Защита информации в телефонных сетях

Требования, определяемые структурой автоматизированной системы обработки данных, могут  быть сформулированы в следующем виде: информация должна защищаться во всех структурных элементах автоматизированной системы обработки данных, причем специфические требования к защите информации в линиях телефонной связи сводятся к следующему:

 

• защищаемая информация должна находиться только в течение сеанса; в запоминающих устройствах (ЗУ) аппаратуры связи могут храниться только служебные части передаваемых сообщений;
• линии связи, по которым защищаемая информация передается в явном виде, должны находиться под непрерывным контролем во время передачи информации;
• перед началом каждого сеанса передачи защищаемой информации должна осуществляться проверка адреса выдачи данных;
• при передаче большого объема защищаемой информации проверка адреса передачи должна периодически производиться в процессе передачи (через заданный промежуток времени или после передачи заданного числа знаков сообщения);
• при наличии в составе аппаратуры связи процессоров и ЗУ должна вестись регистрация данных о всех сеансах передачи защищаемой

   информации;

• должны быть предусмотрены возможности аварийного уничтожения информации, находящейся в аппаратуре связи.

 

При обеспечении  недоступности информации необходимо составлять модели процесса доступа  к ней. Определяются подлежащие перекрытию каналы утечки информации, оценивается удобство общения с системой законных пользователей, оценивается недоступность информации в системе с защитой.

При анализе  каналов утечки информации следует  решить, какие каналы следует перекрыть  в первую очередь. При установлении очередности перекрытия каналов  утечки данных целесообразно учитывать, что злоумышленники могут иметь  опыт эксплуатации системы и знать, какие методы защиты применяются  в данной системе. Под опытом эксплуатации в данном случае понимают сведения о значениях среднего времени, требующегося на выполнение действий по доступу, а  также о вероятностях проникновения  в систему при использовании  различных каналов утечки данных.

При обеспечении  недоступности информации целесообразно  предположить, что злоумышленник  предпочтет воспользоваться тем  каналом утечки, в соответствии с  которым выполнение действий с большой  вероятностью приведет к проникновению  в систему, а также обеспечит  малое среднее время (малую стоимость) их выполнения.

Качество  функционирования системы защиты определяется качеством данных (их недоступностью), хранящихся и перерабатываемых в  информационной системе.

 

2. Факторы, влияющие на требуемый уровень защиты информации

 

Естественно, что требуемый уровень зашиты информации в конкретной АСОД и в конкретных условиях ее функционирования существенно зависит от учета факторов, которые сколько-нибудь существенно влияют на защиту. Таким образом, формирование более полного множества этих факторов и возможно более адекватное определение степени их влияния на требуемый уровень защиты представляется задачей повышенной важности и подлежащей упреждающему решению.

Задача довольно четко может быть разделена на две составляющие: формирование более полного и хорошо структурированного множества факторов, существенно значимых с точки зрения защиты информации, и определение показателей значимости (веса) факторов.

Исходя  из составляющих задачи, для формирования множества факторов нужно выполнить три шага: первый шаг – формирование перечня групп факторов, второй – формирование перечня факторов в каждой из выделенных групп, третий – структуризация возможных значений двух факторов. Общая схема рассматриваемой задачи по такой процедуре представлена на рисунке 5.

 

 

Рисунок 5 – Общая структура формирования перечня факторов, влияющих на требуемый уровень защиты информации

 

Сформированное  по указанной методологии множество факторов включает пять групп следующего содержания.

Группа 1 – факторы, обуславливаемые характером обрабатываемой информации:

1.1. Степень  секретности.

1.2. Объемы.

1.3. Интенсивность  обработки.

Группа 2 – факторы, обуславливаемые архитектурой АСОД:

2.1. Геометрические размеры.

2.2. Территориальная  распределенность.

2.3. Структурированность  компонентов.

Группа З – обуславливаемые условиями функционирования АСОД:

3.1. Расположение  в населенном пункте.

3.2. Расположение  на территории объекта.

3.3. Обустроенность.

Группа 4 – обуславливаемые технологией обработки информации:

4.1. Масштаб.

4.2. Стабильность.

4.3. доступность.

4.4. Структурированность.

Группа 5 – обуславливаемые организацией работы АСОД:

5.1. Общая  постановка дела.

5.2. Укомплектованность  кадрами.

5.3. Уровень  подготовки и воспитания кадров.

5.4. Уровень  дисциплины.

