Единое окно доступа к образовательным ресурсам

Технические средства защиты информации: Учебное пособие

Голосов: 4

Рассматриваются понятие коммерческая тайна и основные источники ее разглашения; кратко даются концептуальные положения по защите информации. Основное внимание уделено техническим каналам утечки информации как совокупности объектов, устройств несанкционированного сбора информации и физических каналов различных типов, по которым информация передается агенту. Рассматриваются пути съема информации, деконспирационные признаки работы устройств, системы защиты от съема информации по каждому каналу. Приводится обобщенная методика по обнаружению каналов утечки информации. Автор ставит цель не только ознакомить студентов с проблемами защиты информации, но и научить их уметь самостоятельно анализировать и разрабатывать основные устройства. В пособии делается попытка в ограниченном объеме изложить достаточно обширный материал. Для понимания материала читателю необходимы основные сведения из электроники в объеме курсов образовательного стандарта. Предназначено для студентов четвертого курса факультета технической кибернетики, изучающих дисциплину "Технические средства защиты информации".

Приведенный ниже текст получен путем автоматического извлечения из оригинального PDF-документа и предназначен для предварительного просмотра.
Изображения (картинки, формулы, графики) отсутствуют.
                           Федеральное агентство по образованию
       Государственное образовательное учреждение высшего профессионального
                                    образования
        Санкт-Петербургский государственный политехнический университет
                                  («СПбГПУ»)




                                    Ю.С. Сидорин


            ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

                                   Учебное пособие




                                 САНКТ-ПЕТЕРБУРГ

                      Издательство Политехнического университета

                                         2005



УДК 004.056(075.8)
ББК 32.973-018.2я73
   С 347
Сидорин Ю.С. Технические средства защиты информации:
Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2005. 141 с.
      Пособие соответствует государственному образовательному стандарту
дисциплины ОПД.Ф.14 «Технические средства защиты информации» по специальности


090104- «Комплексная защита объектов информатизации» направления подготовки
специалистов 090000 «Информационная безопасность».
      Рассматриваются понятие коммерческая тайна и основные источники её
разглашения; кратко даются концептуальные положения по защите информации.
Основное внимание уделено техническим каналам утечки информации как
совокупности объектов, устройств несанкционированного сбора информации и
физических каналов различных типов, по которым информация передаётся агенту.
Рассматриваются пути съёма информации, деконспирационные признаки работы
устройств, системы защиты от съёма информации по каждому каналу. Приводится
обобщённая методика по обнаружению каналов утечки информации.
      Автор ставит цель не только ознакомить студентов с проблемами защиты
информации, но и научить их уметь самостоятельно анализировать и разрабатывать
основные устройства. В пособии делается попытка в ограниченном объёме изложить
достаточно обширный материал. Для понимания материала читателю необходимы
основные сведения из электроники в объёме курсов образовательного стандарта.
      Предназначено для студентов четвёртого курса факультета технической
кибернетики, изучающих дисциплину «Технические средства защиты информации».
      Табл. 11, Ил. 72, Библиогр.: 21 назв. Печатается по решению редакционно-
издательского совета Санкт-Петербургского политехнического университета.
                          © Сидорин Ю.С., 2005
                             © Санкт-Петербургский            государственный
                                политехнический университет, 2005
ISBN

