Захист від НСВ по комунікаційних каналах
Найбільший збиток|шкода| при нападі із застосуванням ТС НСВ наносяться|завдають| об'єктам, біля|в| яких АС з|із| безперервним процесом обробки потоків інформації є|з'являються| ядром системи (до таких об'єктів відносяться системи зв'язку, особливо цифрового, системи обробки банківських даних, управління повітряним рухом і тому подібне|тощо|). Вельми|дуже| ефективний напад із застосуванням ТС НСВ на системи, що забезпечують безпеку об'єкту: вивід|виведення| з|із| буд|ладів| устаткування|обладнання| системи безпеки може представити|уявляти| зловмисникам тимчасове вікно тривалістю до декількох діб (на період заміни або ремонту устаткування|обладнання|) для здійснення злочинних дій. ТС НСВ не є|з'являються| засобами|коштами| селективної дії і завдають глобальної поразки не лише|не те що| конкретному об'єкту нападу, конкретному устаткуванню|обладнанню|, підключеному до фідера живлячої|почувати| мережі|сіті| або кабелю лінії зв'язку. У АС до дротяних|провід| ліній зв'язку підключаються різного роду гальванічні розділення|поділи|: мережеві|мережні| адаптери, АЦП, ЦАП, підсилювачі, модеми, повнорозмірні і МІНІ-АТС і інші електронні пристрої|устрої|, що перетворюють сигнали, що обробляються в АС, в сигнали, які передаються по дротяних|провід| лініях зв'язку. По суті, це пристрої|устрої|, призначені для зв'язку АС з|із| дротяною|провід| лінією, тому далі використовуватимемо термін, який є|з'являється| узагальнювальним, — пристрої|устрої| зв'язку (ВУС). Схемотехніка ВУС відрізняються великою різноманітністю, у зв'язку з чим детальний аналіз стійкості до НСВ можливий лише стосовно конкретного пристрою|устрою| або типа|типу| пристроїв|устроїв|. У першому наближенні можна визначити характеристики ТС НСВ і розробити основні підходи до захисту від НСВ, орієнтуючись на граничну енергопоглинаючу здатність|здібність| компонентів, які можуть бути використані у вхідних ланцюгах|цепах| ВУС. Таке допущення можливе, оскільки|тому що| метою|ціллю| атаки об'єкту із застосуванням ТС НСВ по дротяних|провід| лініях зв'язку є|з'являється|, в основному, вивід|виведення| з|із| буд|ладів| ВУС і відповідне порушення нормального функціонування АС. Вживання|застосування| ТС НСВ по дротяних|провід| лініях зв'язку для провокації збоїв в роботі АС малоефективно, оскільки|тому що| одиничні|поодинокі| збої в роботі ВУС в більшості випадків не дозволяють рахувати атаку результативною із-за використання в кабельних системах зв'язку захищених об'єктів пристроїв|устроїв| помехоустоучивого| кодування сигналів, що передаються по дротяни|провід|х лініях зв'язку. Для деградації ВУС, в яких |із|з дротяно|провід|ю лінів зв'язку сполучен|з'єднані|і активні компоненти (мікросхеми, транзистори або діоди), досит|достатньо|ь дії імпульсу |із|з енергією 1–1000 мкДж|. Імпульс може бути вель|дуже|ми коротким, оскільки час пробою p-n-перехода| або МОП-СТРУКТУРИ складає 10-1000 нс|. Таким чином, для більшості ВУС, що не мають належного захисту на вході/виході, енергія, необхідна для деградації при НСВ по інформаційному каналу, на декілька ладів|порядки| нижче, ніж для деградації при НСВ по ланцюгах|цепах| живлення|харчування|. Тому НСВ по комунікаційних каналах може бути реалізовано за допомогою відносний простих ТС, що забезпечують високий ступінь|міру| вірогідності|ймовірності| виведення об'єкту з|із| буд|ладів|. Що захищаються від імпульсних перешкод ВУС мають істотно|суттєвий| велику граничну енергопоглинаючу здатність|здібність|, яка доходить до 1–10 Дж для низькошвидкісних ВУС, таких, що захищаються звичайно за допомогою варисторов|, і до 1–10 мДж| для високошвидкісних ВУС, таких, що захищаються діодними схемами і супрессорами|. Як вже наголошувалося, аналіз вирішень схемотехнік імпортних модемів показав, що більш ніж б|в|іля половини досліджених модемів ефективний захист на вході відсутній. У деяких моделях передбачені багатоступінча|багатоступінчаті|сті схеми захисту входів від імпульсних перешкод і перенапружень, пр|однак|оте у варіантах, що поставляються в нашу країну, виконана тіл|лише|ьки розводка провідників вузла захисту на друкарській платі, а відповідні елементи на неї не встановл|установлені|ені. Для забезпечення захисту АС від НСВ по комунікаційних каналах (головним чином мова|промова| йде про дротяних|провід| лініях зв'язку) необхідне проведення певних заходів організаційного і технічного характеру. Їх деталізація вимагає прив'язки до конкретного об'єкту. 1. Необхідно перевірити із|із| залученням кваліфікованих фахівців|спеціалістів| схему внутрішніх і зовнішніх комунікаційних каналів об'єкту для виявлення можливих шляхів|доріг| для нападу на об'єкт по дротяних|провід| лініях зв'язку. 2. Схема внутрішніх і зовнішніх комунікаційних каналів об'єкту має бути розділена на зони, в яких можна реалізувати ті або інші заходи щодо захисту. 3. На всі дротяні|провід| лінії зв'язки, які виходять за межі зон, підконтрольних службі безпеці об'єкту, мають бути встановлені|установлені| пристрої|устрої| захисту від НСВ для кожного провідника ліній зв'язку. Місця для установки шаф із|із| захисним устаткуванням|обладнанням| вибираються в зонах, підконтрольних службі безпеці. 4. Після|потім| завершення монтажу кабельних комунікацій і ВУС знімається “портрет” комунікаційної мережі|сіті| за допомогою аналізатора неоднородностей| лінії зв'язку. При подальшом|наступному|у систематичному контролі комунікаційної мереж|сіті|і, порівнюючи результати поточних вимірі|вимірювань|в |із|з контрольним “портретом” мереж|сіті|і, можна буде виявити несанкціоновані підключення. В такий спосі|у такий спосіб|б вельм|дуже|и точно виявляються контактні підключення |із|з ємкісно|місткість|ю розв'язкою, оскільки вони мають імпеданс, що істотн|суттєвий|о відрізняється від хвильового опору ліній зв'язку. Оскільк|тому що|и ємкіст|місткість|ь розділового конденсатора невелика, то зондуючий імпульс повинен мати наносекундний діапазон. 5. Доступ до МІНІ-АТС, кросс-панелям| і іншим елементам комунікаційних каналів зв'язку має бути обмежений відповідними документами і технічними заходами, а поточне обслуговування устаткуванн|обладнання|я і ремонтні роботи необхідно проводит|виробляти|и під контролем співробітників режимної служби. 6. При проектуванні схем розміщення і монтажі комунікаційного устаткування|обладнання| АС необхідно усувати потенційні можливості|спроможності| для атаки на об'єкт за допомогою ТС НСВ. Загальноприйнята топологія прокладки|прокладення| дротяних|провід| ліній зв'язку, коли пари ліній виконані з|із| плоского кабелю (“локшини|лапші|”) і окремі пари прокладаються уздовж|вздовж| поверхні стіни паралельно одна інший, є|з'являється| ідеальною для атаки на об'єкт за допомогою ТС НСВ з|із| безконтактним ємкісним|місткість| інжектором. За допомогою плоского накладного електроду на ізолюючій штанзі і ТС з|із| великою частотою дотримання|проходження| пачок імпульсів підключені до таких ліній ВУС можуть бути виведені з|із| буд|ладів| за 10–30 з|із|. Тому подібна топологія прокладки|прокладення| дротяних|провід| ліній зв'язку допустима тільки|лише| в межах контрольованої зони. Розміщення АТС, кросових пристроїв|устроїв|, маршрутизаторів і інших подібних пристроїв|устроїв| на зовнішніх стінах об'єкту небажано, оскільки|тому що| може бути проведена|виробляти| атака на об'єкт із зовнішнього боку стіни. При атаці в зоні розташування АС або кабельних комунікацій зовні об'єкту накладається ємкісною|місткість| безконтактний інжектор великого розміру (оскільки|тому що| обмежень по скритності атаки практично немає) і проводиться|виробляє| НСВ. Ефективність такого НСВ найбільш висока для приміщень|помешкань| з|із| тонкими стінами з|із| сучасних штучних матеріалів з|із| великою діелектричною проникністю, а мінімальна для екранованих приміщень|помешкань| і приміщень|помешкань| із|із| залізобетонними стінами. У останньому випадку ефективність НСВ знижується із-за екрануючого впливу арматури залізобетону. Тому, якщо можливості|спроможності| для заміни тонкостінних перегородок немає, необхідно передбачити екранування приміщення|помешкання| при його проектуванні (щонайменше, провідними шпалерами або металевою сіткою). Особливо ця рекомендація актуальна для приміщень|помешкань| з|із| комунікаційним устаткуванням|обладнанням|, що мають суміжні кімнати поза|зовні| зоною контролю. При неможливості екранування всього приміщення|помешкання| необхідно прокладати лінії зв'язку по широкій заземленій смузі металу. 7. При закупівлях комунікаційного устаткування|обладнання| для АС необхідно звертати увагу на ступінь|міру| його захисту від імпульсних перешкод. Найбільш важливими|поважними| є|з'являються| наступні|слідуючі| характеристики: ступінь|міра| захисту від мікросекундних імпульсних перешкод великої енергії (стосовно ТС НСВ з|із| контактним підключенням до низьковольтних ємкісних|місткість| накопичувачів) і ступінь|міра| захисту від пачок імпульсів наносекундного діапазону (стосовно ТС НСВ з|із| високовольтними трансформаторами і безконтактними інжекторами). Доцільно орієнтуватися на певний мінімальний ступінь|міру| захищеності устаткування|обладнання| АС по комунікаційних каналах, яка повинна відповідати ГОСТ. 8. При побудові|шикуванні| схеми захисту об'єкту доцільно виділити три рубежі: рубіж I — захист по периметру об'єкту всіх комунікаційних каналів для запобігання зовнішній загрозі|погрозі| нападу з використанням ТС НСВ; рубіж II — поетапний захист для локалізації ТС НСВ, стаціонарно встановлених|установлених| усередині|всередині| об'єкту, що охороняється, або пронесених всередину його для організації однократної|одноразової| атаки; рубіж III — індивідуальний захист найбільш відповідальних елементів АС. Для невеликих об'єктів рубіж I може бути відсутнім, а рубіж II — скоротитися. 9. Для першого рубежу, як мінімум, необхідно встановити захист всіх дротяних ліній зв'язку від перенапруження за допомогою повітряних розрядників і варисторов (аналогічні схеми застосовуються для захисту від індукованих розрядів блискавки). Захист має бути встановлена|установлена| між лініями і між кожним з провідників і контуром заземлення. Вузли захисту мають бути змінними з|із| індикаторами пошкодження|ушкодження|, оскільки|тому що| для елементів захисту цього рубежу велика вірогідність|ймовірність| пошкодження|ушкодження| індукованими розрядами блискавки, що може зажадати оперативної заміни дефектних вузлів для швидкого відновлення помехозащитных| властивостей системи. Дротян|провід|і лінії зв'язки, прокладені окремими дротам|проводами|и, необхідно замінити на багатопарні кабелі зв'язки |із|з витим|крученими|и парами. На додаток до звичайни|звичних|х заходів захисту кабелів зв'язку від несанкціонованого підключення тієї, що підслуху|підслуховує|є і іншої подібної апаратури, їх необхідно екранувати (для цього застосовуються металеві короби, труби, металлорукава|). Особлива ця вимога поважно для високошвидкісних виділених ліній зв'язку. 10. Для другого рубежу захисту найдоцільніше використовувати комбіновані низкопороговые перешкодозахисні схеми. Елементною базою таких схем є низкопороговые газові розрядники, варисторы, комбіновані діодні обмежувачі перенапружень, супрессоры, трансзобсы, RC- і LC-фильтры і інші елементи. Конкретне вирішення помехозащитной| схеми залежить від характеристик лінії, що захищається (перш за вс|передусім|е, від швидкодії комунікаційного каналу). Слід віддавати переваг|преференцію|у груповому пристро|устрою|ю захисту, виконаному у вигляді металевої шафи |із|з дверцями, що замикаються замками. Комунікаційні зв'язки між окремими вузлами АС в межах другого рубежу бажано виконувати не дротяним|провід|и, а оптоволоконними лініями. 11. Для третього рубежу необхідно застосовувати схеми захисту, максимально наближені до устаткування, що захищається, наприклад, інтегровані з різного вигляду розетками і роз'ємами для підключення дротяних ліній зв'язку. Також є схеми захисту, виконані на стандартних друкарських платах, призначених для установки в ПЕВМ і інше устаткування. 12. Після|потім| монтажу системи захисту від НСВ по комунікаційних каналах цю систему і АС в цілому|загалом| необхідно випробувати на реальні дії. Для випробувань застосовуються імітатори ТС НСВ, що генерують імпульси, аналогічні імпульсам, використовуваним при реальній атаці на об'єкт. Слід зауважити, що вироблювані лавою|низкою| зарубіжних фірм|фірма-виготовлювачів| імітатори імпульсних перешкод дуже дороги (вартість до декількох десятків тисяч доларів і більш) і обмежено придатні для імітації ТС НСВ. Наприклад, імітатори пачок імпульсів наносекундного діапазону мають амплітуду напруги|напруження| 2, 5 кВ| або 4 кВ|, а для імітації ТС НСВ|із| з ємкісн|місткість|им інжектором потрібна напру|напруження|га на порядок більше.
|