Классификация методов инженерно-технической защиты информации

Как следует из факторов, влияющих на эффективность инженерно-технической защиты информации, ее методы должны обеспечить реализацию следующих направлений инженерно-технической защиты информации:

• предотвращение и нейтрализацию преднамеренных и случайных воздействий на источник информации;

• скрытие информации и ее носителей от органа разведки (злоумышленника) на всех этапах добывания информации.

Кроме того, учитывая, что для добывания информации злоумышленник может использовать различные специальные средства (закладные устройства, диктофоны и др.), третье направление включает методы обнаружения, локализации и уничтожения и этих средств, а также подавления их сигналов.

Первое направление объединяют методы, при реализации коых:

• затрудняется движение злоумышленника или распространение стихийных сил к источнику информации;

• обнаруживается вторжение злоумышленника или стихийных сил в контролируемую зону и их нейтрализация.

Классификация направлений и методов инженерно-технической защиты информации приведена на рис. 3.4.

Затруднение движения источников угроз воздействия к источникам информации обеспечивается в рамках направления, называемого физической защитой. Физическая защита обеспечивается методами инженерной защиты и технической охраны. Инженерная защита создается за счет использования естественных и искусственных преград на маршрутах возможного распространения источников угроз воздействия. Искусственные преграды создаются с помощью различных инженерных конструкций, основными из которых являются заборы, ворота, двери, стены, межэтажные перекрытия, окна, шкафы, ящики столов, сейфы, хранилища. Так как любые естественные и искусственные преграды могут быть преодолены, то для обеспечения надежной защиты информации, как и иных материальных ценностей, необходимы методы обнаружения вторжений в контролируемые зоны и их нейтрализации.

Эти методы называются технической охраной объектов защиты. Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве, К таким носителям относятся бумага, машинные носители, фото и кино пленка, продукция, материалы и т. д., то есть все, что имеет четкие размеры и вес. Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты информации на этих носителях методы инженерной защиты не приемлемы — электромагнитное поле с информацией нельзя хранить, например, в сейфе. Для защиты информации на таких носителях применяют методы скрытия информации.

Скрытие информации (прятание, утаивание) объединяет группу методов защиты информации, основу которых составляют условия и действия, затрудняющие поиск и обнаружение объектов защиты, распознавание и измерение их признаков, снятие с носителей информации с качеством, достаточным для ее использования. Оно предусматривает такие изменения местоположения, времени передачи сообщения или проявления демаскирующих признаков, структуры информации, структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах. Скрывать от злоумышленника можно как информацию, так и ее носитель. Различают пространственное, временное, структурное и энергетическое скрытие.

Пространственное скрытие затрудняет поиск и обнаружение злоумышленником источника информации в пространстве. Оно достигается размещением источника информации в местах, местоположение которых априори злоумышленнику не известно. Такие места хранения называются тайниками. Перед злоумышленником возникает дополнительная задача — поиск источника. Чем больше область поиска, тем труднее найти объект. Подводные лодки представляют большую угрозу, прежде всего, потому, что обеспечивается их высокая пространственная скрытность. При создании тайников их авторы часто не учитывают шаблонность мышления большинства людей. Этим пользуются квартирные воры, которые легко находят места, в которых хозяева хранят свои ценности.

К пространственным можно отнести стеганографические способы защиты информации, которые предусматривают скрытное размещение защищаемой информации, отображаемой в символьной форме, в так называемых контейнерах. Контейнеры — свободные части носителя, содержащего другую информацию.

