Статья размещена с разрешения редакции журнала "Специальная техника" ,
в котором она была опубликована в № 5 за 2005 год (стр. 54-59).

Хорев Анатолий Анатольевич,
доктор технических наук, профессор

Способы и средства защиты речевой (акустической) информации от утечки по техническим каналам

Классификация способов и средств защиты речевой (акустической) информации от утечки по тех-ническим каналам
К защищаемой речевой (акустической) информации относится информация, являющаяся предметом соб-ственности и подлежащая защите в соответствии с требо-ваниями правовых документов или требованиями, уста-навливаемыми собственником информации. Это, как пра-вило, информация ограниченного доступа , содержа-щая сведения, отнесенные к государственной тайне, а также сведения конфиденциального характера.
Для обсуждения информации ограниченного доступа (со-вещаний, обсуждений, конференций, переговоров и т.п.) используются специальные помещения (служебные каби-неты, актовые залы, конференц-залы и т.д.), которые на-зываются выделенными помещениями (ВП) . Для предотвращения перехвата информации из данных помеще-ний, как правило, используются специальные средства защиты, поэтому выделенные помещения в ряде случаев называют защищаемыми помещениями (ЗП) .
В выделенных помещениях, как правило, устанавливают-ся вспомогательные технические средства и системы (ВТСС) :
городской автоматической телефонной связи;
передачи данных в системе радиосвязи;
охранной и пожарной сигнализации;
оповещения и сигнализации;
кондиционирования;
проводной радиотрансляционной сети и приема про-грамм радиовещания и телевидения (абонентские громкоговорители, средства радиовещания, телевизо-ры и радиоприемники и т.д.);
средства электронной оргтехники;
средства электрочасофикации;
контрольно-измерительная аппаратура и др.
Выделенные помещения располагаются в пределах контролируемой зоны (КЗ) , под которой понимается пространство (территория, здание, часть здания), в кото-ром исключено неконтроли-
руемое пребывание посторон-них лиц (в т.ч. посетителей организации), а также транс-портных средств. Границей контролируемой зоны могут являться периметр охраняемой территории организации, ограждающие конструкции охраняемого здания или ох-раняемой части здания, если оно размещено на неохра-няемой территории. В некоторых случаях границей конт-ролируемой зоны могут быть ограждающие конструкции (стены, пол, потолок) выделенного помещения.
Защита речевой (акустической) информации от утечки по техническим каналам достигается проведением органи-зационных и технических мероприятий , а также выяв-лением портативных электронных устройств перехвата информации (закладных устройств ), внедренных в вы-деленные помещения.
Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных технических средств защиты.
К основным организационным мероприятиям по защите речевой информации от утечки по техническим каналам относятся:
выбор помещений для ведения конфиденциальных пе-реговоров (выделенных помещений);
категорирование ВП;
использование в ВП сертифицированных вспомога-тельных технических средств и систем (ВТСС);
установление контролируемой зоны вокруг ВП;
демонтаж в ВП незадействованных ВТСС, их соедини-тельных линий и посторонних проводников;
организация режима и контроля доступа в ВП;
отключение при ведении конфиденциальных перегово-ров незащищенных ВТСС.
Помещения, в которых предполагается ведение конфи-денциальных переговоров, должны выбираться с учетом их звукоизоляции, а также возможностей противника по перехвату речевой информации по акустовибрационному и акустооптическому каналам.
В качестве выделенных целесообразно выбирать поме-щения, которые не имеют общих ограждающих конструк-ций с помещениями, принадлежащими другим организа-циям, или с помещениями, в которые имеется неконтро-лируемый доступ посторонних лиц. По возможности окна выделенных помещений не должны выходить на места стоянки автомашин, а также близлежащие здания, из ко-торых возможно ведение разведки с использованием ла-зерных акустических систем.
Не рекомендуется распола-гать выделенные помещения на первом и последнем эта-жах здания.
В случае если границей контролируемой зоны являются ограждающие конструкции (стены, пол, потолок) выде-ленного помещения, на период проведения конфиденци-альных мероприятий может устанавливаться временная контролируемая зона, исключающая или существенно затрудняющая возможность перехвата речевой информа-ции.
В выделенных помещениях должны использоваться толь-ко сертифицированные технические средства и системы, т.е. прошедшие специальные технические проверки на возможное наличие внедренных закладных устройств, специальные исследования на наличие акустоэлектрических каналов утечки информации и имеющие сертифи-каты соответствия требованиям по безопасности инфор-мации в соответствии с нормативными документами ФСТЭК России.
Все незадействованные для обеспечения конфиденциаль-ных переговоров вспомогательные технические средства, а также посторонние кабели и провода, проходящие через выделенное помещение, должны быть демонтированы.
Несертифицированные технические средства, установ-ленные в выделенных помещениях, при ведении конфи-денциальных переговоров должны отключаться от соеди-нительных линий и источников электропитания.
Выделенные помещения во внеслужебное время должны закрываться, опечатываться и сдаваться под охрану. В служебное время доступ сотрудников в эти помещения должен быть ограничен (по спискам) и контролироваться (учет посещения). При необходимости данные помещения могут быть оборудованы системами контроля и управле-ния доступом.
Все работы по защите ВП (на этапах проектирования, строительства или реконструкции, монтажу оборудования и аппаратуры защиты информации, аттестации ВП) осу-ществляют организации, имеющие лицензию на деятель-ность в области защиты информации.
При вводе ВП в эксплуатацию, а затем периодически должна проводиться его аттестация по требованиям безо-пасности информации в соответствии с нормативными документами ФСТЭК России. Периодически также долж-но проводиться его специальное обследование.
В большинстве случаев только организационными меро-приятиями не удается обеспечить требуемую эффектив-ность защиты информации и необходимо проведение тех-нических мероприятий по защите информации. Техни-ческое мероприятие - это мероприятие по защите ин-формации, предусматривающее применение специаль-ных технических средств, а также реализацию техничес-ких решений. Технические мероприятия направлены на закрытие каналов утечки информации путем уменьшения отношения сигнал/шум в местах возможного размещения портативных средств акустической разведки или их дат-чиков до величин, обеспечивающих невозможность выде-ления информационного сигнала средством разведки. В зависимости от используемых средств технические спо-собы защиты информации подразделяются на пассив-ные и активные . Пассивные способы защиты информа-ции направлены на:
ослабление акустических и вибрационных сигналов до величин, обеспечивающих невозможность их выделе-ния средством акустической разведки на фоне естест-венных шумов в местах их возможной установки;
ослабление информационных электрических сигналов в соединительных линиях вспомогательных техничес-ких средств и систем, возникших вследствие акусто-электрических преобразований акустических сигналов, до величин, обеспечивающих невозможность их выде-ления средством разведки на фоне естественных шу-мов;
исключение (ослабление) прохождения сигналов «вы-сокочастотного навязывания» в ВТСС, имеющих в сво-ем составе электроакустические преобразователи (об-ладающие микрофонным эффектом);
ослабление радиосигналов, передаваемых закладны-ми устройствами, до величин, обеспечивающих невоз-можность их приема в местах возможной установки приемных устройств;
ослабление сигналов, передаваемых закладными уст-ройствами по электросети 220 В, до величин, обеспе-чивающих невозможность их приема в местах возмож-ной установки приемных устройств.
Классификация пассивных способов защиты речевой ин-формации представлена на рис. 1.

Рис. 1. Классификация пассивных способов защиты
речевой информации в выделенных помещениях

Ослабление речевых (акустических) сигналов осущес-твляется путем звукоизоляции помещений, которая направлена на локализацию источников акустических сиг-налов внутри них.
Специальные вставки и прокладки используются для виб-рационной развязки труб тепло-, газо-, водоснабжения и канализации, выходящих за пределы контролируемой зо-ны (рис. 2).


Рис. 2. Установка специальных резиновых вставок в трубы тепло-, газо-,
водоснабжения и канализации, выходящие за пределы контролируемой зоны

В целях закрытия акустоэлектромагнитных каналов утеч-ки речевой информации, а также каналов утечки инфор-мации, создаваемых путем скрытой установки в помеще-ниях закладных устройств с передачей информации по радиоканалу, используются различные способы экрани-рования выделенных помещений, которые подробно рас-смотрены в .
Установка специальных фильтров низкой частоты и огра-ничителей в соединительные линии ВТСС, выходящие за пределы контролируемой зоны, используется для исклю-чения возможности перехвата речевой информации из выделенных помещений по пассивному и активному акустоэлектрическим каналам утечки информации (рис. 3).


Рис. 3. Установка специальных фильтров низкой частоты типа «Гранит-8»
в телефонные линии, имеющие выход за пределы контролируемой зоны

Специальные фильтры низкой частоты типа ФП устанав-ливаются в линии электропитания (розеточной и освети-тельной сети) выделенного помещения в целях исключе-ния возможной передачи по ним информации, перехваченной сетевыми закладками (рис. 4). Для этих целей исполь-зуются фильтры с граничной частотой f гp ≤ 20...40 кГц и ослаблением не менее 60 - 80 дБ. Фильтры необходимо устанавливать в пределах контролируемой зоны.


