Особенности разработки комплексной системы защиты информации в АСУ предприятия с обоснованием средств защиты информации в беспроводных каналах связи

1

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ

1.1 Анализ источников информации на предприятии

1.1.1 Общие сведения о структуре предприятия

1.1.2 Источники информации, существующие на предприятии и их анализ

1.1.3 Каналы распространения информации

1.2 Способы защиты от утечки конфиденциальной информации

1.2.1 Организационные средства защиты

1.2.2 Аппаратные средства защиты

1.2.3 Криптографические средства защиты

1.2.4 Физические средства защиты

2. АНАЛИЗ И ОБОСНОВАНИЕ СРЕДСТВ ЗАЦИТЫ ИНФОРМАЦИИ ПЕРЕДАВАЕМОЙ ПО БЕСПРОВОДНЫМ КАНАЛМ СВЯЗИ

2.1 Анализ беспроводных технологий

2.1.1 Системы фиксированного широкополосного радио доступа

2.1.2 Организация радиоинтерфейса

2.1.3 Общие характеристики систем FBWA

2.1.4 Характеристики стандарта серии 802.11

2.1.5 Методы передачи данных

2.1.6 Анализ существующих стандартов технологий IEEE 802.11

2.1.7 Метод доступа

2.1.8 Выводы

2.2 Анализ и обоснование средств зашиты информации передаваемой по беспроводным каналам связи

2.2.1 Безопасность в беспроводных сетях стандарта 802.11

2.2.2 Анализ технических средств защиты в беспроводных каналах связи

2.2.3 Угрозы и риски безопасности беспроводных сетей

2.2.3.1 Подслушивание

2.2.3.2 Отказ в обслуживании

2.2.3.3 Глушение клиентской станции

2.2.3.4 Глушение базовой станции

2.2.3.5 Угрозы криптозащиты

2.2.3.6 Физическая атака

2.2.4 Механизмы защиты информации в беспроводных каналах связи

2.2.5 Протоколы безопасности беспроводных сетей

2.2.5.1 WEP

2.2.5.2 Уязвимости WEP

2.2.5.3 WPA

2.2.5.4 стандарт сети 802.11.i с повышенной безопасностью (WPA2)

2.2.6 Вывод

3. ПРОЕКТИРОВАНИЕ БЕСПРОВОДНОЙ СЕТИ 802.11

3.1 Спецификация оборудования

3.2 Расчет затухания в антенно-фидерном тракте

3.3 Расчет эффективной изотропной излучаемой мощности

3.4 Расчет радио трассы

3.5 Расчет суммарного усиления радио системы

3.6 Расчет суммарных потерь радио системы

3.7 Расчет энергозапаса радиоканала

3.8 Настройка точки доступа и спецификации WPA 2

3.9 Выводы

ЗАКЛЮЧЕНИЕ

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

ПРИЛОЖЕНИЕ

ВВЕДЕНИЕ

Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются: массовое распространение средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.

Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.

Необходимо помнить, что естественные каналы утечки, информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты.

Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д.

Поэтому особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности, в том числе обществу, личности, государству, демократическим ценностям и общественным институтам, суверенитету, экономике, финансовым учреждениям и развитию государства.

Казалось бы, на первый взгляд, ничего нового в этом нет. Требуются лишь известные усилия соответствующих органов, сил и средств, а также их соответствующее обеспечение всем необходимым.

Вместе с тем, проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицит возможностей.

Таким образом, проблема защиты информации и обеспечения конфиденциальности приобретает актуальность.

Особой актуальностью считается вопрос о беспроводных каналах связи которые на данный момент считаются самыми перспективными средствами получения и передачи информации, в связи с своей гибкостью организации сети, особенно в местах где проводные сети не могут быть организованны принципе, а также и за минимального затрата времени, что на данный момент времени являются самыми главными требованиями к системам передачи информации. Но как не парадоксально они являются самыми не защищенными.

Беспроводные сети используют радиоволны, которые распространяются по законам физики и принципу действия передающих антенн в зоне радиуса сети. Контролировать поведение радиоволн практически невозможно. Это означает, что любой человек, у которого есть компьютер или переносное устройство с радиоинтерфейсом, может подключиться к сети, находясь в радиусе ее действия. Вычислить местоположение этого пользователя практически невозможно, поскольку он может быть как рядом, так и на значительном удалении от сети (при использовании антенны с усилителем).

Именно тот факт, что подключиться к беспроводной сети может любой, требует от ее организаторов серьезного отношения к обеспечению достаточного уровня безопасности.

Глава 1. КОМПЛЕКСНАЯ СИСТЕМАЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДРИЯТИИ

1.1 Анализ источников информации на предприятии

1.1.1 Общие сведения о структуре предприятия

ЧП «Таиса» образовано в 2000 году. Численность работников 85 человек. Предприятие имеет в собственности офисные, производственные и технологические помещения.

Предприятие «Таиса» предоставляет населению: организацию проектных работ для нового строительства и реконструкций, новое строительство, реконструкцию зданий и сооружений с увеличением этажности и полезной площади, а так же ремонтные работы.

Предприятие расположено в одноэтажном здании и состоит из следующих отделов, приемная, комната отдыха, кладовая технического имущества, санузел. Также имеет еще одно помещение через 3км в 10 этажном здании, где находится офис фирмы.

