Учебное пособие 800434
.pdf
МГц, возможность удаления антенны на расстояние 100-150м. Универсальный измерительный приемник ближнего поля
БЕЛАН (Фирма “ЭЛВИРА”).
Обеспечивает выполнение следующих операций: -представление спектра сигнала с разрешением,
определяемым шагом перестройки и фильтром ПЧ;
-демодуляцию АМ и ЧМ сигналов;
-акустический контроль;
-измерение уровня ВЧ сигнала; - запись НЧ сигнала на магнитный носитель;
-просмотр радиоэфира со скоростью до 1.2 Ггц/сек; -практически неограничено число записей о
запоминаемых обнаруженных сигналах; -определение зоны уверенного приѐма заданных
сигналов.
Диапазон рабочих частот: 0.1 МГц - 2096 МГц. Измерительный приемник "Полюс плюс"
Предназначен для селективного измерения напряжения и токов радиопомех и полезных сигналов, а также для измерения напряженности поля радиопомех.
Используется в составе комплекта аппаратуры для обеспечения испытаний различных классов отчественной радиоаппаратуры на соответствие требованиям норм на радиопомехи. Диапазон рабочих частот: 9кгц... 1000мгц.
11.4. Методы и средства блокирования возможности утечки информации за счет ПЭМИН
В случае обнаружения опасных уровней ПЭМИН, способных привести к утечке информации необходимо предпринять действия по их блокированию, т.е., снизить уровни ПЭМИН или создать помехи для их распространения. Для достижения данной цели проводят одно или несколько мероприятий с использованием пассивных и активных средств защиты от ПЭМИН. К пассивным методам защиты относятся
157
фильтрация, экранирование и заземление, а к активным – пространственное или линейное зашумление. Рассмотрим возможные защитные мероприятия и применяемые средства.
1). Локализация компонентов СВТ - источников ПЭМИН (паразитных генераторов и антенн) и их последующая доработка или замена. В качестве методов доработки используются:
-удаление (если возможно) элементов конструкции, играющих роль антенны;
-экранирование сигнальных проводов и дополнительное заземление устройств;
-установка фильтров на сигнальные провода; -подключение шунтирующих емкостей для гашения
автоколебаний; -экранирование плат устройств (сетевых, видеокарт и
т.п.).
2). Экранирование помещений (частичное или полное). Данное мероприятие (особенно полное экранирование) является очень эффективным, хотя и ресурсоемким. Для защиты СВТ активно применялось до конца 80-х годов ХХ века, в настоящее время практически не используется.
3). Защита информационных кабельных систем. Кроме использования экранированных кабелей, практикуется также для гальванической развязки сегментов кабельной системы установка оптопар (двух преобразователей ―витая пара – оптоволокно‖ с отрезком оптоволоконного кабеля между ними).
4). Установка специальных фильтров до границы контролируемой зоны на линии радиотрансляции, охранной
и пожарной сигнализации, а также на линии |
электропитания |
(в комплексе с резделительными трансформаторами). |
|
В качестве примера средства защиты от утечки |
|
информации по электросети приведем |
сетевой фильтр |
ФСПК-100, используемый для защиты информации от утечки по четырехпроводным сетям электропитания напряжением 220/380 В частоты 50 Гц с максимальным рабочим током 100
158
А ответственных объектов информатизации и связи, а также для подавления помех в питающей сети в диапазоне частот 20 кГц — 1000 МГц. Величина вносимого затухания по напряжению более 60 дБ. Ассортимент предлагаемых на рынке сетевых фильтров различается величиной допустимого тока нагрузки, полосой подавления наводок и величиной их затухания.
5). Применение систем пространственного зашумления (СПЗ) для создания шумового электромагнитного поля в районе размещения защищаемых ОТС и средств линейного электромагнитного зашумления линий электропитания, радиотрансляции, заземления, связи для создания шумовых напряжений в токопроводящих коммуникациях, имеющих выход за пределы контролируемой зоны. Генератор шума должен излучать шумоподобный сигнал (близкий к белому шуму) с достаточной мощностью, равномерно распределенной в диапазоне радиочастот от 100 кГц до 1 ГГц. Для организации пространственного зашумления требуется подключение к ГШ нескольких стационарных антенн для разных поддиапазонов.
Используемое оборудование:
-Гром-ЗИ-4 - комплексный генератор шума. Имеет три режима защиты от ПЭМИН:
-от утечки информации по радиоканалу -по сети электропитания;
-от перехвата информации на абонентском участке телефонной линии ГАТС.
Все режимы могут использоваться независимо друг от друга. -СПЗ: ГШ-1000М, SEL SP-21B1 ―Баррикада-1‖, Гном-3. -Генератора шума по сети электропитания: «Соната-
С1» .
