logo search
All_lections

Рекомендации по защите компьютерных систем от силового деструктивного воздействия

На основании полученных и рассмотренных выше результатов можно сформулировать рекомендации по защите компьютерных систем от СДВ, основные из которых приведены в табл. 2.

Таб. 2. Основные рекомендации по защите компьютерных систем от СДВ

№ п/п

Рекомендация по защите систем безопасности от СДВ

Примечание

Общие организационно-технические мероприятия

1.

Провести анализ схем электроснабжения, внутренних и внешних коммуникационных каналов объекта, а также линий аварийно-охранно-пожарной сигнализации для выявления возможных путей СДВ

К анализу привлекаются квалифицированные специалисты-электрики и связисты

2.

Произвести разделение объекта на зоны защиты и рубежи обороны: 1-й рубеж- защита по периметру объекта; 2-й рубеж- защита поэтажная; 3-й рубеж-индивидуальная защита

Для небольших объектов (офисов) 1-й рубеж может отсутствовать, а 2-й рубеж сокращается до защиты отдельного помещения

3.

После проведения монтажа системы безопасности провести тестирование на реальные воздействия

Для тестирования используются специальные имитаторы СДВ

4.

Разработать документы ограничительного характера, направленные на уменьшение возможности использования ТС СДВ

Например, запретить использование розеток выделенной сети для пылесосов и другого оборудования, в которые могут быть встроены ТС СДВ

5.

Ремонтные работы и текущее обслуживание электрооборудования, линий связи и цепей сигнализации системы безопасности необходимо производить под контролем службы безопасности

Необходимо фиксировать все проведённые доработки и усовершенствования

Защита систем безопасности от СДВ по сети питания

6.

На все фидеры, выходящие за пределы контролируемой службой безопасности (СБ) зоны, установить групповые устройства защиты (ГУЗ) от СДВ

ГУЗ установить в зонах, подконтрольных СБ

7.

На сеть электропитания серверов, систем охраны и сигнализации объекта установить индивидуальную защиту

В зависимости от решаемых задач объем индивидуальной защиты может быть существенно расширен

8.

Щитки питания, распределительные щиты, розетки, клеммы заземления и т.п. необходимо размещать в помещениях, контролируемых СБ

Не рекомендуется установка розеток в слабо контролируемых помещениях (буфет, склад, гардероб и т.п.)

9.

Используя анализатор неоднородности линии снять контрольный "портрет" электросети.

Контрольный "портрет" снимается после завершения монтажа сети

10.

Для выявления несанкционированного подключения к сети необходимо регулярно контролировать текущий "портрет" электросети и сравнивать его с контрольным "портретом".

Этот метод контроля особенно эффективен для обнаружения ТС СДВ последовательного типа

11.

Доступ к щитам питания и другим элементам электрооборудования должен быть ограничен

Ограничение определяется соответствующими документами и мероприятиями

12.

Все электрооборудование, в том числе и бытового назначения, должно тщательно проверяться

Особое внимание обратить на ИБП, микроволновые печи, пылесосы, кондиционеры, аппараты для сварки

13.

Организовать круглосуточный мониторинг сети электропитания с одновременной записью в журнале всех сбоев и повреждений оборудования, фиксацией времени сбоев и характера дефектов. Путём анализа результатов возможно своевременное обнаружение факта НСД

В качестве регистраторов можно использовать широкий спектр приборов от простых счетчиков импульсов до комплексов с ПК

14.

При закупке электрооборудования необходимо обращать внимание на степень его защиты от импульсных помех. Обычное оборудование должно иметь класс устойчивости не ниже А, ответственное- не ниже В

По стандарту IEEE 587-1980 помеха класса А: 0,5 мкс/6 кВ/200 А/1,6 Дж; класса В: 0,5 мкс/6 кВ/500 А/4 Дж

15.

Для защиты 1-го рубежа лучше всего подходят специально разработанные помехозащищенные трансформаторные подстанции и суперфильтры. Класс защиты должен быть выше В, т.е. устройство защиты должно быть рассчитано на воздействие индуцированных напряжений от близких разрядов молний с возможным импульсным током до 40 кА

Автоматические устройства переключения сети не защищают от СДВ из-за низкого быстродействия. Также малопригодны тиристорные стабилизаторы и корректоры

16.

Для защиты 2-го рубежа могут использоваться технические средства с меньшим запасом энергии, в том числе суперфильтры, корректоры напряжения и помехоподавляющие трансформаторы

Суперфильтры, помимо специальных фильтров и ограничителей напряжения, могут содержать адаптивные схемы поглощения энергии СДВ

17.