                              ВВЕДЕНИЕ
      Распад бывшего Советского Союза, образование на его базе новых
государств, отсутствие четких границ, кризис в экономике, ослабления
всех видов ответственности и несовершенство законодательства привело
к резкому увеличению преступных групп. Наличие у преступников
значительных денежных средств позволяет им создавать технически
хорошо оснащенные мобильные группы. Применение новой техники и
подкупа сотрудников фирмы (или внедрение своих людей в состав
фирмы) позволяет преступникам успешно проводить свои операции.
Объектами их деятельности являются частные фирмы, заводы, базы и
склады, нефте и газоперерабатывающие станции, музеи, ценное
художественное имущество государства и граждан и т.д. Деятельность
преступных групп приводит к резкому снижению доходов предприятия,
а в некоторых случаях и к его краху. Существует государственный и
коммерческий сектора экономики.
      Государственная    собственность    порождает    государственные
секреты, которые охраняются мощными спецслужбами, в которых
архитектура системы защиты базируется на директивных отработанных
формах управления. Не государственные коммерческие предприятия могут
вести работы по заказам Правительства и по заказам других фирм. Если
работы ведутся по заказам Правительства, то правила защиты информации
номинируются Государственными спецслужбами. Если работы ведутся по
заказам других коммерческих структур, то правила защиты информации


номинируются руководством фирмы в соответствие с составленными и
утверждёнными коллективом “Перечнем сведений, составляющим
коммерческую тайну предприятия”.
В дальнейшем будут рассмотрены только проблемы связанные с
защитой фирменных секретов.
Экономическая сущность воровства коммерческой тайны ясна – не
тратить средства на проведение разработок и получение новой
продукции (на это требуются, как правило огромные суммы), а
законным или незаконным путем получить требуемую информацию у
конкурента и таким образом получить большую прибыль.
     Пример 1: Одна из фирм корпорации “Дженерал Моторс” в
течении значительного времени моделировала новые формы автомобиля.
Когда работа подошла к концу, над двориком студии, где стоял макет,
появился вертолет и за несколько секунд (пока закрывали макет
чехлами) сфотографировал объект. Т.е. труд большого числа людей
(вложенные в разработку деньги) был приватизирован за несколько
секунд [1].
     Пример 2: Бывший вице-президент “Дженерал Моторс” Джон де Лори писал в
своей книге: “Руководство концерна было настолько озабочено планами своего
конкурента – корпорации “Форд”, что не утверждало свои производственные
программы до тех пор, пока не получало свежие разведанные о противнике”.
Данные получались от агентов работавших у Форда [1].
               Из опыта зарубежных фирм следует, что попытка переложить всю
ответственность за сохранность объектов и информации на специальные государственные
службы является удобным способом, но не эффективным. Обеспечение безопасности фирм -
это сложная и дорогостоящая работа, которая состоит в правильном сочетании:
     • действий милицейской службы;
     • частных служб охранных предприятий;
     • технических средств зашиты территорий и помещений;
     • технических средств зашиты информации;
     • правильной кадровой политики руководства фирм.
Правила и методы действия милицейских и частных служб охраны, рекомендации по
кадровой политике для руководства предприятий изложены в соответствующих нормативных
документах. В данной книге будут рассмотрены в основном вопросы технической утечки
информации, а так же технические средства зашиты информации. В связи с тем, что главный
источник утечки информации - человек, очень кратко придется осветить кадровую политику
руководства по защите информации (не смотря на значительный объем рекомендаций по данному
вопросу). Что же надо защищать? Безусловно, защищать надо то, что приносит фирме большую
прибыль, причем стоимость методов и средств зашиты должна быть меньше прибыли.

                         1. КОММЕРЧЕСКАЯ ТАЙНА
      Коммерческая тайна (КТ) - это информация, которая позволяет получать
предприятию большую прибыль по сравнению с конкурентом.
      Работа по определению сведений которые следует отнести к коммерческой
тайне [1] выполняется в несколько этапов, а именно:


