Разработка системы защиты информации офиса

Принципы организации защиты офиса от несанкционированного доступа. Анализ возможных действий злоумышленника, направленных на дестабилизацию целостности, конфиденциальности и доступности информации. Методы противодействия дестабилизирующим факторам.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 20.09.2015
Размер файла 228,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

19

Размещено на http://www.allbest.ru/

Разработка системы защиты информации офиса

Введение

офис защита информация

С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность. В связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно. Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря корой может повлечь большие изменения в самой организации и материальные потери. Поэтому мероприятия по защите информации в данное время очень актуальны и важны.

Для обеспечения полноценной защиты информации необходимо проводить комплексный анализ каналов утечки и методов несанкционированного доступа к информации.

Цель моей курсовой работы: изучить классификацию технических каналов утечки акустической информации, приобрести практические навыки выявления потенциальных каналов утечки по описанию защищаемого помещения (офиса).

Задачи, которые я поставила перед собой:

1. Рассмотреть проблему организации защиты офиса от несанкционированного доступа.

2. Проанализировать возможные действия злоумышленника, направленные на дестабилизацию целостности, конфиденциальности и доступности информации.

3. Рассмотреть основные методы противодействия от дестабилизирующих факторов, а также дать оценку эффективности их применения.

1. Общая характеристика технического канала утечки информации

Физический путь несанкционированного распространения носителя с защищаемой информацией от ее источника к злоумышленнику образует канал утечки информации. В зависимости от вида носителя информации каналы ее утечки различаются структурой. Если распространение информации происходит с помощью технических средств, то соответствующий канал называется техническим каналом утечки информации (ТКУИ). Обобщенная структура типового ТКУИ приведена на рис.2

Рис. 2. Обобщенная схема типового ТКУИ

Глядя на рисунок, можно дать следующее определение: ТКУИ есть совокупность объекта разведки, технического средства разведки (ТСР), при помощи которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимают способ получения с помощью ТСР разведывательной информации.

Следует отметить, что для ТКУИ характерно не только наличие технических средств в их структуре, но и то, на каких физических носителях представлена информация. Если информация представлена на макротелах (например, диске с записью или в виде отходов делопроизводства), то она может быть перенесена в пространстве людьми или стихийными силами от источника к злоумышленнику. В этом случае канал утечки не является техническим. Если же информация представлена в динамической форме в виде тех или иных физических полей или электрического тока, то мы имеем дело именно с ТКУИ.

Структура ТКУИ полностью совпадает со структурой канала связи. Отличие между ними заключается только в статусе получателя информации: в канале связи получатель информации санкционированный, а в ТКУИ - злоумышленник.

Наличие на объекте того или иного ТКУИ не обязательно приводит к собственно утечке информации, но обязательно создает предпосылки к утечке. Утечка информации произойдет только тогда, когда информация дойдет до злоумышленника.

Источник информации, представленный на рисунке, в соответствии с определением ТКУИ будет являться объектом разведки.

Техническим средством разведки обязательно является приемник сигнала, а в некоторых случаях - совокупность приемника и источника сигнала. Технические средства разведки служат для приема и измерения параметров сигналов.

В зависимости от природы сигналы распространяются в определенных физических средах. В общем случае средой распространения могут быть газовые (воздушные), жидкостные (водные) и твердые среды. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт (земля) и т.д..

В среде распространения сигнала могут распространяться сигналы исходящие не только от объекта разведки, но и от иных объектов (источников). Последние по отношению к первому будут являться помехами. Чем ближе характеристики помех и информативного сигнала, тем сложнее приемнику селектировать полезный сигнал и тем сильнее влияние помех на информацию. Например, если частоты и помехи радиосигнала отличаются на величину более полосы пропускания приемника, то помеха будет подавлена селективными целями приемника. Если их частоты пересекаются, то после демодуляции помеха находится на сигнал, что приведет к изменению его информационных параметров, вплоть до разрушения информации.

