Écouter la conversation à l'intérieur de la rue
Pourquoi pamin? (A Weitz)
Les tâches de protection de l'information sont si diverses et si nombreuses que les responsables et les techniciens des services de protection de l'information ont parfois du mal à établir des priorités. Pratiquer représentent des problèmes d'organisation de la procédure, la protection physique et le contrôle des locaux dédiés, d'une protection contre l'accès non autorisé à la production, aux ordinateurs personnels et les serveurs de réseaux, la recherche et l'élimination incorporés dispositifs électroniques spéciaux secrète d'enlèvement de l'information (la soi-disant "signets"), insonorisées et виброзащитой... La simple énumération des tâches prendra trop de temps. Dans ce cas, la détection et la fermeture d'éventuels canaux techniques "naturels" de fuite d'informations sont souvent négligées.
Environ 1 à 2% des données stockées et traitées sur des Ordinateurs personnels et d'autres moyens techniques de transmission de l'information (tspi) peuvent être interceptées par le biais du canal pemin (rayonnement électromagnétique secondaire et guidage). À première vue, il peut sembler que ce canal est en effet moins dangereux que, par exemple, acoustique, à travers lequel jusqu'à 100% des informations vocales circulant dans la pièce peuvent fuir. Cependant, il ne faut pas oublier qu'à l'heure actuelle, presque toutes les informations contenant des secrets d'état ou des secrets commerciaux et technologiques sont traitées sur des Ordinateurs personnels. La spécificité du canal pamin est que les deux pour cent des informations vulnérables aux moyens techniques d'interception sont des données saisies à partir d'un clavier d'ordinateur ou affichées sur un écran, c'est - à-dire, paradoxalement, mais une très grande partie des informations à protéger peut être accessible aux yeux des autres.
Notre adversaire
Traditionnellement, on pense que l'interception de pemin et la mise en évidence d'informations utiles sont une tâche très laborieuse et coûteuse, nécessitant l'utilisation de techniques spéciales complexes. Les méthodes de contrôle de l'efficacité de la protection des objets d'informatisation sont créées sur la base de l'utilisation de récepteurs dits optimaux par l'ennemi. À l'époque où ces documents étaient développés, les dispositifs de réception, qui se rapprochaient de leurs caractéristiques optimales, étaient encombrants, pesaient plusieurs tonnes et étaient refroidis à l'azote liquide... Il est clair que seuls les États hautement développés pouvaient se permettre de tels moyens. Ils ont également été considérés comme le principal (et presque le seul) ennemi.
Mais la vie ne reste pas immobile. L'équipement radio de reconnaissance évolue vers la miniaturisation et la réduction du coût, et les objets d'attaque ne se concentrent plus sur des entreprises sensibles et bien protégées derrière de hautes clôtures avec des barbelés. Aujourd'hui, toutes les entreprises, sans exception, ont des postes de travail équipés d'Ordinateurs personnels et beaucoup d'entre elles traitent des données à protéger. Et beaucoup peuvent tenter de les intercepter illégalement, y compris par le canal de pamin. Ce sont des concurrents, des criminels et diverses "entreprises de sécurité"... Malheureusement, ils ont des possibilités pour cela.
L'instrument du crime est la radio domestique
Moniteur d'ordinateur personnel beaucoup appellent à moitié un téléviseur. Et en effet, les écrans à tube cathodique ressemblent beaucoup aux téléviseurs. Les premiers modèles de moniteurs graphiques nationaux (et étrangers) ont été simplement modifiés à partir de récepteurs de télévision couleur. Par la suite, les moniteurs ont remplacé le balayage entrelacé par ligne, augmenté la fréquence d'images, mais le principe de fonctionnement et la forme caractéristique des signaux vidéo, bien sûr, n'ont pas subi de changements significatifs. Les champs électromagnétiques qui se produisent près des conducteurs à travers lesquels le signal vidéo est fourni au Kinescope du moniteur sont des rayonnements électromagnétiques secondaires. Et souvent, ils peuvent être interceptés à l'aide d'un récepteur de télévision ordinaire placé à quelques mètres du moniteur d'un ordinateur personnel. La clarté de l'image peut être suffisante pour lire le texte.
Les radios avec une bande passante de 8-10 MHz et une sensibilité de l'ordre de 10 NV (par exemple, les récepteurs de mesure de classe I de précision) permettent d'intercepter les informations affichées sur le moniteur à une distance beaucoup plus grande, et l'utilisation de divers algorithmes de filtrage et d'accumulation d'informations améliore considérablement la clarté de l'image.
Dans un ordinateur personnel, il existe un grand nombre de générateurs de signaux périodiques modulés par des informations. Et la plupart d'entre eux peuvent être détectés sur l'antenne ou le réseau électrique sans avoir recours à des radios très sensibles. Il existe des programmes qui utilisent directement pamin pour transférer des informations stockées dans l'ordinateur. Imperceptiblement de l'utilisateur, ils trouvent sur les disques des fichiers, par exemple, contenant des mots-clés donnés, et lettre par lettre les transmettent à l'air, modulant l'un des générateurs, par exemple, le contrôleur du clavier. Une radio domestique peut être utilisée pour capturer des informations et un ordinateur personnel avec une carte son peut être utilisé pour restaurer le texte source. Le prix d'un tel" complexe de reconnaissance " ne dépasse pas plusieurs milliers de dollars américains. Et le " logiciel espion "peut entrer dans l'ordinateur du" client " de nombreuses manières différentes - avec une présentation multimédia obtenue sur un CD dans une exposition, à partir d'Internet, de ses propres employés, après tout...
La santé est plus chère
En plus de sous-estimer le risque de fuite d'informations sur le canal pamin, il existe un problème opposé: les mesures redondantes prises pour empêcher une éventuelle interception d'informations. Et souvent, les entreprises qui certifient les objets de l'informatisation, fournissent aux unités de sécurité de l'information un "mauvais service", en émettant des prescriptions pour l'exploitation de tspi avec la taille notoirement surévaluée des zones contrôlées. Ne pouvant fournir des zones contrôlées de taille donnée, les agents des services spéciaux sont obligés de protéger les équipements techniques à l'aide de générateurs de bruit. Parfois, la puissance requise des générateurs de bruit dépasse les normes sanitaires, l'exploitation d'installations protégées de cette manière peut être dangereuse pour la santé du personnel. Les raisons de l'émission de prescriptions d'exploitation avec des valeurs de zones plus grandes que la véritable zone d'accès au renseignement se trouvent à la fois dans le désir compréhensible des laboratoires spéciaux de "se protéger" et dans les violations flagrantes de la méthode de recherche spécialisée, les erreurs des ingénieurs de recherche et le fameux "facteur humain". L'automatisation du processus de mesure pemin a été conçue pour réduire au maximum les risques d'erreur. Malheureusement, cela ne fonctionne pas toujours.
Les pièges de l'automatisation
Combien de temps existe-t-il pour effectuer des recherches spécialisées, autant de temps est-il fait pour essayer de réaffecter ce travail aux machines automatiques. Étant donné que les mesures elles-mêmes se résument à la mesure des niveaux de signaux générés lors de l'activation du mode de test spécial du tspi, les premiers complexes automatiques créés dans les années 70 et plus tard ont effectué cette procédure de routine: ils ont enregistré les niveaux de bruit de fond lorsque le mode de test est désactivé, puis ont trouvé et mesuré les niveaux de signaux dépassant les bruits lorsque le mode de test est activé. Ensuite, les ingénieurs de recherche ont dû vérifier le tableau des niveaux mesurés et ne laisser que des signaux d'information colorés. Cependant, on sait que les niveaux de bruit éthéré sont variables dans le temps. De nombreuses sources d'interférence sont activées et désactivées, les caractéristiques de l'ionosphère Terrestre changent... Des résultats plus ou moins précis des mesures automatiques ne peuvent être que dans une chambre blindée anéchoïque, mais de telles caméras sont chères et accessibles à peu de gens. Mais même dans la chambre, le nombre de signaux non informatifs qui se sont produits lors de l'activation du mode de test tspi est déprimant. Encore une fois, une erreur de l'opérateur qui n'a pas exclu un signal de haut niveau non dangereux peut entraîner une augmentation significative de la taille calculée de la zone contrôlée.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Détermination de la valeur limite du signal dangereux induit par le PC et le réseau local dans le réseau électrique
La longueur considérable des réseaux électriques, la diversité des configurations possibles de leurs connexions, la relative liberté d'accès à ces réseaux rendent très urgente la tâche de protéger les informations traitées dans les PC et les réseaux locaux contre les fuites sur ces réseaux. Ce problème est particulièrement grave pour les organisations qui louent une ou plusieurs pièces dans des bâtiments où d'autres entreprises, y compris des entreprises concurrentes, sont hébergées en plus d'eux. Les auteurs de l'article proposent une méthode pratique pour résoudre ce problème, vous permettant de planifier les mesures nécessaires pour protéger les informations, même dans des conditions où il n'est pas possible de mesurer les paramètres physiques du canal de fuite
Les fuites de signal informatif sur les lignes d'alimentation peuvent se produire de différentes manières. Par exemple, entre deux circuits électriques situés à une certaine distance l'un de l'autre, il peut y avoir des communications électromagnétiques qui créent des conditions préalables objectives à l'apparition d'un signal informatif dans les circuits du système d'alimentation des objets informatiques (WATTS) qui ne sont pas conçus pour transmettre ce signal et potentiellement former des canaux de fuite Ces processus sont appelés guidage et impliquent le transfert d'énergie d'un appareil à un autre, non fourni par des solutions de circuit ou de conception.