12. ТЕХНОЛОГИЧЕСКИЕ МЕТОДЫ ЗИ В КС
Технологические методы защиты информации заключаются в использовании при построении КС информационных технологий
159
(ИТ), повышающих защищенность системы в целом. Хотя основное назначение данных технологий – обеспечивать эффективную работу КС, они также позволяют интегрировать различные организационные, технические и программные методы (средства) обработки и защиты информации в единую систему, эффективность которой (при правильном выборе базовых ИТ) значительно выше простой суммы эффективностей используемых СЗИ. Технологии, о которых пойдет речь далее, направлены, как правило, на физическое разделение информационных ресурсов, сервисов и коммуникаций при одновременном росте их доступности, уровня интеграции и функциональности на логическом уровне. К ним можно отнести прежде всего технологии организации коммуникационной инфраструктуры, а также технологии хранения и доступа к информационным ресурсам КС. Следует отметить, что рассматриваемые ИТ являются платформенно (аппаратно и программно) независимыми и могут базироваться на различных программно-технических решениях.
12.1. Технологии организации коммуникационной инфраструктуры
К ним относятся:
-технологии удаленного доступа; -технологии зонирования (сегментирования) сетей; -технологии виртуальных частных сетей.
Использование на практике технологий удаленного доступа как средства ЗИ позволяет, прежде всего, обеспечить отсутствие физического доступа пользователей как в помещения, в которых установлены ТС обработки защищаемой информации, так и к самим ТС. Необходимость взаимодействия пользователей с КС через созданные для этого коммуникационные каналы позволяет накладывать различные ограничения, не влияющие на эффективность
КС, но затрудняющие |
их несанкционированное использование. |
|||
Вариантами |
данной технологии являются |
системы удаленных |
||
терминалов, |
локальные, |
корпоративные и |
глобальные |
сети, |
|
|
160 |
|
|
различные сети связи.
При наличии необходимости физически разделить некую корпоративную сетевую инфраструктуру по признаку структурной принадлежности или степени конфиденциальности циркулирующей информации без нарушения логической целостности сетей используют технологии их зонирования (сегментирования). Для реализации данных технологий используются различные технические средства (коммутаторы, маршрутизаторы, гальванические развязки...) и программные системы (брандмауэры, шлюзы, разделители протоколов...). Пример подобной сегментированной сети приведен на рис. 39.
Рис. 39. Пример построения сегментированной сети
Концептуальными реализациями технологии зонирования являются сети типов интранет и экстранет. Интранет является (как правило) узкокорпоративной сетью одной организации в одном или нескольких зданиях. Экстранет предполагает подключение к сети и
161
работе в ней внешних по отношению к базовой организации пользователей. На рис.40 приведена концептуальная схема гетерогенной сети с сегментами экстранет, интранет и информационных ресурсов корпоративного использования.
Рис. 40. Концептуальная схема гетерогенной сети
Технологии VPN (virtual private network - виртуальная частная
сеть) позволяют эффективно решать задачи |
территориального |
|
расширения корпоративных сетей, подключения к ним |
удаленных |
|
пользователей, объединения партнеров и т.п. |
Технология VPN |
|
обеспечивает связь между сетями, а также между |
удаленным |
|
пользователем и корпоративной сетью с помощью |
защищенного |
|
канала (тоннеля), "проложенного" в общедоступной сети типа Интернет. Данные, передаваемые по виртуальной частной сети, упаковываются в зашифрованные IP-пакеты. Виртуальная частная сеть может быть развернута на базе Интернет или построена на инфраструктуре других транспортных сетей: IP, Frame Relay или
ATM.
162
|
Технологические решения различных производителей на базе |
||||
VPN |
очень |
разнообразны: |
от |
интегрированных |
|
многофункциональных и специализированных устройств |
до чисто |
||||
программных продуктов: |
|
|
|
||
|
-Интегрированные VPN-решения |
включают |
функции |
||
межсетевого экрана, маршрутизации и коммутации. Главное преимущество такого подхода состоит в централизации управления компонентами и снижении расходов на сетевое оборудование, когда все функции сосредоточены в одном устройстве. При этом следует отметить, что чем больше функций исполняется одним устройством, тем чаще становятся заметными потери в производительности.
-Специализированные VPN-системы обеспечивают более высокую производительность, так как шифрование в них осуществляется специализированными микросхемами (объем
вычислений, которые |
необходимо выполнить при обработке VPN- |
пакета, в 50-100 раз |
превышает тот, который требуется для |
обработки обычного пакета). Специализированные VPN-устройства обеспечивают также более высокий уровень безопасности.
-Программные VPN-решения уступают по производительности специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. При создании модемного соединения даже у мобильного компьютера хватает вычислительной мощности.