Сущность защитных мероприятий сводится к перекрытию возможных каналов утечки защищаемой информации, которые появляются в силу объективно складывающихся условий ее распространения и возникающей у конкурентов заинтересованности в ее получении.

Перекрытие всех возможных каналов несанкционированного съема информации требует значительных затрат, и, потому, в полном объеме сделать это удается далеко не всегда. Следовательно, в первую очередь необходимо обратить вникание на те из них, которыми с наибольшей вероятностью могут воспользоваться недобросовестные конкуренты. Наибольшую привлекательность для злоумышленников представляют акустические каналы утечки информации, в особенности такой канал, как виброакустический.

2. Описание защищаемого помещения

1. Защищаемое помещение расположено на втором этаже трехэтажного здания.

2. Все здание принадлежит одной организации.

3. На третьем этаже над объектом информатизации расположены служебные помещения.

4. На первом этаже под объектом информатизации расположены технические помещения (туалет и электрощитовая).

5. С восточной стороны объекта расположена приемная.

6. С южной стороны объекта расположен общий коридор.

7. Северная и западная стены объекта выходят на улицу с интенсивным пешеходным и транспортным движением.

8. Окна помещения оборудованы шторами, смотрят на жилой дом, расположенный на расстоянии 30 метров.

9. В помещении установлены предметы мебели:

- рабочий стол;

- журнальный стол;

- стулья;

- приставной столик под телефоны;

- компьютерный стол;

- телевизионная тумбочка;

10. Состав ОТСС объекта:

- телефон внутренней конфиденциальной связи;

- ПЭВМ, включенная в ЛВС;

11. Состав ВТСС объекта:

- телефон ГТС;

- телевизор;

- однопрограммный приемник радиотрансляционный сети;

- системы охранной и пожарной сигнализации с выходом на пульт охранника;

12. Помещение объекта электрифицировано;

13. В качестве источников искусственного освещения на объекте используются люминесцентные светильники;

14. Помещение объекта оборудовано системой вытяжной вентиляции, короб которой проложен вдоль коридора и поднимается на крышу здания. Радиаторы отопления установлены вдоль северной стены объекта. Трубы отопления спускаются в подвал.

15. Режим работы учреждения предусматривает свободное передвижение сотрудников и посетителей в рабочее время. В ночное время помещение объекта закрывается на ключ, сдается под охрану, дежурному. Системы связи обслуживаются штатным сотрудником. Системы жизнеобеспечения (отопление, канализация) обслуживаются по заявке приходящим сотрудником.

16. Доступ штатных сотрудников к служебной информации не разграничен.

Рис.1. Схема защищаемого объекта (офиса)

3.Возможные каналы утечки информации

№ п/п

Вид канала утечки

За счет чего образован

1.

Воздушный канал утечки речевой информации.

Возможно случайное прослушивание переговоров посторонними лицами через общий коридор, приемную.

2.

Воздушный канал утечки речевой информации.

Возможен перехват сигнала с помощью микрофонов, оснащенных устройствами звукозаписи. Устройство может быть установлено и впоследствии изъято посторонним лицом. Возможен перехват сигнала с помощью микрофонов, комплексированными с устройствами передачи информации по сети электропитания. Возможен перехват информации через телефон ГТС с помощью устройства, установленного в корпусе телефонного аппарата (телефонный наблюдатель), устройства подключенного к телефонной розетке (телефонное ухо).

3.

Воздушный канал утечки речевой информации.

Возможен перехват сигнала с помощью направленного микрофона из соседнего здания, либо с улицы (например, из автомобиля под окнами) в случае открытой форточки.

4.

Вибрационный канал утечки речевой информации.

Возможен перехват информации стетоскопами, комплексированными радиопередатчиками и передатчиками в ИК-диапазоне с окон, приём осуществляется с соседнего здания либо в улицы.

5.

Вибрационный канал утечки речевой информации.

Возможен перехват информации стетоскопами, комплексированными радиопередатчиками и передатчиками в ИК-диапазоне через ограждающие конструкции.