Caractéristiques des parasites
Dans la littérature, le guidage est considéré comme un ensemble de trois éléments: la source, le récepteur et la connexion parasite entre eux. En ce qui concerne le problème à l'examen, les sources de guidage sont des dispositifs dans lesquels le signal d'information est traité; les récepteurs sont des circuits d'alimentation qui agissent comme un milieu conducteur s'étendant au — delà de la zone contrôlée et constituent en même temps un canal dangereux de fuite d'informations traitées par le PC et le réseau local.
Riz. 2. Émission d'une source de signal informatif
Le rayonnement du système "source d'information-ligne d'alimentation" est proche du mode de fonctionnement de l'antenne aléatoire (fig. 2) dont les paramètres dépendent de la configuration et de la longueur des lignes d'alimentation. La dispersion des paramètres pour les différents circuits peut être assez grande et, par conséquent, les paramètres d'une telle antenne aléatoire dans la gamme de fréquences du spectre des impulsions à bande étroite utilisées dans les PC modernes peuvent être très différents.
Pour déterminer la nature et la gamme de fréquences dans lesquelles les canaux de fuite d'informations du réseau peuvent apparaître, il est préférable d'utiliser une méthode de mesure pratique de ces caractéristiques d'un nombre spécifique de moyens de traitement de l'information et des résultats obtenus.
La connaissance des valeurs limites du signal dangereux dans le réseau d'alimentation permet de planifier les mesures nécessaires pour protéger les informations sensibles du PC et du réseau local en cours de traitement, même lorsqu'il n'est pas possible de les mesurer.
Mesures expérimentales
À cette fin, une expérience a été réalisée pour déterminer le degré de sensibilité des circuits d'alimentation aux rayonnements des PC et des réseaux locaux, au cours de laquelle des valeurs de niveau d'émission ont été mesurées à partir de 100 PC IBM PC de différentes générations (286—Pentium) et de 12 réseaux locaux Arsnet choisis au hasard. Des valeurs limites de signaux dangereux représentant les limites supérieures des intervalles de confiance ont été obtenues, ce qui permet d'affirmer que tout PCM ou réseau local pris à l'avance est très susceptible de ne pas avoir de niveaux de déclenchement au-delà de cet intervalle.
Pour le PC, un test exécuté par un programme spécifique a été utilisé avec des paramètres de fréquence d'horloge de 12,5 MHz et une durée d'impulsion de 0,04 µs. Pour le réseau local, un test d'envoi multiple lancé par un programme spécial du poste de travail au serveur avec des paramètres de fréquence d'horloge de 2,5 MHz et une durée d'impulsion de 100 NS a été utilisé. Les erreurs de mesure ne représentaient pas plus de 5% de la moyenne pondérée sur toute la gamme de fréquences du niveau de la valeur mesurée.
Lors de l'analyse des résultats des mesures, il a été constaté que les PC avec des générations antérieures de processeurs (8086-80286 — «anciens» PC) en raison de leurs caractéristiques de conception (faible vitesse d'horloge du processeur) ont à la fréquence d'horloge du signal de test (12,5 MHz) la force maximale du signal et à l'avenir la tendance à Dans les PC de génération ultérieure (IBM PC AT 386 - Pentium-les «nouveaux» PC), le spectre du signal est déplacé vers une région plus haute fréquence et la puissance principale du signal est concentrée sur les harmoniques plus élevées du signal de test. De plus, les «nouveaux»Ordinateurs portables utilisent des filtres intégrés pour les lignes d'alimentation, ce qui permet d'obtenir un niveau de signal dangereux inférieur à celui des "anciens". Sur cette base, les données de mesure ont été décomposées en 2 matrices tenant compte de la génération de PC. Le premier tableau a été attribué aux résultats des mesures de signaux dangereux induits par les PC IBM XT et AT-286, le second aux PC IBM AT 386-486 — Pentium plus modernes.
En raison du fait que les données expérimentales ont pas été obtenus sur l'ensemble des allégations de fréquences de mesure en raison de l'absence de signal ou trop petits niveaux de signaux par rapport aux bruits, dans chaque tableau, ils ont été regroupés dans l'échantillon par intervalle de sommation, défini par l'expression DF = 1/t. Pour eux, des estimations statistiques du moment initial de la variable aléatoire X ont été établies, c'est-à-dire la valeur du niveau de signal dangereux induit sur le circuit d'alimentation d'un ordinateur virtuel donné à une fréquence donnée.
Les résultats de la détermination de l'appartenance de ces échantillons à une loi de distribution (selon le critère de l'accord de Pierson 2) ont montré que les tableaux d'échantillons étudiés avec une probabilité de 0,8 et 0,75 appartiennent à la loi de distribution exponentielle.
Riz. 3. Valeur limite du signal dangereux induit par les» anciens "et les" nouveaux " Ordinateurs portables
L'étape suivante consistait à déterminer les limites supérieures des intervalles de confiance des tableaux d'échantillons de fréquence avec une probabilité de 5% indiquée sur le graphique (fig. 3), où la limite supérieure de l'intervalle de confiance pour les «anciens» PC est représentée par la courbe en pointillés supérieure, pour les «nouveaux» — la courbe inférieure.
Pour plus de commodité, les valeurs sont exprimées en dB (par rapport à 1 µv). Il s'ensuit que le niveau limite du signal dangereux, déterminé par la limite supérieure des intervalles de confiance de tous les échantillons des deux tableaux, tend à diminuer son niveau lorsque la fréquence augmente.
Par conséquent, il est plus approprié de poursuivre les mesures de protection, en se concentrant sur la masse principale de PC, qui a des niveaux d'inondation dans l'intervalle de confiance de cinq pour cent. Les PC qui ont des niveaux de pénétration au-delà de cet intervalle doivent être protégés par des mesures de protection supplémentaires individuelles ou ne doivent pas être autorisés à traiter des informations sensibles.
En raison de l'importante relation entre les niveaux d'interférence et une longueur de joint d'étanchéité du joint de lignes de LAN avec des chaînes d'alimentation, ne sont pas toujours vérifiables compte, lors de la planification des mesures de protection pour les LAN Arsnet devrait se concentrer sur les valeurs maximales dangereuses signaux reçus à la suite de l'expérience et les figures. 4.
Riz. 4. Valeur limite du signal de danger émis par le réseau local
1999
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
À la question de l'évaluation du niveau de l'équipement électronique NUMÉRIQUE
À ce jour, un grand nombre de documents consacrés à la recherche sur les équipements électroniques numériques de PAM ont déjà été publiés dans diverses sources ouvertes. Les auteurs de ces documents fournissent des méthodes de mesure, des résultats et des recommandations sur l'évaluation de la sécurité ou sur les mesures à prendre pour protéger les informations contre les fuites par le biais de l'IEM. Néanmoins, l'analyse des publications a montré qu'il y a encore beaucoup de «trous noirs» dans ce domaine dans lesquels un rayon de vérité peut se perdre.
Toutes les composantes du spectre de PAM ne sont pas dangereuses en termes d'informations réelles
Il semblerait que l'expression «informatif (informatif) PAM» soit utilisée par presque tous les auteurs. Mais consommer ne signifie pas toujours comprendre. Par conséquent, afin d'apporter une certaine clarté au problème de la fuite d'informations par le biais de PAM et d'éviter les différences entre les spécialistes, nous essaierons de proposer une terminologie, sans toutefois prétendre à la vérité en dernier ressort. En cours de route, nous donnerons des exemples d'utilisation de la terminologie proposée, en considérant un ordinateur personnel (PC) comme équipement électronique numérique à l'étude.
Les rayonnements électromagnétiques secondaires — PAM) sont des rayonnements électromagnétiques parasites de la bande radio créés dans l'espace environnant par des dispositifs qui ne sont pas spécialement conçus pour cela.
Les rayonnements électromagnétiques secondaires générés par les appareils électroniques sont causés par les courants circulant dans leurs circuits électriques. Le spectre PAMI des équipements électroniques numériques est un ensemble de composantes harmoniques dans une certaine gamme de fréquences (compte tenu des progrès de l'électronique à semi-conducteurs, dans certains cas, il est logique de parler de la gamme de plusieurs GHz). Conditionnellement, tout le spectre des rayonnements peut être divisé en rayonnements potentiellement informatifs et non informatifs (voir ci-dessous). figure).L'ensemble des composants du spectre de PAMI, généré par le flux de courants dans les circuits à travers lesquels des signaux contenant des informations confidentielles (secrètes, commerciales, etc.) sont transmis, est appelé émission potentiellement informative (PAMI potentiellement informative).