Существуют четыре основных протокола, используемых для создания VPN-сети:
-РРТР (Point-to-Point Tunneling Protocol – тоннельный протокол
"точка-точка"); |
|
|
|
|
-L2F (Layer 2 Forwarding – протокол |
продвижения пакетов на |
|||
втором уровне); |
|
|
|
|
-L2TP (Layer 2 Tunneling |
Protocol |
- |
тоннельный протокол |
|
второго уровня); |
|
|
|
|
-IPSec (IP Security Protocol |
- протокол |
шифрования |
IP- |
|
пакетов).
Существует также несколько типов физических реализации VPN-технологий, каждая из которых характиризуется определенным набором функциональных требований. Можно выделить три
163
основных вида архитектуры применения VPN-продуктов:
а) Intranet VPN - создание VPN-ceтей между внутренними
корпоративными |
отделами и удаленными филиалами, для нее |
характерны: |
|
-применение мощных криптографических протоколов |
|
шифрования данных |
для защиты конфиденциальной информации; |
-надежность функционирования при выполнении критических приложений, таких, как системы автоматизированной продажи и системы управления базами данных;
- гибкость управления для более эффективного размещения
быстро |
возрастающего количества новых пользователей, новых |
|
офисов и новых |
программных приложений. |
|
б) Remote Access VPN - создание VPN-сетей, объединяющих |
||
корпоративную |
сеть и удаленных или мобильных служащих. Ее |
|
свойства: |
|
|
-мощная система установления подлинности удаленных и мобильных пользователей, которая должна с максимальной точностью и эффективностью провести процедуру аутентификации;
-эффективная система централизованного управления для обеспечения высокой степени гибкости при увеличении количества
пользователей, работающих с VPN; |
|
|
|
в) Extranet |
VPN - создание |
VPN-ceтей, объединяющих |
|
корпорацию с ее |
стратегическими партнерами, клиентами и |
||
поставщиками. Для нее используются |
стандартизированные VPN- |
||
продукты, гарантирующие способность к |
взаимодействию с |
||
различными VPN-решениями, которые деловые |
партнеры могли бы |
||
применять в своих сетях.
Преимуществами использования VPN-продуктов являются:
-независимость от криптографии - |
возможность |
|
подключения модулей |
криптографии от третьих |
|
производителей, что позволяет их |
использовать в любой |
|
стране мира в соответствии с принятыми |
национальными |
|
стандартами; |
|
|
-масштабируемость продуктов позволяет подбирать оптимальное по стоимости и надежности решение с возможностью постепенного наращивания мощности системы
164
защиты; -наличие открытых интерфейсов для интеграции с
другими программными системами и бизнес-приложениями; -гибкость установки и настройки позволяет внедрить
систему безопасности, не меняя сетевой конфигурации
корпоративной |
сети; |
|
-экономичность - при использовании VPN-продуктов не |
||
требуются |
специальные каналы |
для передачи |
конфиденциальной информации; |
|
|
-поддержка международных стандартов, |
совместимость |
|
продуктов с |
продуктами RSA, Baltimore, Entrust, VeriSign, |
|
SSH, Siemens, Microsoft и др.
12.2. Технологии хранения и доступа к информационным ресурсам
К технологиям хранения и доступа к ИР относятся: -WEB-технологии;
-технологии интегрированных банков (хранилищ) данных; -различные варианты технологии "клиент-сервер".
В технологиях хранения и доступа к информационным ресурсам важным свойством является сочетание концепции интеграции информации с различными способами разделения устройств ее физического размещения и функциональных подсистем обработки.
Концепция интеграции информации реализуется, как правило, в форме некоего центрального узла (рис.41), объединяющего информационные ресурсы и сервисы КС. Наиболее перспективной в настоящее время моделью центрального узла является web-портал.
Основными функциями портала (с точки зрения повышения безопасности КС) являются:
-реализация гибкой многоуровневой схемы обеспечения доступа к информации типа "клиент - Х-сервер - сервер приложений - серверы баз данных";
-сокращение числа поддерживаемых операционных
165
систем и программных средств; -сведение к минимуму возможности со стороны
пользователей внести отрицательное влияние на настройки системы, целостность ПО и данных.
Основными элементами портала в общем случае являются:
-файл-сервер;
-сервер приложений (DOS и Windows); -WEB-сервер;
-Х-сервер для поддержки "сверхтонких" клиентов; -серверы баз данных.
При этом наиболее важными элементами портала являются WEB-сервер и хранилище данных. WEB-сервер выполняет функцию сервера приложений (уровень middleware) для основного клиентского приложения - web-броузера.
Рис. 41. Реализация центрального узла КС
166