8.3. Основные методические рекомендации в ходе выполнения задания необходимо обратить внимание на:

- изучение описания приборов для исследования и обеспечения защищенности информации от утечки информации по радиоканалу, электросети или телефонной линии,

- состав средств, входящих в состав стенда,

- назначение приборов,

- технические характеристики приборов,

- общий порядок применения технических средств,

- порядок оценки защищенности информации в технических каналах ее утечки.

8.4. Порядок выполнения практического задания с комментариями

1. Подготовить комплекс к работе.

2. Исследовать амплитудно-частотный спектр пространства, комплексом радиоконтроля RS Turbo при отключении всех приборов в комнате;

3. Исследовать амплитудно-частотный спектр пространства, комплексом радиоконтроля RS Turbo при включении компьютера и выявить изменение составляющих спектра;

4. Исследовать амплитудно-частотный спектр пространства, комплексом радиоконтроля RS Turbo при включении радиопередающего устройства.

5. Исследовать амплитудно-частотный при подключении к телефонной линии;

6. Сравнить результаты сканирования, произведённого в п.2, п.3, п.4 и п.5.

7. Сделать выводы об эффективности портативного комплекса радиоконтроля RS Turbo в наблюдении за радиоэфиром и обнаружении каналов утечки информации.

Для обеспечения защиты информации в техническом канале ее утечки необходимо, чтобы сигнал шума превышал информативный сигнал.

Отношение сигнал/шум рассчитывается по следующей формуле:

Под Uс понимается амплитуда сигнала, а под Uш — среднеквадратичное значение шума. Uс можно измерить с помощью скоростного анализатора спектра «Скорпион V3.0», а среднеквадратичное значение шума вычисляется по формуле:

,

где - полоса частот, занимаемая шумом, L – спектральная плотность мощности широкополосного шума относительно уровня мощности тактового сигнала (измеряется с помощью скоростного анализатора спектра «Скорпион V3.0») , f_m – частота тактового сигнала /4/.

По результатам отношения сигнал/шум определяется степень защищенности информации в техническом канале ее утечки.

Получаем, что при Uс < Uш (то есть помеховые сигналы значительно превосходят сигнал побочных электромагнитных и иных излучений) < 0 /4/.

9. Исследование обеспечения защищенности информации с помощью системы защиты информации secret net 4.0

9.1. Основные положения практического занятия

Цель работы: исследовать защищенность информации с помощью системы защиты Secret Net 4.0 , научится использовать программное обеспечение в совокупности с аппаратной поддержкой.

Объект исследования: несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием совокупности программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем, предоставляемых соответствующими средствами или системами.

Предмет исследования: степень защищенности от НСД, и возможность контроля с помощью системы защиты информации Secret Net 4.0.

9.2. Изучение каналов, исследуемых на стенде

9.2.1. Способы и каналы несанкционированного доступа, характерные для решаемых задач

Способ НСД - это определенная последовательность как санкционированных, так и несанкционированных действий, совершаемых одним или несколькими субъектами и приво­дящая к нарушению правил разграничения доступа к КС и ее элементам.

Канал НСД - сочетание физической среды доступа с элементом КС, на который оказывается несанкционированное воздействие.

Суть применения способов НСД состоит в получении его субъектом доступа к защищаемым элементам, ресурсам или функциям КС в обход используемых средств защиты и последующем осуществлении по отношению к ним несанкционированных действий в собственных интересах.

Согласно руководящим документам Федеральной службы по техническому и экспортному контролю РФ к основным способам НСД относятся:

-непосредственное обращение к объектам доступа;

-создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

-модификация средств защиты, позволяющая осуществить НСД;

-внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

Каждый способ НСД характеризуется множеством программно-аппаратных средств и действий субъектов с использованием этих средств.

Следует иметь в виду, что человек (субъект НСД) способен придумать принципиально новый способ реализации НСД или применить новые варианты известных способов.

В общем случае все способы НСД являются результатом композиций «первичных» действий, таких как:

-запись информации;

-считывание информации;

-физическое воздействие на элементы компьютерных систем, приводящее либо к уничтожению информации, либо к нарушению правил ее обработки и хранения.

К примеру, несанкционированная модификация информации является композицией чтения и записи информации. Несанкционированное уничтожение информации, как и ее блокирование, может произойти в результате или несанкционированной записи, или физического воздействия на элемент компьютерных систем. Несанкционированное копирование информации осуществляется путем последовательного чтения и записи информации. Подбор пароля состоит в последовательности записи и чтения результатов обработки этой записи, при этом обычно пуск несанкционированного процесса является следствием несанкционированной записи или модификации (чтения и записи) информации.