Pour un ordinateur personnel, les RADIATIONS potentiellement informatives sont les radiations formées par les circuits suivants:
- circuit par lequel les signaux du contrôleur de clavier sont transmis au port d'e / s de la carte mère;
- circuits à travers lesquels le signal vidéo est transmis de la carte vidéo aux électrodes du tube à rayons cathodiques du moniteur;
- circuits formant le bus de données du bus système de l'ordinateur;
- circuits qui forment un bus de données à l'intérieur du microprocesseur, etc. dans presque tous les appareils numériques, Il existe des circuits qui remplissent des fonctions auxiliaires sur lesquelles les signaux contenant des informations fermées ne seront jamais transmis. Les rayonnements générés par les courants circulant dans de tels circuits sont sûrs au sens de la fuite d'informations. Pour de tels rayonnements, le terme «radiations non informatives (PAM non informatives)»est tout à fait approprié. Du point de vue de la protection de l'information, les rayonnements non informatifs peuvent jouer un rôle positif, agissant en cas de chevauchement de la gamme de fréquences sous la forme d'une interférence avec la réception de PAM informatifs (dans la littérature, le terme «interférence mutuelle»est utilisé).Pour un ordinateur personnel, les RADIATIONS non informatives sont les radiations formées par les circuits suivants:
- circuit de formation et de transmission de signaux de synchronisation;
- circuits formant le bus de commande et le bus d'adresse du bus système;
- circuits transmettant des signaux d'interruption matérielle;
- circuits internes de l'alimentation de l'ordinateur, etc.
Dans la pratique, il peut y avoir des situations où la récupération d'informations lors de l'interception de radiations potentiellement informatives d'un ou de plusieurs circuits électriques est impossible pour des raisons de principe. Ces raisons ne seront pas examinées dans le présent article. L & apos; identification et la justification de ces causes devraient faire l & apos; objet d & apos; études et de publications distinctes. Cependant, un exemple est encore donné:
l'utilisation d'un code parallèle à plusieurs bits (pour transmettre chaque bit, son propre circuit électrique est utilisé) dans la plupart des cas (en fonction du nombre de bits du code, du format de présentation de l'information) rend impossible la récupération d'informations lors de l'interception du PAM.
Les PAMI potentiellement informatives, dont l'extraction d'informations utiles est impossible à n'importe quel niveau de ces rayonnements, sont appelées emissions informatives sûres (PAMI informatives sûres). En conséquence, les rayonnements potentiellement informatifs, pour lesquels il n'y a aucune raison d'exclure sans équivoque la possibilité de restaurer les informations qu'ils contiennent, nous appellerons les rayonnements fondamentalement informatifs (PAM fondamentalement informatifs).
Ainsi, par exemple, les radiations PC fondamentalement informatives comprennent les radiations formées par les circuits suivants:
- circuit par lequel les signaux du contrôleur de clavier sont transmis au port d'e / s de la carte mère;
- circuits à travers lesquels le signal est transmis de la carte vidéo aux électrodes du tube à rayons cathodiques du moniteur.
La récupération de l'information en cas d'interception des rayonnements circuits, qui allie la vidéo, c'est un de ces cas, lorsque vous utilisez многоразрядного (au moins à trois chiffres pour la couleur de l'écran) de code parallèle le format de présentation de l'information permet de récupérer la plus grande partie (perdu de la couleur, mais peut être restauré à l'aide du contenu sémantique), sans restaurer l'ordre des valeurs de chaque chiffre de code.
Les radiations informatives sûres du PC peuvent être attribuées au rayonnement des circuits formant le bus de données du bus système et le bus de données interne du microprocesseur, ainsi qu'au rayonnement d'autres circuits servant à transmettre des informations présentées sous la forme d'un code parallèle à plusieurs bits.
S'il existe plusieurs circuits électriques dans l'équipement, à travers lesquels la même information confidentielle peut être transmise sous différentes formes, les rayonnements fondamentalement informatifs générés par l'un de ces circuits seront probablement utilisés pour l'interception. Le type de rayonnement qui sera utilisé est déterminé dans chaque cas particulier par la tâche d'interception prévue et la manière possible de la résoudre.
En général, plusieurs problèmes d'interception peuvent être formulés pour le même équipement, chacun pouvant à son tour être résolu d'une seule manière. Le choix de la façon de résoudre le problème de l'interception dépend de la difficulté de la réalisation technique du potentiel scientifique et technique des capacités financières de l'ennemi présumé.
Une partie de l'équipement PEM fondamentalement informatif qui n'est pas utilisée pour résoudre un problème d'interception spécifique peut être appelée rayonnement non informatif conditionnel (PEM non informatif conditionnel). Fondamentalement, les PAMI informatifs utilisés pour résoudre un problème d'interception spécifique sont appelés émissions informatives (PAMI informatives).
Supposons, par exemple, que la tâche d'interception suivante soit formulée: récupérer les informations traitées dans un éditeur de texte à l'aide d'un ordinateur personnel. Les informations sensibles sous forme de texte alphanumérique sont saisies à partir du clavier, affichées sur l'écran du moniteur, ne sont pas enregistrées sur des disques magnétiques durs et flexibles, ne sont pas imprimées ou transmises sur le réseau. Dans ce cas, le PAM fondamentalement informatif est l'ensemble des composants du spectre d'émission du PC, en raison de l'écoulement des courants dans les circuits suivants:
- circuit par lequel les signaux du contrôleur de clavier sont transmis au port d'e / s de la carte mère (source n ° 1);
- circuits à travers lesquels le signal vidéo est transmis de la carte vidéo aux électrodes du tube à rayons cathodiques du moniteur (source n ° 2).
L'analyse de la documentation technique montre que les mêmes informations sont transmises sur ces circuits sous des formes très différentes (caractéristiques temporelles et fréquentielles des signaux, format de présentation des informations). De toute évidence, pour résoudre le problème de l'interception, le partage des rayonnements générés par ces circuits n'est pas possible. Dans ce cas, lors du choix d'une source de rayonnement informatif, la partie adverse tiendra compte des facteurs suivants:
- le signal vidéo est un signal périodique et le signal transmis du clavier à l'unité système est un signal apériodique;
- pour le signal périodique, il est possible de réaliser la fonction de son accumulation dans le récepteur, ce qui augmentera la portée d'interception et réduira la probabilité d'erreur lors de la récupération des informations;
- les radiations de la source n ° 1 sont basées dans la partie basse fréquence de la bande radio;
- les émissions de la source n ° 2 occupent une large bande de fréquences située en partie dans la partie haute fréquence de la bande radio;
- dans les conditions d'une grande ville, la partie basse fréquence de la bande radio est surchargée d'interférences radio industrielles;
- avec l'augmentation de la fréquence du signal, l'efficacité de l'antenne, qui agit comme une boucle de courant pour le signal, etc., augmente.
Ainsi, le plus probable semble être l'interception des circuits PAMI transmettant le signal vidéo de la carte vidéo aux électrodes du tube à rayons cathodiques du moniteur (PAMI informatif). Les radiations causées par les courants circulant dans le circuit par lequel les signaux sont transmis du contrôleur de clavier au port d'e / s de la carte mère, dans ce cas, seront conditionnellement non informatives.
Dans des conditions réelles, le niveau de rayonnement informatif de l'équipement numérique à la limite de la zone contrôlée peut être différent. Instructif ПЭМИ, dont le niveau est à la frontière de la zone contrôlée, est suffisant pour récupérer les informations qu'ils contiennent, il est proposé d'appeler объектово-dangereux instructif rayonnements (объектово-dangereux instructif ПЭМИ). Les PAM informatifs, dont le niveau à la limite de la zone contrôlée est insuffisant pour restaurer les informations qu'ils contiennent, sont appelés rayonnements informatifs sûrs pour les objets (PAM informatifs sûrs pour les objets).
Tout le monde ne peut pas mener une série complète de recherches sur l'équipement de PAM dans le but de détecter les fuites d'informations
En raison de la constante expansion et le renouvellement des gammes de produits numériques de l'équipement électronique utilisé pour le traitement des informations confidentielles, des services complets de recherche (voir la figure) pour chaque type, la tête et même des différents modèles de ce matériel n'est pas disponible les petites entreprises, spécialisé dans le domaine de la protection de l'information, en raison des considérables de temps et de coût. Dans le même temps, dans les conditions où la plupart des équipements utilisés sont standard, c'est-à-dire produits en grandes quantités pour une utilisation en masse, la «division du travail»suivante semble appropriée.
Étant donné que le travail sur la définition d'équipements fondamentalement informatifs PEM nécessite une grande capacité scientifique et technique et peut être effectué sans être lié aux conditions d'un objet particulier, pour un équipement standard, un tel travail peut être effectué dans le cadre de centres scientifiques et techniques. Les équipes de recherche de ces centres devraient inclure des électroniciens, des techniciens radio et des programmeurs (car les programmes définissent les formats de présentation des informations et la liste des composants fonctionnels impliqués). Les résultats des travaux de recherche devraient être systématisés par type, type, modèle d'équipement et formulés sous la forme de systèmes d'experts, de manuels et de documents méthodologiques.
Les utilisateurs de ces informations peuvent être les services de sécurité des grandes entreprises, ainsi que les petites et moyennes entreprises spécialisées dans la fourniture de services de protection de l & apos; information. Ces structures peuvent effectuer des recherches sur des sites spécifiques pour déterminer la présence et la neutralisation d & apos; équipements dangereux pour l & apos; environnement.
Pour l'équipement personnalisé dans des conditions atypiques objets de procéder à un examen complet du complexe de recherche sur le sujet de la détection d'un tel canal de fuite de l'information, comme ПЭМИ, seulement les grandes entreprises travaillant dans le domaine de la protection de l'information.
Pourquoi est-il nécessaire de mener de telles études bien Sûr, quelqu'un peut objecter: et pourquoi tout cela est-il nécessaire, si vous pouvez simplement prendre et mesurer toute la gamme d'équipements PAMY? Ou, plus précisément, analyser la plage dans laquelle ces rayonnements peuvent être, et en comparant les niveaux maximaux de rayonnement trouvés (rapport de signal maximum) avec le maximum autorisé, conclure sur la sécurité de l'information ou sur la nécessité de mettre en œuvre un ensemble de mesures de protection. Oui, bien sûr, c'est plus facile, et dans le cas où il y a une grande marge sur le rapport signal sur bruit maximum autorisé, cela est parfois justifié. Cependant, dans cette approche, l'équipement agit comme une «boîte noire»pendant les mesures. Cela signifie que dans la pratique, les situations suivantes peuvent survenir.
La situation est la première.
Dans une plage de fréquences donnée, le rapport signal sur bruit mesuré est inférieur au rapport signal sur bruit maximal autorisé, mais pas beaucoup.
Naturellement, la Conclusion est qu'il n'y a pas de canal de fuite d'informations tel que PAMI. Dans le même temps, il n'est pas pris en compte (personne n'a analysé la documentation technique) que le signal transportant des informations confidentielles est périodique. Dans ce cas, une fuite d'informations est possible lors de la mise en œuvre de la fonction d'accumulation de signal dans le récepteur, sans parler du fait que la puissance du signal à l'entrée du récepteur de reconnaissance est supérieure à la puissance de l'une des harmoniques de son spectre (plus d'une harmonique doit pénétrer dans la bande passante du récepteur pour restaurer le signal d'origine).
La deuxième situation.
À certaines fréquences, le rapport signal sur bruit mesuré est supérieur au rapport signal sur bruit maximal autorisé. Bien entendu, la Conclusion est qu'il est nécessaire de prendre des mesures pour éliminer un canal de fuite d'informations tel que PAMI. Une liste d'activités est établie, des fonds sont investis.
Avec une approche sérieuse, ces activités ne sont pas ponctuelles. Des contrôles périodiques sont effectués, ce qui présente de nombreux inconvénients et nécessite également des investissements. En fait, après des études appropriées, il s'avère que les composantes du spectre de l'équipement PMI, dont le niveau dépassait le maximum autorisé, ont été générées par des circuits non conçus pour transmettre des signaux contenant des informations sensibles. Mais les fonds sont déjà investis...
Comment savoir, il peut y avoir de l'équipement acheté par votre entreprise et ne génère pas de rayonnement fondamentalement informatif. Dans ce cas, pourquoi avez-vous besoin de vérifier la présence d'un canal de fuite d'informations comme PAMIE?..
1999
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Blindage des ondes électromagnétiques
Le blindage des ondes électromagnétiques est la base de la sécurité environnementale et l'un des moyens les plus efficaces de protéger l'objet contre les fuites d'informations par des canaux techniques. Dans les conditions d'un manque de littérature sur la question, cet article et les recommandations de вней, fourniront une assistance pratique pour les acteurs de différentes formes de propriété et le personnel des unités spéciales.
L'espionnage industriel oblige tôt ou tard l'entrepreneur à Explorer les aspects de la protection des secrets commerciaux. Le rythme du développement des relations de marché dans le pays transforme la question de la protection contre l'espionnage industriel en un problème complexe pour l'entrepreneur, pour lequel il n'est souvent pas prêt à résoudre.
Sur la base d'une formulation généralement acceptée, la notion de «protection des secrets commerciaux» peut être définie comme un ensemble de mesures organisationnelles et techniques prises par un entrepreneur pour empêcher le vol, la transmission intentionnelle, la destruction et l'accès non autorisé à l'information ou la fuite de données à un concurrent. La protection des secrets commerciaux est étroitement liée à des concepts tels que «fuite d'informations», «source de la fuite», «canal de fuite», «chevauchement du canal de fuite».
Dans le monde moderne, avec la technologie en plein essor, le problème de la formation d'un environnement électromagnétique qui assure le fonctionnement normal des appareils électroniques et la sécurité environnementale devient de plus en plus aigu. La situation électromagnétique est un ensemble de champs électromagnétiques dans une région donnée de l'espace qui peut affecter le fonctionnement d'un dispositif électronique ou d'un objet biologique particulier.
Afin de créer un environnement électromagnétique favorable et d'assurer les exigences de sécurité électromagnétique de l'objet, qui comprend la lutte contre l'accès non autorisé à l'information à l'aide de moyens techniques spéciaux, les ondes électromagnétiques sont blindées.
L'utilisation d'écrans de qualité permet de résoudre de nombreux problèmes, parmi lesquels la protection de l'information dans les locaux et les canaux techniques, la compatibilité électromagnétique des équipements et des appareils lors de leur utilisation commune, la protection du personnel contre les niveaux élevés de champs électromagnétiques et la fourniture d'un environnement favorable autour des installations électriques et des
Par blindage en général, on entend à la fois la protection des instruments contre les effets des champs externes et la localisation du rayonnement de tout moyen empêchant la manifestation de ces rayonnements dans l'environnement. Dans tous les cas, l'efficacité de blindage est le degré d'affaiblissement des composantes du champ (électrique ou magnétique), définie comme le ratio de la vigueur des valeurs de la tension de champ en un point donné de l'espace en l'absence et en présence de l'écran, de Sorte que la pertinence de ces valeurs atteint des valeurs plus grandes, c'est plus pratique d'utiliser logarithmique de la représentation de l'efficacité du blindage: où Ke — facteur d'atténuation (blindage) de la partie électrique, Kn — facteur d'atténuation (blindage) sur la composante magnétique, Eo(Mais) — l'intensité de la composante électrique (magnétique) du champ en l'absence d'un écran, E1(H1) — l'intensité de la composante électrique (magnétique) du champ en présence d'un écran au même point de l'espace.
La solution théorique du problème du blindage, la détermination des valeurs d'intensité des champs dans le cas général est extrêmement difficile, de sorte que, en fonction du type de problème résolu, il semble pratique d'envisager certains types de blindage: électrique, magnétostatique et électromagnétique. Ce dernier est le plus commun et le plus souvent appliqué, car dans la plupart des cas, les échappements doivent traiter soit avec des variables, soit avec des fluctuations et moins souvent — en effet avec des champs statiques.
Des études théoriques et expérimentales menées par un certain nombre d'auteurs ont montré que la forme de l'écran avait peu d'effet sur son efficacité. Le principal facteur déterminant la qualité de l'écran sont les propriétés radiophysiques du matériau et les caractéristiques de conception. Cela permet de calculer l'efficacité de l'écran dans des conditions réelles d'utiliser la représentation la plus simple: sphère, cylindre, feuille planaire parallèle, etc. Un tel remplacement de la conception réelle ne conduit pas à des écarts significatifs de l'efficacité réelle par rapport au calcul, car la principale raison limitant la réalisation de valeurs élevées d'efficacité de blindage est la présence d'ouvertures technologiques dans l'écran (dispositifs d'e / s, ventilation) et dans les pièces blindées-dispositifs de soutien de la vie reliant la pièce
Un écran plat parallèle dans le cas électromagnétique peut être caractérisé par l'impédance normale du matériau de l'écran, qui est définie comme le rapport des composantes tangentielles des champs électriques et magnétiques. Le coefficient de passage à travers la couche représente l'efficacité du blindage, car il est égal au rapport des amplitudes de l'onde passée et incidente à l'écran. Si le milieu des deux côtés de l'écran est un vide, le coefficient de passage D peut être représenté par la longueur d'onde dans l'espace libre, et la permittivité diélectrique et magnétique relative du matériau de l'écran.
En général — avec des permitances diélectriques et magnétiques complexes du matériau-l'analyse théorique de l'expression donnée est extrêmement difficile, de sorte que la plupart des chercheurs ont recours à un examen séparé de l'efficacité du blindage — pour l'absorption et la réflexion de l'onde incidente par l'écran.
Étant donné que l'évaluation analytique de l'efficacité de l'écran à partir de la formule générale du coefficient de passage pour un écran infini plan parallèle est généralement difficile, une analyse plus simple et approximative basée sur la représentation de l'efficacité de l'écran en tant que somme de composants individuels peut être utilisée:
K = Kpogl+Cotr+KN.OTR,
où Kpogl est l'efficacité du blindage dû à l'absorption d'énergie électrique par l'écran, KN Est l'efficacité du blindage dû à la réflexion de l'onde électromagnétique par l'écran, KN.OTR est un facteur de correction qui prend en compte les rééchantillonnages internes multiples de l'onde à partir des surfaces de l'écran.
Si la perte d'énergie de l'onde dans l'écran, c'est-à-dire son absorption, dépasse 10 dB, le dernier facteur de l'expression donnée peut être négligé. L'efficacité du blindage en raison de l'absorption d'énergie dans l'épaisseur de l'écran peut être calculée à partir d'un rapport simple: obtenu à partir de la représentation de la composante électrique et magnétique du champ dans le matériau, à la surface de laquelle les conditions aux limites de leontovich sont remplies.