Рис. 4. Установка специальных фильтров низкой частоты типа ФП в линии

В случае технической невозможности использования пас-сивных средств защиты помещений или если они не обес-печивают требуемых норм по звукоизоляции, используют-ся активные способы защиты речевой информации, ко-торые направлены на:
создание маскирующих акустических и вибрационных шумов в целях уменьшения отношения сигнал/шум до величин, обеспечивающих невозможность выделения средством акустической разведки речевой информа-ции в местах их возможной установки;
создание маскирующих электромагнитных помех в со-единительных линиях ВТСС в целях уменьшения отно-шения сигнал/шум до величин, обеспечивающих невоз-можность выделения информационного сигнала сред-ством разведки в возможных местах их подключения;
подавление устройств звукозаписи (диктофонов) в ре-жиме записи;
подавление приемных устройств, осуществляющих при-ем информации с закладных устройств по радиоканалу;
подавление приемных устройств, осуществляющих прием информации с закладных устройств по электро-сети 220 В.
Классификация активных способов защиты речевой ин-формации представлена на рис. 5.


Рис. 5. Классификация активных способов защиты речевой информации

Акустическая маскировка эффективно используется для защиты речевой информации от утечки по прямому акус-тическому каналу путем подавления акустическими поме-хами (шумами) микрофонов средств разведки, установ-ленных в таких элементах конструкций защищаемых по-мещений, как дверной тамбур, вентиляционный канал, пространство за подвесным потолком и т.п.
Виброакустическая маскировка используется для защиты речевой информации от утечки по акустовибрационному (рис. 6) и акустооптическому (оптико-электронному) кана-лам (рис. 7) и заключается в создании вибрационных шу-мов в элементах строительных конструкций, оконных стеклах, инженерных коммуникациях и т.п. Виброакусти-ческая маскировка эффективно используется для подав-ления электронных и радиостетоскопов, а также лазер-ных акустических систем разведки.

Рис. 6. Создание вибрационных помех системой виброакустической
маскировки в инженерных коммуникациях


Рис. 7. Создание вибрационных помех системой виброакустической
маскировки в оконных стеклах

Создание маскирующих электромагнитных низкочастот-ных помех (метод низкочастотной маскирующей поме-хи ) используется для исключения возможности перехвата речевой информации из выделенных помещений по пас-сивному и активному акустоэлектрическим каналам утеч-ки информации, подавления проводных микрофонных систем, использующих соединительные линии ВТСС для передачи информации на низкой частоте, и подавления акустических закладок типа «телефонного уха».
Наиболее часто данный метод используется для защиты телефонных аппаратов, имеющих в своем составе элемен-ты, обладающие «микрофонным эффектом», и заключается в подаче в линию при положенной телефонной трубке маскирующего сигнала (наиболее часто - типа «белого шу-ма») речевого диапазона частот (как правило, основная мощность помехи сосредоточена в диапазоне частот стан-дартного телефонного канала: 300 - 3400 Гц) (рис. 8).


Рис. 8. Создание маскирующих электромагнитных
низкочастотных помех в телефонной линии связи

Создание маскирующих высокочастотных (диапазон час-тот от 20 - 40 кГц до 10 - 30 МГц) электромагнитных по-мех в линиях электропитания (розеточной и осветитель-ной сети) выделенного помещения используется для по-давления устройств приема информации от сетевых за-кладок (рис. 9).


Рис. 9. Создание маскирующих высокочастотных электромагнитных помех в линиях
электропитания (розеточной и осветительной сети) выделенного помещения

Создание пространственных маскирующих высокочастот-ных (диапазон частот от 20 - 50 кГц до 1,5 - 2,5 МГц)* электромагнитных помех в основном используется для подавления устройств приема информации от радиоза-кладок (рис. 10).


Рис. 10. Создание пространственных маскирующих
высокочастотных электромагнитных помех

Литература
1. Хорев А.А. Способы и средства защиты информации, обрабатываемой ТСПИ, от утечки
по техническим каналам / Специальная техника, 2005, № 2, с. 46-51.

Глава 1.

1. КЛАССИФИКАЦИЯ И КРАТКАЯ ХАРАКТЕРИСТИКА
ТЕХНИЧЕСКИХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ

1.1. ОБЩАЯ ХАРАКТЕРИСТИКА ТЕХНИЧЕСКОГО КАНАЛА УТЕЧКИ ИНФОРМАЦИИ

Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта разведки, технического средства разведки (ТСР), с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимают способ получения с помощью ТСР разведывательной информации об объекте. Причем под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки независимо от формы их представления.
Сигналы являются материальными носителями информации. По своей физической природе сигналы могут быть электрическими, электромагнитными, акустическими, и т.д. То есть сигналами, как правило, являются электромагнитные, механические и другие виды колебаний (волн), причем информация содержится в их изменяющихся параметрах.
В зависимости от природы сигналы распространяются в определенных физических средах. В общем случае средой распространения могут быть газовые (воздушные), жидкостные (водные) и твердые среды. Например воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт (земля) и т.п.
Технические средства разведки служат для приема и измерения параметров сигналов.
В данном пособии рассматриваются портативные средства разведки, используемые для перехвата информации, обрабатываемой в технических средствах, акустической (речевой) информации, а также средства скрытого виденаблюдения и съемки.

1.2. КЛАССИФИКАЦИЯ И ХАРАКТЕРИСТИКА ТЕХНИЧЕСКИХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ,
ОБРАБАТЫВАЕМОЙ ТСПИ

Под техническими средствами приема, обработки, хранения и передачи информации (ТСПИ) понимают технические средства, непосредственно обрабатывающие конфиденциальную информацию. К таким средствам относятся: электронновычислительная техника, режимные АТС, системы оперативно-командной и громко-говорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи и т.д. .
При выявлении технических каналов утечки информации ТСПИ необходимо рассматривать как систему, включающую основное (стационарное) оборудование, оконечные устройства, соединительные линии (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами), распределительные и коммутационные устройства, системы электропитания, системы заземления.
Отдельные технические средства или группа технических средств, предназначенных для обработки конфиденциальной информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ . Под объектами ТСПИ понимают также выделенные помещения, предназначенные для проведения закрытых мероприятий.
Наряду с ТСПИ в помещениях устанавливаются технические средства и системы, непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС) . К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, элетрофикации, радиофикации, часофикации, электробытовые приборы и т.д. .
В качестве канала утечки информации наибольший интерес представляют ВТСС, имеющие выход за пределы контролируемой зоны (КЗ), т.е. зоны, в которой исключено появление лиц и транспортных средств, не имеющих постоянных или временных пропусков .
Кроме соединительных линий ТСПИ и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками .
В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации можно разделить на электромагнитные, электрические и параметрический (рис.1.1).

1.2.1. Электромагнитные каналы утечки информации

К электромагнитным относятся каналы утечки информации, возникающие за счет различного вида побочных электромагнитных излучений (ЭМИ) ТСПИ :
· излучений элементов ТСПИ;
· излучений на частотах работы высокочастотных (ВЧ) генераторов ТСПИ;
· излучений на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ.

1.2.2. Электрические каналы утечки информации

Причинами возникновения электрических каналов утечки информации могут быть :
· наводки электромагнитных излучений ТСПИ на соединительные линии ВТСС и посторонние проводники, выходящие за пределы контролируемой зоны;
· просачивание информационных сигналов в цепи электропитания ТСПИ;
· просачивание информационных сигналов в цепи заземления ТСПИ.
Наводки электромагнитных излучений ТСПИ возникают при излучении элементами ТСПИ (в том числе и их соединительными линиями) информационных сигналов, а также при наличии гальванической связи соединительных линий ТСПИ и посторонних проводников или линий ВТСС. Уровень наводимых сигналов в значительной степени зависит от мощности излучаемых сигналов, расстояния до проводников, а также длины совместного пробега соединительных линий ТСПИ и посторонних проводников.
Пространство вокруг ТСПИ, в пределах которого на случайных антеннах наводится информационный сигнал выше допустимого (нормированного) уровня, называется (опасной) зоной 1 .
Случайной антенной является цепь ВТСС или посторонние проводники, способные принимать побочные электромагнитные излучения.
Случайные антенны могут быть сосредоточенными и распределенными. Сосредоточенная случайная антенна представляет собой компактное техническое средство, например телефонный аппарат, громкоговоритель радиотрансляционной сети и т.д. К распределенным случайным антеннам относятся случайные антенны с распределенными параметрами: кабели, провода, металлические трубы и другие токопроводящие коммуникации .
Просачивание информационных сигналов в цепи электропитания возможно при наличии магнитной связи между выходным трансформатором усилителя (например, УНЧ) и трансформатором выпрямительного устройства. Кроме того, токи усиливаемых информационных сигналов замыкаются через источник электропитания, создавая на его внутреннем сопротивлении падение напряжения, которое при недостаточном затухании в фильтре выпрямительного устройства может быть обнаружено в линии электропитания. Информационный сигнал может проникнуть в цепи электропитания также в результате того, что среднее значение потребляемого тока в оконечных каскадах усилителей в большей или меньшей степени зависит от амплитуды информационного сигнала, что создает неравномерную нагрузку на выпрямитель и приводит к изменению потребляемого тока по закону изменения информационного сигнала.
Просачивание информационных сигналов в цепи заземления . Кроме заземляющих проводников, служащих для непосредственного соединения ТСПИ с контуром заземления, гальваническую связь с землей могут иметь различные проводники, выходящие за пределы контролируемой зоны. К ним относятся нулевой провод сети электропитания, экраны (металлические оболочки) соединительных кабелей, металлические трубы систем отопления и водоснабжения, металлическая арматура железобетонных конструкций и т.д. Все эти проводники совместно с заземляющим устройством образуют разветвленную систему заземления, на которую могут наводиться информационные сигналы. Кроме того, в грунте вокруг заземляющего устройства возникает электромагнитное поле, которое также является источником информации.
Перехват информационных сигналов по электрическим каналам утечки возможен путем непосредственного подключения к соединительным линиям ВТСС и посторонним проводникам, проходящим через помещения, где установлены ТСПИ, а также к их системам электропитания и заземления. Для этих целей используются специальные средства радио- и радиотехнической разведки, а также специальная измерительная аппаратура.
Схемы электрических каналов утечки информации представлена на рис. 1.3 и 1.4.


Съем информации с использованием аппаратных закладок . В последние годы участились случаи съема информации, обрабатываемой в ТСПИ, путем установки в них электронных устройств перехвата информации - закладных устройств .
Электронные устройства перехвата информации, устанавливаемые в ТСПИ, иногда называют аппаратными закладками . Они представляют собой мини-передатчики, излучение которых модулируется информационным сигналом. Наиболее часто закладки устанавливаются в ТСПИ иностранного производства, однако возможна их установка и в отечественных средствах.
Перехваченная с помощью закладных устройств информация или непосредственно передается по радиоканалу, или сначала записывается на специальное запоминающее устройство, а уже затем по команде передается на запросивший ее объект. Схема канала утечки информации с использованием закладных устройств представлена на рис. 1.5.


1.2.3. Параметрический канал утечки информации

Перехват обрабатываемой в технических средствах информации возможен также путем их “высокочастотного облучения ”. При взаимодействии облучающего электромагнитного поля с элементами ТСПИ происходит переизлучение электромагнитного поля. В ряде случаев это вторичное излучение модулируется информационным сигналом. При съеме информации для исключения взаимного влияния облучающего и переизлученного сигналов может использоваться их временная или частотная развязка. Например, для облучения ТСПИ могут использовать импульсные сигналы.
При переизлучении параметры сигналов изменяются. Поэтому данный канал утечки информации часто называют параметрическим .
Для перехвата информации по данному каналу необходимы специальные высокочастотные генераторы с антеннами, имеющими узкие диаграммы направленности и специальные радиоприемные устройства. Схема параметрического канала утечки информации представлена на рис. 1.6.

Одним из возможных каналов утечки информации является излучение элементов компьютера. Принимая и декодируя эти излучения, можно получить сведения обо всей информации, обрабатываемой в компьютере. Этот канал утечки информации называется ПЭМИН (Побочные Электромагнитные Излучения и Наводки). В Европе и Канаде применяется термин «compromising emanation» – компрометирующее излучение. В Америке применяется термин «TEMPEST».

Вопрос 1. Получение информации с использованием ПЭМИН.

Термин ПЭМИН появился в конце 60-х – начале 70-х годов при разработке методов предотвращения утечки информации через различного рода демаскирующие и побочные излучения электронного оборудования.

История возникновения ПЭМИН своими корнями уходит в далекий 1918 год, когда Герберт Ярдли (Herbert Yardley) со своей командой был привлечен Вооруженными Силами США для исследования методов обнаружения, перехвата и анализа сигналов военных телефонов и радиостанций. Исследования показали, что оборудование имеет различные демаскирующие излучения, которые могут быть использованы для перехвата секретной информации. С этого времени средства радио- и радиотехнической разведки стали непременным реквизитом шпионов различного уровня. По мере развития технологии развивались как средства ПЭМИН-нападения (разведки), так и средства ПЭМИН-защиты.

Современные достижения в области технологии производства радиоприемных устройств позволили создавать очень миниатюрные чувствительные приемники. Успешно внедряется многоканальный прием сигналов (как с различных направлений, так и на различных частотах), с последующей их корреляционной обработкой. Это позволило значительно увеличить дальность перехвата информации.

Особенно бурное развитие ПЭМИН-технологии получили в конце 80-х, начале 90-х годов. Это связано как с осознанием широкой общественностью опасности ПЭМИН угроз, так и с широким развитием криптографии. Применение при передаче информации стойких алгоритмов шифрования зачастую не оставляет шансов дешифровать перехваченное сообщение. В этих условиях ПЭМИН-атака может быть единственным способом получения хотя бы части информации до того, как она будет зашифрована.

Долгое время все, что было связано с понятием ПЭМИН, было окутано завесой секретности. Первое сообщение, появившееся в открытой печати, принадлежит голландскому инженеру Вим ван Эку (Wim van Eck), опубликовавшему в 1985 году статью «Электромагнитное излучение видеодисплейных модулей: Риск перехвата?» Статья посвящена потенциальным методам перехвата композитного сигнала видеомониторов. В марте 1985 года на выставке Securecom-85 в Каннах ван Эк продемонстрировал оборудование для перехвата излучений монитора. Эксперимент показал, что перехват возможен с помощью слегка доработанного обычного телевизионного приемника.

При анализе излучений шифровальных машин было замечено, что наряду с основным сигналом присутствует и другой очень слабый сигнал. Шифровальная машина, как и любая другая электрическая машина, имеет побочное электромагнитное излучение, которое модулируется информационным сигналом еще до момента его кодирования. Таким образом, путем перехвата и анализа побочных излучений шифровальной машины, не имея ключа для расшифровки кодированных сообщений, представляется возможным получать необходимую информацию.

Проведенные в 1998 году экспериментальные исследования подтвердили такую возможность добывания конфиденциальной информации.

Так родилась технология скрытой передачи данных по каналу побочных электромагнитных излучений с помощью программных средств. Предложенная учеными Кембриджа подобная технология по своей сути есть разновидность компьютерной стеганографии, т.е. метода скрытной передачи полезного сообщения в безобидных видео, аудио, графических и текстовых файлах.

Методы компьютерной стеганографии в настоящее время хорошо разработаны и широко применяются на практике. По информации спецслужб США, методы компьютерной стеганографии интенсивно используются международным терроризмом для скрытой передачи данных через Интернет, в частности во время подготовки теракта 11 сентября.

Основная опасность технологии передачи конфиденциальной информации с использованием ПЭМИН заключается в скрытности работы программы-вируса. Такая программа в отличие от большинства вирусов не портит данные, не нарушает работу ПК, не производит несанкционированную рассылку по сети, а значит, долгое время не обнаруживается пользователем и администратором сети. Поэтому, если вирусы, использующие Интернет для передачи данных, проявляют себя практически мгновенно, и на них быстро находится противоядие в виде антивирусных программ, то вирусы, использующие ПЭМИН для передачи данных, могут работать годами, не обнаруживая себя, управляя излучением практически любого элемента компьютера.

Вплотную к вопросу скрытой передачи информации путем излучения монитора примыкает вопрос визуального наблюдения за экраном монитора. Если к вопросу сохранности конфиденциальных сведений относятся сколь-нибудь внимательно, то монитор будет установлен таким образом, чтобы его нельзя было рассмотреть через окно. Недоступен монитор будет и для обзора случайными посетителями. Однако световой поток экрана монитора отражается от стен, и этот отраженный световой поток может быть перехвачен. Современная техника позволяет восстановить изображение на мониторе, принятое после многократных отражений его от стен и всех предметов.

Однако извлечь информацию в оптическом диапазоне можно не только из светового излучения монитора. Практически любое электронное устройство имеет светодиодные индикаторы режимов работы. Светодиоды имеют малую инерционность, и позволяют модулировать световой поток сигналами с частотой до сотен мегагерц. Наводки от всех элементов блока, в котором установлен светодиод, приводят к тому, что световой поток постоянно включенного светодиода оказывается промодулирован высокочастотными колебаниями, незаметными для глаза, но которые могут быть обнаружены с помощью специальной аппаратуры.

Излучение монитора – очень опасный канал утечки информации, но далеко не единственный. Излучают большинство элементов компьютера, и в большинстве случаев излучение этих элементов может содержать ценную информацию. Так, в частности, наиболее важной информацией является, как правило, пароль администратора локальной сети. При вводе пароля последний не отображается на экране монитора, поэтому не может быть разведан путем анализа излучений монитора или визуальным наблюдением. Однако сигналы, излучаемые клавиатурой, могут быть непосредственно. При этом доступной становится вся информация, вводимая с клавиатуры, в том числе и пароль администратора сети.

Любое излучение, даже не содержащее информации, обрабатываемой в компьютере, может быть информативным в плане разведки. При недостаточной жесткости корпуса компьютера любое излучение может модулироваться речевой информацией. Получается, что если не предпринять специальных мер, то, устанавливая на рабочем месте компьютер, Вы своими руками устанавливаете подслушивающее устройство.

Даже если излучение каких либо элементов действительно не несет никакой информации, это излучение индивидуально для каждого компьютера. По индивидуальным признакам можно отследить перемещение компьютера, определить временной режим работы данного компьютера.

Работающий компьютер излучает на всех частотах. Однако у многих вызывает сомнение тот факт, что, перехватив излучение, можно получить какую-либо полезную информацию. Содержание документов, с которыми работают ваши сотрудники, становится легко доступным, если заинтересованному лицу доступно изображение экрана монитора. Огромный интерес представляют также документы, которые распечатываются на принтере.

Больше всего информации, естественно, сейчас содержится в базах данных и других файлах, хранящихся на жестких дисках серверов. Для доступа к ним необходим физический доступ к локальной сети. Но этого мало. Самое ценное, о чем мечтает шпион в этом случае, – это знать пароли ваших пользователей и особенно пароль администратора локальной сети.