Однако, основным начальным действием, является доступ физического лица к элементу КС.

В качестве наиболее известных сочетаний способов и каналов НСД можно выделить следующие:

1. Использование информации, которая осталась на носителях после ее обработки («сборка мусора»). Информация может остаться в ОЗУ, на магнитных и других носителях, так как информация в компьютерных системах уничтожается только при записи поверх нее другой информации.

2. Умышленное проникновение в систему с несанкционированными параметрами входа - подбор пароля или обход защиты («взлом системы»). Подбор пароля может быть осуществлен различными способами. Так, например, возможно: вскрытие пароля простым перебором (который может выполнить специальная программа); использование знаний о паролях, обычно применяемых пользователями; использование программной закладки или вируса для «подсматривания» паролей. Обход защиты можно осуществить, используя ошибки программы защиты или воздействуя на нее специ­альными программами.

3. Использование каналов обмена информацией между процессами в операционной системе («скрытые каналы»). В операционной системе реализуются стандартные правила обмена информацией между устройствами и процессами, в связи с чем возможно осущест­вление контроля данной информации, например, при чтении информации с диска.

4. Использование скрытых, недокументированных разработчиками возможностей программного обеспечения («люк»). При разработке сложных программ многие их возможности не описываются в документации, и могут быть неизвестны даже самим разработчикам данных программ.

5. Использование специальных программно-технических воздействий, осуществляемых вредоносными программами, такими как:

-«вирус» - программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способ­ность к дальнейшему размножению;

-«червь» - программа, распространяющаяся через сеть и использующая механизм поддержки сети;

-«троянский конь» - программа, выполняющая побочные функции, неизвестные поль­зователю.

Целью или условием выполнимости перечисленных действий является знание субъектом НСД алгоритмов программ, используемых для обработки данных, организации и обеспечения функционирования компьютерных систем и, в частности, для разграничения доступа и защиты информации. Необходимо учитывать, что вскрытие функционирования алгоритма (программы) защиты информации практически полностью определяет алгоритм преодоления этой защиты. В связи с этим, одной из основных задач субъекта НСД (компьютерного преступника) является изучение функционирования алгоритма защиты. Как правило, он имеет доступ только к исполняемым модулям или коду защищенной программы. С учетом этого основным инструментальным средством, позволяющим исследовать код программы, являются дизассемблеры и отладчики, с помощью которых машинный код программы можно представлять в более удобном для понимания виде. Отладчик обычно обладает следующими функциональными возможностями:

1. диалоговый режим использования; наличие механизма точек прерывания, который позволяет приостанавливать процесс выполнения программы и анализировать ее состояние;

2. наличие механизма пошагового выполнения исследуемой программы; - поиск по шаблону в оперативной памяти;

3. сканирование (пошаговое выполнение с анализом выполняемых действий) исследуемой программы;

4. построение трассы выполнения программы.

В результате исследования кода программы с помощью отладчика выясняется семантика последовательности команд, определяющая выполнение функций защиты. После этого осуществляется корректировка кода программы или имитация запрашиваемых и идентифицируемых программой данных, что может быть оформлено в отдельную программу. На этом процесс вскрытия исследуемой программы можно считать законченным. В обычных условиях, если не применяется специальных мер противодействия, пароль «защищенной» програм­мы при использовании отладчика может быть вскрыт компьютерным преступником в течение 10-20 минут.

Возможности отладчиков по исследованию программного кода во многом зависят от того, насколько действия отладчика «прозрачны» для системы, так как существуют достаточно эффективные методы противодействия средствам отладки.

В последнее время широкое распространение получили локальные вычислительные сети, где в обработке информации участвуют пользователи с различными правами доступа к информации и ресурсам сети. Максимальными правами доступа обладает администратор сети. Поэтому обычно задачей субъекта НСД является вскрытие пароля администратора и работа под его именем. Наиболее мощным программным инструментом управления сетью, обычно имеющимся в распоряжении администратора сети, являются так называемые «анализаторы протоколов сети», которые позволяют осуществлять следующие действия:

-удаленное управление ресурсами сети, доступ к узлам и ресурсам распределенной сети;

-сбор статистических сведений о сетевом графике;

-декодирование пакетов, пересылающихся в сети;

-проведение фильтрации данных во время их перехвата для последующего анализа.