необеспеченность оценок качества информационной безопасности, в том числе и при настройке СЗРИ, инструментальными средствами контроля;
невнимание к угрозам компенсации излучаемых СЗРИ помех и перехвата содержания скрываемых переговоров при поверхностном соблюдении норм и требований по защите информации;
недооценку опасности выхода из строя (по различным причинам) аппаратуры защиты информации.
Первая проблема связана с активно развивающейся в настоящее время нормативной базой в области защиты информации: требования руководящих документов по номенклатуре измеряемых в ходе контроля параметров и точности их оценки чрезвычайно жесткие и практически не могут быть выполнены с использованием аппаратуры общего применения. Основными техническими задачами контроля эффективности защиты речевой информации являются измерение параметров акустических, виброакустических сигналов и сигналов электроакустических преобразований. При этом специальные требования к таким комплексам определяются необходимостью контроля сигналов с большим динамическим диапазоном, параметров слабых сигналов, проведения в ходе контроля большего числа единичных измерений, документирования результатов измерений и расчета показателей качества защиты информации. Например, следует проводить оценки уровня акустического или вибрационного сигнала для ряда частот в пяти октавных полосах, повторять такие измерения в нескольких точках с последующим преобразованием результатов в значение словесной разборчивости речи [1, 2]. Аппаратура для проведения этих измерений должна быть специализированной, высокого класса точности (при пересчете в показатель разборчивости ошибка накапливается) и автоматизированной (для получения результатов в реальные сроки) [3].
Потенциальным потребителям в качестве аппаратуры контроля зачастую предлагаются средства типа электронных стетоскопов и т. п., пригодных лишь для грубой оценки состояния звуко- и виброизоляции, но не для контроля параметров виброакустических и электрических сигналов с требуемым качеством и достоверностью. Отсутствие в соответствующих службах аппаратуры контроля, удовлетворяющей современным требованиям, зачастую и обусловливает появление каналов утечки информации при кажущемся достаточным уровне защиты. Однако предложения такой аппаратуры на рынке СЗРИ практически ограничиваются одним-двумя типами комплексов [4-6].
Технические проблемы, стоящие перед разработчиками аппаратуры, могут быть проиллюстрированы на примере контроля сигналов электроакустических преобразований. Данная задача связана с наличием у некоторых технических устройств микрофонных свойств, вследствие чего под воздействием акустических волн в них наводятся электрические сигналы, которые по различным электрическим цепям и токопроводящим элементам конструкций могут распространяться за пределы контролируемой территории. Актуальность задачи подтверждается тем, что уровни таких сигналов от незащищенных телефонных аппаратов на 2-3 порядка превосходят нормы по требованиям безопасности информации. При широком использовании незащищенной импортной техники данный канал утечки информации становится одним из наиболее опасных.
Для контроля сигналов электроакустических преобразований на соответствие действующим нормам погрешность измерения напряжений не должна превосходить 10-8 В, причем тестовый сигнал следует обнаруживать и оценивать на фоне помех с соизмеримыми уровнями. Наиболее приемлемым решением данной задачи является обработка сигнальных выборок большего объема цифровыми методами. Аналогичные по сложности измерения должны проводиться и при акустическом, и при вибрационном контроле, каждый из которых обладает собственной спецификой. Единственно целесообразным вариантом построения специализированных комплексов контроля эффективности защиты речевой информации является способ (рис.1), базирующийся на использовании цифровых сигнальных процессоров, средств вычислительной техники и сигнальных концентраторов, служащих для приема и предварительной обработки сигналов от нескольких различных датчиков (измерительного микрофона, акселерометра, токовых клещей, магнитной и электрической антенн и т. п.).
Рис. 3. Схема канала утечки речевой информации
В охарактеризованных условиях основным способом компенсации помехи при попытке добывания конфиденциальной информации следует считать двух-, трехканальный съем смеси сигнала с помехой в разнесенных по ограждающей конструкции защищаемого помещения точках с последующим вычитанием помехи. Вариант реализации такого способа заключается, например, в синхронной регистрации сигнала двумя или более радиозакладками с вибродатчиками (рис. 3), размещенными на внешней поверхности стены помещения, защита которой производится одним вибропреобразователем СЗРИ. Суть способа компенсации основывается на двух "столпах". Во-первых, скорости распространения звука в строительных конструкциях на порядок и более превышает скорость его распространения в воздухе (в кирпичной или бетонной стене этот показатель составляет около 3500-4000 м/с, в воздухе - около 330 м/с). Во-вторых, при вычитании из речевого сигнала такого же сигнала с задержкой, лежащей в диапазоне 1-10 м/с (соответствует разности хода в воздушном пространстве до точек приема в 0,3-3 м) разборчивость речи практически не ухудшается. Следовательно, при расположении говорящего в произвольной точке помещения (примерная конфигурация канала утечки информации приведена на рис. 3), излучающего помеху вибратора - в центральной части стены, а добывающих информацию вибродатчиков - на взаимном расстоянии около 3 м, сигнал на выходе каждого вибродатчика будет представлять собой смесь речевого сигнала с помехой с различным временным смещением. Переданные в пункт сбора информации и зарегистрированные сигналы в последующем могут быть обработаны по простейшему алгоритму, заключающемуся в нормировке по уровню, компенсации временной задержки в одном из каналов и получении разностного сигнала. Реализация данной схемы обработки не требует специальной аппаратуры и может быть произведена, например, с помощью простейших аудиоредакторов на персональной вычислительной машине. В результате вычитания одного сигнала из другого после их нормировки по амплитуде и при компенсированной задержке во времени распространения помехи до того или иного вибродатчика обеспечивается практически полная очистка полезного речевого сигнала от помехи [8].
Таким образом, применение средств активного зашумления речевой информации не является гарантией от перехвата последней даже при избыточной мощности помехи и несмотря на соблюдение норм и требований в том случае, если значительные (с линейными размерами в несколько метров) зоны ограждающей конструкции защищаются лишь одним излучающим помеху вибратором. Аналогичный вывод справедлив и для нескольких распределенных по поверхности виброизлучателей, запитываемых от одного источника. Применение рассмотренных выше методов съема речевой информации усложняется в случае, когда в каждой точке ограждающей конструкции присутствуют помехи от нескольких некоррелированных источников с достаточной для эффективной защиты информации мощностью. Эффективную маскирующую помеху на ограждающей конструкции выделенного для проведения конфиденциальных переговоров помещения позволяет сформировать СРЗИ с тремя и более независимыми каналами помех при специальных способах размещения излучателей на ограждающих конструкциях [8].
Таким образом, повышение эффективности защиты речевой информации должно основываться на способах создания поверхностно-декоррелированных помех, исключающих возможность их компенсации при многоканальном съеме информации. Наиболее перспективным является использование многоканальных СЗРИ с независимыми каналами формирования помех, числом каналов не менее трех и достаточно высокой мощностью помех, обеспечивающей значительные зоны защиты на ограждающих конструкциях защищаемых помещений.
Важной проблемой, на которой необходимо остановиться, является мониторинг качества защиты речевой информации на объекте или, другими словами, об оценке качества создаваемых помех с выработкой сигналов тревоги в случае отключения помехи или недопустимого изменения ее параметров и последующего восстановления требуемого состояния ЗИ. Наиболее общим является случай, когда система защиты информации многоканальна по направлениям защиты - ограждающим конструкциям (даже в случае защиты одного помещения). Существует много объективных и субъективных причин, которые могут явиться источником сбоев и нарушений в функционировании таких многоканальных систем, эксплуатируемых в рабочих помещениях, а вероятность возникновения канала утечки информации пропорциональна количеству направлений защиты (для одного помещения их число достигает 6-10). Так, источники помехового излучения - вибропреобразователи, излучая виброакустическую помеху, сами постоянно находятся под воздействием вибрации. Следствием этого является высокая вероятность разрушения элементов их крепления на ограждающих конструкциях, что немедленно влечет снижение качества помехи.
