Министерство образования и науки, молодежи и спорта Украины
Харьковский национальный университет радиоэлектроники
Факультет Телекоммуникаций и измерительной техники
Кафедра Телекоммуникационных систем
Курсовой проект
по дисциплине: «Основы технической защиты информации»
«РАЗРАБОТКА МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ПОМЕЩЕНИЯ ОТ УТЕЧКИ ИНФОРМАЦИИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ»
Выполнил: Проверил:
ст. гр. УИБ 09-1 доцент каф. ТКС
Победря В.А. Снегуров А. В
Харьков 2011
КУРСОВОЙ ПРОЕКТ
Курсовой проект содержит: 25 страниц, 7 рисунков, 12 таблиц, 5 источников.
Цель работы: Закрепление навыков защиты помещений от утечки через технические каналы.
Ключевые слова: Безопасность, Помещение, Канал, Защита, Сигнал, Риск, Ущерб, Стоимость.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ………………………………………………………………………........................ |
.....4 |
1 ПЛАН ПОМЕЩЕИЯ ИЗДАНИЯ......……………………………………………………….... |
.....6 |
1.1 План помещения.......................................................................................................... |
.....6 |
1.2 План здания.................................................................................................................. |
.....7 |
2 ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ……............................................................................ |
….9 |
2.1 Технические каналы утечки речевой информации.................................................. |
.....9 |
2.1.1 Прямой акустический канал……………………………………………… |
.....9 |
2.1.2 Виброакустический канал............................................................................ |
….9 |
2.1.3 Акустооптический канал.............................................................................. |
.....9 |
2.1.4 Акустоэлектрический канал……………………………………………… |
…..9 |
2.2 Технические каналы утечки информации, обрабатываемые ТСПИ…………….. |
...10 |
2.2.1 Перехват ПЭМИ…………………………………………………………… |
…10 |
2.2.2 Перехват наводок информационных сигналов………………………….. |
....10 |
3 ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ………………………….. |
...11 |
3.1 Определение обобщенного риска………………………………………………….. |
...11 |
3.2 Определение уровня риска…………………………………………………………. |
...12 |
3.3 Определение ущерба………………………………………………………………... |
...13 |
3.4 Отбор самых существенных рисков……………………………………………….. |
...14 |
4 ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ПОМЕЩЕНИЯ……………………….. |
...15 |
4.1 Перекрытие канала утечки через ПЭМИ………………………………………….. |
...15 |
4.2 Перекрытие канала утечки через прямой акустический канал…………………... |
…16 |
4.3 Перекрытие виброакустического канала утечки………………………………….. |
…17 |
5 ПЕРЕСЧЕТ РАЗМЕРА ОЖИДАЕМЫХ ГОДОВЫХ ПОТЕРЬ, С УЧЕТОМ ПРЕДПРИНЯТЫХ МЕР………………………………………………………………………... |
...20 |
6 ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ПОМЕЩЕНИЯ……………….. |
...22 |
6.1 Круглосуточные мероприятия……………………………………………………… |
…22 |
6.2 Временные мероприятия……………………………………………………………. |
…23 |
ВЫВОДЫ....................................................................................................................................... |
...24 |
СПИСОК ЛИТЕРАТУРЫ............................................................................................................. |
...25 |
ВВЕДЕНИЕ
С древнейших времен любая деятельность людей основывалась на получении и владении информацией, т.е. на информационном обеспечении. Именно информация является одним из важнейших средств решения проблем и задач, как на государственном уровне, так и на уровне коммерческих организаций и отдельных лиц. Но так как получение информации путем проведения собственных исследований и создания собственных технологий является достаточно дорогостоящим, то часто выгоднее потратить определенную сумму на добывание уже существующих сведений. Таким образом, информацию можно рассматривать как товар. А бурное развитие техники, технологии и информатики в последние десятилетия вызвало еще более бурное развитие технических устройств и систем разведки. В создание устройств и систем ведения разведки всегда вкладывались и вкладываются огромные средства во всех развитых странах.
Во времена Советского Союза с вопросами информационной безопасности были связаны только государственные службы, такие как КГБ, Армия и Флот. В наше же время, когда в стране существует множество коммерческих организаций, появляется коммерческий шпионаж между конкурирующими предприятиями. В связи с этим все большее количество людей, так или иначе, начинают пересекаться с вопросами информационной безопасности. Кто-то хочет украсть информацию, кто-то ее защищает, все это образует весьма сложную и непредсказуемую обстановку.
Стремительное развитие информационных систем, компьютеризация и внедрение новейших технологий во все сферы деятельности общества и государства в целом, значительно ускоряет и совершенствует роботу организаций, предприятий и учреждений всех форм собственности. Однако такое развитие несет в себе целый ряд угроз связанных с нарушениями конфиденциальности, целостности и доступности информации, которые, в свою очередь, приводят к различным потерям (в том числе – финансовым) и часто - весьма значительным.
