих юридических или нормативных требований к хранению записей (практикующий специалист должен иметь возможность доступа к электронной документации на протяжении всего периода хранения).

Иногда подтверждающая документация может служить источником справочной информации для клиента, но такая документация не должна рассматриваться как часть или замена бухгалтерских записей клиента.

При проведении экспертизы перспективной финансовой отчетности в подтверждающей документации обычно должно быть указано, что практикующий специалист рассмотрел процесс, с помощью которого организация составляет свою перспективную финансовую отчетность, при определении объема задания.

Использование письма-представления при выполнении задания по аттестации

При выполнении задания по проверке или обзорной проверке практикующему специалисту следует рассмотреть возможность получения письма-представления от ответственной стороны.Согласно AU 101.60, примеры представлений, которые могут быть включены:

  • Заявление о признании ответственности за предмет изучения и утверждение (если применимо).
  • Заявление о признании ответственности за выбор критериев (если применимо).
  • Заявление о признании ответственности за определение соответствия таких критериев его целям, если ответственной стороной является клиент.
  • Утверждение о предмете изучения на основе выбранных критериев.
  • Заявление о том, что практикующему специалисту были раскрыты все известные факты, противоречащие утверждению, и любые сообщения регулирующих органов, влияющие на предмет изучения или утверждение.
  • Доступность всех записей, относящихся к предмету изучения.
  • Заявление о том, что практикующему специалисту были раскрыты любые известные события после периода (или момента времени), о котором сообщается предмет изучения, которые окажут существенное влияние на предмет изучения (или утверждение, если применимо).

Если клиент не является ответственной стороной, практикующему специалисту следует рассмотреть возможность получения письма-представления от клиента. В соответствии с AU 101.61, в письмо включены следующие символы:

  • Заявление о раскрытии всех известных существенных событий после отчетной даты.
  • Заявление о признании ответственности клиента за выбор критериев, если применимо.
  • Заявление о признании ответственности клиента за определение соответствия таких критериев.

Если ответственная сторона или клиент отказывается предоставить необходимые письменные заявления в рамках задания по проверке, практикующий специалист должен учитывать влияние на возможность сделать вывод по предмету задания.