Путем анализа радиоизлучения доступным становится все перечисленное выше.

Наиболее известен перехват излучения мониторов. Во-первых, для нормальной работы электронно-лучевой трубки необходимы высокие уровни сигналов, вследствие чего монитор является самым «громким» излучающим элементом. Во-вторых, для дешифрования перехваченных сигналов монитора не требуется сложной обработки. Для отображения информации на мониторе перехваченный сигнал пригоден вообще без дополнительной обработки. Кроме того, изображение на экране монитора и, следовательно, излучаемые им сигналы многократно повторяются. В профессиональной аппаратуре это используется для накопления сигналов и соответствующего увеличения дальности разведки.

Профессиональная аппаратура для перехвата излучения монитора и отображения информации стоит десятки тысяч долларов. Однако если
разведывательная аппаратура может быть установлена на небольшом расстоянии (в соседней квартире), то для перехвата может использоваться самодельная аппаратура, самым дорогим элементом которой является монитор компьютера или даже несколько доработанный бытовой телевизор.

Что же касается перехвата информации за счет излучения принтеров, клавиатуры, то такой перехват возможен в ряде случаев даже с меньшими затратами. Информация в этих устройствах передается последовательным кодом, все параметры этого кода стандартизированы и хорошо известны.

Компьютер может излучать в эфир и не только ту информацию, которую он обрабатывает. Если при сборке компьютера не принято специальных мер, то он может служить также и источником утечки речевой информации. Это так называемый «микрофонный эффект». Им может обладать даже корпус компьютера. Под воздействием акустических колебаний корпус несколько изменяет свой объем, меняются размеры щелей и других элементов, через которые осуществляется излучение. Соответственно излучение получается модулированным и все, что вы говорите возле компьютера, может быть прослушано с помощью приемника. Если же к компьютеру подключены колонки, то шпион вообще может хорошо сэкономить на установке в ваших помещениях «жучков».

Таким образом, как бы нам этого ни хотелось избежать, а защищаться надо.

Вопрос 2. Методы защиты

Известно два основных метода защиты: активный и пассивный.

Активный метод предполагает применение специальных широкополосных передатчиков помех. Метод хорош тем, что устраняется не только угроза утечки информации по каналам побочного излучения компьютера, но и многие другие угрозы. Как правило, становится невозможным также и применение закладных подслушивающих устройств. Становится невозможной разведка с использованием излучения всех других устройств, расположенных в защищаемом помещении. Но этот метод имеет и недостатки. Во-первых, достаточно мощный источник излучения никогда не считался полезным для здоровья. Во-вторых, наличие маскирующего излучения свидетельствует, что в данном помещении есть серьезные секреты. Это само по себе будет привлекать к этому помещению повышенный интерес ваших недоброжелателей. В-третьих, при определенных условиях метод не обеспечивает гарантированную защиту компьютерной информации.

Обоих этих недостатков лишен пассивный метод. Заключается он в экранировании источника излучения (доработка компьютера), размещении источника излучения (компьютера) в экранированном шкафу или в экранировании помещения целиком. В целом, конечно, для защиты информации пригодны оба метода. Но при одном условии: если у вас есть подтверждение того, что принятые меры действительно обеспечивают требуемую эффективность защиты.

Применяя активный метод, то имейте в виду, что уровень создаваемого источником шума излучения никак не может быть рассчитан. В одной точке пространства уровень излучения источника помех превышает уровень излучения компьютера, а в другой точке пространства или на другой частоте это может и не обеспечиваться. Поэтому после установки источников шума необходимо проведение сложных измерений по всему периметру охраняемой зоны и для всех частот. Процедуру проверки необходимо повторять всякий раз, когда вы просто изменили расположение компьютеров, не говоря уж об установке новых. Это может быть настолько дорого, что, наверное, стоит подумать и о других способах.

Если такие измерения не проводились, то это называется применить меры защиты «на всякий случай». Как правило, такое решение даже хуже, чем решение не предпринимать никаких мер. Ведь будут затрачены средства, все будут считать, что информация защищена, а реальная защита может вовсе и не обеспечиваться.

Каким бы путем вы ни шли, обязательным условием защиты является получение документального подтверждения эффективности принятых мер.

Если это специальное оборудование помещения (экранирование, установка генераторов шума), то детальному обследованию подлежит очень большая территория, что, конечно, недешево. В настоящее время на рынке средств защиты предлагают законченные изделия – экранированные комнаты и боксы. Они, безусловно, очень хорошо выполняют свои функции, но и стоят тоже очень хорошо.

Поэтому в наших условиях реальным остается только экранирование самого источника излучения – компьютера. Причем экранировать необходимо все. У некоторых сначала даже вызывает улыбку то, что мы экранируем, например, мышь вместе с ее хвостиком. Никто не верит, что из движения мыши можно выудить полезную информацию. А я тоже в это не верю. Мышь экранируется по той причине, что хотя она сама, может, и не является источником информации, но она своим хвостиком подключена к системному блоку. Этот хвостик является великолепной антенной, которая излучает все, что генерируется в системном блоке. Если хорошо заэкранировать монитор, то гармоники видеосигнала монитора будут излучаться системным блоком, в том числе и через хвостик мыши, поскольку видеосигналы вырабатываются видеокартой в системном блоке.

Десять лет назад экранированный компьютер выглядел настолько уродливо, что ни один современный руководитель не стал бы его покупать, даже если этот компьютер вообще ничего не излучает.

Современные же технологии основаны на нанесении (например, напылении) различных специальных материалов на внутреннюю поверхность существующего корпуса, поэтому внешний вид компьютера практически не изменяется.

Экранирование компьютера даже с применением современных технологий – сложный процесс. В излучении одного элемента преобладает электрическая составляющая, а в излучении другого - магнитная, следовательно необходимо применять разные материалы. У одного монитора экран плоский, у другого – цилиндрический, а у третьего с двумя радиусами кривизны. Поэтому реально доработка компьютера осуществляется в несколько этапов. Вначале осуществляется специсследование собранного компьютера. Определяются частоты и уровни излучения. После этого идут этапы анализа конструктивного исполнения компьютера, разработки технических требований, выбора методов защиты, разработки технологических решений и разработки конструкторской документации для данного конкретного изделия (или партии однотипных изделий). После этого изделие поступает собственно в производство, где и выполняются работы по защите всех элементов компьютера. После этого в обязательном порядке проводятся специспытания, позволяющие подтвердить эффективность принятых решений. Если специспытания прошли успешно, заказчику выдается документ, дающий уверенность, что компьютер защищен от утечки информации по каналам побочного радиоизлучения.

Комплектующие для сборки ПК поставляются из-за рубежа. С периодичностью 3-6 месяцев происходит изменение их конструкторских решений, технических характеристик, форм, габаритов и конфигураций. Следовательно, технология, ориентированная на защиту каждой новой модели ПК, требует высочайшей маневренности производства. При этом возможен вариант изготовления из металла набора универсальных корпусных изделий и размещения в них комплектующих ПК, а также периферийных устройств зарубежного производства. Недостатком этого подхода является то, что он приемлем только для полигонного или катастрофоустойчивого исполнения. Другой вариант – это выбор комплектующих для ПК из большого количества однотипных изделий по признаку минимальной излучательной способности. Этот вариант необходимо рассматривать как непрофессиональный подход к проблеме, так как он противоречит нормативной документации.

Вопрос 3. Активный метод защиты компьютерной информации от утечки по ПЭМИН.

Вариант защиты компьютерной информации методом зашумления (радиомаскировки) предполагает использование генераторов шума в помещении, где установлены средства обработки конфиденциальной информации.

Обеспечивается зашумление следующими типами генераторов.

Генератор шума SEL SP-21 "Баррикада"

Система пространственного электромагнитного зашумления (система активной защиты) SEL SP-21B1 ‘Баррикада’ предназначена для предупреждения перехвата информативных побочных электромагнитных излучений и наводок при обработке информации ограниченного распространения в средствах вычислительной техники. Устройство генерирует широкополосный шумовой электромагнитный сигнал и обеспечивает маскировку побочных электромагнитных излучений средств офисной техники, защиту от подслушивающих устройств, передающих информацию по радиоканалу (некварцованных, мощностью до 5 мВт).

Отличительные особенности: малогабаритность и наличие двух телескопических антенн позволяют оперативно устанавливать систему и обойтись без прокладки рамочных антенн по периметру помещений; возможность питания от аккумуляторов позволяет использовать систему вне помещений (например, в автомобиле).

Генератор шума SEL SP-21B2 "Спектр"

Обеспечивает защиту от утечки информации за счет побочных излучений и наводок средств офисной техники и при использовании миниатюрных радиопередающих устройств мощностью до 20 мВт.

Отличительные особенности: использование двух телескопических антенн для формирования равномерного шумового спектра; возможность питания от аккумулятора автомобиля.

Генератор шума "Равнина-5И"

Широкополосный искровой генератор "Равнина-5И" предназначен для маскировки побочных электромагнитных излучений персональных компьютеров, рабочих станций компьютерных сетей и комплексов на объектах вычислительной техники путем формирования и излучения в пространство электромагнитного поля шума.
Отличительные особенности: искровой принцип формирования шумового сигнала; наличие 2-х телескопических антенн, позволяющих корректировать равномерность спектра; наличие шумового и модуляционного (с глубиной модуляции 100%) режимов работы.