De toute évidence, à basse fréquence, un écran en acier dont la perméabilité magnétique peut être suffisamment élevée (ou un écran d'un autre matériau électriquement conducteur avec une perméabilité magnétique importante) s'avère plus efficace que le cuivre pour l'absorption. Cependant, pour améliorer son efficacité, il est nécessaire d'augmenter l'épaisseur de la feuille de blindage. De plus, avec l'augmentation de la fréquence, la perméabilité magnétique de tous les matériaux diminue rapidement, et plus sa valeur initiale est importante. Par conséquent, les matériaux ayant une grande valeur de perméabilité magnétique initiale (104 GN/m) ne doivent être utilisés que jusqu'à des fréquences de l'ordre de 1 kHz. Avec des valeurs d'intensité de champ magnétique élevées dues à la saturation du matériau ferromagnétique, sa perméabilité magnétique diminue d'autant plus que la valeur initiale de la perméabilité est élevée.
Почему именно ПЭМИН? (А Вейц)
Задачи защиты информации столь разнообразны, и при их решении возникает такое количество проблем, что руководителям и техническим специалистам подразделений по защите информации порой трудно расставить приоритеты. Заниматься приходится организационными вопросами делопроизводства, физической охраной и контролем выделенных помещений, защитой от несанкционированного доступа на производство, к персональным компьютерам и серверам сетей, поиском и устранением внедренных специальных электронных устройств негласного съема информации (так называемых "закладок"), звукоизоляцией и виброзащитой... Одно лишь перечисление задач займет слишком много времени. При этом обнаружению и закрытию возможных "естественных" технических каналов утечки информации, зачастую, уделяется недостаточное внимание.
Оценочно, по каналу ПЭМИН (побочных электромагнитных излучений и наводок) может быть перехвачено не более 1-2 процентов данных, хранимых и обрабатываемых на персональных компьютерах и других технических средствах передачи информации (ТСПИ). На первый взгляд может показаться, что этот канал действительно менее опасен, чем, например, акустический, по которому может произойти утечка до 100% речевой информации, циркулирующей в помещении. Однако, нельзя забывать, что в настоящее время практически вся информация, содержащая государственную тайну или коммерческие, технологические секреты, проходит этап обработки на персональных компьютерах. Специфика канала ПЭМИН такова, что те самые два процента информации, уязвимые для технических средств перехвата - это данные, вводимые с клавиатуры компьютера или отображаемые на дисплее, то есть, парадоксально, но весьма значительная часть сведений, подлежащих защите, может оказаться доступна для чужих глаз.
Наш противник
Традиционно считается, что перехват ПЭМИН и выделение полезной информации - весьма трудоемкая и дорогостоящая задача, требующая применения сложной специальной техники. Методики контроля эффективности защиты объектов информатизации созданы в расчете на использование противником так называемых оптимальных приемников. Во времена, когда эти документы разрабатывались, приемные устройства, приближающиеся по своим характеристикам к оптимальным, были громоздкими, весили несколько тонн, охлаждались жидким азотом... Ясно, что позволить себе подобные средства могли лишь технические разведки высокоразвитых государств. Они же и рассматривались в качестве главного (и едва ли не единственного) противника.
Но жизнь не стоит на месте. Разведывательная радиоаппаратура развивается в сторону миниатюризации и удешевления, да и объекты атаки больше не сосредоточены на режимных, хорошо охраняемых предприятиях за высокими заборами с колючей проволокой. Сегодня во всех без исключения фирмах есть рабочие места, оборудованные персональными компьютерами, и на многих из них обрабатываются данные, подлежащие защите. И попытаться незаконно перехватить их, в том числе по каналу ПЭМИН, могут многие. Это и конкуренты, и преступники, и различные "охранные предприятия"... Возможности для этого у них, к сожалению, есть.
Орудие преступления - бытовая магнитола
Монитор персонального компьютера многие полушутя называют телевизором. И действительно, дисплеи с электронно-лучевой трубкой во многом подобны телевизорам. Ранние модели отечественных (да и иностранных) графических мониторов были попросту переделаны из цветных телевизионных приемников. Впоследствии в мониторах заменили чересстрочную развертку построчной, увеличили частоту кадров, но принцип работы и характерная форма видеосигналов, разумеется, не претерпели существенных изменений. Электромагнитные поля, возникающие около проводников, по которым видеосигнал подается на кинескоп монитора - это и есть побочные электромагнитные излучения. И часто перехватить их можно при помощи обычного телевизионного приемника, размещенного на расстоянии нескольких метров от монитора персонального компьютера. Четкость изображения при этом может быть достаточной для чтения текста.
Радиоприемники с полосой пропускания 8-10 МГц и чувствительностью порядка 10 нВ (например, измерительные приемники I класса точности) позволяют осуществить перехват информации, отображаемой на мониторе, с существенно большего расстояния, а использование различных алгоритмов фильтрации сигналов и накопления информации резко повышает четкость изображения.
В персональном компьютере действует большое количество генераторов периодических сигналов, модулируемых информационными. И большинство из них можно обнаружить в эфире или сети питания, не прибегая к высокочувствительным радиоприемникам. Существуют программы, непосредственно использующие ПЭМИН для передачи хранимой в компьютере информации. Незаметно от пользователя они находят на дисках файлы, например, содержащие заданные ключевые слова, и буква за буквой передают их в эфир, модулируя какой-либо из генераторов, допустим, контроллер клавиатуры. Для съема информации может быть использован бытовой радиоприемник, а для восстановления исходного текста - персональный компьютер со звуковой картой. Цена такого "разведывательного комплекса" не превышает нескольких тысяч долларов США. А "программа-шпион" может попасть в компьютер "клиента" множеством различных способов - вместе с мультимедиа-презентацией, полученной на компакт-диске на какой-либо выставке, из Интернета, от собственных сотрудников, в конце концов...
Здоровье дороже
Наряду с недооценкой опасности утечки информации по каналу ПЭМИН, существует и противоположная проблема: избыточные меры, принимаемые для предотвращения возможного перехвата информации. И нередко предприятия, осуществляющие аттестацию объектов информатизации, оказывают подразделениям по безопасности информации "медвежью услугу", выдавая предписания на эксплуатацию ТСПИ с заведомо завышенными размерами контролируемых зон. Не имея возможности обеспечить контролируемые зоны заданных размеров, сотрудники спецотделов вынуждены защищать технические средства при помощи генераторов шума. Иногда требуемая мощность генераторов шума превышает санитарные нормы, эксплуатация объектов, защищенных таким образом, может быть опасна для здоровья персонала. Причины выдачи предписаний на эксплуатацию со значениями зон, большими, чем реальная зона разведдоступности, кроются как в понятном желании спецлабораторий "подстраховаться", так и в грубых нарушениях методики проведения специсследований, ошибках инженеров-исследователей, пресловутом "человеческом факторе". Автоматизация процесса проведения измерения ПЭМИН была призвана максимально сократить вероятность ошибки. К сожалению, это удается не всегда.
Подводные камни автоматизации
Сколько существует методика проведения специсследований, столько времени предпринимаются попытки перепоручить эту работу автоматам. Поскольку сами измерения сводятся, всего-навсего, к замеру уровней сигналов, возникших при включении специального тестового режима работы ТСПИ, первые автоматические комплексы, созданные в 70-е годы и позднее, выполняли именно эту рутинную процедуру: записывали уровни фоновых шумов при выключенном тестовом режиме, и затем находили и измеряли уровни сигналов, превышающих шумы при включенном тестовом режиме. Далее инженерам-исследователям оставалось проверить таблицу измеренных уровней и оставить в ней только информационно-окрашенные сигналы. Однако, как известно, уровни эфирных шумов непостоянны во времени. Включаются и выключаются многочисленные источники помех, меняются характеристики ионосферы Земли... Более-менее точными результаты автоматических измерений могут быть только в безэховой экранированной камере, но такие камеры дороги и доступны немногим. Но даже в камере количество неинформационных сигналов, возникших при включении тестового режима работы ТСПИ, удручающе велико. И снова ошибка оператора, не исключившего неопасный сигнал высокого уровня, может привести к значительному увеличению рассчитанного размера контролируемой зоны.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Определение предельной величины опасного сигнала, наводимого ПЭВМ и ЛВС в сеть электропитания
Значительная протяженность сетей электропитания, многообразие возможных конфигураций их соединений, относительная свобода доступа к ним делают весьма актуальной задачу защиты информации, обрабатываемой в ПЭВМ и ЛВС от утечки по этим сетям. Особую остроту подобная проблема приобретает для организаций, арендующих одну или несколько комнат в зданиях, где кроме них размещаются другие, в том числе конкурирующие, компании. Авторы статьи предлагают практический метод решения этой проблемы, позволяющий планировать необходимые мероприятия по защите информации даже в условиях, когда нет возможности провести измерения физических параметров канала утечки
Утечка информативного сигнала по цепям электропитания может происходить различными путями. Например, между двумя электрическими цепями, находящимися на некотором расстоянии друг от друга, могут возникнуть электромагнитные связи, создающие объективные предпосылки для появления информативного сигнала в цепях системы электропитания объектов вычислительной техники (ВТ), не предназначенных для передачи данного сигнала и потенциально образующих неконтролируемые каналы утечки информации. Эти процессы называются наводками и подразумевают собой передачу энергии из одного устройства в другое, не предусмотренную схемными или конструктивными решениями.
Характеристики паразитных наводок
В литературе наводки рассматриваются как совокупность трех элементов: источника, приемника и паразитной связи между ними. Применительно к рассматриваемой проблеме источниками наводки являются устройства, в которых обрабатывается информативный сигнал; приемниками — цепи электропитания, выступающие в качестве токопроводящей среды, выходящей за пределы контролируемой территории и одновременно с этим представляющие собой опасный канал утечки информации, обрабатываемой ПЭВМ и ЛВС.
Основная опасность паразитных наводок кроется в возможности создания одновременно несколькими источниками информативного сигнала и по многим цепям паразитной связи. В большинстве радиоэлектронных систем и средств ВТ вторичный источник питания (ВИП) и система распределения электропитания являются общими для многих элементов, блоков и узлов, В соответствии с идеальными требованиями цель системы распределения питания состоит в обеспечении всех нагрузок (схем и устройств) максимально стабильным напряжением в условиях изменения потребляемых ими токов. Кроме того, любой сигнал переменного тока, возникающий в нагрузке, не должен создавать переменного напряжения на шинах питания. То есть в идеальном случае ВИП является генератором ЭДС с нулевым полным сопротивлением. Однако реальные ВИПы и проводники питания не обладают нулевым сопротивлением, что в конечном итоге приводит к следующему: при обработке конфиденциальной информации в элементах схем, конструкций, подводящих и соединяющих проводов средств ВТ протекают токи информативных сигналов, образующиеся в результате взаимного влияния активных и пассивных элементов и устройств в процессе их работы (нелинейного преобразования сигналов в цепях с широким спектром частот и значительными изменениями импульсных напряжений и токов; отражения сигналов в соответствующих линиях связи из-за неоднородности и несогласованности нагрузок; наводок от внешних электромагнитных полей). Утечка информации при функционировании средств ВТ также возможна либо через непосредственное излучение и наведение информативных импульсов, циркулирующих между функционально законченными узлами и блоками, либо посредством высокочастотных электромагнитных сигналов, модулированных информативными импульсами и обладающих способностью самонаводиться на провода и общие шины электропитания через паразитные связи.
Паразитные связи
Известно несколько видов паразитных связей: емкостная; индуктивная; через: общее полное сопротивление, общий провод, электромагнитное поле. Возникновение тех или иных связей обусловлено схемой и конструкцией используемых для обработки информации ПЭВМ и ЛВС, а также схемой построения системы электропитания объекта ВТ. На рис. 1 показан возможный вариант передачи информативных сигналов в цепи питания. Внутри средства ВТ (в данном случае — ПЭВМ) информативные сигналы, циркулируя в информационных цепях, через паразитные емкостную, индуктивную связи, через общее сопротивление и электромагнитное поле наводятся на цепи электропитания непосредственно, выходя за пределы корпуса средства ВТ через ВИП.
Рис. 1. Схема распространения информативного сигнала по сети электропитания
Между источником конфиденциальной информации в схеме устройств обработки данных и сетью питания возможно существование 4 видов электромагнитных связей через:
• электрическое поле;
• магнитное поле;
• электромагнитное поле;
• провода, соединяющие 2 электрические цепи.
Возникновение возможных каналов утечки информации зависит от взаимного расположения информационных плат, ВИП, цепей питания. Например, вблизи работающей ПЭВМ существуют квазистатические магнитные и электрические поля, быстро убывающие с расстоянием, но вызывающие наводки на любые проводящие цепи (металлические трубы, телефонные провода, линии питания и т.п.). Они значительны на частотах от десятков кГц до десятков МГц. С увеличением расстояния исчезают связи через ближние электрические и магнитные поля, затем связь через электромагнитное поле и на больших расстояниях влияет на связь по проводам.
Рис. 2. Излучение источника информативного сигнала
Излучение по системе «источник информации—линия питания» близко по режиму работы к случайной антенне (рис. 2), параметры которой зависят от конфигурации и длины линий электропитания. Разброс параметров для различных схем может быть достаточно большим и, следовательно, параметры такой случайной антенны в диапазоне частот спектра узкополосных импульсов, используемых в современных ПЭВМ, могут быть самыми различными.
Для определения характера и частотного диапазона, в котором могут проявиться каналы утечки информации из сети, целесообразнее использовать метод практического измерения подобных характеристик конкретного количества средств обработки информации и полученных результатов.
Знание предельных величин опасного сигнала в сети питания позволяет планировать необходимые мероприятия для организации защиты обрабатываемой ПЭВМ и ЛВС конфиденциальной информации, даже в условиях, когда нет возможности провести его измерения.
Экспериментальные измерения
С этой целью для определения степени восприимчивости цепей электропитания к излучениям ПЭВМ и ЛВС был осуществлен эксперимент, в ходе которого измерялись значения уровней наводок от 100 случайным образом выбранных ПЭВМ IBM PC различных поколений (286—Pentium) и 12 ЛВС Arsnet. Были получены предельные величины опасных сигналов, представляющие собой верхние границы доверительных интервалов, позволяющие утверждать, что любая наперед взятая ПЭВМ или ЛВС с высокой вероятностью не будет иметь уровней наводок за пределами этого интервала.
Для ПЭВМ использовался запускаемый определенной программой тест с параметрами тактовой частоты 12,5 МГц и длительностью импульса 0,04 мкс. Для ЛВС применялся запускаемый специальной программой тест многократных посылок с рабочей станции на сервер с параметрами тактовой частоты 2,5 МГц и длительностью импульса 100 нс. Ошибки измерения составляли не более 5% от средневзвешенного по всему диапазону частот уровня измеряемой величины.
При анализе результатов измерений было выявлено, что ПЭВМ с более ранними поколениями процессоров (8086—80286 — «старые» ПЭВМ) в силу их конструктивных особенностей (низкая тактовая частота процессора) имеют на тактовой частоте тест-сигнала (12,5 МГц) максимальный уровень сигнала и в дальнейшем тенденцию к его снижению. У ПЭВМ более поздних поколений (IBM PC AT 386-Pentium - «новые» ПЭВМ) спектр сигнала смещается в более высокочастотную область и основная мощность сигнала сосредотачивается на более высоких гармониках тест-сигнала. К тому же в «новых» ПЭВМ применяются встраиваемые фильтры цепей электропитания, что обеспечивает более низкий уровень опасного сигнала по сравнению со «старыми». Исходя из этого данные измерений были разбиты на 2 массива, учитывающие поколение ПЭВМ. К первому массиву были отнесены результаты измерений наводимого опасного сигнала от ПЭВМ IBM XT и АТ-286, ко второму — более современных ПЭВМ IBM AT 386-486-Pentium.
Вследствие того, что экспериментальные данные были получены не на всех предполагаемых частотах измерений из-за отсутствия сигналов или слишком малых уровней сигналов по сравнению с существующими шумами, в каждом массиве они были сведены в выборки по интервалам суммирования, определяемые выражением F = 1/. Для них были определены статистические оценки начального момента случайной величины X, под которой понималось значение уровня опасного сигнала, наводимого на цепи электропитания конкретной ПЭВМ на данной частоте.
Результаты определения принадлежности данных выборок к какому-либо закону распределения (по критерию согласия 2 Пирсона) показали, что исследуемые массивы выборок с вероятностью 0,8 и 0,75 принадлежат к экспоненциальному закону распределения.
Рис. 3. Предельная величина опасного сигнала, наводимого «старыми» и новыми» ПЭВМ
Следующим этапом было определение верхних границ доверительных интервалов массивов частотных выборок с вероятностью 5 %, показанных на графике (рис. 3), где верхняя граница доверительного интервала для «старых» ПЭВМ представлена верхней пунктирной кривой, для «новых» — нижней кривой.
Для удобства дальнейшего использования значения представлены в дБ (относительно 1 мкВ). Из графика следует, что предельный уровень опасного сигнала, определяемый верхней границей доверительных интервалов всех выборок обоих массивов, имеет тенденцию к снижению его уровня при возрастании частоты.
Таким образом, наиболее целесообразно в дальнейшем проводить защитные мероприятия, ориентируясь на основную массу ПЭВМ, имеющую уровни наводок в пределах пятипроцентного доверительного интервала. Те ПЭВМ, которые имеют уровни наводок за пределами этого интервала, необходимо защищать с применением индивидуальных дополнительных защитных мероприятий или вообще не разрешать на них обработку конфиденциальной информации.
Ввиду значительной связи между уровнями наводок и протяженностью совместной прокладки линий ЛВС с цепями электропитания, не всегда поддающейся учету, при планировании защитных мероприятий для ЛВС Arsnet следует ориентироваться на максимальные величины опасных сигналов, полученные в результате эксперимента и представленные на рис. 4.
Рис. 4. Предельная величина опасного сигнала, наводимого ЛВС
1999
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
К вопросу оценки уровня ПЭМИ цифрового электронного оборудования
К настоящему времени в различных открытых источниках опубликовано уже достаточно большое количество материалов, посвященных исследованию ПЭМИ цифрового электронного оборудования. Авторы этих материалов приводят методики проведения измерений, полученные ими результаты, а также рекомендации по оценке защищенности или по мероприятиям для обеспечения защиты информации от утечки через ПЭМИ. Тем не менее проведенный анализ публикаций показал, что в этой области есть еще очень много «черных дыр», в которых может заблудиться луч истины.
Не все составляющие спектра ПЭМИ являются опасными с точки зрения реальной у течки информации
Казалось бы, словосочетание «информативные (информационные) ПЭМИ» употребляют уже почти все авторы. Но употреблять — не всегда означает понимать. Поэтому для внесения какой-то ясности в проблему утечки информации через ПЭМИ и исключения разночтений между специалистами попытаемся предложить некоторую терминологию, не претендуя, однако, на истину в последней инстанции. Попутно будем приводить примеры использования предлагаемой терминологии, рассматривая в качестве исследуемого цифрового электронного оборудования персональный компьютер (ПК).
Побочные электромагнитные излучения (ПЭМИ) — это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.
Побочные электромагнитные излучения, генерируемые электронными устройствами, обусловлены протеканием токов в их электрических цепях. Спектр ПЭМИ цифрового электронного оборудования представляет собой совокупность гармонических составляющих в некотором диапазоне частот (учитывая достижения полупроводниковой электроники, в некоторых случаях имеет смысл говорить уже о диапазоне в несколько ГГц). Условно весь спектр излучений можно разбить на потенциально информативные и неинформативные излучения (см. рисунок).
Совокупность составляющих спектра ПЭМИ, порождаемая протеканием токов в цепях, по которым передаются содержащие конфиденциальную (секретную, коммерческую и т. д.) информацию сигналы, назовем потенциально-информативными излучениями (потенциально-информативными ПЭМИ).
Для персонального компьютера потенциально-информативными ПЭМИ являются излучения, формируемые следующими цепями:
- цепь, по которой передаются сигналы от контроллера клавиатуры к порту ввода-вывода на материнской плате;
- цепи, по которым передается видеосигнал от видеоадаптера до электродов электронно-лучевой трубки монитора;
- цепи, формирующие шину данных системной шины компьютера;
- цепи, формирующие шину данных внутри микропроцессора, и т. д.
Практически в каждом цифровом устройстве существуют цепи, выполняющие вспомогательные функции, по которым никогда не будут передаваться сигналы, содержащие закрытую информацию. Излучения, порождаемые протеканием токов в таких цепях, являются безопасными в смысле утечки информации. Для таких излучений вполне подходит термин «неинформативные излучения (неинформативные ПЭМИ)». С точки зрения защиты информации неинформативные излучения могут сыграть положительную роль, выступая в случае совпадения диапазона частот в виде помехи приему информативных ПЭМИ (в литературе встречается термин «взаимная помеха»).
Для персонального компьютера неинформативными ПЭМИ являются излучения, формируемые следующими цепями:
- цепи формирования и передачи сигналов синхронизации;
- цепи, формирующие шину управления и шину адреса системной шины;
- цепи, передающие сигналы аппаратных прерываний;
- внутренние цепи блока питания компьютера и т. д.
На практике могут встретиться ситуации, когда восстановление информации при перехвате потенциально информативных излучений какой-либо электрической цепи (цепей) невозможно по причинам принципиального характера. В настоящей статье такие причины не будут обсуждаться. Определение списка таких причин и их обоснование должно стать объектом отдельных исследований и публикаций. Однако один пример все-таки приведем:
применение многоразрядного параллельного кода (для передачи каждого разряда используется своя электрическая цепь) в большинстве случаев (в зависимости от разрядности кода, формата представления информации) делает невозможным восстановление информации при перехвате ПЭМИ.
Потенциально информативные ПЭМИ, выделение полезной информации из которых невозможно при любом уровне этих излучений, назовем безопасными информативными излучениями (безопасными информативными ПЭМИ). Соответственно, потенциально информативные излучения, для которых не существует причин, однозначно исключающих возможность восстановления содержащейся в них информации, будем называть принципиально-информативными излучениями (принципиально-информативными ПЭМИ).
Так, например, к принципиально-информативным излучениям ПК можно отнести излучения, формируемые следующими цепями:
- цепь, по которой передаются сигналы от контроллера клавиатуры к порту ввода-вывода на материнской плате;
- цепи, по которым передается вдеосигнал от видеоадаптера до электродов электронно-лучевой трубки монитора.
Восстановление информации при перехвате излучений цепей, по которым передается видеосигнал, — это один из тех случаев, когда при использовании многоразрядного (как минимум три разряда для цветного монитора) параллельного кода формат представления информации позволяет восстанавливать большую ее часть (теряется цвет, но может быть восстановлено смысловое содержание), не восстанавливая при этом последовательности значений каждого разряда кода.
К безопасным информативным излучениям ПК можно отнести из лучения цепей, формирующих шину данных системной шины и внутреннюю шину данных микропроцессора, а также излучения других цепей, служащих для передач информации, представленной в виде многоразрядного параллельного кода.
При наличии в оборудовании нескольких электрических цепей, по которым может передаваться в разном виде одна и та же конфиденциальная информация, для перехвата скорее всего, будут использованы принципиально-информативные излучения, формируемые какой-либо одной из этих цепей. Какие именно излучения будут использованы определяется в каждом конкретном случае предполагаемой задачей перехвата и возможным способом ее решения.
В общем случае в отношении одного и того же оборудования может быть сформулировано несколько задач перехвата, каждая из которых в свою очередь, может быть решена одним способом. Выбор способа решения задачи перехвата зависит от трудности технической реализации научно-технического потенциала финансовых возможностей предполагаемого противника.
Часть принципиально-информативных ПЭМИ оборудования, которая не используется при решении конкретной задачи перехвата, может быть названа условно-неинформативными излучениями (условно-неинформативными ПЭМИ). Принципиально-информативные ПЭМИ, используемые для решения конкретной задачи перехвата, назовем информативными излучениями (информативными ПЭМИ).
Предположим, например, что сформулирована следующая задача перехвата: восстановить информацию, обрабатываемую в текстовом редакторе с помощью персонального компьютера. Конфиденциальная информация в виде буквенно-цифрового текста вводится с клавиатуры, отображается на экранемонитора, не сохраняется на жестком и гибком магнитных дисках, не распечатывается и не передается по сети. В данном случае принципиально-информативными ПЭМИ является совокупность составляющих спектра излучения ПК, обусловленная протеканием токов в следующих цепях:
- цепь, по которой передаются сигналы от контроллера клавиатуры к порту ввода-вывода на материнской плате (источник № 1);
- цепи, по которым передается видеосигнал от видеоадаптера до электродов электронно-лучевой трубки монитора (источник №2).
Анализ технической документации показывает, что одна и та же информация передается по этим цепям в совершенно разном виде (временные и частотные характеристики сигналов, формат представления информации). Очевидно, что для решения задачи перехвата совместное использование излучений, формируемых этими цепями, невозможно. В этом случае при выборе источника информативных излучений противодействующая сторона будет учитывать следующие факторы:
- видеосигнал является периодическим сигналом, а сигнал, передаваемый от клавиатуры к системному блоку, — апериодическим;
- для периодического сигнала возможно реализовать функцию его накопления в приемнике, что позволит повысить дальность перехвата и уменьшить вероятность ошибки при восстановлении информации;
- излучения источника № 1 базируются в низкочастотной части радиодиапазона;
- излучения источника № 2 занимают широкую полосу частот, расположенную частично в высокочастотной части радиодиапазона;
- в условиях большого города низкочастотная часть радиодиапазона перегружена индустриальными радиопомехами;
- с увеличением частоты сигнала увеличивается КПД антенны, в качестве которой выступает токовый контур для сигнала, и т. д.
Таким образом, наиболее вероятным представляется перехват ПЭМИ цепей, передающих видеосигнал от видеоадаптера до электродов электронно-лучевой трубки монитора (информативные ПЭМИ). Излучения, обусловленные протеканием токов в цепи, по которой передаются сигналы от контроллера клавиатуры к порту ввода-вывода на материнской плате, в этом случае будут условно-неинформативными ПЭМИ.
В условиях реальных объектов уровень информативных излучений цифрового оборудования на границе контролируемой зоны может быть различным. Информативные ПЭМИ, уровень которых на границе контролируемой зоны достаточен для восстановления содержащейся в них информации, предлагается называть объектово-опасными информативными излучениями (объектово-опасными информативными ПЭМИ). Информативные ПЭМИ, уровень которых на границе контролируемой зоны недостаточен для восстановления содержащейся в них информации, назовем объекто-вобезопасными информативными излучениями (объектово-безопасными информативными ПЭМИ).
Не каждый может провести полный комплекс исследований ПЭМИ оборудования с целью обнаружения утечки информации
В связи с постоянно расширяющейся и обновляющейся номенклатурой цифрового электронного оборудования, используемого для обработки конфиденциальной информации, полный комплекс исследований (см. рисунок) по каждому типу, виду и даже отдельным моделям этого оборудования недоступен небольшим фирмам, специализирующимся в области защиты информации, ввиду значительных временных и финансовых затрат. В то же время в условиях, когда большинство используемого оборудования является стандартным, то есть выпускается в больших количествах для массового применения, представляется целесообразным следующее «разделение труда».
Поскольку работа по определению принципиально-информативных ПЭМИ оборудования требует большого научно-технического потенциала и может осуществляться без привязки к условиям конкретного объекта, то для стандартного оборудования такая работа может проводиться в рамках научно-технических центров. Исследовательские группы в таких центрах должны включать в свой состав электронщиков, радиотехников и программистов (так как программы определяют форматы представления информации и список задействованных функциональных частей оборудования). Результаты проведенной исследовательской работы должны быть систематизированы по видам, типам, моделям оборудования и оформлены в виде экспертных систем, справочников и методической литературы.
Потребителями такой информации могут быть службы безопасности крупных предприятий, а также малые и средние предприятия, специализирующиеся на оказании услуг в области защиты информации. Эти структуры могут проводить исследования в условиях конкретных типовых объектов на предмет наличия объектово-опасных ПЭМИ оборудования и их нейтрализации.
Для нестандартного оборудования в условиях нетиповых объектов проведение полного комплекса исследований на предмет выявления такого канала утечки информации, как ПЭМИ, под силу только крупным фирмам, работающим в области защиты информации.
Зачем надо проводить такие исследования
Конечно, кто-то может возразить: а зачем вообще все это нужно, если можно просто взять и измерить весь спектр ПЭМИ оборудования? Или, точнее говоря, просканировать диапазон, в котором могут быть эти излучения, и, сравнив найденные максимальные уровни излучений (максимальное отношение сигналшум) с максимально допустимым, сделать вывод о защищенности информации или о необходимости реализации некоторого комплекса мер защиты. Да, конечно, так проще, и в случае когда есть большой запас по максимально допустимому отношению сигнал-шум, это иногда бывает оправдано. Однако при таком подходе оборудование во время проведения измерений выступает в роли «черного ящика». А это значит, что на практике могут возникнуть следующие ситуации.
Ситуация первая.
В заданном диапазоне частот измеренное отношение сигнал-шум меньше максимально допустимого, хотя и ненамного.
Естественно, делается вывод об отсутствии такого канала утечки информации, как ПЭМИ. В то же время не учитывается (никто не анализировал техническую документацию), что сигнал, переносящий конфиденциальную информацию, является периодическим. В этом случае возможна утечка информации при реализации в приемнике функции накопления сигнала, не говоря уже о том, что мощность сигнала на входе разведприемника больше мощности любой из гармоник его спектра (в полосу пропускания приемника для восстановления исходного сигнала должна попадать не одна гармоника).
Ситуация вторая.
На некоторых частотах измеренное отношение сигнал-шум превышает максимально допустимое. Конечно же, делается вывод о необходимости принятия мер по устранению такого канала утечки информации, как ПЭМИ. Составляется перечень мероприятий, вкладываются средства.
При серьезном подходе такие мероприятия не носят разовый характер. Периодически осуществляются контрольные проверки, доставляющие немало неудобств и также требующие вложения средств. На самом деле после проведения соответствующих исследований оказывается, что составляющие спектра ПЭМИ оборудования, уровень которых превышал максимально допустимый, генерировались цепями, не предназначенными для передачи сигналов, содержащих конфиденциальную информацию. Но ведь средства уже вложены...
Как знать, может быть приобретенное вашей фирмой оборудование и вовсе не генерирует принципиально-информативные излучения. В этом случае зачем вам проверка на наличие такого канала утечки информации, как ПЭМИ?..
1999
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Экранирование электромагнитных волн
Экранирование электромагнитных волн является основой экологической безопасности и одним из самых действенных средств защиты объекта от утечки информации по техническим каналам. В условиях отсутствия необходимой литературы по рассматриваемому вопросу эта статья и рекомендации, изложенные вней, окажут практическую помощь субъектам различных форм собственности и сотрудникам специальных подразделений.
Промышленный шпионаж рано или поздно заставляет предпринимателя изучить аспекты защиты коммерческой тайны. Темпы развития рыночных отношений в стране превращают вопрос защиты от промышленного шпионажа в сложную для предпринимателя проблему, к решению которой он зачастую не готов.
Исходя из общепринятых формулировок, понятие «защита коммерческой тайны» можно определить как комплекс организационных и технических мер, проводимых предпринимателем в целях предотвращения хищения, умышленной передачи, уничтожения и несанкционированного доступа к информации либо утечки данных к конкуренту. Проблема защиты коммерческой тайны тесно увязывается с такими понятиями, как «утечка сведений», «источник утечки», «канал утечки», «перекрытие канала утечки».
В современном мире наряду с бурно развивающейся техникой все острее становится проблема формирования электромагнитной обстановки, обеспечивающей нормальное функционирование электронных устройств и экологическую безопасность. Электромагнитная обстановка представляет собой совокупность электромагнитных полей в заданной области пространства, которая может влиять на функционирование конкретного радиоэлектронного устройства или биологического объекта.
Для создания благоприятной электромагнитной обстановки и для обеспечения требований по электромагнитной безопасности объекта, которая включает в себя и противодействие несанкционированному доступу к информации с использованием специальных технических средств, производится экранирование электромагнитных волн.
Применение качественных экранов позволяет решать многие задачи, среди которых защита информации в помещениях и технических каналах, задачи электромагнитной совместимости оборудования и приборов при их совместном использовании, задачи защиты персонала от повышенного уровня электромагнитных полей и обеспечение благоприятной экологической обстановки вокруг работающих электроустановок и СВЧ-устройств.
Под экранированием в общем случае понимается как защита приборов от воздействия внешних полей, так и локализация излучения каких-либо средств, препятствующая проявлению этих излучений в окружающей среде. В любом случае эффективность экранирования — этo степень ослабления составляющих поля (электрической или магнитной), определяемая как отношение действующих значений напряженности полей в данной точке пространства при отсутствии и наличии экрана, Так как отношение этих величин достигает больших значений, то удобнее пользоваться логарифмическим представлением эффективности экранирования: где Ке — коэффициент ослабления (экранирования) по электрической составляющей, Кн — коэффициент ослабления (экранирования) по магнитной составляющей, Ео(Но) — напряженность электрической (магнитной) составляющей поля в отсутствии экрана, E1(H1) — напряженность электрической (магнитной) составляющей поля при наличии экрана в той же точке пространства.
Теоретическое решение задачи экранирования, определение значений напряженности полей в общем случае чрезвычайно затруднительно, поэтому в зависимости от типа решаемой задачи представляется удобным рассматривать отдельные виды экранирования: электрическое, магнитостатическое и электромагнитное. Последнее является наиболее общим и часто применяемым, так как в большинстве случаев экранирования приходится иметь дело либо с переменными, либо с флуктуирующими и реже — действительно со статическими полями.
Теоретические и экспериментальные исследования ряда авторов показали, что форма экрана незначительно влияет на его эффективность. Главным фактором, определяющим качество экрана, являются радиофизические свойства материала и конструкционные особенности. Это позволяет при расчете эффективности экрана в реальных условиях пользоваться наиболее простым его представлением: сфера, цилиндр, плоскопараллельный лист и т. п. Такая замена реальной конструкции не приводит к сколько-нибудь значительным отклонениям реальной эффективности от расчетной, так как основной причиной ограничивающей достижение высоких значений эффективности экранирования является наличие в экране технологических отверстий (устройства ввода-вывода, вентиляции), а в экранированных помещениях — устройств жизнеобеспечения, связывающих помещение с внешней средой.
Плоскопараллельный экран в электромагнитном случае можно характеризовать нормальным импедансом материала экрана, который определяется как отношение тангенциальных составляющих электрического и магнитного полей. Коэффициент прохождения через слой представляет собой эффективность экранирования, так как равен отношению амплитуд прошедшей и падающей на экран волны. Если средой по обе стороны экрана является вакуум, то коэффициент прохождения D можно представить в виде причем — длина волны в свободном пространстве, а и относительные диэлектрическая и магнитная проницаемости материала экрана.
В общем случае — при комплексных диэлектрической и магнитной проницаемостях материала — теоретический анализ приведенного выражения крайне затруднителен, поэтому большинство исследователей прибегают к раздельному рассмотрению эффективности экранирования — по поглощению и отражению падающей волны экраном.
Поскольку аналитическая оценка эффективности экранирования из общей формулы коэффициента прохождения для плоскопараллельного бесконечного экрана в общем случае затруднительна, может быть использован более простой, приближенный анализ, основанный на представлении эффективности экрана как суммы отдельных составляющих:
K=Kпогл+Kотр+Kн.отр,
где Кпогл — эффективность экранирования вследствие поглощения экраном электрической энергии, Котр — эффективность экранирования за счет отражения электромагнитной волны экраном, Кн.отр — поправочный коэффициент, учитывающий многократные внутренние переотражения волны от поверхностей экрана.
Если потеря энергии волны в экране, то есть ее поглощение, превосходит 10 дБ, то последним коэффициентом в приведенном выражении можно пренебречь. Эффективность экранирования вследствие поглощения энергии в толще экрана можно рассчитать из простого соотношения: полученного на основе представления электрической и магнитной составляющей поля в материале, на поверхности которого выполняются граничные условия Леонтовича.
Очевидно, что на низких частотах стальной экран, магнитная проницаемость которого может быть достаточно высока (или экран из другого электропроводящего материала со значительной магнитной проницаемостью), оказывается эффективнее медного по поглощению. Однако для повышения его эффективности приходится увеличивать толщину экранирующего листа. Кроме того, с ростом частоты магнитная проницаемость всех материалов быстро уменьшается, причем тем значительнее, чем больше ее начальное значение. Поэтому материалы с большим значением начальной магнитной проницаемости (104 Гн/м) целесообразно использовать только до частот порядка 1 кГц. При больших значениях напряженности магнитного поля из-за насыщения материала ферромагнетика его магнитная проницаемость падает тем резче, чем больше начальное значение проницаемости.
)))
Original message
