Рекомендации по защите компьютерных систем от силового деструктивного воздействия
На основании полученных и рассмотренных выше результатов можно сформулировать рекомендации по защите компьютерных систем от СДВ, основные из которых приведены в табл. 2.
Таб. 2. Основные рекомендации по защите компьютерных систем от СДВ
| № п/п | Рекомендация по защите систем безопасности от СДВ | Примечание |
| Общие организационно-технические мероприятия | ||
| 1. | Провести анализ схем электроснабжения, внутренних и внешних коммуникационных каналов объекта, а также линий аварийно-охранно-пожарной сигнализации для выявления возможных путей СДВ | К анализу привлекаются квалифицированные специалисты-электрики и связисты |
| 2. | Произвести разделение объекта на зоны защиты и рубежи обороны: 1-й рубеж- защита по периметру объекта; 2-й рубеж- защита поэтажная; 3-й рубеж-индивидуальная защита | Для небольших объектов (офисов) 1-й рубеж может отсутствовать, а 2-й рубеж сокращается до защиты отдельного помещения |
| 3. | После проведения монтажа системы безопасности провести тестирование на реальные воздействия | Для тестирования используются специальные имитаторы СДВ |
| 4. | Разработать документы ограничительного характера, направленные на уменьшение возможности использования ТС СДВ | Например, запретить использование розеток выделенной сети для пылесосов и другого оборудования, в которые могут быть встроены ТС СДВ |
| 5. | Ремонтные работы и текущее обслуживание электрооборудования, линий связи и цепей сигнализации системы безопасности необходимо производить под контролем службы безопасности | Необходимо фиксировать все проведённые доработки и усовершенствования |
| Защита систем безопасности от СДВ по сети питания | ||
| 6. | На все фидеры, выходящие за пределы контролируемой службой безопасности (СБ) зоны, установить групповые устройства защиты (ГУЗ) от СДВ | ГУЗ установить в зонах, подконтрольных СБ |
| 7. | На сеть электропитания серверов, систем охраны и сигнализации объекта установить индивидуальную защиту | В зависимости от решаемых задач объем индивидуальной защиты может быть существенно расширен |
| 8. | Щитки питания, распределительные щиты, розетки, клеммы заземления и т.п. необходимо размещать в помещениях, контролируемых СБ | Не рекомендуется установка розеток в слабо контролируемых помещениях (буфет, склад, гардероб и т.п.) |
| 9. | Используя анализатор неоднородности линии снять контрольный "портрет" электросети. | Контрольный "портрет" снимается после завершения монтажа сети |
| 10. | Для выявления несанкционированного подключения к сети необходимо регулярно контролировать текущий "портрет" электросети и сравнивать его с контрольным "портретом". | Этот метод контроля особенно эффективен для обнаружения ТС СДВ последовательного типа |
| 11. | Доступ к щитам питания и другим элементам электрооборудования должен быть ограничен | Ограничение определяется соответствующими документами и мероприятиями |
| 12. | Все электрооборудование, в том числе и бытового назначения, должно тщательно проверяться | Особое внимание обратить на ИБП, микроволновые печи, пылесосы, кондиционеры, аппараты для сварки |
| 13. | Организовать круглосуточный мониторинг сети электропитания с одновременной записью в журнале всех сбоев и повреждений оборудования, фиксацией времени сбоев и характера дефектов. Путём анализа результатов возможно своевременное обнаружение факта НСД | В качестве регистраторов можно использовать широкий спектр приборов от простых счетчиков импульсов до комплексов с ПК |
| 14. | При закупке электрооборудования необходимо обращать внимание на степень его защиты от импульсных помех. Обычное оборудование должно иметь класс устойчивости не ниже А, ответственное- не ниже В | По стандарту IEEE 587-1980 помеха класса А: 0,5 мкс/6 кВ/200 А/1,6 Дж; класса В: 0,5 мкс/6 кВ/500 А/4 Дж |
| 15. | Для защиты 1-го рубежа лучше всего подходят специально разработанные помехозащищенные трансформаторные подстанции и суперфильтры. Класс защиты должен быть выше В, т.е. устройство защиты должно быть рассчитано на воздействие индуцированных напряжений от близких разрядов молний с возможным импульсным током до 40 кА | Автоматические устройства переключения сети не защищают от СДВ из-за низкого быстродействия. Также малопригодны тиристорные стабилизаторы и корректоры |
| 16. | Для защиты 2-го рубежа могут использоваться технические средства с меньшим запасом энергии, в том числе суперфильтры, корректоры напряжения и помехоподавляющие трансформаторы | Суперфильтры, помимо специальных фильтров и ограничителей напряжения, могут содержать адаптивные схемы поглощения энергии СДВ |