Наиболее древним стеганографическим способом скрытия информации является написание сообщения симпатическими (бесцветными без специальной тепловой или химической обработки) чернилами между строк письма или иного документа. Известно много способов записи данных, реализующих пространственное скрытие информации: запись наколом букв на оборотной стороне этикеток флаконов, банок или бутылок, на внутренней стороне спичечной коробки, внутри яйца и др. В годы расцвета фототехники для скрытной передачи сообщений использовалась так называемая «микроточка», изобретенная немецким ученым Э. Голдбергом. «Микроточка» представляла собой микроизображение разведывательного сообщения размером 0,01-1 мм², которое наклеивалось в качестве точки текста письма, открытки, под марку и иные места безобидной корреспонденции или предметов. Величина уменьшенных символов в «микроточке» достигала 1 микрона. Большие возможности по реализации стеганографических способов скрытия информации предоставляют компьютерные технологии записи информации. Компьютерная стеганография основывается на том, что файлы, содержащие оцифрованное изображение или звук, могут быть до некоторой степени видоизменены без потери качества изображения или звука. Такая возможность обусловлена неспособностью органов чувств человека различать незначительные изменения в цвете изображения или в частотах звука. Поэтому в качестве контейнеров используются графические и звуковые файлы, содержащие оцифрованное изображение и звук. Младшие (1-4) разряды используемых многоразрядных кодов могут быть изменены без ухудшения качества изображения или звука, в них можно записать секретную и конфиденциальную информацию и обеспечить ее эффективное скрытие. Например, качество эталонного изображения в формате bmp объемом 243 Кбайт незаметно отличается от того же изображения в файле которого помещена иная информация объемом 119 Кбайт.

Отсутствие у злоумышленника данных о времени передачи сообщения с интересующей информацией или времени проявления демаскирующих признаков объекта защиты вынуждает злоумышленника тратить большие ресурсы на обеспечение непрерывности разведки. Этим достигается временное скрытие. Десятки тысяч операторов и технических средств Агентства национальной безопасности США постоянно и непрерывно «слушают» эфир в разных точках пространства в разных частотных диапазонах, чтобы не пропустить и перехватить информативное сообщение в каналах связи своего вероятного противника. Чем короче по времени передаваемое сообщение, тем сложнее его обнаружить. Поэтому одним из методов временного скрытия является передача с большой скоростью сообщения, накопленного за время, значительно превышающее время его передачи.

С другой стороны, если известно время возможной работы средств добывания, то существенно легче скрыть информацию. Хотя разведка ведется скрытно, но появление тех или иных носителей средств разведки (самолетов, кораблей, космических аппаратов, автомобилей с дипломатическими номерами) возле контролируемой зоны в большинстве случаях обнаруживается средствами соответствующих служб, что позволяет принять меры по скрытию информации. Например, «ахиллесовой пятой» наиболее эффективной в мирное время космической разведки является заблаговременное знание контрразведкой точного времени пролета низкоорбитального разведывательного космического аппарата. Службе безопасности порой достаточно для обеспечения эффективной защиты на короткое время (минуты) пролета прекращать информативные излучения и зачехлять защищаемые объекты, наблюдаемые сверху.

Структурное скрытие достигается изменением или созданием ложного информационного портрета семантического сообщения, физического объекта или сигнала.

Информационным портретом можно назвать совокупность элементов и связей между ними, отображающих смысл сообщения (речевого или данных), признаки объекта или сигнала. Элементами дискретного семантического сообщения, например, являются буквы, цифры или другие знаки, а связи между ними определяют их последовательность. Информационными портретами объектов наблюдения, сигналов и веществ являются их эталонные признаковые структуры.

Возможны следующие способы изменения информационного портрета :

• удаление части элементов и связей, образующих информационный узел (наиболее информативную часть) портрета;

• изменение части элементов информационного портрета при сохранении неизменности связей между оставшимися элементами;

• удаление или изменение связей между элементами информационного портрета при сохранении их количества.

Изменение информационного портрета объекта вызывает изменение изображения его внешнего вида (видовых демаскирующих признаков), характеристик излучаемых им полей или электрических сигналов (признаков сигналов), структуры и свойств веществ. Эти изменения направлены на сближение признаковых структур объекта и окружающего его фона, в результате чего снижается контрастность изображения объекта по отношению к фону и ухудшаются возможности его обнаружения и распознавания.

Но при изменении информационного портрета информация не воспринимается не только злоумышленником, но и ее санкционированным получателем. Следовательно, для санкционированного получателя информационный портрет должен быть восстановлен путем дополнительной передачи ему удаленных элементов и связей или алгоритма (ключа) этих изменений.

В условиях рынка, когда производитель вынужден рекламировать свой товар, наиболее целесообразным способом информационного скрытия является исключение из рекламы или открытых публикаций наиболее информативных сведений или признаков — информационных узлов, содержащих охраняемую тайну.

К информационным узлам относятся принципиально новые технические, технологические и изобразительные решения и другие достижения, которые составляют ноу-хау. Изъятие из технической документации информационных узлов не позволит конкуренту воспользоваться информацией, содержащейся в рекламе или публикациях.

Этот широко применяемый метод позволяет:

• существенно уменьшить объем защищаемой информации и тем самым упростить проблему защиты информации;

• использовать в рекламе новой продукции сведения о ней, не опасаясь разглашения.

Например, вместо защиты информации, содержащейся в сотнях и тысячах листов технической документации, разрабатываемой для производства новой продукции, защите подлежат всего несколько десятков листов с информационными узлами.

Структурное скрытие, в результате которого информационный портрет изменяется под информационный портрет фона, называется маскировкой. Методы маскировки отличаются для разных видов сообщения. Маскировка семантической информации, представляемой в виде набора определенным образом связанных символов, обеспечивается криптографическими методами и называется шифрованием. Фоном для маскируемого сообщения является случайный набор символов. Поэтому чем меньше зашифрованное сообщение отличается от случайного, тем выше уровень скрытия информации.

Маскировка признаковой информации достигается изменением информативных признаков объекта защиты под признаки объектов фона. В зависимости от вида признаковой информации маскируются признаки объектов наблюдения, сигналов или демаскирующих веществ. Фон при наблюдении образуют другие объекты, в том числе предметы местности. Фоном для сигналов являются другие сигналы — помехи. Но помехи в отличие от объектов фона при наблюдении могут изменять параметры сигналов, несущих защищаемую информацию. Если энергия помех выше энергии сигналов, то эти изменения столь значительны, что структура сигналов приближается к структуре помех. Следовательно, помехи маскируют сигнал. Так как степень воздействия помех и соответственно маскирующий эффект зависят от отношения мощности сигнала и помех, то метод маскировки сигнала помехами можно назвать энергетическим скрытием информационных сигналов.

Энергетическое скрытие достигается уменьшением отношения энергии (мощности) сигналов, т. е. носителей (электромагнитного или акустического полей и электрического тока) с информацией, и помех. Уменьшение отношения сигнал/помеха (слово «мощность», как правило, опускается) возможно двумя методами: снижением мощности сигнала или увеличением мощности помехи на входе приемника.

Воздействие помех приводит к изменению информационных параметров носителей: амплитуды, частоты, фазы. Если носителем информации является амплитудно-модулированная электромагнитная волна, а в среде распространения канала присутствует помеха в виде электромагнитной волны, имеющая одинаковую с носителем частоту, но случайную амплитуду и фазу, то происходит интерференция этих волн. В результате этого значения информационного параметра (амплитуды суммарного сигнала) случайным образом изменяются и информация искажается. Чем меньше отношение мощностей, а следовательно, амплитуд, сигнала и помехи, тем значительнее значения амплитуды суммарного сигнала будут отличаться от исходных (устанавливаемых при модуляции) и тем больше будет искажаться информация.

Природные и промышленные помехи, которые постоянно присутствуют в среде распространения носителя информации, оказывают наибольшее влияние на амплитуду сигнала, в меньшей степени — на его частоту. Но ЧМ-сигналы имеют более широкий спектр частот. Поэтому в функциональных каналах, допускающих передачу более широкополосных сигналов, например, в УКВ-диапазоне, передачу информации осуществляют, как правило, ЧМ-сигналами как более помехоустойчивыми, а в узкополосных ДВ-, СВ- и КВ-диапазонах — АМ-сигналами.

В общем случае качество принимаемой информации ухудшается с уменьшением отношения сигнал/помеха. Характер зависимости качества принимаемой информации от отношения сигнал/помеха отличается для различных видов информации (аналоговой, дискретной), носителей и помех, способов записи на носитель (вида модуляции), параметров средств приема и обработки сигналов.

Наиболее жесткие требования к качеству информации предъявляются при передаче данных (межмашинном обмене): вероятность ошибки знака по плановым задачам, задачам статистического и бухгалтерского учета оценивается порядка 10^-5 - 10^-6, по денежным данным — 10^-8 - 10^-9 . Для сравнения, в телефонных каналах хорошая слоговая разборчивость речи обеспечивается при 60 - 80%, т. е. требования к качеству принимаемой информации существенно менее жесткие. Это различие обусловлено избыточностью речи, которая позволяет при пропуске отдельных звуков и даже слогов восстанавливать речевое сообщение. Вероятность ошибки знака 10^-5 достигается при его передаче двоичным AM сигналом и отношении мощности сигнала к мощности флуктуационного шума на входе приемника приблизительно 20, при передаче ЧМ сигналом — около 10. Для обеспечения разборчивости речи порядка 85% превышение амплитуды сигнала над шумом должно составлять около 10 дБ, для получения удовлетворительного качества факсимильного изображения — приблизительно 35 дБ, качественного телевизионного изображения — более 40 дБ.

В общем случае при уменьшении отношения сигнал/помеха до единицы и менее качество информации настолько ухудшается, что она не может практически использоваться. Для конкретных видов информации и модуляции сигнала существуют граничные значения отношения сигнал/помеха, ниже которых обеспечивается энергетическое скрытие информации.

Так как разведывательный приемник в принципе может быть приближен к границам контролируемой зоны организации, то значения отношения сигнал/помеха измеряются, прежде всего, на границе этой зоны. Обеспечение на границе зоны значений отношения сигнал/помеха ниже минимально допустимой величины гарантирует безопасность защищаемой информации от утечки за пределами контролируемой зоны.

Маскировка признаков веществ обеспечивается преобразованием признаков веществ под признаки других веществ, не интересующих злоумышленника. Например, для контрабанды наркотиков иногда их преобразуют в другое химическое вещество, пропускаемое таможенной службой и восстанавливаемое после провоза до первоначального состава.

Другой метод структурного скрытия заключается в трансформации исходного информационного портрета в новый, соответствующий ложной семантической информации или ложной признаковой структуре, и «навязывании» нового портрета органу разведки (злоумышленнику). Такой метод защиты называется дезинформированием. Дезинформирование наиболее эффективно при скрытии семантической информации, когда в добытом сообщении содержится ложная информация. При скрытии признаковой информации граница между маскировкой и дезинформированием размытая. Принципиальное различие между ними состоит в том, что маскировка направлена на затруднение обнаружения объекта защиты среди других объектов фона, а дезинформирование — на создание ложного объекта прикрытия. При поиске орган разведки (злоумышленник) не находит замаскированный объект, при дезинформировании он обнаруживает другой объект вместо истинного, признаки которого невозможно изменить под признаки фона. Например, если в глухом месте без строений размещается шахта стратегической ракеты, то невозможно скрыть подъездные пути автотранспорта к ней. В этом случае структурное скрытие информации о месте нахождения ракетной установки обеспечивается не только маскировкой ее конструкции, но и имитацией функционирования этого объекта.

Дезинформирование относится к числу наиболее эффективных методов защиты информации по следующим причинам:

• создает у владельца защищаемой информации запас времени, обусловленный проверкой разведкой достоверности полученной информации;

• последствия принятых конкурентом на основе ложной информации решений могут быть для него худшими по сравнению с решениями, принимаемыми при отсутствии добываемой информации.

Последняя причина обусловлена тем, что при недостаточности информации увеличивается в пространстве возможных решений область принятия решений, внутри которой находится оптимальное решение. Принятые решения при недостаточности информации будут отличаться от оптимального. При использовании дезинформации может образоваться иная область принятия решений на значительном удалении от оптимального решения. В этом случае могут возникнуть для пользователя ложной информацией катастрофические последствия.

Дезинформирование осуществляется путем подгонки признаков информационного портрета защищаемого объекта под признаки информационного портрета ложного объекта, соответствующего заранее разработанной версии, — объекта прикрытия. От тщательности подготовки версии и безукоризненности ее реализации во многом зависит правдоподобность дезинформации. Версия должна предусматривать комплекс распределенных во времени и в пространстве мер, направленных на имитацию признаков ложного объекта. Причем чем меньше при дезинформации используется ложных сведений и признаков, тем труднее вскрыть ее ложный характер.

Различают следующие способы дезинформирования:

• замена реквизитов защищаемых информационных портретовв том случае, когда информационный портрет объекта защиты похож на информационные портреты других «открытых»объектов и не имеет специфических информативных признаков. В этом случае ограничиваются разработкой и поддержанием версии о другом объекте, выдавая в качестве его признаков признаки защищаемого объекта. Например, в настоящее время большое внимание уделяется разработкам продукции двойного применения: военного и гражданского. Распространение информации о производстве продукции сугубо гражданского использования является надежным прикрытием для вариантов военного назначения;

• поддержание версии с признаками, заимствованными из разных информационных портретов реальных объектов. Применяется в тех случаях, когда в организации одновременно выполняется несколько закрытых тем. Путем различных сочетаний признаков, относящихся к различным темам, можно навязать противоположной стороне ложное представление о ведущихся работах без имитации дополнительных признаков;

• сочетание истинных и ложных признаков, причем ложными заменяется незначительная, но самая ценная часть информации, относящейся к защищаемому объекту;

• изменение только информационных узлов с сохранением неизменной остальной части информационного портрета.

Как правило, используются различные комбинации этих вариантов.

Однако этот метод защиты практически сложно реализовать. Основная проблема заключается в обеспечении достоверности ложного информационного портрета. Дезинформирование только в том случае достигнет цели, когда у разведки (злоумышленника) не возникнут сомнения в истинности подсовываемой ему ложной информации. В противном случае может быть получен противоположный эффект, так как при раскрытии разведкой факта дезинформирования полученная ложная информация может сузить область поиска истинной информации. Учитывая, что потребители информации отчетливо представляют ущерб от дезинформации и при малейших сомнениях будут перепроверять информацию с использованием других источников, дезинформирование в большинстве случаев требует хорошей организации и значительных затрат.

Основу третьего направления инженерно-технической защиты информации составляют методы поиска, обнаружения и нейтрализации источников опасных сигналов. Так как эти источники обнаруживаются по их демаскирующим признакам, то эти методы содержат процедуры идентификации источников случайных опасных сигналов по их демаскирующим признакам.

Знание конкретных угроз защищаемой информации создает возможность постановки задач по определению рациональных мер защиты информации, предотвращающих угрозы или снижающих до допустимых значений вероятность их реализации. Меры по защите информации с позиции системного подхода рассматриваются как результаты функционирования системы защиты. Они могут представлять собой конкретные действия персонала, предложения по приобретению и установке технических и программных средств, требования к сотрудникам, определенные в соответствующих правовых документах, и т. д. В принципе для предотвращения или, по крайней мере, существенного снижения уровня конкретной угрозы безопасности информации можно предложить несколько мер по ее защите. Однако их эффективность может существенно отличаться. Выбор любой меры защиты информации, так же как в иной любой сфере, производится по показателям оценки эффективности, которые учитывают степень выполнения задачи и затраты ресурса на ее решение. Многообразие угроз безопасности информации порождает многообразие мер ее защиты. Эффективность каждой меры защиты безопасности информации оценивается своими локальными (частными) показателями эффективности. Их можно разделить на функциональные (оперативные) и экономические. Функциональные показатели характеризуют уровень безопасности информации, экономические — расходы на ее обеспечение. Так как уровень безопасности информации определяется величиной потенциального ущерба от реализации угроз, то в качестве локальных функциональных показателей эффективности защиты информации используются как показатели количества и качества информации, которая может попасть к злоумышленнику, так и характеристики реально возникающих угроз безопасности информации.

Эффективность системы защиты информации в целом определяется глобальными функциональным и экономическим критериями или показателями. В качестве функционального глобального критерия часто используется «взвешенная» сумма функциональных локальных показателей. Если обозначить через w_i значение i-гo локального показателя, то глобальный показатель определяется как W_г = ∑a_iw_i, причем ∑a_i = 1. Коэффициент a_i характеризует «вес» локального показателя. Физического смысла такой показатель не имеет. Глобальный экономический показатель представляет собой меру суммарных расходов на информацию.

Эффективность тем выше, чем ниже расходы при одинаковом уровне безопасности информации или чем больше уровень ее безопасности при одинаковых расходах. Первый подход к оценке эффективности используется при отсутствии жестких ограничений на ресурс, выделяемый для защиты информации, второй — при заданном ресурсе.