Защита среды передачи данных.
Типичными и наиболее распространенными представителями среды передачи данных являются кабели. При создании сети передачи данных выбор осуществляется из следующих основных видов кабелей: волоконно-оптический (fiber), коаксиальный (coaxial) и витая пара (twisted pair). При этом и коаксиальный кабель, и витая пара для передачи сигналов используют металлический проводник, а волоконно-оптический кабель - световод, сделанный из стекла или пластмассы.
Таблица 1. Характеристики кабелей.
Характеристика |
Тонкий коаксиальный кабель |
Толстый коаксиальный кабель |
Витая Пара
|
Оптоволоконный кабель |
Эффективная длина кабеля |
185 м |
500м |
100м
|
2км |
Скорость передачи |
10 Мбит/с
|
10 Мбит/с
|
> 10 Мбит/с
|
> 10 Мбит/с |
Гибкость
|
Довольно гибкий |
Менее гибкий |
Самый гибкий |
Не гибкий |
Подверженность помехам |
Защищен хорошо |
Защищен хорошо |
Подвержен помехам |
Не подвержен помехам |
Справедливости ради следует отметить, что помимо оптических волокон, для передачи слаботочных сигналов в электронике применяют углеродные волокна (carbon fibers). Такая "экзотическая" среда применяется, в частности, для соединения усилителей мощности с акустическими колонками класса high-end (считается, что электрический сигнал, передаваемый по такому "акустическому" кабелю, испытывает меньшее рассеяние, чем в металлическом кабеле).
С целью защиты от перехвата данных, все кабели необходимо «прятать». В специально предназначенные короба (экранированные конструкции), для большего затруднения в получении к ним непосредственного доступа злоумышленнику. Также при несанкционированном подключении и попытках вскрытия короба будет видно по его физическому состоянию или об этом может оповещать система контроля (сигнализация). Если в компании сложности с выделением необходимых финансовых средств на приобретении такой сигнализации, то хотя бы стоит наклеить, опечатать или нарисовать, в конце концов, на самих коробах какие-нибудь символы (подпись какую-нибудь), нарушение целостности которых, при попытке вскрытия конструкция будет заметно, а повторение их, для скрытия этой самой попытки, было бы невозможно. Для крупных компаний такое решение не солидно и стоит задуматься над приобретением сигнализации.
До недавнего времени самой распространенной средой передачи данных был коаксиальный кабель: относительно недорогой, легкий и гибкий, безопасный и простой в установке. На рис. 1 приведена конструкция коаксиального кабеля.
Рис. 1. Конструкция коаксиального кабеля.
Электрические сигналы, кодирующие данные, передаются по жиле. Она изоляцией отделяется от металлической оплетки, которая играет роль заземления и защищает передаваемые по жиле сигналы от внешних электромагнитных шумов (атмосферных, промышленных); перекрестных помех - электрических наводок, вызванных сигналами в соседних проводах. Используют толстый и тонкий коаксиальный кабель.
Витая пара. Если для передачи электрических сигналов воспользоваться обычной парой параллельных проводов для передачи знакопеременного списка большой частоты, то возникающие вокруг одного из них магнитные потоки будут вызывать помехи в другом. Для исключения этого явления провода перекручивают между собой. Самая простая витая пара (twisted pair) - это два перевитых друг вокруг друга изолированных провода. Существует два вида такого кабеля:
неэкранированная витая пара (UTP);
экранированная витая пара (STP).
Часто несколько витых пар помещают в одну защитную оболочку (типа телефонного кабеля).
Оптоволоконный кабель. В оптоволоконном кабеле цифровые данные распространяются по оптическим волокнам в виде модулированных световых импульсов, а не электрических сигналов. Следовательно, его нельзя вскрыть и перехватить данные. Действия злоумышленника будут значительно затруднены. Передача по оптоволоконному кабелю не подвержена электрическим помехам и ведется на чрезвычайно высокой скорости (до 100 Мбит/с, а теоретически возможно до 200 Мбит/с). Основа кабеля - оптическое волокно - тонкий стеклянный цилиндр (жила), покрытая слоем стекла, называемого оболочкой и имеющей отличный от жилы коэффициент преломления (рис. 2).
Рис.2 Структура оптоволоконного кабеля.
Несмотря на преимущества, у оптоволоконного кабеля также присутствуют недостатки, главным из которых является возможность утечки информации за счет побочного электромагнитного излучения и наводок (ПЭМИН) как в оптическом, так и в радиочастотном диапазонах.
Стоит проанализировать возможность такой утечки. При проведении такого анализа необходимо учитывать следующие особенности радиотехнического канала утечки информации из средств цифровой электронной техники2:
для восстановления информации мало знать уровень ПЭМИ, нужно еще знать их структуру;
поскольку информация в цифровых средствах электронной техники переносится последовательностями прямоугольных импульсов, то оптимальным приемником для перехвата ПЭМИ является обнаружитель (важен сам факт наличия сигнала, а восстановить сигнал просто, так как форма его известна);
не все ПЭМИ являются опасными с точки зрения реальной утечки информации. Как правило, наибольший уровень соответствует неинформативным излучениям (так, в персональных компьютерах наибольший уровень имеют излучения, порождаемые системой синхронизации);
наличие большого числа параллельно работающих электрических цепей приводит к тому, что информативные и неинформативные излучения могут перекрываться по диапазону (взаимная помеха);
для восстановления информации полоса пропускания разведприемника должна соответствовать полосе частот перехватываемых сигналов. Импульсный характер информативных сигналов приводит к резкому увеличению полосы пропускания приемника и, как следствие, к увеличению уровня собственных и наведенных шумов;
периодическое повторение сигнала приводит к увеличению возможной дальности перехвата;
использование параллельного кода в большинстве случаев делает практически невозможным восстановление информации при перехвате ПЭМИ.
Определим основные способы обеспечения защиты информации от утечки через ПЭМИ. Классификация способов и методов защиты информации, обрабатываемой средствами цифровой электронной техники, от утечки через ПЭМИ3:
Экранирование помещений:
Доработка средств электронной техники
Активная радиотехническая маскировка;
Охарактеризуем эти способы и методы.
Электромагнитное экранирование помещений в широком диапазоне частот является сложной технической задачей, требует значительных капитальных затрат, постоянного контроля и не всегда возможна по эстетическим и эргономическим соображениям. Доработка средств электронной техники с целью уменьшения уровня ПЭМИ осуществляется организациями, имеющими лицензии ФСТЭК России. Используя различные радиопоглощающие материалы и схемотехнические решения, удается существенно снизить уровень излучений. Стоимость такой доработки зависит от радиуса требуемой зоны безопасности и, например, для персонального компьютера составляет от 20 до 70% от его стоимости. Допустимо экранирование техники, а не всего помещения в целом.
Активная радиотехническая маскировка предполагает формирование и излучение маскирующего сигнала в непосредственной близости от защищаемого средства электронной техники. Различают несколько методов активной радиотехнической маскировки: энергетические методы; метод «синфазной помехи»; статистический метод. При энергетической маскировке методом «белого шума» излучается широкополосный шумовой сигнал с постоянным энергетическим спектром, существенно превышающим максимальный уровень излучения электронной техники. В настоящее время наиболее распространены устройства защиты информации, реализующие именно этот метод. К недостаткам этого метода следует отнести создание недопустимых помех радиотехническим и электронным средствам, находящимся поблизости от защищаемой аппаратуры обработки информации. Спектрально-энергетический метод заключается в генерировании помехи, имеющей энергетический спектр, определяемый модулем спектральной плотности информативных излучений электронной техники и энергетическим спектром атмосферной помехи. Данный метод позволяет определить оптимальную помеху с ограниченной мощностью для достижения требуемого соотношения сигнал-помеха на границе контролируемой зоны.
Перечисленные методы могут быть использованы для защиты информации как в аналоговой, так и в цифровой аппаратуре. В качестве показателя защищенности в этих методах используется соотношение сигнал-помеха. Следующие два метода предназначены для защиты информации в электронной технике, работающей с цифровыми сигналами.
В методе «синфазной помехи» в качестве маскирующего сигнала используются импульсы случайной амплитуды, совпадающие по форме и времени существования с полезным сигналом. В этом случае помеха полностью маскирует сигнал, прием сигнала теряет смысл, так как апостериорные вероятности наличия и отсутствия сигнала остаются равными их априорным значениям. Показателем защищенности в данном методе является предельная полная вероятность ошибки (ППВО) на границе минимально допустимой зоны безопасности. Однако из-за отсутствия аппаратуры для непосредственного измерения данной величины авторы метода предполагают пересчитать ППВО в необходимое соотношение сигнал-помеха.
Статистический метод защиты информации заключается в изменении вероятностной структуры сигнала, принимаемого разведприемником злоумышленником, путем излучения специальным образом формируемого маскирующего сигнала. В качестве контролируемых характеристик сигналов используются матрицы вероятностей изменения состояний (МВИС). В случае оптимальной защищенности МВИС ПЭМИ будет соответствовать эталонной матрице (все элементы этой матрицы равны между собой). К достоинствам данного метода следует отнести то, что уровень формируемого маскирующего сигнала не превосходит уровня информативных побочных электромагнитных излучений электронной техники. Однако статистический метод имеет некоторые особенности реализации на практике.
Восстановление информации, содержащейся в ПЭМИ, чаще всего под силу только профессионалам, имеющим в своем распоряжении соответствующее оборудование. Но даже они могут быть бессильны в случае грамотного подхода к обеспечению защиты информации от утечки через побочные электромагнитные излучения. Для этого существуют различные необходимые методы и средства, и арсенал этих средств постоянно пополняется.
Для предотвращения подключения злоумышленников, имеющим специальную технику, было предложено использовать внутренние силовые металлические конструкции оптоволоконных кабелей в качестве сигнальных проводов. Что сделало невозможным подключением к оптоволокну без нарушения целостности силовых конструкций.
Для защиты информации во внешнем канале связи используются следующие устройства: скремблеры для защиты речевой информации, шифраторы для широковещательной связи и криптографические средства, обеспечивающие шифрование цифровых данных. Нас интересуют криптографические средства защиты информации. Скрытие информации методом криптографического преобразования заключается в преобразовании ее составных частей (цифр, букв, слогов, слов) к неявному виду с помощью специальных алгоритмов и кодов ключей. Незащищенное конфиденциальное информационное сообщение зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытый текст или графическое изображение документа. Причем шифрование должно придавать информации такой вид, что его восстановление должно требовать затрат времени и средств, которые по оценке владельца защищаемой информации делают бессмысленным для злоумышленника вмешательство в информационный процесс. Чем сложнее зашифрована связь и данные, тем сложнее прочитать передаваемую информацию. Криптографическое закрытие информации является радикальным способом ее защиты. Шифрование осуществляется либо программно, либо аппаратно с помощью встраиваемых средств. Такой способ защиты оправдывается при передаче информации на большие расстояния по линиям связи. Использование криптографии является одним из распространенных методов, значительно повышающих безопасность передачи данных хранящихся в удаленных устройствах памяти, а также при обмене информацией между удаленными пользователями и объектами.
Для шифрования обычно используется заданный алгоритм или устройство, реализующее данный алгоритм, который должен быть известен кругу лиц, для которого предназначается информация. Управление данного процесса шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальность представления информации при использовании одного и того же алгоритма. Знание секретного ключа дает возможность просто, надежно и быстро расшифровать информацию. Однако без ключа эта процедура может быть практически невыполнима даже при известном алгоритме шифрования. Современная криптография знает два типа криптографических алгоритмов: классические алгоритмы, основанные на использовании закрытых, секретных ключей, и новые алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключ. Кроме того, существует возможность шифрования информации и более простым способом — с использованием генератора псевдослучайных чисел. Использование генератора псевдослучайных чисел заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом. Надежность шифрования с помощью генератора псевдослучайных чисел зависит как от характеристик генератора, так и, причем в большей степени, от алгоритма получения гаммы. Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования.
Криптостойкость методов шифрования определяется длиной ключа. Удовлетворяющей требованиям еще 2000–2001 гг. считалась длина ключа, равная не менее 50 бит. Для симметричных алгоритмов в последующем были разработаны программы шифрования, допускающие применение 128-разрядных ключей. Это значит, что при попытке угадать ключ методом проб и ошибок, нужно перебрать 2128 возможных значений ключей. В ассиметричном шифровании ключи для надежной защиты информации при использовании алгоритма RSA имели от 768 до 2048 двоичных разрядов. Для особо ответственных применений секретным является не только ключ, но и алгоритм шифрования. Для повышения криптостойкости шифров могут использоваться несколько ключей (обычно три). Зашифрованная с помощью первого ключа информация подвергается шифрованию с помощью второго и т. д. Предлагается использовать переменные алгоритмы шифрования. Привлекательность методов шифрования с использованием открытых ключей заключается, прежде всего, в отсутствии необходимости рассылки секретных ключей. Для распределенных на больших расстояниях объектов компьютерных систем рассылка секретных ключей становится, однако, довольно сложной и трудоемкой задачей. Перспективным направлением развития криптозащиты информации становится стеганография. Комплексное использование стеганографии и шифрования намного повышает криптостойкость закрытой информации. В настоящее время создаются все более сложные криптосистемы, вскрытие которых криптоаналитиками становится почти невозможным. Поэтому применение современных криптосистем минимизирует риск угрозы вскрытия паролей и шифров криптозащиты.
Самый простой способ использования шифрования состоит в том, чтобы купить программное обеспечение или аппаратные продукты, которые применяют в той или иной форме технологии шифрования. Microsoft Outlook Express, например, предоставляет встроенные алгоритмы шифрования для защиты электронной почты. На худой конец, сотрудники предприятия могут вручную шифровать данные применяя примитивные способы, без использования каких-то специальных средств, требующих больших затрат на покупку. Например, при передаче заменять буквы одни на другие, или на цифры (заранее оговоренные), что достаточно легко реализуется с помощью функций Microsoft Word.
Говоря о криптографических системах защиты информации нельзя не сказать об электронно-цифровой подписи (ЭЦП). ЭЦП является программно-криптографическое средство аутентификации лица, подписавшего документ. Электронная подпись не дает ее владельцу право на отказ от авторства, так как закрытый ключ шифрования известен только ему. ЭЦП гарантирует достоверность, обеспечивает целостность, позволяет создавать корпоративную систему обмена электронными документами. Для подписания строится хэш-функция, она идентифицирует содержание документа. Затем содержание документа шифруется закрытым ключом. Зашифрованная хэш-функция помещается в то же сообщение, что и сам документ, и данный документ может быть отправлен. Получателю документа, чтобы удостовериться в его подлинности необходимо построить собственный вариант хэш-функции подписанного документа, затем расшифровать хеш-функцию, которая содержится в сообщении и сравнить результаты. Подписанные сообщения можно, не опасаясь ущерба, пересылать по любым каналам связи.
Любое преобразование информации, даже самое простое, является очень эффективным средством, дающим возможность скрыть ее смысл от большинства неквалифицированных нарушителей.
Я считаю, что хоть работа с зашифрованными файлами и требует значительно больше времени, но именно шифрование, может обеспечить безопасность данных тогда, когда они будут перехвачены. Гарантии обратного нет, так как даже самые совершенные технические средства, методы и программы защиты дают сбои или просто устаревают, что делает их уязвимыми перед злоумышленниками.
Постепенно в употребление входит беспроводная среда передачи данных. Для беспроводной передачи данных используют: инфракрасное и лазерное излучение, радиопередачу и телефонию. К беспроводной технологии передаче данных относятся: Bluetooth; Wi-Fi; WiMAX (4G). Эти способы передачи данных в компьютерных сетях, как локальных, так и глобальных, привлекательны тем, что: гарантируют определенный уровень мобильности; позволяют снять ограничение на длину сети, а использование радиоволн и спутниковой связи делают доступ к сети фактически неограниченным. То есть злоумышленнику фактически не потребуется серьезная и дорогостоящая техника для перехвата информации, циркулирующей по такой сети. Пока до сих пор не разработана детальная модель угроз, существующих в области цифровых сетей беспроводного доступа, и методов борьбы с ними. Это связано с тем, что еще не определена вероятность перехвата и дешифрования данных, а также организации несанкционированного доступа в информационную систему. Хотя привлекательность этих сетей неуклонно растет.