1.1.2 Источники информации, существующие на предприятии и их анализ

Существует два источника информации, на которых базируется оценка предприятия: внутренний и внешний. Под внутренним источником понимаются официальные каналы распространения информации в фирме, предоставление информации руководству компаний, ее структурных подразделений, филиалов и представительств. Под внешними - любая другая информация, полученная из внешней среды организации: партнеров, конкурентов, клиентов, властей и т.п. (информирование акционеров, а также государственных финансовых органов, налоговых инспекций, кредитных организаций, страховых компаний, государственных органов статистики, инвестиционных фондов, органов государственной власти и управления, органов местного самоуправления, предприятий-поставщиков).

Анализируя источники информации на предприятии, можно выделить следующие:

1. Документы.

1.1 документация предприятия или просто документы (входящие-исходящие, приказы, бизнес планы, деловая переписка и т.п.);

Документы - это самая распространенная форма обмена информацией, ее накопления и хранения. Документ отличает то, что его функциональное назначение довольно разнообразно. Важной особенностью документов является то, что он иногда является единственным источником важнейшей информации (например, контракт, долговая расписка и т.п.), а, следовательно, их утеря, хищение или уничтожение может нанести непоправимый ущерб. Совокупность документов предприятия имеет разветвленную структуру и является предметом отдельного рассмотрения, т.к. документ может быть представлен не только различным содержанием, но и различными физическими формами - материальными носителями.

Разнообразие форм и содержания документов по назначению, направленности, характеру движения и использования является весьма заманчивым источником для злоумышленников, что, привлекает их внимание к возможности получения интересующей информации.

1.2 открытые общие и специальные публикации и базы данных.

Публикации -- это информационные носители в виде открытых изданий: книги, статьи, доклады, рекламные проспекты и т. д. Одним из лучших источников конфиденциальной информации являются болтуны, поэтому на съездах специалистов, конференциях, научных семинарах, семинарах по обмену опытом умельцы собирают самую свежую и ценную информацию.

Использование открытых общих и специальных публикаций и баз данных в качестве объектов аналитической обработки позволяет получить 30-40% информации. Их доступность практически ничем не ограничена, кроме стоимости подписки на информационные издания, базы данных и стоимости аналитической работы. В настоящее время насчитываются десятки информационных изданий. Эти источники позволяют получить достаточно свежие сведения, используемые для организации разведывательной работы конкурирующими предприятиями (постановка задачи на добывание конкретной информации из других источников, планирование и организация мероприятий для этого, планирование и организация работы исследовательских, технологических, маркетинговых служб, непосредственное руководство выполнением мероприятий, контроль результатов).

2. Люди.

2.1 Рабочий персонал (в это понятие входят все без исключения работники предприятия)

Люди в ряду источников конфиденциальной информации занимают особое место как активный элемент, способный выступать не только источником, но и субъектом злонамеренных действий. Люди являются и обладателями, и распространителями информации в рамках своих функциональных обязанностей. Кроме того, что люди обладают информацией, они еще способны ее анализировать, обобщать, делать соответствующие выводы, а также, при определенных условиях, скрывать, продавать и совершать иные криминальные действия, вплоть до вступления в преступные связи со злоумышленниками.

К рабочему персоналу относятся специалисты предприятия - наиболее многочисленная группа, в которую входят работники, обладающие специальными знаниями и непосредственно выполняющие основной массив работы предприятия, обслуживающий и технический персонал, сюда относятся грузчики, разнорабочие, уборщицы и т. п.

2.2 клиенты, поставщики, инвесторы, кредитные организации, посредники, агенты, контрагенты, партнёры;

Пользующиеся или пользовавшиеся услугами вашего предприятия, являются наиболее осведомленными источниками, зачастую обладающими важнейшими секретами. Поэтому они заслуживают отельного внимания при анализе системы защиты.

Клиенты, поставщики, инвесторы, банки, посредники, агенты получают информацию в результате контактов персонала предприятия с ними как со своими партнерами. Через этот канал также может проходить от 30 до 40% информации. В контролируемое сообщество этого канала должен входить весь персонал собственного предприятия, который может и должен вступать в контакт со сторонними организациями на основе следующих видов информации: коммерческой, технической, финансовой, юридической и т. д. Структура информации, проходящей по этому каналу, если ее классифицировать по основанию «о чем», имеет следующую характеристику: 60% информации -- о конкурентах, рынке, ресурсах; 15% -- о технологии; 15% -- о регламентирующих документах; 10% -- о тенденциях развития.

В данном канале следует особо отметить банки как источник информации о финансовой деятельности организации для посторонних лиц. Утечка может происходить как непосредственно из банка, так и через организации, которые могут получить справку о состоянии счета лица, занимающегося предпринимательской деятельностью.

Следует отметить посредников, в частности, посреднические фирмы, продающие офшорные фирмы. Источниками информации о наличии офшора могут стать их сотрудники посреднической фирмы, сведения об этом могут быть получены в результате конфискации документации фирмы-посредника.

Необходимая информация может быть получена путем ограбления лиц или организаций.

2.3 Общественные службы, адвокатские конторы, аудиторские фирмы, страховые компании, консультанты, налоговые инспекции, санитарные и пожарные службы, органы статистики, правоохранительные органы.

Привлекаемые к сотрудничеству с предприятием эксперты общественных служб и консультанты, могут предоставить 10-15% информации. Работа консультантов и экспертов сторонних консультационных и экспертных фирм всегда несет некоторую вероятность нарушения работы предприятия. Поэтому их использование должно быть тщательно подготовлено, в том числе и путем ограничения предоставляемой информации. Экспертные оценки могут выполняться лицами из числа сотрудников разнообразных служб своего предприятия. Такие эксперты могут быть штатными или выполнять эту работу по мере возникновения необходимости.

Утечка или утрата информации может произойти через конфискованные или затребованные документы внешних организаций - посреднических фирм и партнеров.

3. Представительство на ярмарках, салонах, конференциях.

Представительство на различных организационных формах демонстрации продукции и возможностей позволяет получать 5-6% информации. Однако степень достоверности этой информации достаточно высокая, если она воспринимается подготовленными специалистами, которые перед посещением мероприятий данной группы источников готовят свой «регистрирующий и анализирующий инструмент» - знакомится с каталогами, анонсирующими эти мероприятия.

Недостающая до 100% часть информации получается случайным образом, как правило, от болтунов, говорунов, забывчивых и неаккуратных людей. При межличностных контактах контроль за ограничением распространения лежит непосредственно на субъектах взаимоотношений -- сотрудниках предприятия.

4. Производимая продукция или оказываемые услуги;

Продукция является особым источником информации, за характеристиками которой весьма активно охотятся конкуренты. Особого внимания заслуживает новая, находящаяся в подготовке к производству продукция. Учитывается, что для продукции существуют определенные этапы "жизненного цикла": замысел, макет, опытный образец, испытания, серийное производство, эксплуатация, модернизация и снятие с производства. Каждый из этих этапов сопровождается специфической информацией, проявляющейся самыми различными физическими эффектами, которые в виде демаскирующих признаков могут раскрыть охраняемые сведения.

5. Технические средства обеспечения производственной деятельности.

Технические средства как источники конфиденциальной информации являются широкой и емкой в информационном плане группой источников. В группу средств обеспечения производственной деятельности входят самые различные средства, такие, в частности, как телефоны и телефонная связь, телевизоры и промышленные телевизионные установки, радиоприемники, телетайп, телефакс, компьютеры, радиотрансляционные системы, системы громкоговорящей связи, усилительные системы, кино системы, охранные и пожарные системы и другие, которые, по своим параметрам, могут являться источниками преобразования акустической информации в электрические и электромагнитные поля, способные образовывать электромагнитные каналы утечки конфиденциальной информации.

1.1.3 Каналы распространения информации

Каналы распространения информации - это средство обмена деловой и научной информацией между субъектами деловых и экономических отношений.

Различают формальные и неформальные каналы распространения информации.

Формальные каналы распространения информации включают в себя:

· деловые встречи, переговоры и совещания;

· обмен официальными, деловыми и научными документами;

· средства передачи официальной информации.

К неформальным каналам распространения информации относятся:

· личные встречи, переговоры, переписка, выставки;

· конференции, съезды, массовые мероприятия;

· средства массовой информации (печать, газеты, радио, телевидение и т.п.).

Другими каналами распространения информации могут быть:

· обмен отчетами по научно-технической работе с научными учреждениями в соответствии с соглашениями о сотрудничестве или о совместном выполнении исследований и разработок;

· официальные издания об изобретениях;

· публичные лекции по научно-технической тематике, читаемые специалистами предприятия, пресс-конференции ведущих специалистов по результатам исследований и др. вопросам;

· вывоз за границу книг и журналов научно-технического и экономического характера нашими гражданами, выезжающими в служебные командировки;

· публикации специалистами и учеными научных и технических материалов в зарубежных изданиях, в том числе в World Wide Web;

· личная переписка специалистов и ученых по интересующей их тематике с зарубежными коллегами, особенно по электронной почте;

· рассылка научно-технических бюллетеней в электронные группы новостей, обсуждение интересующих тем в дискуссионных группах, форумах Internet и т.п.

Кроме легальных каналов могут быть также организованы нелегальные каналы распространения информации, так называемые каналы утечки информации.

Канал утечки информации - канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. Основным классификационным признаком технических каналов утечки информации является физическая природа носителя.

По этому признаку выделяют следующие каналы утечки информации:

1) визуально-оптические (электромагнитные излучения в инфракрасной, видимой и ультрафиолетовой части спектра);

2) радиоэлектронные, где в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а

также электрический ток (поток электронов), распространяющийся по металлическим проводам. Диапазон колебаний носителя этого вида чрезвычайно велик: от звукового диапазона до десятков ГГц.

В соответствии с видами носителей информации радиоэлектронный канал целесообразно разделить на 2 подвида: электромагнитный, носителями информации в котором являются электрическое, магнитное и электромагнитное поля, и электрический канал, носители информации в котором - напряжения и токи в токопроводящих конструкциях.

Электромагнитный канал в свою очередь делится на следующие каналы:

· радиоканал (высокочастотное излучение);

· низкочастотный канал;

· сетевой канал (наводки на сеть электропитания);

· канал заземления (наводки на провода заземления);

· линейный канал (наводки на линии связи между компьютерными системами).

3) акустические, связаны с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих в любом звукопроводящем материале. Носителями информации в акустическом канале являются механические упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц-20 кГц) и ультразвуковом (свыше 20 кГц) диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде;

4) материально-вещественные. В материально-вещественном канале

утечка информации производится путем несанкционированного распространения за пределы организации вещественных носителей с защищаемой информацией, прежде всего, выбрасываемых черновиков документов и использованной копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ. Последние в виде твердых, жидких и газообразных отходов или промежуточных продуктов содержат вещества, по которым в принципе можно определить состав, структуру и свойства новых материалов или восстановить технологию их получения.

5) при использовании автоматизированных систем появляется информационный канал, который связан с доступом к элементам автоматизированных систем, к носителям информации, к самой вводимой и выводимой информации, к программному обеспечению (в том числе к операционным системам), а также с подключением к линиям связи. Информационный канал может быть разделен на следующие каналы:

· канал коммутируемых линий связи,

· канал выделенных линий связи,

· канал локальной сети,

· канал машинных носителей информации,

· канал терминальных и периферийных устройств.

Каждый из технических каналов имеет свои особенности, которые необходимо знать и учитывать для обеспечения эффективной защиты информации от распространения в них.

По информативности каналы утечки делятся на информативные и неинформативные. Информативность канала оценивается ценностью информации, которая передается по каналу.

По времени проявления каналы делятся на постоянные, периодические и эпизодические. В постоянном канале утечка информации носит достаточно регулярный характер. Периодический канал утечки может возникнуть при условии, например, размещения во дворе не укрытой продукции, демаскирующие признаки о которой составляют тайну, во время пролетов разведывательных космических аппаратов. К эпизодическим каналам относятся каналы, утечка информации в которых имеет случайный разовый характер.

Методы получения информации частного и коммерческого характера:

- Акустический контроль помещения, автомобиля, непосредственно человека.

- Контроль и прослушивание телефонных каналов связи, перехват факсовой и модемной связи.

- Перехват компьютерной информации, в том числе радиоизлучений компьютера, несанкционированное внедрение в базы данных.

- Скрытая фото- и видеосъемка, специальная оптика.

- Визуальное наблюдение за объектом.

- Несанкционированное получение информации о личности путем подкупа или шантажа должностных лиц соответствующих служб.

- Путем подкупа или шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

1.2 Способы защиты от утечки конфиденциальной информации

1.2.1 Организационные средства защиты

К организационным средствам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации АСОД с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы АСОД и системы защиты на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверка в эксплуатации АСОД. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой обеспечивают объединение всех используемых в АСОД средств в целостный механизм защиты. Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать: ограничение физического доступа к объектам АСОД и реализацию режимных мер; ограничение возможности перехвата информации вследствие существования физических полей; ограничение доступа к информационным ресурсам и другим элементам АСОД путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение "закладок"; создание твердых копий важных с точки зрения утраты массивов данных; проведение профилактических и других мер от внедрения "вирусов". По содержанию все множество организационных мероприятий можно условно разделить на следующие группы. Мероприятия, осуществляемые при создании АСОД: учет требований защиты при разработке общего проекта системы и ее структурных элементов, при строительстве или переоборудовании помещений, при разработке математического, программного, информационного или лингвистического обеспечений, монтаже и наладке оборудования, испытаниях и приемке системы. Мероприятия, осуществляемые в процессе эксплуатации АСОД: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах ВЦ, распределение реквизитов разграничения доступа (паролей, полномочий и т.д.), организация ведения протоколов, контроль выполнения требований служебных инструкций и т.п. Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование всех мероприятий по защите информации, обучение персонала, проведение занятий с привлечением ведущих организаций страны, участие в семинарах и конференциях по проблемам безопасности информации и т.п.

1.2.2 Аппаратные средства защиты

Аппаратными средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств АСОД и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты. К настоящему времени применяется значительное число различных аппаратных средств, причем они могут включаться практически во все устройства АСОД: терминалы пользователей, устройства группового ввода-вывода данных, центральные процессоры, внешние запоминающие устройства, другое периферийное оборудование. Так, например, в терминалах пользователей наибольшее распространение получили устройства предназначенные для предупреждения несанкционированного включения терминала в работу (различного рода замки и блокираторы), обеспечения идентификации терминала (схемы генерирования идентифицирующего кода) и идентификации пользователя (магнитные индивидуальные карточки, дактилоскопические и акустические устройства опознавания и т.п.). Самостоятельную группу составляют аппаратные средства шифрования данных, которые к настоящему времени получили весьма широкое распространение за рубежом и, в настоящее время, внедряются в нашей стране. Современные устройства шифрования могут сопрягаться с помощью стандартных интерфейсов практически с любым устройством АСОД, обеспечивая как шифрование, так и дешифрование данных. Кроме того, в больших АСОД находит применение целый ряд вспомогательных аппаратных средств защиты: устройства уничтожения информации на магнитных носителях, устройства сигнализации о несанкционированных действиях и ряд других.

1.2.3 Криптографические средства защиты

Криптографическими средствами защиты называются специальные средства и методы преобразования информации, в результате которых маскируется ее содержание. Основными видами криптографического закрытия являются шифрование и кодирование защищаемых данных. При этом шифрование есть такой вид закрытия, при котором самостоятельному преобразованию подвергается каждый символ закрываемых данных; при кодировании защищаемые данные делятся на блоки, имеющие смысловое значение, и каждый такой блок заменяется цифровым, буквенным или комбинированным кодом. Для криптографического закрытия информации в АСОД наибольшее распространение получило шифрование. При этом используется несколько различных систем шифрования: заменой, перестановкой, гаммированием, аналитическим преобразованием шифруемых данных. Широкое распространение получили комбинированные шифры, когда исходный текст последовательно преобразуется с использованием двух или даже трех различных шифров. Основной характеристикой меры защищенности информации криптографическим закрытием является стойкость шифра, причем под стойкостью понимается тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом, по значению стойкости системы шифра можно определить допустимый объем шифрования информации при одних и тех же ключевых установках. Простые системы шифрования (простая замена, простая перестановка) обладают незначительной стойкостью, вследствие чего они могут использоваться лишь для шифрования коротких сообщений. Усложненные виды замены и перестановки имеют значительно большую стойкость, стойкость же гаммирования определяется лишь размером гаммы (случайной последовательности, используемой для шифрования). Если для шифрования используется бесконечная случайная последовательность, то такой шифр теоретически является абсолютно стойким, т.е. теоретически не раскрываемым. Однако практическая реализация такого шифра сопряжена с большими трудностями, поэтому в реальных системах этот вид шифрования не встречается. Большое распространение получили комбинированные шифры, их стойкость теоретически равна произведению стойкости используемых простых шифров. Так принятый в США национальный стандарт криптографической защиты основан на комбинированной системе шифрования. Важной характеристикой системы шифрования является ее производительность. Производительность шифрования зависит как от используемой системы шифра, так и от способа реализации шифрования в АСОД - аппаратного или программного. С точки зрения трудоемкости шифрования наименьших затрат требуют шифры замены, а наибольших - шифры, основанные на аналитическом преобразовании данных. С точки зрения способа реализации, аппаратное шифрование в несколько раз производительней программного шифрования, поэтому первому уделяется повышенное внимание. В тоже время, программное шифрование обладает большими возможностями по использованию различных методов и при современных средствах вычислительной техники (высокая тактовая частота) применение программных методов также достаточно эффективно и очень часто применяется в средствах вычислительной техники наряду с другими программными средствами защиты информации. Применение криптографических методов в рамках сетевых протоколов позволяет также решать отдельные задачи других направлений обеспечения безопасности. При этом, эти средства могут не только обнаруживать несанкционированные изменения сообщений, отказ в обслуживании, попытки установления несанкционированных соединений, но и автоматически проводить восстановление от таких угроз.

1.2.4 Физические средства защиты

Физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и целый ряд других средств, обеспечивающих выполнение следующих задач: защита территории и помещений вычислительного центра или центра автоматизированной системы электронной обработки данных (АСОД) от проникновения злоумышленников; защита аппаратуры и носителей информации от повреждения или хищения; предотвращение возможности наблюдения за работой персонала и функционированием оборудования из-за пределов территории или через окна; предотвращение возможности перехвата электромагнитных излучений работающего оборудования и линий передачи данных; контроль за режимом работы персонала; организация доступа в помещения ВЦ сотрудников; контроль за перемещением в различных рабочих зонах; противопожарная защита помещений ВЦ; минимизация материального ущерба и потерь информации, которые могут возникнуть в результате стихийного бедствия. Физические средства защиты являются наиболее традиционными средствами охраны АСОД. В принципе, они ничем не отличаются от давно используемых средств охраны банков, музеев, магазинов и других объектов, которые потенциально могут привлечь злоумышленников. Однако, как правило, для физической защиты АСОД в настоящее время используются более совершенные и сложные системы. Физические средства защиты представляют собой первый рубеж защиты жизненно важных элементов вычислительной системы. Следует четко представлять себе, что обеспечение физической безопасности системы является необходимым, но недостаточным условием сохранения целостности и конфиденциальности циркулирующей или хранящейся в ней информации. Для реализации систем физической защиты могут быть использованы самые разнообразные средства и методы. Например, организация вооруженной охраны; ведение наблюдения за всеми принципиально возможными путями проникновения в помещения АСОД; организация пропускной системы (с использованием паролей, опознавательных значков, специальных магнитных карточек, сложных систем опознавания сотрудников по голосу или по динамике подписей, рентгеновские и ультразвуковые системы и т.п.); создание системы внешнего и внутреннего освещения; применение фотографических и телевизионных систем наблюдения; установка оград, барьеров и защитных экранов; применение датчиков для обнаружения нарушителей или для установления факта повреждения или похищения аппаратуры; использование датчиков дыма, открытого пламени и т.д. Физическим мерам защиты традиционно придается большое значение. Конкретная структура физической системы защиты да и любой другой защиты определяется важностью материального, информационного или другого ресурса, подлежащего защите, а также уровнем необходимой секретности, материальными возможностями организации, возможностями проведения различных организационных мероприятий, существующим законодательством и целым рядом других не менее значимых факторов. Некоторые вопросы защиты информации от несанкционированного доступа.

НСД к информации в АСОД - это получение из функционирующей АСОД информации лицами, не имеющими права доступа к этой информации или не имеющими необходимых полномочий на ее модификацию и использование. НСД предполагает наличие следующих условий: Во-первых, имеется информация, доступ к которой ограничен; Во-вторых, существует возможность НСД к информации со стороны лиц, которым она не предназначена (как в результате случайных, так и преднамеренных действий). В качестве действий, которые могут повлечь за собой осуществление НСД к информации, могут быть: использование "чужих" средств доступа (например, терминалов); вход в систему с "чужими" полномочиями путем подбора (или использования) "чужого" пароля; несанкционированное расширение "своих" полномочий за счет несовершенства системы защиты информации, в частности, ее обхода, в основном за счет возможностей программного обеспечения. В качестве примера можно привести следующие способы НСД к информации в АСОД: изменение правил разграничения доступа; создание специальных программ - вирусов для модификации и уничтожения информации; модификация программного обеспечения при начальной загрузке; организация считывания информации, оставшейся в оперативной памяти и на внешних носителях после решения задач; подключение к линиям передачи данных, кабелям, разъемам, контрольным точкам с помощью штатных и специальных средств приема и отображения информации; хищение средств вычислительной техники и носителей информации; создание неучтенных копий документов; нарушение работы АСОД с целью нарушения системы защиты информации; визуальное наблюдение за отображаемой информацией и прослушивание разговоров обслуживающего персонала и др. Для предотвращения НСД программными средствами защиты, как правило, обеспечиваются: идентификация и допуск пользователей с разграничением доступа к защищаемым ресурсам; управление средствами программной защиты. При этом процесс идентификации предполагает идентификацию пользователей, периферийных устройств, отдельных СВТ при работе их в составе информационных сетей и идентификацию программного обеспечения. Разграничение доступа может включать в себя разграничение доступа к терминалам, к массивам информации, к носителям информации, к операциям над данными и разграничение доступа должностных лиц. При групповом использовании СВТ доступ пользователей к информации осуществляется в зависимости от санкционированных им функций. Например, для защиты файлов применяются программы, которые реализуют правила разграничения доступа в виде таблиц полномочий. В таблице для каждого защищаемого файла записаны идентификаторы пользователей, которым разрешен доступ к данному файлу и разрешенный вид доступа для каждого пользователя (считывание, запись, выполнение и т. д.). Рекомендуется применять специальные программы блокировки клавиатуры, диска или каталога без выключения компьютера, которые не позволяют получить доступ к жесткому диску без знания пароля даже при загрузке операционной системы со своей дискеты. По окончании работы с данными рекомендуется использовать специальные программы, обеспечивающие уничтожение фрагментов данных в ОЗУ, регистрах процессора, на жестком диске, в ЗУ принтера. Защита от несанкционированного использования программного обеспечения в результате несанкционированного копирования последнего реализуется применением специальных программных продуктов, подвергающих защищаемые программы предварительной обработки, которые приводят исполнимый код программ в состояние, препятствующее ее выполнение на "чужих" ЭВМ.

Глава 2. АНАЛИЗ И ОБОСНОВАНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ПО БЕСПРОВОДНЫМ КАНАЛАМ СВЯЗИ

2.1 Анализ беспроводных технологий

2.1.1 Система фиксированного широкополосного радио доступа

Анализ результатов развития технологий пользовательского доступа за последнее десятилетие показывает, что для предоставления услуг мультимедиа в настоящее время имеется широкий выбор беспроводных технологий пользовательского доступа. В настоящее время, системы радиодоступа строятся в соответствии со следующими стандартами:

1. HiperLAN2;

2. MMDS;

3. WLL;

4. IEEE 802.11/b/g.

HiperLAN2

HiperLAN2 базируется на недавно разработанной радиотехнологии, созданной специально для взаимодействий по локальной сети в рамках проекта Broadband Radio Access Networks (BRAN), реализуемого Европейским институтом стандартов в области электросвязи (ETSI), радиотехнология -- так называемое уплотнение с ортогональным разделением частот (Orthogonal Frequency Division Multiplexing, OFDM), реализация которого является весьма серьезной технической задачей. Наиболее привлекательной чертой HiperLAN2 является ее высокая скорость, в качестве каковой иногда ошибочно называется величина 54 Мбит/с. Действительно, номинальная скорость радиопередачи будет составлять 54 Мбит/с, но типичная скорость для приложений будет ближе к 20 Мбит/с. Другая характерная черта -- поддержка QoS, что весьма важно для таких приложений, как видео и речь. Архитектура HiperLAN2 обеспечивает соединение со множеством типов сетей, в том числе Ethernet (она будет поддерживаться в числе первых), IP, ATM и PPP. Функции защиты включают аутентификацию и шифрование. Совершенно Построение сетей на основе технологии HiperLAN2 потребует значительных инвестиций. Во-первых, единственный стандарт по беспроводные локальные сети, на сегодняшний день широко применяемый был предложен IEEE, а вовсе не ETSI. Во-вторых, IEEE уже имеет несколько стандартов на беспроводные локальные сети, в том числе стандарт 802.11a, обеспечивающий скорость передачи 54 Мбит/с. И в-третьих, ни одна компания из числа поддержавших проект HiperLAN2 не является признанным лидером в области локальных сетей. Работает данная технология в 5Ггц диапазоне который в настоящий момент еще не лицензирован. Чтобы разделяемые сети в стандарте HiperLAN2 действительно обеспечивали широкополосный доступ, они должны иметь множество точек доступа и множество каналов, которые обеспечивают свободу передвижений в пределах определенной территории.

MMDS

Система MMDS (Microwave Multipoint Distribution Service - Микроволновые многоточечные распределительные системы) получили в последние годы широкое распространение как альтернатива классическим кабельным сетям, в которых распределительная сеть строится за счет прокладки коаксиальных или оптических кабелей. Возможность интеграции систем MMDS c высокоскоростным беспроводным обменом цифровыми данными, позволяет легко решить проблему «последней» мили, обеспечивая радиус вещания, ограниченный линией горизонта (около 60 км).

Запрашиваемые пользователем данные транслируются нисходящими потоками в цифровых каналах, использующих модуляцию QPSK, 16-, 32-, 64-, 128- или 256-QAM. При этом, в зависимости от ширины канала и выбранной схемы модуляции сигнала, в одном канале шириной до 8 МГц обеспечивается скорость передачи данных до 56 Мбит/сек. времени, что в 1000-1500 раз быстрее, чем позволяет аналоговый телефонный модем (33,6 Кбит/с), в 200-400 раз быстрее, чем по линии ISDN (64 и 128 Кбит/с). Радиус зоны обслуживания системы ММDS определяется высотой подвеса передающей антенны, мощностью передатчика, количеством передаваемых каналов, потерями в антенно-фидерном тракте и коэффициентом усиления передающей и приёмной антенн. В процессе строительства и эксплуатации выявлен ряд преимуществ системы MMDS. Главным недостатком технологии является высокая стоимость оборудования, большое число обслуживающего персонала.

WLL

Первые системы фиксированного беспроводного доступа (WLL -Wireless Local Loop) были разработаны в конце 1980-х - начале 1990-х годов для решения весьма актуальной задачи - расширения зоны обслуживания АТС. Название этого класса систем определяет и их назначение -предоставление услуг традиционной телефонии абонентам, расположенным за пределами зоны обслуживания.

Системы WLL являются системами типа "точка - многоточка", работают в диапазонах частот от 1,5 до 3,5 ГГц, а сети на базе систем WLL строятся по сотовому принципу. В состав систем WLL входят:

1. центральная станция (ЦС), обеспечивающая подключение и управление всей сетью в целом;

2. ретрансляционные станции (PC), позволяющие обеспечить сплошное покрытие обслуживаемой территории и расширить зону обслуживания до нескольких сотен километров (в зависимости от количества последовательно включенных ретрансляторов);

3. терминальные станции (ТС), устанавливаемые в зонах обслуживания;

4. система технического обслуживания, реализованная в виде программного обеспечения на уровне управления сетевыми элементами и устанавливаемая на персональном компьютере.

Системы WLL предоставляют услуги ТфОП (телефония, факс и передача данных с использованием dial-up-модемов) абонентам, удаленным на десятки километров. Основной недостаток данных систем является высокая стоимость, сложность установки и эксплуатации оборудования.

Развитие систем класса FBWA в конце 1990-х годов обусловлено несколькими факторами:

1. практически всеобщей информатизация;

2. появлением широкого набора высокоскоростных транспортных технологий.

3. разработкой концепции построения сетей следующего поколения, обеспечивающих единое управление всеми видами трафика в современных мультисервисных сетях связи.

Таким образом, системы FBWA, предназначенные для предоставления индивидуальным и корпоративным пользователям современных услуг.

Представленные в настоящее время на рынке решения класса FBWA практически не имеют PC, что ограничивает радиус их зоны обслуживания пределами одной ячейки.

В системах FBWA используется секторный принцип построения ЦС, в состав которой входят несколько приемопередатчиков, обслуживающих каждый свой сектор, причем в каждом секторе могут быть организованы несколько радиоканалов.

Терминальные станции современных систем FBWA обеспечивают подключение к различным услугам широкого круга как индивидуальных, так и корпоративных пользователей, включая ЛВС, УАТС, сети Frame Relay и др.

И, наконец, кроме предоставления услуг пользовательского доступа, системы FBWA широко используются в качестве беспроводных городских сетей для предоставления транспортных услуг (например, для подключения базовых станций к коммутаторам мобильных сетей связи).

2.1.2 Организация радиоинтерфейса

Полосы частот для систем FBWA определены международным Регламентом радиосвязи, а в России - "Таблицей распределения полос частот между радиослужбами Российской Федерации в диапазонах частот от 3 кГц до 400 ГГц", определяющей также условия использования полос частот в России. Под последними следует понимать три категории полос частот, предназначенных для использования:

1. преимущественно РЭС правительственного назначения (категория ПР);

2. преимущественно РЭС гражданского назначения (категория ГР);

3. совместно РЭС правительственного и гражданского назначения (категория СИ).

Выделением полос частот для эксплуатации различных систем FBWA занимается Государственная комиссия по радиочастотам (ГКРЧ), а назначение номиналов частот для эксплуатации каждой конкретной системы производится Главным радиочастотным центром (ГРЧЦ) или его подразделениями.

Современные системы FBWA работают в диапазонах частот 2,4; 3,5; 5; 10,5; 26/28 ГГц, вплоть до 40 ГГц, которые в России относятся к категориям ПР или СИ.. Кроме того, частотный ресурс в каждом конкретном регионе весьма ограничен. Поэтому оператору, решившему предоставлять услуги с использованием систем FBWA, следует перед выбором оборудования выяснить ситуацию с наличием частотного ресурса в регионе развертывания системы в соответствующем подразделении ГРЧЦ.

Перевод систем FBWA в область более высоких частот связан, с одной стороны, с занятостью низкочастотных диапазонов, особенно в крупных городах, а с другой - с необходимостью обеспечения достаточного частотного ресурса для широкого развития систем данного класса. Так, например, если для систем стандартов IEEE 802.1 lb/g выделен частотный ресурс 83,5 МГц в диапазоне 2,4 ГГц, то для развертывания систем FBWA регулирующие органы ЕС в области телекоммуникаций выделили полосу частот 300 МГц в диапазоне 10,5 ГГц и по 2 ГГц - в диапазонах 26/28 ГГц. Для развития особого класса систем фиксированного широкополосного беспроводного доступа, получивших название MWS (Multimedia Wireless System), в диапазоне 40 ГГц выделен частотный ресурс 3 ГГц.

Следует отметить, что при проектировании сетей FBWA, работающих в диапазонах выше 15-20 ГГц, необходимо учитывать влияние атмосферных явлений на качество радиосвязи, а радиус зоны обслуживания одной ЦС при этом не будет превышать нескольких километров.

Более узкополосные системы могут устанавливаться в регионах с ограниченным частотным ресурсом, развертывание же широкополосных систем хотя и требует наличия большего частотного ресурса, однако обеспечивает высокую масштабируемость создаваемой сети доступа.

2.1.3 Общие характеристики систем FBWA

Радиус зоны обслуживания ЦС в большой степени зависит от диапазона частот, в котором работает данное оборудование, и от вида используемой в системе модуляции. Для систем FBWA, работающих в диапазонах 2,4 и 3,5 ГГц, радиус зоны обслуживания составляет 15-20 км, а в диапазоне 26/28 ГГц он уменьшается до 3-5 км. Таким образом, если для предоставления услуг доступа на достаточно обширной территории оператор планирует использовать оборудование, работающее в более высокочастотном диапазоне, то затраты на организацию сети увеличатся в связи с необходимостью установки нескольких ЦС. В то же время такая есть будет обладать высокой масштабируемостью и оператору будет проще получить разрешение на частоты для эксплуатации оборудования.

Потенциальная емкость современных систем FBWA (то есть максимальное количество ТС, которые может обслужить одна ЦС) достигает 1000 ТС и более. Однако реальная емкость сети оператора на базе систем FBWA будет зависеть от целого ряда факторов: метода доступа; используемой в радиотракте сетевой технологии; способов предоставления каналов и т.д., а в первую очередь - от вида предоставляемых услуг. При предоставлении только транспортных услуг на базе выделенных линий количество ТС будет полностью определяться пропускной способностью системы и предоставляемых в аренду выделенных линий. В случае предоставления оператором преимущественно услуг телефонии емкость системы зависит от пропускной способности системы, типа применяемого кодека, средней телефонной нагрузки и процента отказов в обслуживании вызовов. Если же абонентами сети доступа будут преимущественно пользователи услуг передачи данных, то при определении емкости сети необходимо ориентироваться на согласованную скорость передачи (CIR), которая указывается в соглашении об уровне обслуживания (SLA), заключаемом между оператором и пользователями сети доступа.

При построении сетей на базе систем FBWA необходимо также учитывать, что зачастую заявляемые производителями скорости в несколько десятков мегабит в секунду являются не пропускной способностью системы, а скоростью передачи информации в радиотракте. Реальная же пропускная способность зависит, в частности, от используемого метода доступа и от числа обслуживаемых пользователей.

2.1.4 Характеристики стандарта серии 802.11

Стандарт имеющий название IEEE 802.11, разработан на базе стандарта Ethernet для локальных сетей и является его полным аналогом.

Существуют три основные схемы работы пользователей, использующих оборудование данного типа: «точка-точка», «звезда», «все с каждым».

«Точка-точка». Этот тип соединения наиболее часто применяется для организации постоянного соединения между двумя удаленными абонентами. В этом случае важна не мобильность абонентов, а надежность при передаче данных. Поэтому, как правило, оборудование устанавливается стационарно. Использование узконаправленных антенн и усилителей позволяет в отдельных случаях обеспечивать устойчивую связь на расстоянии свыше 50 километров. Подобное решение идеально подходит для магистральных линий с малой загруженностью и корпоративных сетей (связь между двумя локальными сетями, расположенными в удаленных офисах).

«Звезда». Используется при подключении как стационарных, так и мобильных абонентов. Принцип построения такой сети очень схож с

принципами построения сотовой сети. В качестве базовой станции («соты») используется оборудование с широконаправленной (круговой) антенной (угол горизонтального обзора 360 градусов). На стороне абонента в зависимости от степени мобильности используется либо узконаправленная, либо широконаправленная антенна.

«Все с каждым». Такое решение чаще всего применяется внутри зданий для организации локальной сети, абоненты которой не привязаны к своим рабочим местам. Каждая станция оснащается всенаправленной антенной, позволяющей поддерживать связь с каждым из абонентов в радиусе 200 метров. Помимо обеспечения свободы передвижения, данное решение позволяет избежать расходов на развертывание кабельной инфраструктуры внутри здания.

Оборудование стандарта 802.11 делится на различные категории по трем признакам: дальность, метод и скорость передачи.

Каждое приемо-передающее устройство, работающее на радиоволнах, занимает определенный участок радиоспектра. Каждый такой диапазон характеризуется центральной частотой, которая также называется «несущей», и шириной диапазона. Дальность работы напрямую зависит от несущей частоты диапазона. Чем выше частота, тем более прямолинейно распространяется радиоволна. Отсюда ясно, что оборудование, работающее на больших частотах, наиболее эффективно используется в условиях прямой видимости. Для передачи на большие расстояния имеет смысл использовать более низкочастотное оборудование, позволяющее огибать предметы, препятствующие распространению сигнала.