6.

Вибрационный канал утечки речевой информации.

Возможен перехват информации стетоскопами, комплексированными радиопередатчиками и передатчиками в ИК-диапазоне через трубы отопления.

7.

Вибрационный канал утечки речевой информации.

Возможен перехват информации стетоскопами, комплексированными радиопередатчиками и передатчиками в ИК-диапазоне через систему вентиляции.

8.

Параметрический канал утечки речевой информации.

Установка закладного устройства, направленное облучение мощным высокочастотным сигналом из помещения жилого здания и приём переизлученных и высокочастотных колебаний, модулированных информационным сигналом.

9.

Параметрический канал утечки речевой информации.

Радиоизлучения, модулированные информативным речевым сигналом, возникающие при работе телевизора.

10.

Параметрический канал утечки речевой информации.

Радиоизлучения, модулированные информативным речевым сигналом, возникающие при работе ЭВМ.

11.

Электроакустический канал утечки информации.

Перехват акустических колебаний путем подключения к соединительным линиям телефонных аппаратов ГТС.

12.

Электроакустический канал утечки информации.

Перехват акустических колебаний путем подключения к соединительным линиям однопрограммного приемника радиотрансляционной сети специальных высокочувствительных низкочастотных усилителей.

13.

Электроакустический канал утечки информации.

Перехват информации путем «высокочастотного навязывания» через введение токов в линию телефона ГТС.

14.

Оптико-электронный канал утечки речевой информации.

Возможен перехват сигнала путем лазерного зондирования окон с соседнего здания.

15.

Оптический канал утечки информации, обрабатываемой ОТСС.

Снятие информации с устройств вывода (принтера, монитора).

16.

Электрический канал утечки информации.

Возможен перехват информации, просочившийся в линию электропитания, заземления с ПЭВМ.

17.

Электрический канал утечки информации.

Возможен перехват информации, просочившийся в линию электропитания, заземления с телевизора.

18

Электрический канал утечки информации.

Возможен перехват информации в случае установленной аппаратной закладки в платах ОТСС.

19.

Электрический канал утечки информации, обрабатываемой ОТСС.

Возможен перехват сигнала наведенного элементами ОТСС (ПЭВМ) на провода ВТСС (телефона).

20.

Электрический канал утечки информации, обрабатываемой ОТСС.

Возможен перехват сигнала наведенного элементами ОТСС (ПЭВМ) на провода ВТСС (однопрограммного радиоприемника ретрансляционной сети).

21.

Электрический канал утечки информации, обрабатываемой ОТСС.

Возможен перехват сигнала наведенного элементами ОТСС (ПЭВМ) на трубы отопления.

22.

Электромагнитный канал утечки информации, обрабатываемой ОТСС.

Возможность установить мобильный пункт (припаркованный автомобиль) перехвата ПЭМИ ОТСС ПЭВМ на улице с северной или западной стороны.

23.

Электромагнитный канал утечки информации, обрабатываемой ОТСС.

Возможен перехват ЭМИ на частотах работы ВЧ генераторов в ОТСС.

24.

Параметрический канал утечки информации, обрабатываемой ОТСС.

Возможен перехват модулированного информативного сигнала путем импульсного ВЧ облучения ОТСС.

25.

Перекрестный канал утечки информации.

Если две линии проводной связи имеют протяженный параллельный пробег, то существует вероятность съема информации за счет паразитных связей - между каналом оперативной связи и ГТС.

26.

Перекрестный канал утечки информации.

Если две линии проводной связи имеют протяженный параллельный пробег, то существует вероятность съема информации за счет паразитных связей - между каналом оперативной связи и однопрограммным радиоприемником радиотрансляционной сети.

4. Моделирование технической разведки

Для построения эффективной системы защиты информации необходимо, в первую очередь, определить потенциальные и реальные угрозы информационной безопасности (несанкционированное проникновение на защищаемый объект, возможные технические каналы утечки информации, и каналы несанкционированного доступа к защищаемой информации).

Успешная реализация этапа моделирования технической разведки позволит в дальнейшем спланировать и построить эффективную систему защиты объекта при оптимальных затратах на проведение организационных и технических защитных мероприятий и минимуме неудобств для персонала при последующей эксплуатации объекта.

При выявлении технических каналов утечки информации необходимо рассматривать всю совокупность элементов объекта информатизации, включающую основные технические средства и системы (ОТСС), вспомогательные технические средства и системы (ВТСС), сосредоточенные и распределенные случайные антенны, системы электропитания, системы заземления и т.п. Наиболее опасными элементами, образующими ТКУИ, являются линии ВТСС, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены ОТСС (металлические трубы систем отопления, водоснабжения, другие токопроводящие металлоконструкции).

При оценке защищенности объектов (помещений) от утечки речевой информации необходимо учитывать возможность их случайного прослушивания как из соседних помещений, так и извне. Поэтому следует обращать внимание на возможность возникновения каналов утечки речевой (или иной акустической информации) через открытые (неплотно закрытые) двери и окна, через воздуховоды систем вентиляции, трещины строительных конструкций и т.п. Также следует проводить оценку возможности ведения разведки с использованием лазерных микрофонов и направленных микрофонов. Подобная оценка производится с учетом возможности размещения на опасных расстояниях постов перехвата. Интерес могут вызывать структурные каналы утечки акустической информации, образующиеся в строительных конструкциях, проходящих через помещения трубах отопления, коробах вентиляции и т.п.

Оценка разведдоступности объекта для агентурного проникновения включает в себя анализ режима работы и охраны объекта с целью моделирования действий по скрытному проникновению на них (неконтролируемому пребыванию) посторонних лиц и режим работы специалистов сторонних организаций - т.е. всю совокупность условий, позволяющих внедрить на объект специальные закладные устройства перехвата информации. Кроме того, необходимо учесть возможность применения злоумышленником контактных микрофонов (стетоскопов), на основе которых конструируются так называемые «беззаносные» устройства негласного съема акустической информации.

Если в составе ВТСС объекта информатизации имеются элементы, обладающие «микрофонным эффектом», необходимо планировать мероприятия по защите акустической информации от утечки по электроакустическому каналу.

5. Планирование мероприятий, для обеспечения системы защиты офиса

Для защиты от НС доступа, который приводит к дестабилизирующему воздействию нужно использовать технические средства защиты информации, и придерживаться правил безопасности.

1. На этапе проведения организационных мероприятий необходимо:

-- определить перечень сведений с ограниченным доступом, подлежащих технической защите (определяет собственник информации в соответствии с действующим законодательством РФ);

-- обосновать необходимость разработки и реализации защитных мероприятий с учетом материального или иного ущерба, который может быть нанесен вследствие возможного нарушения целостности информации, либо ее утечки по техническим каналам;

-- определить перечень технических средств, которые должны использоваться как ОТСС;

-- определить технические средства, применение которых не обосновано служебной и производственной необходимостью и которые подлежат демонтажу;

-- определить наличие задействованных и незадействованных воздушных, наземных, настенных и заложенных в скрытую канализацию кабелей, цепей и проводов, уходящих за пределы выделенных помещений;

-- определить системы, подлежащие демонтажу, требующие переоборудования кабельных сетей, цепей питания, заземления или установки в них защитных устройств.

Подготовительные технические мероприятия включают в себя первичные меры блокирования электроакустических преобразователей и линий связи, выходящих за пределы выделенных помещений.

2. Блокирование линий связи может выполняться следующими способами:

-- отключением линий связи ВТСС или установкой простейших схем защиты;

-- демонтажем отдельных технических средств, кабелей, цепей, проводов, уходящих за пределы выделенных помещений;

-- удалением за пределы выделенных помещений отдельных элементов технических средств, которые могут являться источником возникновения канала утечки информации.