Для защиты 3-го рубежа наиболее оптимальными являются помехоподавляющие трансформаторы (трансфильтры) или сочетание корректора напряжения, ограничителя и фильтра. Трансфильтр гораздо эффективней остальных типов фильтров и корректоров напряжения

Современные конструкции трансфильтров обеспечивают работоспособность компьютера при воздействии мощной импульсной помехи с амплитудой до 10 кВ ( ! )

Защита системы безопасности от СДВ по проводным линиям

18.

На все проводные линии связи и аварийно-охранно-пожарной сигнализации, которые выходят за пределы зоны контроля службы безопасности, установить устройства защиты от СДВ

Места для установки шкафов с УЗ выбираются в зонах, подконтрольных службе безопасности

19.

Для выявления несанкционированного подключения к проводным линиям с помощью анализатора неоднородности снять контрольный "портрет" сети. Систематическое сравнение текущего и контрольного "портретов" сети обеспечивает обнаружение НСД

Контрольный "портрет" снимается только после полного завершения монтажа сети проводных линий

20.

Доступ к линиям связи и сигнализации, датчикам, кросс-панелям, мини-АТС и другим элементам системы безопасности должен быть ограничен

Ограничение обеспечивается соответствующими документами и техническими средствами

21.

Нежелательно размещение оборудования сети (маршрутизаторов, АТС, кросса и т.п.) на внешних стенах объекта

В этом случае велика вероятность успешного СДВ из неконтролируемой зоны

22.

Желательно не применять общепринятую топологию прокладки проводных линий связи и сигнализации вдоль стены параллельно друг другу, т.к. она является идеальной для атаки на объект с помощью ТС СДВ с бесконтактным ёмкостным инжектором. Целесообразно использовать многопарные кабели связи с витыми парами

В противном случае с помощью плоского накладного электрода и ТС СДВ оборудование может быть выведено из строя злоумышленником за 10-30 с

23.

При закупке оборудования необходимо учитывать степень его защиты от импульсных помех. Минимальная степень защищённости должна соответствовать ГОСТ Р 50746-95 при степени жёсткости испытаний 3-4

Амплитуда испытательного импульса должна быть 1 кВ для 3 степени и ли 2 кВ для 4 степени испытаний

24.

Для защиты 1-го рубежа необходимо установить защиту всех проводных линий от перенапряжений с помощью воздушных разрядников и варисторов. Кабели связи и сигнализации необходимо экранировать с использованием металлоруковов, труб и коробов.

Защита устанавливается как между линиями связи, так и между каждым из проводников и контуром заземления

25.

Для защиты 2-го рубежа можно использовать комбинированные низкопороговые помехозащитные схемы из таких элементов, как газовые разрядники, варисторы, комбинированные диодные ограничители, RС- и LC- фильтры и другие элементы.

Желательно установить групповое устройство защиты, выполненное в виде шкафа с замком

26.

Для защиты 3-го рубежа необходимо применять схемы защиты, максимально приближенные к защищаемому оборудованию

Схемы защиты 3 рубежа обычно интегрируются с разъёмами, розетками, компьютерами и т.п.

Защита систем безопасности от электромагнитного СДВ по эфиру

27.

Основным методом защиты от СДВ является экранирование на всех рубежах как аппаратуры, так и помещений. При невозможности экранирования всего помещения необходимо прокладывать линии связи и сигнализации в металлических трубах или по широкой заземлённой полосе металла., а также использовать специальные защитные материалы

В качестве экранирующего материала можно использовать металл, ткань, защитную краску, плёнку, специальные материалы

28.

Многорубежная защита от СДВ по эфиру организуется аналогично защите по сети питания и по проводным линиям

См. пп 15-17, 25-27

29.

Вместо обычных каналов связи использовать, по возможности, волоконно-оптические линии

Использование волоконно-оптических линий защищает также от возможной утечки информации

30.

В защищённых помещениях особое внимание обратить на защиту по сети питания, используя, в первую очередь, разрядники и экранированный кабель питания

Обратить внимание, что традиционные фильтры питания от помех здесь не спасают от СДВ

31.

Учесть необходимость устранения любых паразитных излучений как защищаемой, так и вспомогательной аппаратуры объекта

Излучения не только демаскируют аппаратуру, но и способствуют прицельному наведению электромагнитных ТС СДВ

32.

Персоналу службы безопасности необходимо учитывать, что СДВ по эфиру организуется, как правило, из неконтролируемой зоны, в то время как его деструктивное действие осуществляется по всей территории объекта

Расширение зоны контроля службы безопасности возможно за счет использования телевизионного мониторинга за пределами объекта