Решением проблемы является создание распределенных систем, объединяющих как средства виброзашумления, так и средства мониторинга качества помех. Элементами такой системы должны быть датчики информации, размещаемые на ограждающих конструкциях совместно с вибропреобразователями, многоканальные устройства дистанционного контроля и дистанционного управления аппаратурой виброзашумления (виброгенераторами). Наиболее целесообразен модульный принцип построения системы, при котором она может наращиваться, ее элементы - объединяться в различных комбинациях, а управление - осуществляться с ПЭВМ. Пока данное направление развития средств защиты информации слабо освоено, хотя актуальность его несомненна, особенно если принимаются во внимание обсуждавшуюся выше необходимость реализации способов создания декоррелированных помех на ограждающих конструкциях. Таким образом, к числу важных задач развития систем и комплексов защиты речевой информации следует отнести совершенствование инструментальных средств контроля эффективности защиты речевой информации: создание специализированных комплексов проверки выполнения норм ЗИ и распределенных многоканальных систем текущего контроля качества ЗИ, а также многоканальных СЗРИ, обеспечивающих возможность формирования помех, устойчивых к методам их компенсации. В ряду проблем защиты речевой информации данные задачи направлены на повышение полноты, оперативности и достоверности оценок информационной безопасности, а также ее устойчивости в условиях развития методов и средств доступа к конфиденциальным сведениям.
Литература
Железняк В. К., Макаров Ю. К., Хорев А. А. Некоторые методические подходы к оценке эффективности защиты речевой информации/Специальная техника. - М.: 2000, № 4.
Макаров Ю. К., Хорев А. А. К оценке эффективности защиты акустической (речевой) информации/Специальная техника. - М.: 2000, №5.
Бортников А. Н., Губин С. В., Комаров И. В., Майоров В. И. Способы и средства защиты речевой информации и контроля их эффективности/Информация и безопасность. - Воронеж:,1999, № 4.
Системы безопасности: Межотраслевой тематический каталог. - М.: Гротек, 1999.
Специальная техника: Каталог. - НПЦ "НЕЛК", 2001.
Специальная техника: Каталог технических изделий. - ОАО "НОВО", 2000. 7. Калинин С. В. О некоторых новых тенденциях в развитии систем виброакустического зашумления/Защита информации. Конфидент. - СПб.: 1999, № 4-5.
Бортников А. Н., Богаев А. С., Герасименко В. Г., Губин С. В., Комаров И. В. Пути повышения эффективности защиты речевой информации/Вопросы защиты информации. - М.: 2000, № 4.
Информация об авторе статьи
Информация взята с сайта www.confident.ru
Авторы: А. Н. Бортников, С. В. Губин, И. В. Комаров, В. И. Майоров
Случайные статьи
Микрософт - доказанная угроза национальной безопасности ч.2
Профессионалы в сфере информационных технологий просто обязаны найти время и серьезно рассмотреть потенциал для будущих проблем с безопасностью... Мир информационных технологий должен послать общее по...
Что такое СПАМ
Зачастую пользователи просто не обращают внимания на сетевую рекламу, удаляя такие сообщения из своих почтовых ящиков. На самом деле пагубность таких рассылок заключается в том, что спамеру это практи...
Куда посылать жалобу на спам
Вы получили письмо с рекламой, которое не запрашивали. Вы не имеете представления как эта информация попала к Вам. Вы не хотите ее получать и платить деньги за скачивание подобного мусора. Что делать ...
Некоторые мифы компьютерной безопасности
Актуальность задачи защиты информации, хранимой в компьютерных системах (КС), в настоящее время не вызывает сомнений. Многочисленные примеры атак КС как хакерами-одиночками, так и преступными группами...
Домашним компьютерам нужна защита
Если необходимо защитить корпоративную сеть от внешних атак, то выбор защитных средств достаточно велик. И в первую очередь - это высокоэффективные и надежные межсетевые экраны (МСЭ), такие как, напри...