Генератор шума "Гном-3"

Предназначен для защиты от утечки информации за счет побочных электромагнитных излучений и наводок средств офисной техники.

Отличительные особенности: использование рамочных антенн, располагаемых в 3-х взаимно перпендикулярных плоскостях для создания пространственного распределения шумового сигнала; возможность использования для защиты как персональных ЭВМ, так больших ЭВМ.

Генератор шума ГШ-1000М

Отличительная особенность: использование рамочной антенны для создания пространственного зашумления.

Генератор шума ГШ-К-1000М

Предназначен для защиты от утечки информации за счет побочных электромагнитных излучений и наводок средств офисной техники на объектах 2 и 3 категорий.

Отличительные особенности: использование рамочной антенны для создания пространственного зашумления; установка в свободный слот персонального компьютера; выпускаются для слотов PCI и ISA.

Комбинированный генератор шума "Заслон"

Предназначен для использования в качестве системы активной защиты информации от утечки за счет побочных излучений и наводок средств офисной техники.

Отличительные особенности: использование 6-и независимых источников для формирования сигналов зашумления: в сети электропитания, шине заземления, 4-х проводной телефонной линии и в пространстве.

Вопрос 4. Пассивный метод защиты компьютерной информайии от утечки по ПЭМИН.

Новый подход к решению задач защиты информации базируется на пассивном методе (экранирование и фильтрация), но в отличие от прежних универсальных вариантов его применения, мы предлагаем индивидуальный подход к закрытию каналов утечки информации. В основу индивидуального подхода положен анализ устройств и комплектующих ПК с целью определения общих конструкторских и схемотехнических решений исполнения, определения параметров побочных излучений и на основании анализа этих данных осуществляются мероприятия по защите. В общем случае ПК состоит из:

  • системного блока;
  • монитора;
  • клавиатуры;
  • манипулятора (мышь);
  • принтера;
  • акустической системы.

Анализ конструктивного исполнения устройств ПК позволил определить у них обобщенные признаки подобия (ОПП) и различия в зависимости от функционального назначения.

1. Системный блок. Большое многообразие корпусов вертикального и горизонтального исполнения.

ОПП: каркас, кожух, передняя панель, органы управления и индикации, блок питания и ввод-вывод коммуникаций.

2. Монитор. Различные геометрические формы корпусов из пластмассы, три типа экранов (ЭЛТ): плоский, цилиндрический и с двумя радиусами кривизны в различных плоскостях.

3. Клавиатура. Незначительные различия в геометрии корпусов из пластмассы (у некоторых типов поддон из метала).

ОПП: пластмассовые корпусные детали, ввод коммуникаций и органы сигнализации.

4. Манипулятор (мышь). Незначительные различия в геометрии корпусных деталей из пластмассы.

ОПП: пластмассовые корпусные детали, ввод коммуникаций.

5. Принтер (лазерный, струйный). Корпуса различной геометрии из пластмассы, органы управления и различные разъемные соединения.

ОПП: пластмассовые корпусные детали, ввод коммуникаций, органы управления и сигнализации.

6. Акустические системы. Большое многообразие геометрических форм корпусов из пластмассы и дерева.

ОПП: ввод-вывод коммуникаций, органы управления и сигнализации, а для отдельных групп – пластмассовые корпусные детали.

Таким образом, обобщенные признаки подобия образуют три основные группы, присущие базовому составу ПК, с которым приходится работать при решении задач защиты информации, такие как:

  • корпусные детали из пластмассы;
  • ввод-вывод коммуникаций;
  • органы управления и сигнализации.

При этом учитываются и общесистемные проблемные вопросы, как-то:

  • разводка и организация электропитания и шин заземления;
  • согласование сопротивлений источников и нагрузок;
  • блокирование взаимного ЭМИ устройств ПК;
  • исключение влияния электростатического поля;
  • эргономика рабочего места и т.д.

Следующий этап – это разработка типовых конструкторско-технологических решений, реализация которых направлена на предотвращение утечки информации за счет расширения функций конструктивов устройств ПК. Набор типовых конструкторско-технологических решений варьируется в зависимости от состава устройств ПК, но для базовой модели ПК с учетом обобщенных признаков подобия он содержит решения по:

  • металлизации внутренних поверхностей деталей из пластмассы;
  • экранированию проводных коммуникаций;
  • согласованию сопротивлений источников и нагрузок;
  • экранированию стекол для монитора и изготовлению заготовок различных форм из стекла;
  • фильтрации сетевого электропитания и его защите от перенапряжений;
  • нейтрализации влияния электростатического поля;
  • расположению общесистемных проводных связей;
  • точечной локализации ЭМИ;
  • исключению ЭМИ органами управления и сигнализации;
  • радиогерметизирующим уплотнителям из различных материалов;
  • исключению взаимного влияния ЭМИ устройств ПК.

На основании вышеизложенного разрабатываются технические требования по защите информации в конкретном составе ПК. Практика выполненных опытно-конструкторских работ по изготовлению ПК защиты информации показала, что реализация таких конструкторско-технологических решений удовлетворяет техническим требованиям и нормативной документации по предотвращению утечки информации.

Вопросы:

1. Методы и средства защиты от утечки конфиденциальной информации по техническим каналам.

2. Особенности программно-математического воздействия в сетях общего пользования.

3. Защита информации в локальных вычислительных сетях.

Литература:

1. Будников С.А., Паршин Н.В. Информационная безопасность автоматизированных систем: Учебн. пособие – Воронеж, ЦПКС ТЗИ, 2009.

2. Белов Е.Б. и др. Основы информационной безопасности: Учебное пособие. – М.: Горячая линия – Телеком, 2005.

3. Запечников С.В. и др. Информационная безопасность открытых систем. Часть 1: Учебник для вузов. – М.: Горячая линия – Телеком, 2006.

4. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие для ВУЗов. – М.: Горячая линия – Телеком, 2004.

5. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для ВУЗов. – М.: Горячая линия – Телеком, 2004.

6. Хорев А.А. Защита информации от утечки по техническим каналам. – Учебн. пособие. – М.: МО РФ, 2006.

7. Закон Российской Федерации от 28.12.2010 № 390 «О безопасности».

8. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

9. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».

Интернет-ресурсы:

1. http://ict.edu.ru

1. Методы и средства защиты от утечки конфиденциальной информации по техническим каналам

Защита информации от утечки по техническим каналам – это комплекс организационных, организационно-технических и технических мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны.

1.1. Защита информации от утечки по визуально-оптическим каналам

С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:

· располагать объекты защиты так, чтобы исключить отражение света в сторону возможного расположения злоумышленника (пространственные отражения);

· уменьшить отражающие свойства объекта защиты;

· уменьшить освещенность объекта защиты (энергетические ограничения);

· использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды;

· применять средства маскирования, имитации и другие с целью защиты и введения в заблуждение злоумышленника;

· использовать средства пассивной и активной защиты источника от неконтролируемого распространения отраженного или излученного света и других излучений;

· осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона;

· применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.

1.2. Защита информации от утечки по акустическим каналам

Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры.

Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий. Архитектурно-планировочные меры предусматривают предъявление определенных требований на этапе проектирования зданий и помещений или их реконструкцию и приспособление с целью исключения или ослабления неконтролируемого распространения звуковых полей непосредственно в воздушном пространстве или в строительных конструкциях в виде 1/10 структурного звука.

Пространственные требования могут предусматривать как выбор расположения помещений в пространственном плане, так и их оборудование необходимыми для для акустической безопасности элементами, исключающими прямое или отраженное в сторону возможного расположения злоумышленника распространение звука. В этих целях двери оборудуются тамбурами, окна ориентируются в сторону охраняемой (контролируемой) от присутствия посторонних лиц территории и пр.

Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей.

Организационно-технические меры предполагают пассивные (звукоизоляция, звукопоглощение) и активные (звукоподавление) мероприятия.

Не исключается применение и технических мер за счет применения специальных защищенных средств ведения конфиденциальных переговоров (защищенные акустические системы).

Для определения эффективности защиты при использовании звукоизоляции применяются шумомеры – измерительные приборы, преобразующие колебания звукового давления в показания, соответствующие уровню звукового давления.

В тех случаях, когда пассивные меры не обеспечивают необходимого уровня безопасности, используются активные средства. К активным средствам относятся генераторы шума – технические устройства, вырабатывающие шумоподобные электронные сигналы. Эти сигналы подаются на соответствующие датчики акустического или вибрационного преобразования. Акустические датчики предназначены для создания акустического шума в помещениях или вне их, а вибрационные – для маскирующего шума в ограждающих конструкциях.

Таким образом, защита от утечки по акустическим каналам реализуется:

· применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов;

· использованием средств акустического зашумления объемов и поверхностей;

· закрытием вентиляционных каналов, систем ввода в помещения отопления, электропитания, телефонных и радиокоммуникаций;

· использованием специальных аттестованных помещений, исключающих появление каналов утечки информации.

1.3. Защита информации от утечки по электромагнитным каналам

Для защиты информации от утечки по электромагнитным каналам применяются как общие методы защиты от утечки, так и специфические, ориентированные на известные электромагнитные каналы утечки информации. Кроме того, защитные действия можно классифицировать на конструкторско-технологические решения, ориентированные на исключение возможности возникновения таких каналов, и эксплуатационные, связанные с обеспечением условий использования тех или иных технических средств в условиях производственной и трудовой деятельности.

Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН) в технических средствах обработки и передачи информации сводятся к рациональным конструкторско-технологическим решениям, к числу которых относятся:

· экранирование элементов и узлов аппаратуры;

· ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами;

· фильтрация сигналов в цепях питания и заземления и др. меры, связанные с использование ограничителей, развязывающих цепей, систем взаимной компенсации, ослабителей по ослаблению или уничтожению ПЭМИН.

Схемно-конструкторские способы защиты информации:

· экранирование;

· заземление;

· фильтрация;

· развязка.

Фильтры различного назначения служат для подавления или ослабления сигналов при их возникновении или распространении, а также для защиты систем питания аппаратуры обработки информации.

Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства с большим уровнем ПЭМИ.

Организационные меры защиты информации от утечки за счет электромагнитного излучения:

1. Воспрещение

1.1. Исключение излучения

1.2. Использование экранированных помещений

2. Уменьшение доступности

2.1. Расширение контролируемой зоны

2.2. Уменьшение дальности распространения:

Уменьшение мощности

Снижение высоты

2.3. Использование пространственной ориентации:

Выбор безопасных районов расположения

Безопасная ориентация основного лепестка ДН

Использование остронаправленных антенн

Подавление боковых и заднего лепестков ДН

2.4. Выбор режимов работы:

Сокращение времени работы

Использование известных режимов работы

Использование расчетных методов.

1.4. Защита информации от утечки по материально-вещественным каналам

Меры защиты этого канала в особых комментариях не нуждаются.

В заключении следует отметить, что при защите информации от утечки по любому из рассмотренных целесообразно придерживаться следующего порядка действий:

1. Выявление возможных каналов утечки.

2. Обнаружение реальных каналов.

3. Оценка опасности реальных каналов.

4. Локализация опасных каналов утечки информации.

5. Систематический контроль за наличием каналов и качеством их защиты.

2. Особенности программно-математического воздействия в сетях общего пользования

Программно-математическое воздействие – это воздействие на защищаемую информацию с помощью вредоносных программ.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы. Иными словами вредоносной программой называют некоторый самостоятельный набор инструкций, который способен выполнять следующее:

· скрывать свое присутствие в компьютере;

· обладать способностью к самоуничтожению, маскировкой под легальные программы и копирования себя в другие области оперативной или внешней памяти;

· модифицировать (разрушать, искажать) код других программ;

· самостоятельно выполнять деструктивные функции – копирование, модификацию, уничтожение, блокирование и т.п.

· искажать, блокировать или подменять выводимую во внешний канал связи или на внешний носитель информацию.

Основными путями проникновения вредоносных программ в ИС, в частности, на компьютер, являются сетевое взаимодействие и съемные носители информации (флешки, диски и т.п.). При этом внедрение в систему может носить случайный характер.

Основными видами вредоносных программ являются:

  • программные закладки;
  • программные вирусы;
  • сетевые черви;
  • другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы и фрагменты программного кода, предназначенные для формирования недекларированных возможностей легального программного обеспечения.

Недекларированные возможности программного обеспечения – функциональные возможности программного обеспечения, не описанные в документации. Программная закладка часто служит проводником для других вирусов и, как правило, не обнаруживаются стандартными средствами антивирусного контроля.

Программные закладки различают в зависимости от метода их внедрения в систему:

  • программно-аппаратные. Это закладки, интегрированные в программно-аппаратные средства ПК (BIOS , прошивки периферийного оборудования);
  • загрузочные. Это закладки, интегрированные в программы начальной загрузки (программы-загрузчики), располагающиеся в загрузочных секторах;
  • драйверные. Это закладки, интегрированные в драйверы (файлы, необходимые операционной системе для управления подключенными к компьютеру периферийными устройствами);
  • прикладные. Это закладки, интегрированные в прикладное программное обеспечение (текстовые редакторы, графические редакторы, различные утилиты и т.п.);
  • исполняемые. Это закладки, интегрированные в исполняемые программные модули. Программные модули чаще всего представляют собой пакетные файлы;
  • закладки-имитаторы. Это закладки, которые с помощью похожего интерфейса имитируют программы, в ходе работы которых требуется вводить конфиденциальную информацию;

Для выявления программных закладок часто используется качественный подход, заключающийся в наблюдении за функционированием системы, а именно:

  • снижение быстродействия;
  • изменение состава и длины файлов;
  • частичное или полное блокирование работы системы и ее компонентов;
  • имитация физических (аппаратных) сбоев работы вычислительных средств и периферийных устройств;
  • переадресация сообщений;
  • обход программно-аппаратных средств криптографического преобразования информации;
  • обеспечение доступа в систему с несанкционированных устройств.

Существуют также диагностические методы обнаружения закладок. Так, например, антивирусы успешно находят загрузочные закладки. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплекс утилит Norton Utilities. К наиболее распространенным программным закладкам относится "троянский конь".

Троянским конем называется:

  • программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
  • программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Основные виды троянских программ и их возможности:

  • Trojan-Notifier – Оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п.
  • Trojan-PSW – Воровство паролей. Они похищают конфиденциальные данные с компьютера и передают их хозяину по электронной почте.
  • Trojan-Clicker - интернет-кликеры – Семейство троянских программ, основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Методы для этого используются разные, например установка злонамеренной страницы в качестве домашней в браузере.
  • Trojan-DDoS Trojan -DDoS превращают зараженный компьютер в так называемый бот, который используется для организации атак отказа в доступе на определенный сайт. Далее от владельца сайта требуют заплатить деньги за прекращение атаки.
  • Trojan-Proxy – Троянские прокси-сервера . Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.
  • Trojan-Spy – Шпионские программы. Они способны отслеживать все ваши действия на зараженном компьютере и передавать данные своему хозяину. В число этих данных могут попасть пароли, аудио и видео файлы с микрофона и видеокамеры, подключенных к компьютеру.
  • Backdoor – Способны выполнять удаленное управление зараженным компьютером. Его возможности безграничны, весь ваш компьютер будет в распоряжении хозяина программы. Он сможет рассылать от вашего имени сообщения, знакомиться со всей информацией на компьютере, или просто разрушить систему и данные без вашего ведома.
  • Trojan-Dropper – Инсталляторы прочих вредоносных программ. Очень похожи на Trojan -Downloader, но они устанавливают злонамеренные программы, которые содержатся в них самих.
  • Rootkit – способны прятаться в системе путем подмены собой различных объектов. Такие трояны весьма неприятны, поскольку способны заменить своим программным кодом исходный код операционной системы, что не дает антивирусу возможности выявить наличие вируса.

Абсолютно все программные закладки, независимо от метода их внедрения в компьютерную систему, срока их пребывания в оперативной памяти и назначения, имеют одну общую черту: обязательное выполнение операции записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Таким образом, обязательным свойством программного вируса является способность создавать свои копии и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Жизненный цикл вируса состоит из следующих этапов:

  • проникновение на компьютер
  • активация вируса
  • поиск объектов для заражения
  • подготовка вирусных копий
  • внедрение вирусных копий

Классификация вирусов и сетевых червей представлена на рисунке 1.

Рис.1. Классификация вирусов и сетевых червей

Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Загрузочные вирусы записывают себя либо в в boot-сектор, либо в сектор, содержащий системный загрузчик винчестера, либо меняют указатель на активный boot-сектор. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А:, С: или CD-ROM, в зависимости от параметров, установленных в BIOS Setup .

В случае дискеты или CD-диска управление получает boot-сектор диска, который анализирует таблицу параметров диска (ВРВ - BIOS Parameter Block ), высчитывает адреса системных файлов ОС, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо другие в зависимости от установленной версии DOS, и/или Windows, или других ОС. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска, выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера. Она анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска С:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Пример: Вредоносная программа Virus.Boot.Snow.a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания. Иногда вирус проявляет себя визуальным эффектом – на экране компьютера начинает падать снег.

Файловые вирусы – вирусы, которые заражают непосредственно файлы. Файловые вирусы можно разделить на три группы в зависимости от среды, в которой распространяется вирус:

1. Файловые вирусы – работают непосредственно с ресурсами операционной системы. Пример: один из самых известных вирусов получил название "Чернобыль". Благодаря своему небольшому размеру (1 Кб) вирус заражал PE-файлы таким образом, что их размер не менялся. Для достижения этого эффекта вирус ищет в файлах "пустые" участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт. После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS) либо потеря данных на всех жестких дисках компьютера.

2. Макровирусы – вирусы, написанные на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.п.). Самыми распространенными являются вирусы для программ Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя (свои копии) из одного документа в другой.

Для существования макровирсуов в конкретном редакторе встроенный в него макроязык должен обладать следующими возможностями:

  • привязка программы на макроязыке к конкретному файлу;
  • копирование макропрограмм из одного файла в другой;
  • получение управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. Современные макроязыки обладают вышеперечисленными особенностями с целью предоставления возможности автоматической обработки данных.

Большинство макровирусов активны не только в момент открытия (закрытия) файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа.

3. Сетевые вирусы – вирусы, которые для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным свойством сетевого вируса является возможность самостоятельно тиражировать себя по сети. При этом существуют сетевые вирусы, способные запустить себя на удаленной станции или сервере.

Основные деструктивные действия, выполняемые вирусами и червями:

  • атаки "отказ в обслуживании"
  • потеря данных
  • хищение информации.

    • Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием "OneHalf". Этот вирусный код, оказавшись в компьютерной среде операционной системы "MS-DOS" заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус "OneHalf" просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: "Dis is one half, Press any key to continue…". После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите работать. В вирусе "OneHalf" использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код "OneHalf" весьма проблематично, потому что, его могут увидеть не все антивирусные программы.

    На этапе подготовки вирусных копий современные вирусы часто используют методы маскировки копий с целью затруднения их нахождения антивирусными средствами:

    • Шифрование - вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.
    • Метаморфизм - создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

    Сочетание этих двух технологий приводит к появлению следующих типов вирусов:

    • Шифрованный вирус - вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
    • Метаморфный вирус - вирус, применяющий метаморфизм ко всему своему телу для создания новых копий.
    • Полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.

    Червь - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия. Самым знаменитым червем является червь Moriss, механизмы работы которого подробно описаны в литературе. Червь появился в 1988 году и в течение короткого промежутка времени парализовал работу многих компьютеров в Интернете. Данный червь является "классикой" вредоносных программ, а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками. Moriss являлся самораспространяющейся программой, которая распространяла свои копии по сети, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем, была уязвимая версия программы sendmail (функция "debug" программы sendmail, которая устанавливала отладочный режим для текущего сеанса связи), а другой – программа fingerd (в ней содержалась ошибка переполнения буфера). Для поражения систем червь использовал также уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

    На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

    • Сетевые черви - черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP.
    • Почтовые черви - черви, распространяющиеся в формате сообщений электронной почты. Как правило, в письме содержится тело кода или ссылка на зараженный ресурс. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие электронные адреса и отправляя по ним зараженные сообщения. Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook; использование функций Windows MAPI. Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.
    • IRC-черви - черви, распространяющиеся по каналам IRC (Internet Relay Chat). Черви этого класса используют два вида распространения: пересылка пользователю URL-ссылки на файл-тело; отсылка пользователю файла (при этом пользователь должен подтвердить прием).
    • P2P-черви - черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей. Механизм работы большинства подобных червей достаточно прост: для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению P2P-сеть берет на себя – при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию).
    • IM-черви - черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger – ICQ, MSN Messenger, AIM и др.). Известные компьютерные черви данного типа используют единственный способ распространения – рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб – сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

    В настоящее время всё большую "популярность" приобретают мобильные черви и черви, распространяющие свои копии через общие сетевые ресурсы. Последние используют функции операционной системы, в частности, перебирают доступные сетевые папки, подключаются к компьютерам в глобальной сети и пытаются открыть их диски на полный доступ. Отличаются от стандартных сетевых червей тем, что пользователю нужно открыть файл с копией червя, чтобы активизировать его.

    По деструктивным возможностям вирусы и сетевые черви различают:

    • безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
    • неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
    • опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
    • очень опасные - в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

    Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус DenZuk довольно корректно работает с 360-килобайтовыми дискетами, но может уничтожить информацию на дискетах большего объема ). До сих пор попадаются вирусы, определяющие СОМ или ЕХЕ не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также "заклинивание" резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами.

    Если проанализировать всё вышесказанное, то можно заметить схожесть сетевых червей и компьютерных вирусов, в частности, полное совпадение жизненного цикла и самотиражирование. Основным отличием червей от программных вирусов является способность к распространению по сети без участия человека. Иногда сетевых червей относят к подклассу компьютерных вирусов.

    В связи с бурным развитием Интернета и информационных технологий количество вредоносных программ и вариантов их внедрения в информационную систему неустанно растет. Наибольшую опасность представляют новые формы вирусов и сетевых червей, сигнатуры которых не известны производителям средств защиты информации. В настоящее время всё большую популярность получают такие методы борьбы, как анализ аномального поведения системы и искусственные иммунные системы, позволяющие обнаруживать новые формы вирусов.

    Согласно аналитическому отчету о вирусной активности компании Panda Security за 3 квартал 2011 года соотношение созданных вредоносных программ имело вид, представленный на рисунке 2.

    Рис. 2. Соотношение вредоносного программного обеспечения, созданного в 3 квартале 2011 года

    То есть три из четырех новых образцов программного обеспечения оказались троянами, на втором месте – вирусы. Если раньше вредоносное программное обеспечение создавалось чаще всего в экспериментальных или "шуточных" целях и являлось скорее актом кибервандализма, то теперь это мощное оружие для получения материальной или иной выгоды, приобретающее скорее характер киберпреступности.

    В любом случае вредоносные программы способны наносить значительный ущерб, реализуя угрозы целостности, конфиденциальности и доступности информации. Наиболее популярным методом борьбы с ними является установка средств антивирусной защиты.

    3. Защита информации в локальных вычислительных сетях

    3.1. Антивирусы

    Антивирусные программы на сегодняшний день смело можно назвать самым популярным средством защиты информации. Антивирусные программы – программы, предназначенные для борьбы с вредоносным программным обеспечением (вирусами).

    Для обнаружения вирусов антивирусные программы используют два метода – сигнатурный и эвристический.

    Сигнатурный метод основан на сравнении подозрительного файла с сигнатурами известных вирусов. Сигнатура – это некий образец известного вируса, то есть набор характеристик, позволяющих идентифицировать данный вирус или наличие вируса в файле. Каждый антивирус хранит антивирусную базу, содержащую сигнатуры вирусов. Естественно, каждый день появляются новые вирусы, поэтому антивирусная база нуждается в регулярном обновлении. В противном случае антивирус не будет находить новые вирусы. Раньше все антивирусные программы использовали только сигнатурный метод для обнаружения вирусов ввиду его простоты реализации и точности обнаружения известных вирусов. Тем не менее, данный метод обладает очевидными минусами – если вирус новый и сигнатура его неизвестна, антивирус "пропустит" его. Поэтому современные антивирусы используют также эвристические методы.

    Эвристический метод представляет собой совокупность приблизительных методов обнаружения вирусов, основанных на тех или иных предположениях. Как правило, выделяют следующие эвристические методы:

    • поиск вирусов, похожих на известные (часто именно этот метод называют эвристическим). В принципе метод похож на сигнатурный, только в данном случае он более гибкий. Сигнатурный метод требует точного совпадения, здесь же файл исследуется на наличие модификаций известных сигнатур, то есть не обязательно полное совпадение. Это помогает обнаруживать гибриды вирусов и модификации уже известных вирусов;
    • аномальный метод – метод основан на отслеживании аномальных событий в системе и выделении основных вредоносных действий: удаления, запись в определенные области реестра, рассылка писем и пр. Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает себя в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы – все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения;
    • анализ контрольных сумм – это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений – одновременность, массовость, идентичные изменения длин файлов – можно делать вывод о заражении системы. Анализаторы контрольных сумм, как и анализаторы аномального поведения, не используют в работе антивирусные базы и принимают решение о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе – при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

    Эвристические методы также обладают недостатками и достоинствами. К достоинствам можно отнести способность обнаруживать новые вирусы. То есть если вирус новый и его сигнатура неизвестна, антивирус с сигнатурным обнаружением "пропустит" его при проверке, а с эвристическим – возможно найдет. Из последнего предложения вытекает и основной недостаток эвристического метода – его вероятностный характер. То есть такой антивирус может найти вирус, не найти его или принять легитимный файл за вирус.

    В современных антивирусных комплексах производители стараются совмещать сигнатурный метод и эвристические. Перспективным направлением в данной области является разработка антивирусов с искусственной иммунной системой – аналогом иммунной системы человека, которая может обнаруживать "инородные" тела.

    В составе антивируса обязательно должны присутствовать следующие модули:

    • модуль обновления – доставляет обновленные базы сигнатур пользователю антивируса. Модуль обновления обращается к серверам производителя и скачивает обновленные антивирусные базы.
    • модуль планирования – предназначен для планирования действий, которые регулярно должен выполнять антивирус. Например, проверять компьютер на наличие вирусов и обновлять антивирусные базы. Пользователь может выбрать расписание выполнения данных действий.
    • модуль управления – предназначен для администраторов крупных сетей. Данные модули содержат интерфейс, позволяющий удаленно настраивать антивирусы на узлах сети, а также способы ограничения доступа локальных пользователей к настройкам антивируса.
    • модуль карантина – предназначен для изолирования подозрительных файлов в специальное место – карантин. Лечение или удаление подозрительного файла не всегда является возможным, особенно если учесть ложные срабатывания эвристического метода. В этих случаях файл помещается в карантин и не может выполнять какие-либо действия оттуда.

    В больших организациях с разветвленной внутренней сетью и выходом в Интернет для защиты информации применяются антивирусные комплексы.

    Антивирусное ядро – реализация механизма сигнатурного сканирования на основе имеющихся сигнатур вирусов и эвристического анализа.

    Антивирусный комплекс – набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем.

    Выделяют следующие типы антивирусных комплексов в зависимости от того, где они применяются:

    • антивирусный комплекс для защиты рабочих станций
    • антивирусный комплекс для защиты файловых серверов
    • антивирусный комплекс для защиты почтовых систем
    • антивирусный комплекс для защиты шлюзов

    Антивирусный комплекс для защиты рабочих станций , как правило, состоит из следующих компонентов:

    • антивирусный сканер при доступе – проверяет файлы, к которым обращается ОС;
    • антивирусный сканер локальной почты – для проверки входящих и исходящих писем;
    • антивирусный сканер по требованию – проверяет указанные области дисков или файлы по запросу либо пользователя, либо в соответствии с установленным в модуле планирования расписанием.

    Антивирусный комплекс для защиты почтовых систем предназначен для защиты почтового сервера и включает:

    • фильтр почтового потока – осуществляет проверку на наличие вирусов входящего и исходящего трафика сервера, на котором установлен комплекс;
    • сканер общих папок (баз данных) – осуществляет проверку на наличие вирусов баз данных и общих папок пользователей в режиме реального времени (в момент обращения к этим папкам или базам). Может составлять единое целое с фильтром почтового потока в зависимости от реализации технологии перехвата сообщений/обращений к папкам и передачи на проверку.
    • антивирусный сканер по требованию – осуществляет проверку на наличие вирусов почтовых ящиков пользователей и общих папок в случае использования таковых на почтовом сервере. Проверка осуществляется по требованию администратора антивирусной безопасности либо в фоновом режиме.

    Антивирусный комплекс для защиты файловых серверов – предназначен для защиты сервера, на котором установлен. Обычно состоит из двух ярко выраженных компонентов:

    • антивирусного сканера при доступе – аналогичен сканеру при доступе для рабочей станции;
    • антивирусного сканера по требованию – аналогичен сканеру по требованию для рабочей станции.

    Антивирусный комплекс для защиты шлюзов, как следует из названия, предназначен для проверки на вирусы данных, передаваемых через шлюз. Так как данные через шлюз передаются практически постоянно, на нем устанавливаются компоненты, работающие в непрерывном режиме:

    • сканер HTTP-потока - проверяет данные, передаваемые по протоколу HTTP;
    • сканер FTP-потока - проверяет данные, передаваемые по протоколу FTP;
    • сканер SMTP-потока - проверяет данные, передаваемые через шлюз по SMTP.

    Обязательным компонентом всех рассмотренных комплексов является модуль обновления антивирусных баз.

    Антивирусные средства широко представлены на рынке сегодня. При этом они обладают различными возможностями, ценой и требованиям к ресурсам. Для того чтобы правильно выбрать антивирусное ПО необходимо следить за публикуемой в сети статистикой тестирования антивирусных средств. Одним из первых тестировать антивирусные продукты начал британский журнал Virus Bulletin еще в далеком 1998 году. Основу теста составляет коллекция вредоносных программ WildList, которую можно при желании найти в Интернете. Для успешного прохождения теста антивирусной программе нужно выявить все вирусы из этого списка и продемонстрировать нулевой уровень ложных срабатываний на коллекции "чистых" файлов журнала. Тестирование проводится на различных операционных системах (Windows, Linux и т.п.), а успешно прошедшие тест продукты получают награду VB100%. Посмотреть список программ, прошедших последнюю проверку можно на странице http://www.virusbtn.com/vb100/archive/summary .

    Помимо Virus Bulletin тестирование проводят такие независимые лаборатории как AV-Comparatives и AV-Tests. Только их "коллекция" вирусов может содержать до миллиона вредоносных программ. В Интернете можно найти отчеты об этих исследованиях, правда, на английском языке. Более того, на сайте Virus Bulletin можно сравнить производителей (вендоров) антивирусов между собой на следующей страницы http://www.virusbtn.com/vb100/archive/compare?nocache .

    3.2. Межсетевой экран

    Межсетевой экран (МЭ)– это программное или программно-аппаратное средство, которое разграничивает информационные потоки на границе защищаемой системы.

    Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации.

    Применение МЭ позволяет:

    • повысить безопасность объектов внутри системы за счет игнорирования неавторизированных запросов из внешней среды;
    • контролировать информационные потоки во внешнюю среду;
    • обеспечить регистрацию процессов информационного обмена.

    В основе принятия решения МЭ о том, пропускать трафик или нет, лежит фильтрация по тем или иным правилам. Существует два метода настройки МЭ:

    • изначально "запретить всё", а затем определить то, что следует разрешить;
    • изначально "разрешить всё", а затем определить то, что следует запретить.

    Очевидно, что первый вариант является более безопасным, так как запрещает всё и, в отличие от второго, не может пропустить нежелательный трафик.

    В зависимости от принципов функционирования выделяют несколько классов МЭ. Основным признаком классификации является уровень модели ISO/OSI, на котором функционирует МЭ.

    1. Фильтры пакетов

    Простейший класс межсетевых экранов, работающих на сетевом и транспортном уровнях модели ISO/OSI. Фильтрация пакетов обычно осуществляется по следующим критериям:

    • IP-адрес источника;
    • IP-адрес получателя;
    • порт источника;
    • порт получателя;
    • специфические параметры заголовков сетевых пакетов.

    Фильтрация реализуется путём сравнения перечисленных параметров заголовков сетевых пакетов с базой правил фильтрации.

    2. Шлюзы сеансового уровня

    Данные межсетевые экраны работают на сеансовом уровне модели ISO/OSI. В отличие от фильтров пакетов, они могут контролировать допустимость сеанса связи, анализируя параметры протоколов сеансового уровня. К положительным качествам фильтров пакетов можно отнести следующие:

    • невысокая стоимость;
    • возможность гибко настраивать правила фильтрации;
    • небольшая задержка при прохождении пакетов.

    К недостаткам можно отнести следующее:

    • правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP. Зачастую такие МЭ требуют многочасовой ручной настройки высококвалифицированных специалистов;
    • при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
    • отсутствует аутентификация на пользовательском уровне.

    3. Шлюзы прикладного уровня

    Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня. Для этого используются прокси-сервисы – программы специального назначения, управляющие трафиком через межсетевой экран для определённых высокоуровневых протоколов (http, ftp, telnet и т.д.). Если без использования прокси-сервисов сетевое соединение устанавливается между взаимодействующими сторонами A и B напрямую, то в случае использования прокси-сервиса появляется посредник – прокси-сервер, который самостоятельно взаимодействует со вторым участником информационного обмена. Такая схема позволяет контролировать допустимость использования отдельных команд протоколов высокого уровня, а также фильтровать данные, получаемые прокси-сервером извне; при этом прокси-сервер на основании установленных политик может принимать решение о возможности или невозможности передачи этих данных клиенту A.

    4. Межсетевые экраны экспертного уровня

    Наиболее сложные межсетевые экраны, сочетающие в себе элементы всех трёх приведённых выше категорий. Вместо прокси-сервисов в таких экранах используются алгоритмы распознавания и обработки данных на уровне приложений.

    Помимо функции фильтрации МЭ позволяет скрыть реальные адреса узлов в защищаемой сети с помощью трансляции сетевых адресов – NAT (Network Address Translation). При поступлении пакета в МЭ, он заменяет реальный адрес отправителя на виртуальный. При получении ответа МЭ выполняет обратную процедуру.

    Большинство используемых в настоящее время межсетевых экранов относятся к категории экспертных. Наиболее известные и распространённые МЭ – CISCO PIX и CheckPoint FireWall-1.

    3.3. Система обнаружения вторжений

    Обнаружение вторжений представляет собой процесс выявления несанкционированного доступа (или попыток несанкционированного доступа) к ресурсам информационной системы. Система обнаружения вторжений (Intrusion Detection System, IDS) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу. Системы обнаружения вторжений (IDS) работают наподобие сигнализации здания. Структура IDS представлена на рисунке 3.

    Рис. 3. Структурная схема IDS

    Схема работы IDS представлена на рисунке 4.

    Как видно из рисунка, функционирование систем IDS во многом аналогично межсетевым экранам: сенсоры получают сетевой трафик, а ядро путём сравнения полученного трафика с записями имеющейся базы сигнатур атак пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой опциональный компонент, который может быть использован для оперативного блокирования угрозы: например, может быть сформировано правило для межсетевого экрана, блокирующее источник нападения.

    Существует два типа IDS – узловые (HIDS) и сетевые (NIDS). HIDS располагается на отдельном узле и отслеживает признаки атак на этот узел.

    Рис. 4. Схема работы IDS

    Узловые IDS представляют собой систему датчиков, которые отслеживают различные события в системе на предмет аномальной активности. Существуют следующие типы датчиков:

    • анализаторы журналов – чаще всего контролируются записи системного журнала и журнала безопасности;
    • датчики признаков – сопоставляют между собой признаки определенных событий, связанных либо со входящим трафиком, либо с журналами;
    • анализаторы системных вызовов – анализируют вызовы между приложениями и операционной системой на предмет соответствия атаке. Данные датчики носят превентивный характер, то есть могут предотвратить атаку в отличие от предыдущих двух типов;
    • анализаторы поведения приложений – анализируют вызовы между приложениями и операционной системой на предмет того, разрешено ли приложению то или иное действие;
    • контролеры целостности файлов – отслеживают изменения в файлах с помощью контрольных сумм или ЭЦП.

    NIDS располагается на отдельной системе и анализирует весь трафик сети на признаки атак. В данные систем встроена база данных признаков атак, на которые система анализирует сетевой трафик.

    Каждый из типов IDS имеет свои достоинства и недостатки. IDS уровня сети не снижают общую производительность системы, однако IDS уровня хоста более эффективно выявляют атаки и позволяют анализировать активность, связанную с отдельным хостом. На практике целесообразно использовать системы, совмещающие оба описанных подхода.

    Следует отметить, что перспективными направлением в области создания IDS является применение эвристических методов по аналогии с антивирусами – это системы искусственного интеллекта, искусственные иммунные системы, анализ аномального поведения и т.п.