| 17. | Для защиты 3-го рубежа наиболее оптимальными являются помехоподавляющие трансформаторы (трансфильтры) или сочетание корректора напряжения, ограничителя и фильтра. Трансфильтр гораздо эффективней остальных типов фильтров и корректоров напряжения | Современные конструкции трансфильтров обеспечивают работоспособность компьютера при воздействии мощной импульсной помехи с амплитудой до 10 кВ ( ! ) |
| Защита системы безопасности от СДВ по проводным линиям | ||
| 18. | На все проводные линии связи и аварийно-охранно-пожарной сигнализации, которые выходят за пределы зоны контроля службы безопасности, установить устройства защиты от СДВ | Места для установки шкафов с УЗ выбираются в зонах, подконтрольных службе безопасности |
| 19. | Для выявления несанкционированного подключения к проводным линиям с помощью анализатора неоднородности снять контрольный "портрет" сети. Систематическое сравнение текущего и контрольного "портретов" сети обеспечивает обнаружение НСД | Контрольный "портрет" снимается только после полного завершения монтажа сети проводных линий |
| 20. | Доступ к линиям связи и сигнализации, датчикам, кросс-панелям, мини-АТС и другим элементам системы безопасности должен быть ограничен | Ограничение обеспечивается соответствующими документами и техническими средствами |
| 21. | Нежелательно размещение оборудования сети (маршрутизаторов, АТС, кросса и т.п.) на внешних стенах объекта | В этом случае велика вероятность успешного СДВ из неконтролируемой зоны |
| 22. | Желательно не применять общепринятую топологию прокладки проводных линий связи и сигнализации вдоль стены параллельно друг другу, т.к. она является идеальной для атаки на объект с помощью ТС СДВ с бесконтактным ёмкостным инжектором. Целесообразно использовать многопарные кабели связи с витыми парами | В противном случае с помощью плоского накладного электрода и ТС СДВ оборудование может быть выведено из строя злоумышленником за 10-30 с |
| 23. | При закупке оборудования необходимо учитывать степень его защиты от импульсных помех. Минимальная степень защищённости должна соответствовать ГОСТ Р 50746-95 при степени жёсткости испытаний 3-4 | Амплитуда испытательного импульса должна быть 1 кВ для 3 степени и ли 2 кВ для 4 степени испытаний |
| 24. | Для защиты 1-го рубежа необходимо установить защиту всех проводных линий от перенапряжений с помощью воздушных разрядников и варисторов. Кабели связи и сигнализации необходимо экранировать с использованием металлоруковов, труб и коробов. | Защита устанавливается как между линиями связи, так и между каждым из проводников и контуром заземления |
| 25. | Для защиты 2-го рубежа можно использовать комбинированные низкопороговые помехозащитные схемы из таких элементов, как газовые разрядники, варисторы, комбинированные диодные ограничители, RС- и LC- фильтры и другие элементы. | Желательно установить групповое устройство защиты, выполненное в виде шкафа с замком |
| 26. | Для защиты 3-го рубежа необходимо применять схемы защиты, максимально приближенные к защищаемому оборудованию | Схемы защиты 3 рубежа обычно интегрируются с разъёмами, розетками, компьютерами и т.п. |
| Защита систем безопасности от электромагнитного СДВ по эфиру | ||
| 27. | Основным методом защиты от СДВ является экранирование на всех рубежах как аппаратуры, так и помещений. При невозможности экранирования всего помещения необходимо прокладывать линии связи и сигнализации в металлических трубах или по широкой заземлённой полосе металла., а также использовать специальные защитные материалы | В качестве экранирующего материала можно использовать металл, ткань, защитную краску, плёнку, специальные материалы |
| 28. | Многорубежная защита от СДВ по эфиру организуется аналогично защите по сети питания и по проводным линиям | См. пп 15-17, 25-27 |
| 29. | Вместо обычных каналов связи использовать, по возможности, волоконно-оптические линии | Использование волоконно-оптических линий защищает также от возможной утечки информации |
| 30. | В защищённых помещениях особое внимание обратить на защиту по сети питания, используя, в первую очередь, разрядники и экранированный кабель питания | Обратить внимание, что традиционные фильтры питания от помех здесь не спасают от СДВ |
| 31. | Учесть необходимость устранения любых паразитных излучений как защищаемой, так и вспомогательной аппаратуры объекта | Излучения не только демаскируют аппаратуру, но и способствуют прицельному наведению электромагнитных ТС СДВ |
| 32. | Персоналу службы безопасности необходимо учитывать, что СДВ по эфиру организуется, как правило, из неконтролируемой зоны, в то время как его деструктивное действие осуществляется по всей территории объекта | Расширение зоны контроля службы безопасности возможно за счет использования телевизионного мониторинга за пределами объекта |
- Оглавление
- Тема: «основные понятия и положения защиты информации в информационных системах»
- 3. Ценность информации изменяется во времени.
