2015-05-30
2695
Стандарт X.800 описывает основы безопасности в привязке к эталонной семиуровневой модели.
Стандарт предусматривает следующие сервисы безопасности:
1) Аутентификация. Имеются в виду две разные вещи: аутентификация партнеров по общению и аутентификация источника данных.
2) Управление доступом. Оно обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
3) Конфиденциальность данных. В X.800 под этим названием объединены существенно разные вещи — от защиты отдельной порции данных до конфиденциальности трафика.
4) Целостность данных. Данный сервис подразделяется на подвиды в зависимости от того, что контролируется — целостность сообщений или потока данных, обеспечивается ли восстановление в случае нарушения целостности.
5) Неотказуемость. Данный сервис относится к прикладному уровню, то есть имеется в виду невозможность отказаться от содержательных действий, таких, например, как отправка или прочтение письма. На практике его покрывают протоколирование и аутентификация источника данных с контролем целостности.
|
|
|
Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка прав доступа, анализ регистрационного журнала и т.п.
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждый компонент системы должен располагать информацией, достаточной для проведения в жизнь избранной политики безопасности.
Стандарт X.509 описывает процедуру аутентификации с использованием службы каталогов. Впрочем, наиболее ценной в стандарте оказалась не сама процедура, а ее служебный элемент — структура сертификатов, хранящих имя пользователя, криптографические ключи и сопутствующую информацию.
Рекомендации IETF (Internet Engineering Task Force, IETF - Тематическая группа по технологии «Интернет»).
Рекомендации периодически организуемых конференций по архитектуре безопасности Интернет носят весьма общий, а порой и формальный характер. Основная идея состоит в том, чтобы средствами оконечных систем обеспечивать сквозную безопасность. От сетевой инфраструктуры в лучшем случае ожидается устойчивость по отношению к атакам на доступность.
В трудах конференции 1997 года выделены базовые протоколы, наиболее полезные с точки зрения безопасности. К ним относятся IPsec, DNSsec, S/MIME, X.509v3, TLS и ассоциированные с ними.
|
|
|
Наиболее проработанными на сегодняшний день являются вопросы защиты на IP-уровне. Спецификации семейства IPsec регламентируют следующие аспекты:
1) управление доступом;
2) контроль целостности на уровне пакетов;
3) аутентификация источника данных;
4) защита от воспроизведения;
5) конфиденциальность (включая частичную защиту от анализа трафика);
6) администрирование (управление криптографическими ключами).
Протоколы обеспечения аутентичности и конфиденциальности могут использоваться в двух режимах: транспортном и туннельном. В первом случае защищается только содержимое пакетов и, быть может, некоторые поля заголовков. Как правило, транспортный режим используется хостами. В туннельном режиме защищается весь пакет — он инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах (в роли которых могут выступать маршрутизаторы или межсетевые экраны).
IP-уровень можно считать оптимальным для размещения защитных средств, поскольку при этом достигается удачный компромисс между защищенностью, эффективностью функционирования и прозрачностью для приложений. Стандартизованными механизмами IP-безопасности могут (и должны) пользоваться протоколы более высоких уровней и, в частности, управляющие протоколы, протоколы конфигурирования и маршрутизации.
На транспортном уровне аутентичность, конфиденциальность и целостность потоков данных обеспечивается протоколом TLS. Объектом защиты являются не отдельные сетевые пакеты, а именно потоки данных (последовательности пакетов).
На основе TLS могут строиться защищенные протоколы прикладного уровня. В частности, предложены спецификации для HTTP над TLS.
15. Средства и методы защиты информации, механизмы обеспечения безопасности .
Защита ОТСС (Основных Технических Средств и Систем) от ПЭМИ(Н) (Побочное ЭлектроМагнитное Излучение и Наводки):
1) Защита осуществляется экранировкой тщательным заземлением металлических частей техники
2) При условии выхода зоны R2 (зона R2 - это зона, в пределах которой возможен перехват средством разведки побочных электромагнитных излучений средства вычислительной техники с требуемым качеством) за пределы КЗ, вблизи ОТСС устанавливаются генераторы шума для подавления опасного сигнала (ОС)
Средства защиты ОТСС от ПЭМИ(Н):
1) "ЛГШ-503" генератор радиопомех – предназначен для активной защиты объектов информатизации от утечки по сети электропитания ("фаза", "ноль" и "защитное заземление"), и для противодействия средствам несанкционированного съема информации по каналам ПЭМИ путем создания широкополосной шумовой помехи в диапазоне частот от 0,01 МГц до 2000 МГц.
2) Генератор шума "Гном-3" – Для защиты помещений и объектов электронно-вычислительной техники от утечки информации за счет побочных электромагнитных излучений компьютеров и другой оргтехники.
3) Генератор шума "ГШ-2500" – предназначен для маскировки ПЭМИ(Н) персональных компьютеров на объектах вычислительной техники путем формирования и излучения в окружающее пространство электромагнитного поля шума и наведения шумового сигнала в отходящие цепи.
4) Генератор шума SEL SP-113 "Блокада" – предназначено для активной защиты информации, обрабатываемой на объектах информатизации, от утечки за счёт ПЭМИ и наводок от них на цепи электропитания ("фаза", "ноль" и "защитное заземление") и проводные слаботочные линии.
5) "Фарватер-КВ1" клавиатура со сверхмалой зоной R2 – Системным признаком клавиатуры “Фарватер-КВ1”является то, что для передачи скан-кодов клавиш она использует собственный оригинальный 16-и разрядный интерфейс. Информация, вводимая с клавиатуры, не поддается восстановлению по возможно перехваченным ПЭМИН.
|
|
|
Защита ВТСС от утечки за счет акустоэлектрического эффекта и ВЧ-навязывания:
1) телефонные аппараты (ТА) и др. ВТСС имеющие линии выходящие за КЗ могут использоваться для прослушивания разговоров, ведущихся в помещениях (акустоэлектрический эффект, ВЧ – навязывание, программно-аппаратные АУТР в проводной и сотовый ТА);
2) телефонные линии, линии э/п, линии охранно-пожарной сигнализации и др. линии, проходящие через помещения, могут использоваться в качестве источников питания и каналов передачи АУТР;
3) возможно прослушивание незащищенных телефонных переговоров путем гальванического или индукционного подключения к телефонной линии АУТР.
Методы и средства защиты линий и каналов связи должны быть направлены на исключение:
1) использования любых линий и каналов связи для прослушивания разговоров, ведущихся в помещениях, через которые проходят эти линии;
2) прослушивания телефонных переговоров, ведущихся по каналам связи;
3) исключение дистанционного включения АУТР использующих каналы связи.
Методы и средства защиты проводных телефонов от акустоэлектрического канала и ВЧ – навязывания: для защиты телефонного аппарата используют пассивные и активные методы и средства защиты.
К наиболее широко применяемым пассивным методам защиты относятся:
1) ограничение опасных сигналов;
2) фильтрация опасных сигналов;
3) отключение источников (преобразователей) опасных сигналов.
Ограничение и фильтрация опасных сигналов от ВТСС:
1) Возможность ограничения опасных сигналов основывается на нелинейных свойствах диодов. В схеме ограничителя малых амплитуд используются два встречно-включенных диода.
2) Фильтрация опасных сигналов используется главным образом для защиты телефонных аппаратов от «ВЧ – навязывания». (Гранит-8, Корунд-М).
Отключение телефонных аппаратов от линии наиболее эффективный метод защиты информации.
1) К типовым устройствам, реализующим данный метод защиты, относится изделие "Сигма-РА". Устройство имеет следующие режимы работы: дежурный режим, режим передачи сигналов вызова и рабочий режим.
|
|
|
2) В дежурном режиме (при положенной телефонной трубке) телефонный аппарат отключен от линии и устройство находится в режиме анализа поднятия телефонной трубки и наличия сигналов вызова.
3) При получении сигналов вызова устройство переходит в режим передачи сигналов вызова, при котором через электронный коммутатор телефонный аппарат подключается к линии.
4) При поднятии телефонной трубки устройство переходит в рабочий режим и телефонный аппарат подключается к линии.
К активным методам защиты можно отнести:
1) метод низкочастотной маскирующей помехи;
2) метод высокочастотной широкополосной маскирующей помехи.
К средствам реализующим данные методы относятся «Гром-ЗИ6», «Прокруст», «SEL SP-17/D», «МП-1А», «МП-1Ц».
При защите телефонных разговоров от прослушивания осуществляется подавление электронных устройств перехвата информации с использованием активных методов, к основным из которых относятся:
1) метод синфазной маскирующей низкочастотной помехи заключается в подаче во время разговора в каждый провод телефонной линии согласованных по амплитуде и фазе маскирующих помеховых сигналов речевого диапазона частот (как правило, основная мощность помехи сосредоточена в диапазоне частот стандартного телефонного канала от 300 до 3400 Гц). В телефонном аппарате эти помеховые сигналы компенсируют друг друга и не оказывают мешающего воздействия на полезный сигнал (телефонный разговор).
2) метод высокочастотной маскирующей помехи (частоты помехового сигнала подавления радиозакладок находится в диапазоне от 6 – 8 кГц до 16 – 20 кГц)
3) метод “ультразвуковой” маскирующей помехи (частоты помехового сигнала подавления радиозакладок находится в диапазоне от 20 – 25 кГц до 50 – 100 кГц)
4) метод повышения напряжения – заключается вподнятии напряжения в телефонной линии во время разговора и используется для ухудшения качества функционирования телефонных радиозакладок за счет перевода их передатчиков в нелинейный режим работы.
5) метод "обнуления" – предусматривает подачу во время разговора в линию постоянного напряжения, соответствующего напряжению в линии при поднятой телефонной трубке, но обратной полярности.
6) метод низкочастотной маскирующей помехи – заключается в подаче в линию при положенной телефонной трубке маскирующего низкочастотного помехового сигнала и применяется для активизации диктофонов, что приводит к сматыванию пленки в режиме записи шума
7) метод "выжигания" – реализуется путем подачи в линию высоковольтных (напряжением более 1500 В) импульсов, приводящих к электрическому «выжиганию» АУТР. (“Кобра”, “KC-1300”, “KC-1303”).
Методы контроля телефонных линий в основном основаны на том, что любое подключение к ним вызывает изменение электрических параметров линий:
1) амплитуд напряжения и тока в линии;
2) значений емкости, индуктивности;
3) активного и реактивного сопротивления линии.
Контроллеры ТЛ
1) Современные контроллеры позволяют определить не только факт подключения к линии средств съема информации, но и способ подключения (последовательное или параллельное). Например, контроллеры телефонных линий "КТЛ-2", "КТЛ-3" и "КТЛ-400" за 4 минуты позволяют обнаружить закладки с питанием от телефонной линии независимо от способа, места и времени их подключения, а также параметров линии и напряжения АТС. Приборы также выдают световой сигнал тревоги при кратковременном (не менее 2 секунд) размыкания линии.
2) Современные контроллеры телефонных линий, как правило, кроме средств обнаружения подключения к линии устройств несанкционированного съема информации, оборудованы и средствами их подавления. Для подавления в основном используется метод высокочастотной маскирующей помехи. Режим подавления включается автоматически или оператором при обнаружении факта несанкционированного подключения к линии.
Средства перекрытия каналов сотовой связи:
1) “Краб-3” – Устройство блокирования работы систем мобильной связи стандартов GSM, E-GSM, NMT, CDMA, AMPS/DAMPS в целях предотвращения возможности использования данных систем связи в качестве канала передачи информации аудио и видео закладных устройств. Дальность до 60м.
2) “Мозаика (Т)“ – предназначено для блокирования работы телефонов мобильной связи, а также подслушивающих устройств, использующих каналы систем мобильной связи стандартов GSM-900/1800, E-GSM*, AMPS/DAMPS*, CDMA-800*.
3) “RS jammini“ – Предназначен для наблюдения за выходом в эфир сотовых телефонов и их мгновенного блокирования в случае несанкционированной работы, а также для выявления и блокирования специальных технических средств на базе мобильной трубки, передающих информацию в канале трафика GSM.
4) “Ладья“ (акустический сейф) – гарантирует защиту владельца сотового телефона от негласного прослушивания через каналы сотовой связи путем несанкционированной активации его аппарата в режиме удаленного информационного доступа.
Устройства защиты по сети Э/П
1) “ЦИКАДА-С3 (НГ-402)” – предназначено для защиты объектов ВТ от утечки информации по сети Э/П, а также для противодействия устройствам негласного съема акустической информации из помещений, использующих для ее передачи электрическую сеть.
2) Устройство защиты цепей э/п и заземления – “SEL SP-44“ – является техническим средством защиты информации от утечки за счет наводок по цепям электропитания и заземления путем постановки маскирующих помех по цепям электропитания и заземления в диапазоне частот 0,01 - 300 МГц.
3) Устройство защиты системы оповещения “МП-5“ – предназначено для защиты громкоговорителя системы оповещения или однопрограммного приемника от утечки через них акустических сигналов помещения и обеспечивает защиту при активных методах воздействия.