1 этап. Составление ориентировочного перечня сведений “Коммерческая      тайна”. В
состав перечня могут входить: планы предприятий; документы по управлению
предприятием; финансовой деятельности; производственной деятельности; рынок
сбыта; протоколы переговоров и совещаний; цены на продукцию и услуги; списки
компаньонов, посредников, поставщиков, конкурентов; исследования по созданию
новых технологий и их использованию; организация службы безопасности.
2 этап. Сокращение списка “Перечня” за счет:
    а) исключения сведений, охраняемых государственными спецслужбами;
    б) исключения сведений, являющихся общедоступными на законных основаниях.
Состав общеуступных сведений уточнен Постановлением Правительства РСФСР от
5.12.91г. №35 “О перечне сведений, которые не могут составлять коммерческую
тайну”.    К    ним   относятся:   учредительные    документы;    регистрационные
удостоверения, лицензии; финансовая отчетность для наложения налогов; документы
о размерах имущества; численный состав работающих.
Общедоступными являются так же научно-технические            сведения после их
публикации в открытой печати.
3 этап. Оценка ущерба, если сведения из перечня будут известны конкуренту;
определение времени, необходимого конкуренту для реализации добытой
информации.
4 этап. Определение источников и каналов утечки информации.
5 этап. Определение возможностей от утечки информации.
6 этап. Определение стоимости мероприятий по защите информации.
        На основании результатов, полученных при рассмотрении всех этих
этапов, проводится сопоставление потерь от возможной утечки информации со
стоимостью мероприятий по защите информации; далее исходя из критерия
 "эффективность - стоимость" принимается решение об отнесении сведений к
 КТ. В     качестве  заключительного    документа составляется   "Перечень
сведений, относящихся к коммерческой тайне предприятия". Утверждение
этого документа коллективом и руководством предприятия придает ему
соответствующую юридическую силу.
         Конкретные наказания за разглашение КТ обычно оговариваются в пункте
"Обеспечение охраны труда" Коллективного договора между администрацией и трудовым
коллективом. Например:
    • за разглашение определенных пунктов (номера пунктов “Перечня”) лишать
       вознаграждений (полностью или частично) за выслугу лет и (или) за общие
       результаты работы за год;
    • за разглашение пунктов (номера пунктов “Перечня”) не выдвигать на любые
       виды морального поощрения по подразделению и.т.д.
          В соответствии с коллективным договором при поступлении на работу служащий пишет
  "Обязательство", в котором он подтверждает свою ответственность за разглашение KТ и
  личное согласие о виде наказания [1].




  2. ИСТОЧНИКИ РАЗГЛАШЕНИЯ КОММЕРЧЕСКОЙ ТАЙНЫ


    Источники разглашения КТ:
   •   люди;
   •   документы, публикации, отходы производства;
   •   технические каналы и т. д.

                              Разглашение информации людьми

             Одним из наиболее важных источников, образующий возможный канал утечки
информации, является "человек". По данным итальянского специалиста в области промышленной
безопасности, персонал любой компании состоит:
        - 25% честных людей, которые остаются таковыми при любых          обстоятельствах;
       - 25% люди,             ожидающие удобного        случая поживиться за счет
                   интересов фирмы;
       - 50% лиц, которые могут оказаться честными или не останутся
             честными в зависимости от обстоятельств.
Для получения информации используются (рис 2.1 [1]):
      - сознательные действия сотрудников, обусловленные инициативным сотрудничеством с
           другой фирмой; продажей информации за взятку, под угрозой шантажа, в виде
           мести; переход на другую фирму на более высокую оплату (кража мозгов);
     - обман (например, за счет создания ложной фирмы, в которую заманивают
          специалиста на собеседование, беседуют, выуживают сведения и затем
          отказывают; доверчивый человек же считает, что он упустил шанс);
     - особенности характера сотрудника, например, его болтливость, желание
          показать себя более компетентным;
     - слабое знание и невыполнение требований по защите информации;
     - и т. д.
     Поэтому одним из условий сохранения КТ является правильная кадровая
политика, создание нормального психологического климата
в коллективе.




Получение информации за счет обработки документов, публикаций, отходов
производства и других факторов

      Документы и публикации являются одним из важных возможных каналов
утечки информации. КТ может содержаться в различной документации – проектной,
конструкторской, отчетной, программной и других видах технической документации.
Документ имеет определенные этапы жизни: составление, оформление, размножение,
пересылка, использование, хранение и уничтожение. На любом этапе возможна
утечка информации. Для уменьшения возможности утечки информации руководство
предприятия устанавливает:
• перечень документов с грифом КТ.
• список лиц, допускаемых к работе с документами.
• организацию учета входящих, исходящих документов и правил работы с ними.


•   правила хранения (инвентарный учет, номенклатура дел, наличие сейфов и т. д.)
    документов.
•   правила уничтожения документов.

Французский исследователь методов промышленного шпионажа Морис Денюзер
отмечает: “Современная научная, промышленная и экономическая информация
большей частью легко доступна. 95% интересующих Вас данных можно получить из
специализированных журналов и научных трудов, отчетов компаний, внутренних
изданий предприятия, брошюр и проспектов, раздаваемых на ярмарках и выставках.
Сами по себе эти данные не секретные, взятые отдельно выглядят невыразительно.
Но стоит их сопоставить друг с другом и они становиться красноречивыми”. Цель
шпиона раздобыть остальные 5% информации [1]. Из отходов производства фирмы
(например, испорченные накладные, чертежи, бракованные заготовки деталей,
кожухов и т.д.) заинтересованное лицо может получить достаточно большую
информацию. Один из советов начинающему шпиону [1] формулируется так: “Не
гнушайся выступить в роли мусорщика. Осмотр мусорных корзин может принести
Вам богатый улов”.
      Этот канал сбора информации позволяет при малых затратах получить
значительный объем нужных данных.


                           Сотрудник                   Сотрудник фирмы
                          фирмы, банка             промышленного шпионажа




Сознательное       Использован             Использование            Злостно
  действие                                  особенностей          ошибочные
                       ие                    характера
                                                                   действия
Инициативное         Фиктивный
сотрудничество      прием на раб.         Болтливост             Слабое знание
                                              ь                  требований по
В качестве             Утечка                                        защите
   мести               мозгов              Стремление             информации
                                            показать
За взятку             Обманные             себя более               Злостное
                    действия при            компетен-            невыполнение
                      получении               тным               требований по
                     информации                                      защите
    Под                                                           информации
  угрозой
                                    Рис. 2.1




                    Технические каналы утечки информации

       Для обеспечения технической деятельности фирмы широко используются
телефоны, радиотелефоны, компьютеры, принтеры, дисплеи, клавиатура, обычный
речевой обмен информацией и т.д. Потеря информации возможна по акусто -
преобразовательным, электромагнитным, визуальным и др. каналам (подробно см. гл.
5 – 11).
       Рассмотрим концепцию защиты информации, виды технических каналов
утечки информации и методы борьбы с технической утечкой информации.




    3. КОНЦЕПТУАЛЬНЫЕ ПОЛОЖЕНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ


      Система   защиты   информации    (СЗИ) – организационная  совокупность
специальных органов, средств, методов и мероприятий, обеспечивающих защиту
информацию от несанкционированного доступа к ней [1].

                             Способы защиты информации

•   правовые;
•   организационные;
•   инженерно-технические.

Правовая защита обеспечивается:
наличием патентов, авторских свидетельств, товарных знаков; наличием документов,
определяющих    понятие   “коммерческая    тайна”,  обязательств   служащих   о
неразглашении коммерческой тайны, подписки при увольнении о сохранении
коммерческой тайны.

Организационная защита обеспечивается совокупностью положений о Службе
безопасности и планами работы этой службы. Планы мероприятий службы
безопасности охватывают широкий круг вопросов, в частности:
а) На ранней стадии при проектировании помещений и строительстве
Служба безопасности рассматривает следующие вопросы:
выделение помещений для совещаний и переговоров (в таком помещении делается
специальные перекрытия и каналы воздушной вентиляции, отдельные комнаты
экранируют и т. д.);
удобство контроля помещений, людей, транспорта;
создание   производственных   зон   по   типу   конфиденциальности   работ   с
самостоятельным дополнительным допуском;
б) Служба безопасности участвует в подборе персонала с проверкой их качеств на
основании личных бесед (изучение трудовой книжки, получения информации с
других мест работы; затем принимаемый на работу ознакомляется с правилами
работы с конфиденциальной информацией и порядком ответственности);
в) Служба безопасности готовит положения и осуществляет:
организацию пропускного режима;
организацию охраны помещений и территорий;
организацию хранения и использования документов, порядок учета, хранения,
уничтожения документов, плановые проверки.

Инженерно-техническая защита включает в себя:
аппаратные средства защиты;
программные средства защиты – это использование специальных программ в
системах, средствах и сетях обработки данных;
математические способы защиты – применение математических и криптографических
методов в целях защиты конфиденциальной информации (без знания ключа
невозможно узнать и дешифрировать украденную информацию).


Программные и математические методы защиты информации рассматриваются в
специальных курсах; в объеме данного пособия будут рассмотрены аппаратные
средства защиты.


С позиций системного подхода, защита информации должна быть:
  1. Непрерывной (если на какой-то момент защита снимается, то злоумышленник воспользуется
  этим);
  2. Плановой, централизованной (каждая служба разрабатывает свои планы, которые должны
  быть взаимосвязаны);
  3. Целенаправленной и конкретной (защищается не все подряд, а только самое необходимое,
  учитываются самые опасные каналы утечки и в них конкретизируются самые опасные зоны);
  4. Надежной, универсальной и комплексной (каналы утечки перекрываются различными
  способами, например техническими плюс получением данных от информаторов).

 Правильное сочетание услуг сотрудников правоохранительных органов, негосударственных
агентов, внутренней службы безопасности и технических средств защиты являются эффективным
условием защиты объектов (информации).




4. ОБЩИЕ ПОЛОЖЕНИЯ О ТЕХНИЧЕСКИХ КАНАЛАХ УТЕЧКИ ИНФОРМАЦИИ

        Технический канал утечки информации это совокупность объекта информации,
  технических средств съема информации и физического канала, по которому
  информация передается агенту [2]. Объектом информации чаще всего являются люди,
  ведущие переговоры на объекте, и аппаратура, по которой передаётся (хранится)
  информация.
          Для нелегального съёма информации используются различные технические средства,
  которые будут рассматриваться в следующих главах. Информация с объекта поступает агенту
  по следующим физическим каналам:
      • акустическим каналам;
      • дополнительным проводным каналам и с помощью диктофонов;
      • вибрационному каналу колебаний конструкций здания;
      • электромагнитным каналам;


       • телефонным каналам;
       • электросетевым каналам;
       • визуальным каналам.
       В табл. 4.1 приведены основные каналы утечки информации и процент их
  использования агентами. Процент использования получен на основании обработки данных
  [3] по использованию подслушивающих устройств
 в 1996 г.
На основании данных приведенных в табл. 4.1 можно сделать вывод, что для снятия
информации чаще всего используется электромагнитный канал (61%) с внедрением на объект
"жучков", затем телефонный канал (15%) и далее проводные каналы и диктофоны (13%).
Использование акустического канала с применением направленных микрофонов,
вибрационного канала и электросетевого канала редко. Данных по использованию визуального
канала нет.




                                                                   Таблица 4.1
                       Вид канала утечки информации                              %   %

П/п
 1 Акустические каналы                                                               4
    а) непосредственное прослушивание звуковой информации
    человеческим ухом                                                            2
    б) прослушивание информации от структурной волны
    в) прослушивание информации направленными микрофонами                        2
 2 Дополнительные проводные каналы:                                                  11
    а) ненаправленные микрофоны                                                  6
    б) диктофоны                                                                 5
 3 Вибрационный канал колебаний конструкций                                          7
    (акустомеханические каналы):
    а) прослушивание информации стетоскопами                                     6



    
Яндекс цитирования Яндекс.Метрика