- 4. Информация покупается и продается.
- Лекция 02 (2 часа) «понятие сложной системы: элементы и подсистемы, управление и информация, самоорганизация»
- Лекция 03(2 часа) «информационные системы и их классификации» Основные понятия
- Автоматизированные системы управления
- Системы поддержки принятия решений
- Автоматизированные информационно-вычислительные системы
- Проблемно-ориентированные имитационные системы
- Моделирующее центры
- Автоматизированные системы обучения
- Автоматизированные информационно-справочные
- Лекция 04(2 часа) Тема: «угрозы безопасности информации в компьютерных системах»
- Случайные угрозы
- Преднамеренные угрозы
- 1) Традиционный шпионаж и диверсии
- 2) Несанкционированный доступ к информации
- 3) Электромагнитные излучения и наводки
- 4) Несанкционированная модификация структур
- 5) Вредительские программы
- 6) Классификация злоумышленников
- Лекция 05(2 часа)
- 1 Дублирование информации
- 2. Повышение надежности кс
- 3. Создание отказоустойчивых кс
- 4. Блокировка ошибочных операций
- 5. Оптимизация взаимодействия пользователей и обслуживающего персонала с кс
- 6. Минимизация ущерба от аварий и стихийных бедствий
- Лекция 06(4 часа)
- §1. Система охраны объекта кс
- 1.1. Инженерные конструкции
- 1.2. Охранная сигнализация
- 1.3. Средства наблюдения
- 1.4. Подсистема доступа на объект
- 1.5. Дежурная смена охраны
- §2. Организация работ с конфиденциальными информационными ресурсами на объектах кс
- §3. Противодействие наблюдению в оптическом диапазоне
- §4. Противодействие подслушиванию
- §5. Средства борьбы с закладными подслушивающими устройствами
- 5.1. Средства радиоконтроля помещений
- 5.2. Средства поиска неизлучающих закладок
- 5.3. Средства подавления закладных устройств
- §6. Защита от злоумышленных действий обслуживающего персонала и пользователей
- Лекция 07(2 часа) Тема: «методы защиты от несанкционированного изменения структур ас»
- §1. Общие требования к защищённости ас от несанкционированного изменения структур
- §2. Защита от закладок при разработке программ
- 2.1. Современные технологии программирования
- 2.2 Автоматизированная система разработки программных средств
- 2.3. Контрольно-испытательный стенд
- 2.4 Представление готовых программ на языках высокого уровня
- 2.5 Наличие трансляторов для обнаружения закладок
- §3 Защита от внедрения аппаратных закладок на этапе разработки и производства
- §4 Защита от несанкционированного изменения структур ас в процессе эксплуатации
- 4.1 Разграничение доступа к оборудованию
- 4.2 Противодействие несанкционированному подключению устройств
- 4.3 Защита внутреннего монтажа, средств управления и коммутации от несанкционированного вмешательства
- 4.4 Контроль целостности программной структуры в процессе эксплуатации
- Лекция 08(2 часа) Тема: «защита информации в ас от несанкционированного доступа»
- §1. Система разграничения доступа к информации в ас
- 1.1. Управление доступом
- 1.2. Состав системы разграничения доступа
- 1.3. Концепция построения систем разграничения доступа
- 1.4. Современные системы защиты пэвм от несанкционированного доступа к информации
- §2. Система защиты программных средств от копирования и исследования
- 2.1. Методы, затрудняющие считывание скопированной информации
- 2.2. Методы, препятствующие использованию скопированной информации
- 2.3. Защита программных средств от исследования
- Лекция 09(2 часа) Тема: «защита компьютерных систем от силовых деструктивных воздействий «
- 1. Каналы силового деструктивного воздействия на компьютерные системы
- Классификация средств силового деструктивного воздействия Технические средства сдв по сетям питания
- Технические средства сдв по проводным каналам
- Технические средства сдв по эфиру
- Рекомендации по защите компьютерных систем от силового деструктивного воздействия
- Заключение
- Лекция 10(4 часа) Тема: «защита информации в распределённых компьютерных системах»
- §1. Архитектура распределённых кс
- §2. Особенности защиты информации в ркс
- §3. Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных кс
- §4. Защита информации на уровне подсистемы управления ркс
- Семиуровневая модель osi
- §5. Защита информации в каналах связи
- 5.1. Межсетевое экранирование
- 5.2. Подтверждение подлинности взаимодействующих процессов
- А. Проверка подлинности процессов при распределении ключей с использованием црк
- Б. Проверка подлинности взаимодействующих процессов при прямом обмене сеансовыми ключами
- §6. Подтверждение подлинности информации, получаемой по коммуникационной подсети
- §7. Особенности защиты информации в базах данных
- Лекция 11(2 часа) Тема: «эффективность защищенной ас. Управление рисками»
- §1. Методики оценки рисков
- 1.1 Модель качественной оценки
- 1.2. Количественная модель рисков
- 1.3. Наиболее вероятные атаки
- I Методологические ошибки:
- II Windows – системы:
- III Unix – системы:
- Лекция 12(3 часа) Тема: «основы построения комплексных систем защиты информации автоматизированых систем»
- §1 Концепция создания защищённых ас
- §2 Этапы создания комплексной системы защиты информации
- §3 Научно-исследовательская разработка ксзи
- §4 Моделирование ксзи
- §4.1. Специальные методы неформального моделирования
- §4.2 Декомпозиция общей задачи оценки эффективности функционирования ксзи
- §4.3 Макромоделирование
- §5 Выбор показателей эффективности и критериев оптимальности ксзи
- §6. Математическая постановка задачи разработки комплексной системы защиты информации
- §7 Подходы к оценке эффективности ксзи
- §7.1 Классический подход
- §7.2 Официальный подход
- §7.3 Экспериментальный подход
- §8 Создание организационной структуры ксзи
- Лекция 13(2 часа) Тема «средства контроля эффективности защиты информации в автоматизированных системах»
- 1. Классификация методов и средств контроля эффективности зи в ас
- 2. Сканеры безопасности ас
- 3. Система контроля защищённости и соответствия стандартам maxpatrol
- 3.1. Контроль защищённости и соответствия стандартам
- 3.2. Сетевой сканер xSpider
- 4. Решения компании Internet Security Systems (iss)
- Лекция 14(2 часа)
- 1.2. Обеспечение целостности и доступности информации в ас
- 2. Техническая эксплуатация ксзи
- Лекция 15(2 часа) «принципы системного проектирования автоматизированных систем»
- 1. Понятие информационного конфликта
- 2. Принцип целостности
- 3. Принцип рациональной декомпозиции
- 4. Принцип автономности
- 5. Принципы дополнительности и действия
- 6. Принципы консервативности и базовой точки
- 7. Принципы ограниченности целенаправленности поведения и неопределённости
- Лекция 16(2 часа) «общая характеристика процесса проектирования автоматизированных систем»
- 1. Основные стадии проектирования систем защиты информации
- I вариант: проектирование сзи для новой ас
- 1) Предпроектная стадия
- 2) Разработка проекта сзи
- 3) Ввод в действие сзи
- 2. Типовое содержание работ по этапам создания ас в защищённом исполнении по гост 34.601
- 2.1. Предпроектная стадия
- «Обследование объекта и обоснование необходимости создания сзи»
- «Формирование требований пользователя к сзи»
- 2.2 Разработка проекта сзи
- 4. Задачи по защите информации
- Определение стратегии осуществляется на основе выбранной цели защиты.
- II варинт: проектирование сзи для функционирующей системы в ходе её модернизации.
- Заключение
- Лекция 17 (2 часа) «разработка технического задания»
- 1. Общие положения
- 2. Состав технического задания
- 3. Содержание технического задания
- 3.1 Раздел «Общие положения»
- 3.2 Раздел «Назначение и цели создания системы»
- 5.2. Подраздел «Требования к структуре и функционированию системы»
- 5.3. Подраздел «Требования к численности и квалификации персонала системы»
- 5.5. Подраздел «Требования к надёжности»
- 5.6. Подраздел «Требования к безопасности»
- 5.7. Подраздел «Требования к эргономике и технической эстетике»
- 5.8. Подраздел «Требования к транспортабельности для подвижных ас»
- 5.9. Подраздел «Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы»
- 5.10. Подраздел «Требования к защите информации от несанкционированного доступа»
- 5.15. Подраздел «Дополнительные требования»
- 5.16. Подраздел «Требования к функциям (задачам), выполняемым системой»
- 5.17. Подраздел «Требования к видам обеспечения»
- 5.18. Подраздел «Требования к математическому обеспечению системы»
- 5.19. Подраздел «Требования информационному обеспечению системы»
- 5.20. Подраздел «Требования к лингвистическому обеспечению системы»
- 5.21. Подраздел «Требования к программному обеспечению системы»
- 5.22. Подраздел «Требования к техническому обеспечению»
- 5.23. Подраздел «Требования к метрологическому обеспечению»
- 5.24. Подраздел «Требования к организационному обеспечению»
- 5.25. Подраздел «Требования к методическому обеспечению»
- 6. Раздел «Состав и содержание работ по созданию (развитию) системы»
- 7. Раздел «Порядок контроля и приёмки системы»
- 8. Раздел «Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие»
- 9. Раздел «Требования к документированию»
- 10. Раздел «Источники разработки»