"Человек - самое уязвимое место в системе безопасности.."

Защита информации от утечки по техническим каналам

Защищенная информация является объектом собственности и находится в защите относительно правовых документов. При проведении мероприятий по защите негосударственных информационных ресурсов, являющихся банковской тайной или коммерческой, требования нормативных документов имеют рекомендательный характер. На негосударственную тайну режимы защиты информации устанавливаются собственником данных.

Действия по защите конфиденциальных данных от утечки по техническим каналам являются одной из частей мероприятий на предприятии по обеспечении информационной безопасности. Организационные действия по защите информации от утечек по техническим каналам основаны на ряде рекомендаций при выборе помещений где будут вестись работы по сохранении и обработки конфиденциальной информации. Также при выборе технических средств защиты, нужно основываться в первую очередь на сертифицированную продукцию.

При организации мероприятий по защите утечки техническим каналам информации на защищаемом объекте можно рассмотреть следующие этапы:

  • Подготовительный, предпроектный
  • Проектирование СТЗИ
  • Этап ввода в эксплуатацию защищаемого объекта и системы технической защиты информации

Первый этап подразумевает подготовку к созданию системы технической защиты информации на защищаемых объектах. При осмотре возможных технических потоков утечки на объекте изучаются:

  • План прилегающей зоны к зданию в радиусе 300 м.
  • План каждого этажа здания с изучением характеристик стен, отделок, окон, дверей и тд
  • План-схема систем заземления электронных объектов
  • План-схема коммуникаций всего здания, вместе с системой вентиляции
  • План-схема электропитания здания с указанием всех щитов и место расположения трансформатора
  • План-схема Телефонных сетей
  • План-схема пожарной и охранной сигнализации с указанием всех датчиков

Узнав утечку информации как не контролированный выход конфиденциальных данных за границы круга лиц или организации, рассмотрим, как именно реализуется такая утечка. В основе такой утечки есть неконтролируемый вынос конфиденциальных даны путем световых, акустических, электромагнитных или других полей или материальных носителей. Какие бы не были разные причины утечек, они имеют много общего. Как правило, причины связаны с прогрехах в нормах сохранении информации и нарушений этих норм.

Информация может передаваться или веществом или полем. Человек не рассматривается как носитель, он есть источником или субъектом отношений. На рис.1 показаны средства переноса информации. Человек использует в своих интересах разные физические поля, которые создают системы связи. Любая такая система имеет составляющие: источник, передатчик, линия передачи, приемник и получателя. Такие системы юзают каждый день в соответствии с предназначением и есть официальными средствами обмена данными. Такие каналы обеспечивают и контролируют с целью безопасным обменом информации. Но есть и каналы которые скрыты от посторонних глаз, и по ним могут передавать данные которые не должны быть переданы третьим лицам. Такие каналы называет каналом утечки. На рис.2 показана схема канала утечки.

технические каналы утечки информацииРисунок — 1

структура канала утечкиРисунок — 2

Для создания канала утечки нужны определенные временные, энергетические и пространственные условия которые способствуют приему данных на стороне злоумышленника. Каналы утечки можно поделить на:

  • акустические
  • визуально-оптические
  • электромагнитные
  • материальные

Визуально-оптические каналы

Такие каналы это как правило, это удаленное наблюдение. Информация выступает как свет который исходит от источника информации. Классификация таких каналов показана на рис.3. Методы защиты от визуальных каналов утечки:

  • уменьшить отражательные характеристики объекта защиты
  • располагать объекты так, что бы исключить отражение в стороны потенциального расположения злоумышленника
  • уменьшить освещенность объекта
  • применять методы маскирования и другие для введения в заблуждения злоумышленника
  • использовать преграды

визуальные каналы утечкиРисунок — 3

Акустические каналы

В таких каналах переносчиком есть звук, которые лежит в диапазоне ультра (более 20000 Гц). Канал реализуется посредством распространения акустической волны во все стороны. Как только на пути волны будет преграда, она задействует колебательные режим преграды, и с преграды можно будет считать звук. В разных средах распространения звук по разному распространяется. Отличия показаны на рис.4. На рис.5. показана схема вибрационных и акустических каналов утечки информации.

акустические каналы утечкиРисунок — 4

схема акустических каналов утечкиРисунок — 5

Защита от акустических каналов прежде всего это организационные меры. Они подразумевают реализацию архитектурно-планировочных, режимных и пространственных мероприятий, а также организационно-технические активные и пассивные мероприятия. Такие методы показаны на рис.6. Архитектурно-планировочные меры реализуют определенные требования на этапе проектирования зданий. Организационно-технические методы подразумевают реализацию звукопоглощающих средств. К примеры материалы типа ваты, ковры, пенобетон, и тд. В них очень много пористых промежутков которые проводит к многому отражению и поглощению звуковых волн. Также используют специальные герметические акустические панели. Величина звукопоглощения А определяется коэффициентов звукопоглощения и размерами поверхности которой звукопоглощение: A = Σα * S. Значения коэффициентов известны, для пористых материалов это — 0,2 — 0,8. Для бетона или кирпича это — 0,01 — 0,03. К примеру при обработке стен α = 0,03 пористой штукатуркой α = 0,3 звуковое давление уменьшается на 10 дБ.

акустическая защитыРисунок — 6

Для точного определения эффективности защиты звукоизоляции используют шумомеры. Шумомер — это прибор, которые изменяют колебания звукового давления в показания. Схема работы показана на рис.7. Для проведения оценочных характеристик защищенности зданий от утечек по вибрационным и акустическим каналам используют электронные стетоскопы. Они прослушивают звук через полы, стены, системы отопления, потолки и тд. Чувствительность стетоскопа в диапазоне от 0,3 до 1,5 v/дБ. При уровне звука в 34 — 60 дБ такие стетоскопы могут слушать через конструкции толщиной до 1,5 м. Если же пассивные меры защиты не помогают, можно использовать генераторы шума. Они ставятся по периметру помещения, что бы создавать свои вибрационные волны на конструкции.

блок-схема аналогового шумомераРисунок — 7

Электромагнитные каналы

Для таких каналов переносчиком есть электромагнитные волны в диапазоне 10 000 м (частота < 30 Гц) до волн длиной 1 — 0,1 мм (частота 300 — 3000 Гц). Классификация электромагнитных каналов утечек информации показана на рис.8.

классификация электромагнитных каналов утечкиРисунок — 8

Известны электромагнитные каналы утечки:

  • электромагнитные излучения высокой и низкой частоты
  • микрофонный эффект элементов электронных схем
  • цепи заземления и цепи питания электронных схем
  • паразитная генерация усилителей
  • высокочастотное навязывание
  • волоконный-оптические системы

С помощью конструкторский-технилогическим мероприятиям можно локализовать некоторые каналы утечки с помощью:

  • ослабление индуктивной,электромагнитной связи между элементами
  • экранирование узлов и элементов аппаратуры
  • фильтрация сигналов в цепях питания или заземления

Организационные меры по устранению электромагнитных каналов утечки показаны на рис.9.

Организационные меры по устранению электромагнитных каналов утечкиРисунок — 9

Паразитная генерация усилителей создается за счет неконтролируемой положительной обратной связи. Самовозбуждение может быть и при отрицательной обратной связи, там где усилитель вносит сдвиг фазы на 180 градусов. Защитная мера такова, что нужно контролировать усилитель на самовозбуждения с помощью радиоприемников.

Любое электронный агрегат под воздействием высокочастотного электромагнитного поля становится переизлучателем, вторичным источником излучения. Такое действие называют интермодуляционным излучением. Для защиты от такого канала утечки нужно воспретить прохождения высокочастотного тока через микрофон. Реализуется путем подключения к микрофону параллельно конденсатора емкостью 0,01 — 0,05 мкФ.

Материально-вещественные каналы

Такие каналы создаются в твердом, газообразном или жидком состоянии. Зачастую это отходы предприятия. Классификация материально-вещественных каналов показана на рис.10.

Классификация материально-вещественных каналовРисунок — 10

Защита от таких каналов это целый комплекс мероприятий, по контролю выхода конфиденциальной информации в виде промышленных или производственных отходов.

Выводы

Утечка данных — это бесконтрольный выход информации за пределы физических границ или круга лиц. Для выявления утечек данных нужен систематический контроль. Локализация каналов утечки реализуется организационными и техническими средствами.

Смотрите также: