Каталог статей
Поиск по базе статей  
Статья на тему Компьютеры » Безопасность » Сертификация SOFTа на отсутствие закладок. Что это дает?

 

Сертификация SOFTа на отсутствие закладок. Что это дает?

 

 

Применение средств активного зашумления речевой информации не всегда является гарантией от перехвата последней даже при избыточной мощности создаваемой помехи.

Актуальность задач защиты информации (ЗИ) от утечки по акустическим, вибрационным и электромагнитным каналам, порождаемым речевой деятельностью человека, несомненна и занимает ведущее место в общем ряду существующих в области безопасности информации проблем. С другой стороны, ряд аспектов, влияющих на эффективность защиты речевой информации, зачастую остается за пределами внимания при организации системы информационной безопасности объектов, разработке и производстве средств защиты речевой информации (СЗРИ), их практическом применении. К аспектам, влияющим на снижение качества закрытия каналов утечки информации, а иногда и их непреднамеренному созданию в случае неквалифицированного проведении мер по ЗИ, в первую очередь следует отнести:
  • необеспеченность оценок качества информационной безопасности, в том числе и при настройке СЗРИ, инструментальными средствами контроля;
  • невнимание к угрозам компенсации излучаемых СЗРИ помех и перехвата содержания скрываемых переговоров при поверхностном соблюдении норм и требований по защите информации;
  • недооценку опасности выхода из строя (по различным причинам) аппаратуры защиты информации.

загрузка...

 

 

Первая проблема связана с активно развивающейся в настоящее время нормативной базой в области защиты информации: требования руководящих документов по номенклатуре измеряемых в ходе контроля параметров и точности их оценки чрезвычайно жесткие и практически не могут быть выполнены с использованием аппаратуры общего применения. Основными техническими задачами контроля эффективности защиты речевой информации являются измерение параметров акустических, виброакустических сигналов и сигналов электроакустических преобразований. При этом специальные требования к таким комплексам определяются необходимостью контроля сигналов с большим динамическим диапазоном, параметров слабых сигналов, проведения в ходе контроля большего числа единичных измерений, документирования результатов измерений и расчета показателей качества защиты информации. Например, следует проводить оценки уровня акустического или вибрационного сигнала для ряда частот в пяти октавных полосах, повторять такие измерения в нескольких точках с последующим преобразованием результатов в значение словесной разборчивости речи [1, 2]. Аппаратура для проведения этих измерений должна быть специализированной, высокого класса точности (при пересчете в показатель разборчивости ошибка накапливается) и автоматизированной (для получения результатов в реальные сроки) [3].

Потенциальным потребителям в качестве аппаратуры контроля зачастую предлагаются средства типа электронных стетоскопов и т. п., пригодных лишь для грубой оценки состояния звуко- и виброизоляции, но не для контроля параметров виброакустических и электрических сигналов с требуемым качеством и достоверностью. Отсутствие в соответствующих службах аппаратуры контроля, удовлетворяющей современным требованиям, зачастую и обусловливает появление каналов утечки информации при кажущемся достаточным уровне защиты. Однако предложения такой аппаратуры на рынке СЗРИ практически ограничиваются одним-двумя типами комплексов [4-6].

Технические проблемы, стоящие перед разработчиками аппаратуры, могут быть проиллюстрированы на примере контроля сигналов электроакустических преобразований. Данная задача связана с наличием у некоторых технических устройств микрофонных свойств, вследствие чего под воздействием акустических волн в них наводятся электрические сигналы, которые по различным электрическим цепям и токопроводящим элементам конструкций могут распространяться за пределы контролируемой территории. Актуальность задачи подтверждается тем, что уровни таких сигналов от незащищенных телефонных аппаратов на 2-3 порядка превосходят нормы по требованиям безопасности информации. При широком использовании незащищенной импортной техники данный канал утечки информации становится одним из наиболее опасных.

Для контроля сигналов электроакустических преобразований на соответствие действующим нормам погрешность измерения напряжений не должна превосходить 10-8 В, причем тестовый сигнал следует обнаруживать и оценивать на фоне помех с соизмеримыми уровнями. Наиболее приемлемым решением данной задачи является обработка сигнальных выборок большего объема цифровыми методами. Аналогичные по сложности измерения должны проводиться и при акустическом, и при вибрационном контроле, каждый из которых обладает собственной спецификой. Единственно целесообразным вариантом построения специализированных комплексов контроля эффективности защиты речевой информации является способ (рис.1), базирующийся на использовании цифровых сигнальных процессоров, средств вычислительной техники и сигнальных концентраторов, служащих для приема и предварительной обработки сигналов от нескольких различных датчиков (измерительного микрофона, акселерометра, токовых клещей, магнитной и электрической антенн и т. п.).

Структурная схема комплекса контроля эффективности защиты речевой информации

Рис. 1. Структурная схема комплекса контроля эффективности защиты речевой информации

Слабым звеном любого объекта применительно к рассматриваемому вопросу, а следовательно, и наиболее вероятным каналом утечки речевой информации, являются окна. Повысить их звукоизолирующие свойства путем доработки обычных оконных блоков промышленного изготовления практически невозможно, а оконные блоки в защищенном исполнении отечественной промышленностью не выпускаются. Кроме того, инструментальный контроль звукоизолирующих свойств окон в помещениях, расположенных выше второго этажа, затруднен. Для этого необходима аппаратура, позволяющая производить оценку уровня тестового сигнала дистанционно, без участия оператора. Следует предусматривать возможность установки такой аппаратуры на элементах оконного блока вне помещения, что требует соответствующего конструктивного и климатического исполнения. В настоящее время такая аппаратура на рынке СРЗИ отсутствует, а ответственные за ЗИ должностные лица, касательно данного канала утечки информации, как правило, делают "хорошую мину при плохой игре". Вариант структуры такой аппаратуры приведен на рис. 2, а основными элементами, обеспечивающими решение задач дистанционного контроля, должны быть малогабаритное устройство "съема" сигналов и устройство их обработки. Первое должно обеспечивать преобразование виброускорений на элементах оконных блоков в аналоговый сигнал требуемого уровня, его "оцифровку" и передачу в устройство обработки по радиоканалу. Второе - сигналов в оцифрованном виде и их обработку с целью оценки показателей качества защиты информации.

Структура комплекса дистанционного контроля эффективности защиты речевой информации

Рис. 2. Структура комплекса дистанционного контроля эффективности защиты речевой информации

Следующий важный аспект заключается в невнимании к возможностям противной стороны для принятия контрмер по нейтрализации помеховых воздействий, препятствующих добыванию конфиденциальной информации. Защита речевой информации при недостаточном уровне звуко- и виброизоляции заключается в создании помех в ограждающих конструкциях защищаемого помещения. Остановимся на вибрационном канале утечки информации, который справедливо относится к наиболее опасным, и рассмотрим проблему на его примере.

Помеха формируется виброгенератором того или иного типа и излучается с помощью вибропреобразователей, закрепленных на стенах помещения. В соответствии с действующими нормами в точках возможного съема информации необходимо обеспечить заданное отношение "сигнал/помеха", а в качестве помехи, как правило, рекомендуется "белый" шум. К достоинствам СЗРИ относят большой радиус действия каждого вибратора на стене, например, 2-3 м (для некоторых средств декларируется радиус действия до 6 м [7]), что обеспечивает кажущуюся экономию и соответствует общему подходу к защите речевой информации. При этом возможность очистки сигнала от помехи тем или иным путем не учитывается. Таким образом, при излучении помехи достаточно высокого уровня вибраторы могут размещаться на расстоянии до нескольких метров друг от друга (при малых размерах защищаемого помещения оказывается достаточным одного вибратора на стену). В итоге речевой сигнал скрывается с помощью одной и той же реализации помехи при некотором различии в амплитуде на всей поверхности ограждающей конструкции или ее значительной части.

Схема канала утечки речевой информации

Рис. 3. Схема канала утечки речевой информации

В охарактеризованных условиях основным способом компенсации помехи при попытке добывания конфиденциальной информации следует считать двух-, трехканальный съем смеси сигнала с помехой в разнесенных по ограждающей конструкции защищаемого помещения точках с последующим вычитанием помехи. Вариант реализации такого способа заключается, например, в синхронной регистрации сигнала двумя или более радиозакладками с вибродатчиками (рис. 3), размещенными на внешней поверхности стены помещения, защита которой производится одним вибропреобразователем СЗРИ. Суть способа компенсации основывается на двух "столпах". Во-первых, скорости распространения звука в строительных конструкциях на порядок и более превышает скорость его распространения в воздухе (в кирпичной или бетонной стене этот показатель составляет около 3500-4000 м/с, в воздухе - около 330 м/с). Во-вторых, при вычитании из речевого сигнала такого же сигнала с задержкой, лежащей в диапазоне 1-10 м/с (соответствует разности хода в воздушном пространстве до точек приема в 0,3-3 м) разборчивость речи практически не ухудшается. Следовательно, при расположении говорящего в произвольной точке помещения (примерная конфигурация канала утечки информации приведена на рис. 3), излучающего помеху вибратора - в центральной части стены, а добывающих информацию вибродатчиков - на взаимном расстоянии около 3 м, сигнал на выходе каждого вибродатчика будет представлять собой смесь речевого сигнала с помехой с различным временным смещением. Переданные в пункт сбора информации и зарегистрированные сигналы в последующем могут быть обработаны по простейшему алгоритму, заключающемуся в нормировке по уровню, компенсации временной задержки в одном из каналов и получении разностного сигнала. Реализация данной схемы обработки не требует специальной аппаратуры и может быть произведена, например, с помощью простейших аудиоредакторов на персональной вычислительной машине. В результате вычитания одного сигнала из другого после их нормировки по амплитуде и при компенсированной задержке во времени распространения помехи до того или иного вибродатчика обеспечивается практически полная очистка полезного речевого сигнала от помехи [8].

Таким образом, применение средств активного зашумления речевой информации не является гарантией от перехвата последней даже при избыточной мощности помехи и несмотря на соблюдение норм и требований в том случае, если значительные (с линейными размерами в несколько метров) зоны ограждающей конструкции защищаются лишь одним излучающим помеху вибратором. Аналогичный вывод справедлив и для нескольких распределенных по поверхности виброизлучателей, запитываемых от одного источника. Применение рассмотренных выше методов съема речевой информации усложняется в случае, когда в каждой точке ограждающей конструкции присутствуют помехи от нескольких некоррелированных источников с достаточной для эффективной защиты информации мощностью. Эффективную маскирующую помеху на ограждающей конструкции выделенного для проведения конфиденциальных переговоров помещения позволяет сформировать СРЗИ с тремя и более независимыми каналами помех при специальных способах размещения излучателей на ограждающих конструкциях [8].

Таким образом, повышение эффективности защиты речевой информации должно основываться на способах создания поверхностно-декоррелированных помех, исключающих возможность их компенсации при многоканальном съеме информации. Наиболее перспективным является использование многоканальных СЗРИ с независимыми каналами формирования помех, числом каналов не менее трех и достаточно высокой мощностью помех, обеспечивающей значительные зоны защиты на ограждающих конструкциях защищаемых помещений.

Важной проблемой, на которой необходимо остановиться, является мониторинг качества защиты речевой информации на объекте или, другими словами, об оценке качества создаваемых помех с выработкой сигналов тревоги в случае отключения помехи или недопустимого изменения ее параметров и последующего восстановления требуемого состояния ЗИ. Наиболее общим является случай, когда система защиты информации многоканальна по направлениям защиты - ограждающим конструкциям (даже в случае защиты одного помещения). Существует много объективных и субъективных причин, которые могут явиться источником сбоев и нарушений в функционировании таких многоканальных систем, эксплуатируемых в рабочих помещениях, а вероятность возникновения канала утечки информации пропорциональна количеству направлений защиты (для одного помещения их число достигает 6-10). Так, источники помехового излучения - вибропреобразователи, излучая виброакустическую помеху, сами постоянно находятся под воздействием вибрации. Следствием этого является высокая вероятность разрушения элементов их крепления на ограждающих конструкциях, что немедленно влечет снижение качества помехи.

Решением проблемы является создание распределенных систем, объединяющих как средства виброзашумления, так и средства мониторинга качества помех. Элементами такой системы должны быть датчики информации, размещаемые на ограждающих конструкциях совместно с вибропреобразователями, многоканальные устройства дистанционного контроля и дистанционного управления аппаратурой виброзашумления (виброгенераторами). Наиболее целесообразен модульный принцип построения системы, при котором она может наращиваться, ее элементы - объединяться в различных комбинациях, а управление - осуществляться с ПЭВМ. Пока данное направление развития средств защиты информации слабо освоено, хотя актуальность его несомненна, особенно если принимаются во внимание обсуждавшуюся выше необходимость реализации способов создания декоррелированных помех на ограждающих конструкциях. Таким образом, к числу важных задач развития систем и комплексов защиты речевой информации следует отнести совершенствование инструментальных средств контроля эффективности защиты речевой информации: создание специализированных комплексов проверки выполнения норм ЗИ и распределенных многоканальных систем текущего контроля качества ЗИ, а также многоканальных СЗРИ, обеспечивающих возможность формирования помех, устойчивых к методам их компенсации. В ряду проблем защиты речевой информации данные задачи направлены на повышение полноты, оперативности и достоверности оценок информационной безопасности, а также ее устойчивости в условиях развития методов и средств доступа к конфиденциальным сведениям.

Литература
  1. Железняк В. К., Макаров Ю. К., Хорев А. А. Некоторые методические подходы к оценке эффективности защиты речевой информации/Специальная техника. - М.: 2000, № 4.
  2. Макаров Ю. К., Хорев А. А. К оценке эффективности защиты акустической (речевой) информации/Специальная техника. - М.: 2000, №5.
  3. Бортников А. Н., Губин С. В., Комаров И. В., Майоров В. И. Способы и средства защиты речевой информации и контроля их эффективности/Информация и безопасность. - Воронеж:,1999, № 4.
  4. Системы безопасности: Межотраслевой тематический каталог. - М.: Гротек, 1999.
  5. Специальная техника: Каталог. - НПЦ "НЕЛК", 2001.
  6. Специальная техника: Каталог технических изделий. - ОАО "НОВО", 2000. 7. Калинин С. В. О некоторых новых тенденциях в развитии систем виброакустического зашумления/Защита информации. Конфидент. - СПб.: 1999, № 4-5.
  7. Бортников А. Н., Богаев А. С., Герасименко В. Г., Губин С. В., Комаров И. В. Пути повышения эффективности защиты речевой информации/Вопросы защиты информации. - М.: 2000, № 4.
загрузка...

 

 

Наверх


Постоянная ссылка на статью "Сертификация SOFTа на отсутствие закладок. Что это дает?":


Рассказать другу

Оценка: 4.0 (голосов: 16)

Ваша оценка:

Ваш комментарий

Имя:
Сообщение:
Защитный код: включите графику
 
 



Поиск по базе статей:





Темы статей






Новые статьи

Противовирусные препараты: за и против Добро пожаловать в Армению. Знакомство с Арменией Крыша из сэндвич панелей для индивидуального строительства Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан Как выбрать блеск для губ Чего боятся мужчины Как побороть страх перед неизвестностью Газон на участке своими руками Как правильно стирать шторы Как просто бросить курить

Вместе с этой статьей обычно читают:

Скрытое семантическое индексирование: что это и зачем?

Скрытое семантическое индексирование (LSI – Latent Semantic Indexing)– методология автоматической классификации документа, в результате которой проводится исследование слов во всей совокупности документов и производится подсчет одинаковых характеристик для каждого документа или употребляемого термина. Скрытое семантическое индексирование с точностью определяет релевантность документа по отношению к поисковой фразе, даже если эта поисковая фраза не встречается в документе. О ...

» Продвижение и оптимизация - 1613 - читать


Po tNuke&nb p;&mda h; что это такое

В одной из статей, опубликованной на страницах нашего издания, рассказывалось о конструкторе сайтов PHP-Nuke. Некоторое время назад от коллектива разработчиков этого проекта отделилась группа (John Cox, Harry Zink, Sean Fenkle, Greg Allan), решивших создать свой конструктор. Они назвали его PostNuke.

» Интересное в сети - 1732 - читать


VPS&nb p;&mda h; что это такое

Решения в области разделения ресурсов вычислительных машин на взаимонезависимые виртуальные машины были разработаны более сорока лет назад, еще в эпоху мейнфреймов. Компания IBM разработала специальную операционную систему OS VM/370 (в последующем появились и другие версии, например VM/ESA). В этой операционной системе пользователь получал в свое распоряжение полнофункциональный виртуальный компьютер, на который он мог поставить собственную версию операционной системы и уст ...

» Интересное в сети - 2819 - читать


ПМС - что это?

Любая женщина не понаслышке знает, что это такое, но каждый раз нам хочется знать об этом как можно больше, ведь касается нас - любимых. Дорогие мужчины не спешите переключаться на другую тему, думаю, для вас мы откроем много нового и полезного, что поможет нам лучше понимать друг друга. ПМС (предменструальный синдром) - это, конечно, не болезнь.

» Заболевания - 4901 - читать


Маммопластика - что это такое?

Наверное, нет такой женщины, которая не мечтала бы иметь высокую красивую грудь. И желание это вполне исполнимо, однако для начала его придется конкретизировать. От того, что именно - форма, размер или тонус - подлежит исправлению, будет зависеть выбор специалиста: спортивного тренера, косметолога или пластического хирурга.

» Здоровый образ жизни - 1972 - читать



Статья на тему Компьютеры » Безопасность » Сертификация SOFTа на отсутствие закладок. Что это дает?

Все статьи | Разделы | Поиск | Добавить статью | Контакты

© RusAdvice.Org, 2006-2014, при копировании материалов, прямая индексируемая ссылка на сайт обязательна.

Энциклопедия RusAdvice.Org