 

3. Методы и средства обеспечения безопасности в каналах телефонной связи

 

Комплексный подход к защите информации может  обеспечить современные требования безопасности в каналах телефонной связи, но и в любой другой автоматизированной системе. Данный подход подразумевает  комплексное развитие всех методов  и средств защиты и требует  проведения их классификации.

Процесс обеспечения безопасности в телефонных сетях, методы и средства его реализующие  представлены на рисунке 6.

Рассмотрим  основное содержание представленных методов  и средств обеспечения безопасности.

Управление доступом – метод защиты информации регулированием использования всех ресурсов системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

– идентификацию  пользователей, персонала и ресурсов системы (присвоение каждому объекту  персонального идентификатора);

–   проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

–    разрешение и создание условий работы в пределах установленного регламента;

– регистрацию (протоколирование) обращений к защищаемым ресурсам;

–   реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

 

Рисунок 6 – Методы и средства обеспечения безопасности в каналах телефонной сети.

 

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации.

Маскировка – метод защиты информации в каналах связи путем ее криптографического закрытия. Этот метод защиты широко применяется как при обработке, так и при хранении информации. При передаче информации по каналам телефонной связи большой протяженности этот метод является единственно надежным.

Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Побуждение – такой метод защиты, который побуждает пользователя и персонал системы не нарушать установленные за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и “неписанных”).

Рассмотренные выше методы обеспечения безопасности в каналах связи реализуются на практике применением различных средств защиты.

Технические средства реализуются в виде электрических, электромеханических и электронных  устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в телефонную аппаратуру или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

Физические  средства реализуются в виде автономных устройств и систем. Например, замки  на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функции защиты информации. Они состоят в том, что при каждой попытке проникновения в систему выполняется программа (комплекс программ), которая идентифицирует пользователя и определяет его права, идентифицирует терминал и т.д. Программные средства не требуют специальной аппаратуры.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые  в процессе создания и эксплуатации аппаратуры телефонной сети для обеспечения защиты информации. Реализация их не требует специальной аппаратуры. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация).

Организационные средства защиты информации играют двоякую  роль в информационной системе. Во-первых, являясь самостоятельными средствами защиты, они устанавливают нормы  поведения человека в информационной системе, определяют права и обязанности  исполнителей, обеспечивают подбор и  подготовку персонала в соответствии с требованиями конфиденциальности данных. Во-вторых, эти средства объединяют в единую систему все средства защиты данных. Применение технических  и программных средств при  отсутствии или недостаточной разработке организационных средств может  свести на нет все усилия работников системы защиты данных.

Морально-этические  средства защиты реализуются в виде всевозможных норм, которые сложились  традиционно или складываются по мере распространения вычислительной техники и средств связи в  данной стране или обществе. Эти  нормы большей частью не являются обязательными, как законодательные  меры, однако, несоблюдение их ведет  обычно к потере авторитета и престижа человека.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила использования, обработки  и передачи информации ограниченного  доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные  средства защиты делятся на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре  без непосредственного участия  человека) и неформальные (определяются целенаправленной деятельностью человека, либо регламентируют эту деятельность).

 

4. Технические средства и способы защиты информации

 

1. Технические средства защиты информации

 

Средства  защиты информации можно разделить  на:

1. Средства, предназначенные для защиты информации. Эти средства не предназначены  для непосредственной обработки,  хранения, накопления и передачи  защищаемой информации, но находящиеся  в одном помещении с ними.

Делятся на:

пассивные – физические (инженерные) средства, технические средства обнаружения, приборы контроля радиоэфира, линий связи и т.п.;

активные – источники бесперебойного питания, шумогенераторы, скремблеры, устройства отключения линии связи, программно-аппаратные средства маскировки информации и др.

2. Средства, предназначенные для непосредственной  обработки, хранения, накопления  и передачи защищаемой информации  изготовленные в защищенном исполнении.

3. Средства, предназначенные для контроля  эффективности защиты информации.

Активные технические  средства защиты акустического и  виброакустического канала.

Для активной защиты речевой информации от необнаруженных закладных устройств  и съема по другим каналам используется аппаратура активной защиты:

• Технические средства пространственного зашумления;
• Устройства виброакустической защиты;
• Технические средства ультразвуковой защиты.

Технические средства пространственного  и линейного зашумления.

По принципу действия все технические  средства пространственного и линейного  зашумления можно разделить на три  большие группы: