Защита от несанкционированного доступа к информации

3.2. Требования к четвертому уровню контроля

3.2.1. Контроль состава и содержания документации

В состав документации, представляемой заявителем, должны входить:

• спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;
• описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;
• описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;
• исходные тексты программ (ГОСТ 19.40178), входящих в состав ПО.

Для ПО импортного производства состав документации может отличаться от требуемого, однако содержание должно соответствовать требованиям указанных ГОСТ.

 3.2.2. Контроль исходного состояния ПО

Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.

Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.

Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.

3.2.3. Статический анализ исходных текстов программ

Статический анализ исходных текстов программ должен включать следующие технологические операции:

• контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
• контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.2.4. Отчетность

По окончании испытаний оформляется отчет (протокол), содержащий результаты:

• контроля исходного состояния ПО;
• контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;
• контроля соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.3. Требования к третьему уровню контроля

3.3.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.

3.3.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования к четвёртому уровню контроля.

3.3.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к четвёртому уровню контроля, дополнительно предъявляются следующие требования:

• контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);
• контроль связей функциональных объектов (модулей, процедур, функций) по управлению;
• контроль связей функциональных объектов (модулей, процедур, функций) по информации;
• контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
• формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

3.3.4. Динамический анализ исходных текстов программ

Динамический анализ исходных текстов программ должен включать следующие технологические операции:

• контроль выполнения функциональных объектов (процедур, функций);
• сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.3.5. Отчетность

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

• контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);
• контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
• контроля связей функциональных объектов (модулей, процедур, функций) по информации;
• контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
• формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);
• контроля выполнения функциональных объектов (процедур, функций);
• сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.4. Требования ко второму уровню контроля

3.4.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

• контроль полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);
• синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;
• формирование перечня маршрутов выполнения функциональных объектов (ветвей);
• анализ критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информацонных объектов;
• построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке».

3.4.4. Динамический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

• контроль выполнения функциональных объектов (ветвей);
• сопоставление фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.4.5. Отчетность

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

• контроля полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);
• синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;
• формирования перечня маршрутов выполнения функциональных объектов (ветвей);
• анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;
• построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведённого в «Пояснительной записке»;
• контроля выполнения функциональных объектов (ветвей);
• сопоставления фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.5. Требования к первому уровню контроля

3.5.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно предъявляются следующие требования:

• контроль соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;
• семантический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.

3.5.4. Динамический анализ исходных текстов программ

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.5. Отчетность

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

• контроля соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;
• семантического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.

Защита компьютерных систем от силовых деструктивных воздействий

1. Введение

Данная статья посвящена методам защиты от Силового Деструктивного Воздействия (СДВ) – резкого всплеска напряжения в сетях питания, коммуникаций или сигнализаций с амплитудой, длительностью и энергией всплеска, способными привести к сбоям в работе оборудования или к его полной деградации. Знание этих методов позволяет повысить безопасность компьютерных систем или, в более широком плане, систем с компьютерными компонентами.

Технические средства силового деструктивного воздействия (ТС СДВ) являются, по существу, электромагнитным оружием, которое способно дистанционно и без лишнего шума поразить практически любую компьютерную систему. Главное – обеспечить соответствующую мощность электромагнитного импульса. Существенно повышает скрытность нападения то обстоятельство, что анализ повреждений в уничтоженном оборудовании не позволяет однозначно идентифицировать причину возникновения повреждения, так как причиной может быть как преднамеренное (нападение), так и непреднамеренное (например, индукция от молнии) силовое деструктивное воздействие. Это, к сожалению, упрощает многократное успешное использование ТС СДВ.

2. Каналысилового деструктивного воздействия на компьютерные системы

Проведенный анализ показывает, что компьютер или любое другое электронное оборудование могут быть подвергнуты силовому деструктивному воздействию по трем основным каналам (КСДВ):

• по сети питания (КСДВ-1);
• по проводным линиям (КСДВ-2);
• по эфиру с использованием мощных коротких электромагнитных импульсов (КСДВ-3).

В качестве примера на рис. 1 показаны основные каналы деструктивного воздействия на компьютер, являющийся ядром интегрированной системы безопасности.

Для проникновения энергии СДВ по сети питания имеется два основных канала:

• кондуктивный путь через вторичный источник питания (ВИП);
• наводки через паразитные емкостные и индуктивные связи, как внутренние, так и внешние (например, через сигнальные цепи и линии связи).

В качестве примера проведем оценку устойчивости компонентов основного элемента питания компьютерной системы – вторичного источника питания, типовая принципиальная схема которого приведена на рис.2.

Результаты оценки устойчивости элементов типового блока вторичного источника питания приведены в табл. 1.

Как видно из табл.1, элементы входного LCфильтра имеют весьма низкую энергопоглощающую способность и не являются защитой против мощных импульсных помех. Поэтому, если LCфильтр – единственное устройство защиты на входе ВИП, то нападающему для достижения цели достаточно обеспечить возможность подвода мощной импульсной помехи с амплитудой 2 кВ, энергией 1...2 Дж и длительностью импульса не менее 1с (зона СДВ 1 рис.1).

В современных ВИП основные функции защиты от мощных помех принимает на себя варистор. Однако, несмотря на большие уровни рабочих токов, они имеют предельно допустимую рассеиваемую мощность в единицы ватт, поэтому при воздействии длинных импульсов с относительно небольшим током они выходят из строя, вызывая сгорание предохранителя на входе. В этом случае в ТС СДВ необходима энергия 50...100 Дж, амплитуда – 1 кВ, длительность импульса – 0,1 с (зона СДВ 2 рис.1).

Для вывода из строя конденсаторов входного фильтра инвертора и диодов моста в ТС СДВ требуется значительно меньшая энергия, причем, чтобы обойти варисторную защиту, используют разницу в напряжении пробоя конденсаторов и напряжения эффективного ограничения напряжения варистором, которая составляет 70...120 В. Задача силового воздействия решается путем использования импульсов длительностью до 5 мс, амплитудой 500...600 В и энергией 15...25 Дж (зона СДВ 3 рис.1). В этом случае после пробоя конденсаторов дополнительно возникает импульс тока через диоды моста, который для горячего термистора доходит до 1000 А, что выводит диоды из строя. При таком воздействии весьма вероятен выход из строя транзисторов и других элементов инвертора, а также проход деструктивных импульсов на выход ВИП, что приведет к повреждению других узлов компьютерной системы.

Особо необходимо отметить возможность мощного силового деструктивного воздействия с использованием наводок через паразитные емкости между элементами и узлами схемы. Установлено, что входные высоковольтные и выходные низковольтные цепи ВИП компьютеров (например, ПК) имеют емкостную связь через паразитную емкость, равную 10...30 пФ, а паразитная емкость, равная 5...10 пФ, связывает сеть питания с элементами материнской платы. Через эти паразитные емкости имеется возможность путем генерации в ТС СДВ высоковольтных импульсов с наносекундным временем нарастания полностью блокировать работу программно-аппаратных средств, в том числе обеспечить искажение данных, зависание компьютеров и сбои в работе программного обеспечения. Эти возможности деструктивного воздействия предъявляют дополнительные требования к защите от импульсных помех.

Как видно из рис. 1, между сетью питания и ВИП, как правило, устанавливается устройство бесперебойного питания (УБП), которое необходимо учитывать при оценке устойчивости к СДВ. УБП предназначены для улучшения качества энергии сети переменного тока и обеспечения бесперебойного электропитания оборудования при выходе из строя электросети. Как правило, в состав УБП входят следующие функциональные узлы:

• входной фильтр-ограничитель перенапряжений;
• зарядное устройство для аккумуляторов;
• аккумуляторный блок;
• преобразователь напряжения или инвертор;
• переключатель каналов;
• стабилизирующий каскад;
• система управления.

По способу управления УБП разделяются на offline и online типы. Главное различие заключается в выборе основного канала передачи энергии к потребителю.

Для типа offline в основном режиме переключатель каналов подключает вход УБП к выходу через ветвь, содержащую только входной фильтр. При этом аккумуляторы подзаряжаются от маломощного зарядного устройства, а напряжение с инвертора не поступает на выход источника. В режиме аккумуляторной поддержки, когда входное напряжение отклоняется от допустимых пределов или пропадает, переключатель каналов подключает ветвь, содержащую инвертор, и энергия к потребителю поступает от аккумуляторов.

Тип online характеризуется постоянством включения ветви, содержащей мощное зарядное устройство, аккумулятор и инвертор на выход блока УБП. Подобная схема позволяет не только исключить время переключения, но и обеспечить гальваническую развязку вход-выход, иметь стабильное синусоидальное выходное напряжение. При выходе из строя какого-либо каскада в прямой ветви передачи энергии, перегрузках, а также при разряде аккумуляторов, переключатель каналов подключает ветвь, соединяющую вход-выход через фильтр. Этот вспомогательный путь передачи энергии, получивший название байпас, имеет особое значение при СДВ и позволяет обойти защиту УБП для поражения более важных блоков компьютерной системы.

Помимо рассмотренных выше типов, в последнее время появились линейно-интерактивные УБП, которые являются дальнейшим развитием технологии offline. Они отличаются наличием на входе стабилизирующего автотрансформатора, что способствует стабилизации выходного напряжения УБП. В некоторых случаях, если допустимы перерывы в питании на несколько миллисекунд, линейно-интерактивные УБП оказываются предпочтительнее типа offline и дешевле online устройств.

Анализируя слабые стороны УБП, нельзя забывать и о заложенных в них возможностях защиты от:

• выходных и внутренних коротких замыканий;
• входной и выходной перегрузки;
• глубокой разрядки аккумуляторов;
• превышения максимальной температуры.

Обычно при СДВ по сети питания УБП выходит из строя, причем в этом случае срабатывает байпас и через него энергия ТС СДВ достигает цели в обход УБП. Кроме того, как правило, у тиристорных стабилизаторов, корректоров напряжения, переключателей сети при СДВ происходит самопроизвольное отпирание тиристоров вопреки штатному алгоритму схемы управления с аварийным отключением или выходом из строя.

Таким образом, традиционные устройства защиты питания не только не защищают компьютерные системы от СДВ, но и сами подвержены деструктивному воздействию.

Для проникновения энергии СДВ по проводным линиям необходимо преодолеть предельную поглощающую способность компонентов, которые могут быть использованы во входных цепях. Анализ показывает, что для деградации этих компонентов (микросхем, транзисторов, диодов и т.п.) достаточно воздействия импульса с энергией 1 – 1000 мкДж, причем этот импульс может быть весьма коротким, так как время пробоя МОП-структуры или pn-перехода составляет 10–1000 нс. Как известно, напряжения пробоя переходов составляют от единиц до десятков вольт. Так у арсенидгаллиевых приборов это напряжение равно 10 В, запоминающие устройства имеют пороговые напряжения около 7 В, логические ИС на МОП-структурах – от 7 до 15 В. И даже кремниевые сильноточные биполярные транзисторы, обладающие повышенной прочностью к перегрузкам, имеют напряжение пробоя в диапазоне от 15 до 65 В. Отсюда можно сделать вывод, что для СДВ по проводным каналам требуется энергия на несколько порядков ниже, чем по сети питания и деструктивное воздействие может быть реализовано с помощью относительно простых технических средств, обеспечивающих высокую вероятность вывода объекта атаки из строя.

При определении уровня защиты от СДВ необходимо учитывать наличие на входе устройств защиты от импульсных помех. В этом случае защищенные компоненты имеют существенно большую предельную энергопоглощающую способность (до 1-10 Дж для низкоскоростных устройств и до 1-10 мДж – для высокоскоростных). Однако из-за высоких цен качественные устройства защиты пока не получили в России широкого применения.

Наиболее скрытым и эффективным является канал силового деструктивного воздействия по эфиру с использованием мощного короткого электромагнитного импульса. Можно реализовать компактные электромагнитные технические средства СДВ, размещаемые за пределами объекта атаки на достаточном для маскировки атаки удалении. Конструкция электромагнитного ТС СДВ на примере генератора с виртуальным катодом (виркатора) приведена на рис.3.

Как видно из рисунка, конструкция виркатора является весьма простой. Столь же просто можно описать принцип его работы. При подаче на анод положительного потенциала порядка 105–106 В вследствие взрывной эмиссии с катода к аноду устремляется поток электронов, который, пройдя через сетку анода, начинает тормозиться собственным «кулоновским полем». Это поле отражает поток электронов обратно к аноду, образуя виртуальный катод. Пройдя через анод в обратном направлении, поток электронов вновь тормозится у поверхности реального катода. В результате такого взаимодействия формируется облако электронов, колеблющееся между виртуальным и реальным катодами. Образованное на частоте колебаний электронного облака СВЧ-поле излучается антенной через обтекатель в пространство. Токи в виркаторах, при которых возникает генерация, составляют величины 1-10 кА. Экспериментально от виркаторов уже получены мощности от 170 кВт до 40 ГВт в сантиметровом и дециметровом диапазонах.

Инжекция мощного электромагнитного импульса у такого ТС СДВ производится с помощью специальной антенной системы, от эффективности которой во многом зависят оперативно-технические характеристики всего комплекса СДВ. Несмотря на наличие направленной антенны, мощный электромагнитный импульс воздействует при атаке объекта на все компоненты в пределах зоны электромагнитного воздействия и на все контуры, образованные связями между элементами оборудования, поэтому, не являясь еще средствами селективного воздействия, ТС СДВ наносят глобальные поражения, оправдывая установившееся название «электромагнитной бомбы».

Актуальность проблемы защиты от электромагнитного СДВ возрастает еще и потому, что в настоящее время некоторые исследовательские работы закончились созданием опытных образцов информационного оружия. Так, вызывает интерес американский образец оружия данного класса под условным названием MPS-II, который представляет собой генератор высокомощного СВЧ-излучения, использующий зеркальную антенну диаметром 3 м. Данный образец развивает импульсную мощность около 1 ГВт (напряжение 265 кВ, ток 3,5 кА) и обладает большими возможностями ведения информационной войны. В руководстве по применению и техническому обслуживанию определена основная его характеристика: зона поражения – 800 м от устройства в секторе 24 градуса [1]. Используя подобную установку, можно эффективно выводить из строя компьютерную технику, стирать записи на магнитных носителях, в кредитных карточках и т.п.

 Использование новых технологий, в частности, фазированных антенных решеток, позволяет осуществить СДВ сразу на несколько целей. Примером может служить система GEM2, разработанная по заказу фирмы Boeing южно-африканской фирмой PCI. Эта система состоит из 144 твердотельных излучателей импульсов длительностью менее 1 нс с суммарной мощностью 1 ГВт и может устанавливаться на подвижных объектах.

Приведенные данные говорят о больших возможностях и высокой эффективности нового информационного оружия, что необходимо учитывать при обеспечении защиты информации, тем более, что во время войны в Персидском заливе уже было зафиксировано боевое применение подобного оружия в ракетном варианте [2]. Конечно рассмотренные примеры относятся к военным технологиям, однако история и реальная действительность, к сожалению, показывают, что интервалы времени между разработкой военной технологии и возможностью её широкого использования год от года становяться все меньше и меньше.

3. Классификация средств силового деструктивного воздействия

3.1. Технические средства СДВ по сетям питания

В предыдущем разделе было установлено, что для вывода из строя элементной базы компьютерных систем, систем сигнализации и охраны может быть использовано силовое деструктивное воздействие по сетям питания. Для осуществления СДВ используются специальные технические средства, которые подключаются к сети непосредственно с помощью гальванической связи через конденсатор или с помощью индуктивной связи через трансформатор. Прогнозы специалистов показывают, что вероятность использования СДВ растет год от года.

Поэтому при разработке концепции безопасности объекта необходимо учитывать и возможность СДВ по сетям питания, для чего, в первую очередь, необходимо провести классификацию технических средств СДВ. Однако, учитывая специфическое назначение данных средств и нежелание фирм, их производящих, афишировать свою деятельность, задача классификации оказалась нетривиальной. Возможная классификация современных технических средств СДВ по сетям питания, проведенная по результатам анализа, представлена на рис.4.

Представленная на рис. 4 классификация пояснений не требует, за исключением класса «Специальные и другие ТС СДВ». К этому классу отнесены, в частности, различные суррогатные ТС СДВ, имеющиеся под рукой. Например, в качестве технического средства воздействия может быть использована ближайшая трансформаторная подстанция, к части вторичной обмотки которой можно подключить ТС СДВ с емкостным накопителем, параметры которого подобраны так, что вторичная обмотка трансформатора, магнитопровод и емкостной накопитель образуют повышающий резонансный автотрансформатор. Такое силовое воздействие может вывести из строя все электронное оборудование, обслуживаемое данной подстанцией. К этому же классу отнесены и средства перепрограммирования ИБП с использованием, например, программных закладок. Такая закладка может быть активизирована соответствующей командой по сети электропитания, чтобы на короткое время перепрограммировать ИБП на максимально возможное выходное напряжение, что также приведет к выходу из строя подключенного к нему электронного оборудования.

В качестве примера высокой эффективности деструктивного воздействия ТС СДВ можно отметить относительно недорогие устройства с электролитическими конденсаторами, имеющие удельную объемную энергию, равную 2000 кДж/м3. Подобное устройство, размещенное в обычном кейсе, способно вывести из строя до 20 компьютеров одновременно. Ориентировочная стоимость такого кейса составляет от 10000 до 15000 долларов США. Ещё большую эффективность имеют молекулярные накопители (ионисторы), удельная объемная энергия которых достигает 10 МДж/м3. ТС СДВ, содержащее ионисторы, уже способно вывести из строя все компьютеры большого вычислительного центра. Стоимость такого технического средства ориентировочно составляет 50000 долларов США (стоимость и энергетические параметры ТС СДВ приведены для оценки эффективности защиты).

3.2. Технические средства СДВ по проводным каналам

Для деструктивного воздействия на системы безопасности по проводным линиям требуется существенно меньшая энергия и длительность импульсов, чем для СДВ по сетям питания. Поэтому ТС СДВ по проводным каналам имеют более простую схемотехнику и возможность использования автономных источников питания и, как следствие, существенно меньшие габариты и цену, чем их сетевые аналоги. Так, например, ТС СДВ с низковольтным емкостным накопителем большой энергии может быть реализовано в размерах среднего кейса при стоимости от 6000 до 8000 долларов. В то же время, необслуживаемое ТС СДВ с емкостной развязкой имеет размеры видеокассеты и стоит порядка 1000-1500 долларов. Классификация ТС СДВ по проводным каналам приведена на рис. 5.

Как видно из рис.5, в данной классификации все нетрадиционные и специфические ТС СДВ отнесены к классу «Специальные и другие технические средства». Так, например, в составе некоторых средств деструктивного воздействия в качестве инжекторов могут быть использованы конструкционные элементы здания, канализация, водопровод, сеть питания объекта и т.п.

3.3. Технические средства СДВ по эфиру

Анализ показывает, что наиболее опасными ТС СДВ являются технические средства силового деструктивного воздействия по эфиру с использованием электромагнитного импульса (электромагнитные ТС СДВ). В наибольшей степени это относится к мощным мобильным ТС СДВ, деструктивное действие которых может осуществляться с неохраняемой территории. К сожалению, недостаток открытой информации по данному виду ТС СДВ существенно осложняет их классификацию. Классификация электромагнитных ТС СДВ, использованная в данной работе, приведена на рис. 6.

Проводя анализ возможностей использования ТС СДВ, необходимо отметить, что наиболее удобными в применении и наиболее продвинутыми в исследованиях являются высокочастотные электромагнитные средства СДВ, в том числе магнетроны, клистроны, гиротроны, лазеры на свободных электронах, плазменно-лучевые генераторы, а также рассмотренные выше виркаторы, которые, хотя и имеют низкий КПД (единицы процентов), но легче всего перестраиваются по частоте. Наиболее широкополосными являются плазменно-лучевые генераторы, а особенностью гиротронов является то, что они работают в миллиметровом диапазоне с высоким КПД (десятки процентов).

Исторически одним из первых образцов электромагнитного оружия, которое было продемонстрировано еще в конце 50-х годов в лос-аламосской национальной лаборатории США, является генератор с взрывным сжатием магнитного поля [2]. В дальнейшем в США и СССР было разработано и испытано множество модификаций такого генератора, развивавших энергию воздействия в десятки мегаджоулей, причем уровень пиковой мощности достигал десятков тераватт. Упрощенная схема такого генератора с взрывным сжатием магнитного поля приведена на рис. 7.

Как видно из рисунка, основу генератора с взрывным сжатием магнитного поля составляет цилиндрическая медная трубка с взрывчатым веществом, выполняющая функции ротора. Статором генератора служит спираль из медного провода, окружающая роторную трубку.

Первоначальное магнитное поле в генераторе формируется стартовым током из любого внешнего источника, способного обеспечить импульс электрического тока силой от нескольких килоампер. Подрыв взрывчатки происходит с помощью специального генератора в момент, когда ток в статорной обмотке достигает максимума. Образующийся при этом плоский фронт взрывной волны распространяется вдоль взрывчатки, деформируя роторную трубку и превращая ее цилиндрическую форму в коническую (пунктир на рисунке). В момент расширения трубки до размеров статора происходит короткое замыкание статорной обмотки, приводящее к эффекту сжатия магнитного поля и возникновению мощного импульса тока порядка нескольких десятков мегаампер. Увеличение выходного тока по сравнению со стартовым зависит от конструкции генератора и может достигать десятков раз. В настоящее время уже удалось довести пиковую мощность генераторов с взрывным сжатием магнитного поля до десятков тераватт [3]. Это говорит о высоких потенциальных возможностях практической реализации средств силового деструктивного воздействия.

4. Рекомендациипозащитекомпьютерных систем от силового деструктивного воздействия

На основании полученных и рассмотренных выше результатов можно сформулировать рекомендации по защите компьютерных систем от СДВ, основные из которых приведены в табл. 2.

5. Заключение

Силовые деструктивные воздействия, реализуемые по проводным и беспроводным каналам, а также по сетям питания, в настоящее время являются серьезным оружием против компьютерных систем, интегрированных систем безопасности и др. Это оружие оправдывает свое название «электромагнитной бомбы» и по эффективности воздействия является более опасным, чем программное разрушающее оружие для компьютерных сетей. Новые технологии делают технические средства силового деструктивного воздействия все более перспективными для применения и требуют к себе большего внимания, в первую очередь, со стороны служб безопасности и разработчиков систем защиты. С этой целью в данной статье предложены организационные и технические меры, помогающие противостоять силовым деструктивным воздействиям.

6. Литература

1. Winn Schwartau. More about HERF than some? – Information Warfare: Thunder’s month press, New York, 1996.

2. Carlo Kopp. The E-bomb – a Weapon of Electronical Mass Destruction. – Information Warfare: Thunder’s Month Press, New York, 1996.

3. David A. Fulghum. Microwave Weapons Await a Future War. – Aviation Week and Space Technology, June 7, 1999.

О Руководстве по разработке профилей защиты на основе Общих критериев

1. Введение

В статье приводится обзор основных положений Руководства по разработке профилей защиты и заданий по безопасности, подготовленного Международной организацией по стандартизации (ISO) в развитие требований к Профилям защиты и Заданиям по безопасности, содержащихся в стандарте ISO/IEC 15408. Кроме того, в статье описаны назначение, структура и краткое содержание Руководства.

Принятие в июне 1999 года международного стандарта по критериям оценки безопасности информационных технологий (исторически сложившееся название – Общие критерии) [2-4] послужило мощным толчком к широкому использованию Общих критериев при разработке профилей защиты различных типов продуктов и систем информационных технологий (ИТ).

2. Понятие профиля защиты и его назначение

Общие критерии (ОК) представляют собой хорошо структурированную, универсальную библиотеку требований безопасности, сформулированных в весьма общем виде [1]. Их специализация и конкретизация осуществляется в двух основных конструкциях, определенных в ОК: профилях защиты (ПЗ) и заданиях по безопасности (ЗБ).

Профили защиты являются дальнейшим развитием классов защищенности Оранжевой книги и хорошо известных Руководящих документов (РД) Гостехкомиссии России. Но, в отличие от их жесткой классификационной схемы, число профилей защиты не ограничено. Они содержат более полный, целенаправленный и обоснованный набор требований безопасности, учитывающий назначение, угрозы безопасности и условия применения объекта оценки (ОО).

Профиль защиты предназначен для сертификации средств защиты информации продуктов и систем ИТ и получения сопоставимых оценок их безопасности. Профили защиты служат также основой для разработки разделов требований безопасности информации (заданий по безопасности) в ТЗ (ТТЗ) на конкретные изделия ИТ.

В настоящее время в России готовится проект государственного стандарта на основе аутентичного перевода текста стандарта ISO/IEC 15408. Параллельно в ряде организаций ведется разработка профилей защиты продуктов и систем ИТ различного назначения.

В этих условиях необходима единая методология создания и использования подобных нормативных документов.

В известном смысле можно утверждать, что профили защиты важнее самого стандарта ISO/IEC 15408. Данный стандарт по сути является метасредством, инструментом, предназначенным для разработки нормативных документов, позволяющих оценивать средства безопасности определенных классов или информационные системы определенного назначения. Именно эти нормативные документы, а не сам стандарт, способны найти практическое применение, обеспечить соответствие законодательного и технического аспектов информационной безопасности.

Практически все выпущенные ранее РД Гостехкомиссии России (от классификации средств вычислительной техники до критериев оценки межсетевых экранов) целесообразно переформулировать в виде профилей защиты, параллельно актуализировав их (Руководящих документов) содержание. Новые РД, на наш взгляд, с самого начала должны разрабатываться на основе стандарта ISO/IEC 15408. Подобные шаги сделали бы перспективы вхождения России в международные системы сертификации, а также заключения соглашений о взаимном признании сертификатов вполне реальными. В свою очередь, наличие таких соглашений лучше соответствовало бы реальному положению дел в России в области информационных технологий вообще и информационной безопасности в частности.

3. Назначение, структура и краткое содержание Руководства

В силу перечисленных выше причин, появление проекта Руководства по разработке профилей защиты и заданий по безопасности (далее – Руководство) [5], в котором развиваются и разъясняются основные требования к Профилям и Заданиям, изложенные в стандарте ISO 15408, является весьма актуальным.

Руководство, прежде всего, адресовано тем, кто участвует в процессе разработки Профилей и Заданий. Оно, вероятно, будет полезно и для оценщиков, применяющих Профили и Задания на практике.

Рассматриваемый документ представляет собой детальное руководство по разработке различных частей Профилей и Заданий (изложенное в главах 1-11) и дает исчерпывающее представление об их взаимосвязи. Наиболее важные аспекты Руководства представлены в Приложении A в виде памятки, что в значительной степени облегчает знакомство и работу с документом. В приложениях приводятся примеры, иллюстрирующие применение Руководства.

Глава 1 посвящена целям и направленности Руководства.

Глава 2 содержит краткий обзор ПЗ и ЗБ, который включает примерные оглавления и отображает предполагаемое содержание, а также потенциальных пользователей различных частей Профилей и Заданий. В этой главе также обсуждаются соотношение между ПЗ и ЗБ и проблемы, связанные с процессом их разработки.

В Главе 3 более глубоко рассматриваются описательные части Профилей и Заданий.

Следующие пять глав придерживаются структуры Профилей и Заданий, установленной в стандарте ISO 15408.

Глава 4 представляет собой руководство по определению безопасности окружения объекта оценки. Глава 5 служит руководством по определению и спецификации целей безопасности в соответствии со сформулированными ранее исходными «потребностями».

Глава 6 – это руководство по выбору и спецификации требований безопасности информационных технологий в ПЗ. В этой главе подробно описывается использование функциональных компонентов [3] и компонентов гарантии [4], а также компонентов, не предусмотренных ISO 15408, для обеспечения более точного определения требований безопасности ИТ.

Глава 7 представляет собой руководство по разработке заданий по безопасности.

Главы 8 и 9 являются руководствами по составлению и представлению разделов «Обоснование» в ПЗ и ЗБ.

В главе 10 рассматриваются проблемы разработки ПЗ и ЗБ для сложных объектов оценки, то есть объектов, состоящих из двух или более компонентов, для каждого из которых имеются собственные Профили и Задания.

Глава 11 представляет собой руководство по формированию функциональных пакетов и пакетов гарантии, причем таким образом, чтобы их можно было многократно использовать при разработке различных Профилей и Заданий. Пакет при этом рассматривается как потенциально полезный инструмент, предназначенный для облегчения процесса разработки ПЗ/ЗБ.

Как упоминалось выше, Приложение A резюмирует Руководство в виде памятки.

Приложение B представляет примеры угроз, политики безопасности организации, предположений и целей безопасности, а также устанавливает соответствие между общими функциональными требованиями и соответствующими функциональными компонентами из Части 2 стандарта ISO 15408 [3].

Приложение C представляет собой руководство по разработке ПЗ и ЗБ объектов оценки, обладающих криптографическими функциональными возможностями.

В Приложениях D, E и F иллюстрируются возможности применения Руководства при разработке ПЗ и ЗБ для различных объектов оценки. Так, в Приложении D рассмотрена возможность использования Руководства применительно к межсетевым экранам.

В Приложении E рассмотрен подход к разработке ПЗ для СУБД. Здесь особое внимание обращается на взаимодействие СУБД с операционной системой, под управлением которой она работает.

Наконец, Приложение F посвящено вопросам разработки Профилей для доверенного центра (ДЦ), являющегося центральным звеном в инфраструктуре с открытыми ключами и организующего работу с цифровыми сертификатами [6]. В Руководстве предлагается интересный подход к формированию ПЗ и ЗБ для ДЦ, учитывающий множество возможных комбинаций дополнительных услуг, предоставляемых конкретным ДЦ, наряду с неизменным набором основных услуг. Подход предусматривает формирование базового набора функциональных требований безопасности, необходимых для обеспечения безопасности основных услуг ДЦ, и дополнительных функциональных пакетов.

4. Заключение

В настоящее время в России и других странах СНГ Общим критериям уделяется много внимания. Пишутся статьи, готовятся к публикации книги. Хотелось бы, чтобы внедрение и освоение нового международного стандарта не стало формальной процедурой, не подкрепленной реальными изменениями в системах сертификации и аттестации. На наш взгляд, принятие Общих критериев должно стать первым звеном в цепи обновления нормативной базы информационной безопасности в России, освоения новых понятий разработчиками, оценщиками и пользователями информационных систем, движения России в сторону общепризнанных международных норм информационной безопасности.

Профили защиты – это применимые на практике результаты использования Общих критериев. Вот почему появление Руководства по разработке профилей защиты и заданий по безопасности представляется весьма важным, а его освоение – абсолютно необходимым.

5. Литература

1. Кобзарь М., Калайда И общие критерии оценки безопасности информационных технологий и перспективы их использования. – Jet Info, 1998, 1.

2.Evaluation Criteria for IT Security. Part 1: Introduction and general model. – ISO/IEC 15408-1: 1999.

3.Evaluation Criteria for IT Security. Part 2: Security functional requirements. – ISO/IEC 15408-2: 1999.

4.Evaluation Criteria for IT Security. Part 3: Security assurance requirements. – ISO/IEC 15408-3: 1999.

5. Guide for Production of Protection Profiles and Security Targets. – ISO/JTC1/SC27/N2449. DRAFT v0.9, January 2000.

6. Горбатов В., Полянская О. Доверенные центры как звено системы обеспечения безопасности корпоративных информационных ресурсов. Jet Info, 1999, 11.