Одним из основных препятствий, встающих на пути развития информационной безопасности экономической информации, в частности, в Украине, является непонимание важности вопроса руководителями фирм, предприятий, банков. В обеспечение физической безопасности деньги вкладываются без колебаний, а кража "нематериальной" информации представляется чем-то далеким от жизни и актуальным только для голливудских блокбастеров. А зря. Воспользовавшись конфиденциальной информацией, конкуренты могут подорвать репутацию фирмы, вызвав недоверие ее партнеров, привлечь внимание государственных органов, криминальных структур, наконец, воспользоваться данными для перехвата заказчиков, поставщиков, использовать в своих целях ноу-хау.
Однако, несмотря на ряд проблем, сфера информационной безопасности все же развивается, и все больше украинских фирм начинают внедрять в свой бизнес-процесс решения по обеспечению информационной безопасности. Такими решениями выступают техническая защита, компьютерная (программная) и защита от социальной инженерии. В данном курсовом проекте будет подробно рассмотрена защита от утечки информации по техническим каналам.
За последние сто лет технические каналы, стали традиционными каналами утечки информации. Поэтому правильный подход к перекрытию этих каналов является одной из главных задач в обеспечении защиты информации. Помимо технических средств защиты информации за последние годы были разработаны методики оценки рисков, которые позволяют выбрать только самые опасные каналы утечки, которые затем следует перекрыть. Данные методики созданы с целью уменьшения затрат на обеспечение информационной безопасности предприятия. Одна из таких методик будет использована и в данном курсовом проекте.
В целом же задачей данного курсового проекта является выбор конкретного помещения и, с учетом его характеристик и местоположения, расчет всех возможных угроз информационной безопасности. После расчета угроз, для данного помещения будут приняты контрмеры, после чего угрозы будут вновь пересчитаны, с целью исследования эффективности контрмер.
Последним этапом в создании защищенного помещения будет создание организационных мероприятий, которые в комплексе с техническими средствами обеспечат надежную защиту помещения от угроз информационной безопасности.
1 План помещеия и здания
Первым шагом, при исследовании помещения, является составление его подробного плана. Затем следует исследовать прилежащую к помещению территорию и оценить контролируемую зону. Все это необходимо для правильности оценки рисков, а также для оптимального принятия контрмер.
1.1 План помещения
В качестве исследуемого помещения в данном курсовом проекте была выбрана аудитория «21з», которая изображена на рисунке 1.1.1.
Рисунок 1.1.1 – План защищаемого помещения.
Данное помещение находится на втором этаже корпуса «З», и окружено неконтролируемыми аудиториями. Так, справа от аудитории находится аудитория «25з», сверху «33з», а снизу промышленное предприятие «Опытный завод». Все это представляет собой серьезные проблемы в обеспечении защиты от утечки информации по техническим каналам разведки.
На рабочих местах «1», «2» и «3» установлены компьютеры, на которых производится обработка конфиденциальной информации, утечка которой может привести к серьезным потерям для предприятия. Также в помещении, производятся совещания, на которых конфиденциальная информация: озвучивается вслух, высвечивается на стене с помощью проектора (который установлен на рабочем месте «4») и может быть записана на доске.
Содействуют утечке информации: телефонный аппарат (установлен на рабочем месте «14»); трубы центрального отопления; пожарная сигнализация; сеть электропитания, подключенная к распределительному щиту, находящемуся на первом этаже (в неконтролируемой зоне) и сеть заземления.
1.2 План здания
Исследуемое помещение находится в корпусе «З» Харьковского национального университета радиоэлектроники. Данный корпус окружен неконтролируемой территорией, на которой находится множество зданий (Рис. 1.2.1).
Рисунок 1.2.1 – Корпус «З» и окружающие постройки.
Как видно из рисунка 1.2.1, от аудитории «21з» до ближайшего здания (Главный корпус) всего семнадцать метров, что способствует утечке информации по акустооптическому каналу. Рядом со зданием также находится корпус «И», однако вследствие того, что аудитория «21з» находится довольно далеко этого здания, его можно не учитывать при оценке рисков информационной безопасности.
Для полной картины на рисунке 1.2.2 приведен снимок корпуса «З» со спутника. Как видно из этого рисунка, за «Главным» корпусом находится еще одно здание (Бункер), однако это здание полностью заслонено «Главным» корпусом, поэтому его не следует брать во внимание.
Последнее, что следует отметить, как показано на рисунке 1.2.1, окна аудитории «21з» выходят лишь на одну сторону, что делает невозможным прослушивание аудитории по акустооптическому каналу со стороны улицы «Серповой» (Рис 1.2.2).
Рисунок 1.2.2 – Вид корпуса «З» со спутника.
В целом аудитория и здание, в котором она находится, обладают весьма неблагоприятным местоположением, так как контролируемая зона ограничивается пределами самой аудитории, а здание окружают другие постройки. Это требует больших затрат на закупку средств, снижающих риски информационной безопасности.