3. Блокирование каналов возможной утечки информации в системах городской и ведомственной телефонной связи может осуществляться:

-- отключением звонковых (вызывных) линий телефонного аппарата;

-- установкой в цепи телефонного аппарата безразрывной розетки для временного отключения;

-- установкой простейших устройств защиты.

4. Предотвращение утечки информации через действующие системы громкоговорящей диспетчерской и директорской связи осуществляется применением следующих защитных мер:

-- установкой в вызывных цепях выключателей для разрыва цепей;

-- установкой на входе громкоговорителей выключателей (реле), позволяющих разрывать цепи по двум проводам;

-- обеспечением возможности отключения питания микрофонных усилителей;

-- установкой простейших устройств защиты.

5. Защита информации от утечки через радиотрансляционную сеть, выходящую за пределы выделенного помещения, может быть обеспечена:

-- отключением громкоговорителей по двум проводам;

-- включением простейших устройств защиты.

6. Для службы оповещения следует выделить дежурные абонентские устройства вне выделенных помещений. Цепи к этим устройствам должны быть проложены отдельным кабелем.

7. Предотвращение утечки информации через системы пожарной и охранной сигнализаций осуществляется отключением датчиков пожарной и охранной сигнализации на период проведения важных мероприятий, содержащих конфиденциальную информацию, или применением датчиков, не требующих специальных мер защиты.

8. Блокирование утечки информации через системы электронной оргтехники и кондиционирования может быть обеспечено следующими мерами:

-- расположением указанных систем внутри контролируемой территории без выноса отдельных компонентов за ее пределы;

-- электропитанием систем от трансформаторной подстанции, находящейся внутри контролируемой территории.

При невыполнении указанных выше условий системы должны отключаться от сети электропитания по двум проводам.

9. Защита информации от утечки через цепи электроосвещения и электропитания бытовой техники должна осуществляться подключением указанных цепей к отдельному фидеру трансформаторной подстанции, к которому не допускается подключение сторонних пользователей.

В случае невыполнения указанного требования электробытовые приборы на период проведения закрытых мероприятий должны отключаться от цепей электропитания.

6. Технические мероприятия

При выборе, установке, замене технических средств следует руководствоваться прилагаемыми к этим средствам паспортами, техническими описаниями, инструкциями по эксплуатации, рекомендациями по установке, монтажу и эксплуатации.

ОТСС должны размещаться, по возможности, ближе к центру здания или в сторону наибольшей части контролируемой территории. Составные элементы ОТСС должны размещаться в одном помещении либо в смежных.

Если указанные требования невыполнимы, следует принять дополнительные меры защиты:

-- установить высокочастотные ОТСС в экранированное помещение (камеру);

-- установить в незащищенные каналы связи, линии, провода и кабели специальные фильтры и устройства;

-- проложить провода и кабели в экранирующих конструкциях;

-- уменьшить длину параллельного пробега кабелей и проводов разных систем с проводами и кабелями, несущими информацию;

-- выполнить технические мероприятия по защите информации от утечки по цепям заземления и электропитания.

К средствам технической защиты относятся:

-- фильтры-ограничители и специальные абонентские устройства защиты для блокирования утечки речевой информации через двухпроводные линии телефонной связи, системы директорской и диспетчерской связи;

-- устройства защиты абонентских однопрограммных громкоговорителей для блокирования утечки речевой информации через радиотрансляционные линии;

-- фильтры сетевые для блокирования утечки речевой информации по цепям электропитания переменного (постоянного) тока;

-- фильтры защиты линейные (высокочастотные) для установки в линиях аппаратов телеграфной (телекодовой) связи;

-- генераторы линейного зашумления;

-- генераторы пространственного зашумления;

-- экранированные камеры специальной разработки.

Для телефонной связи, предназначенной для передачи информации, рекомендуется применять аппараты отечественного производства, совместимые с устройствами защиты. Телефонные аппараты иностранного производства могут применяться при условии прохождения спец. исследований и положительного заключения компетентных организаций системы ТЗИ об их совместимости с устройствами защиты.

Защиту информации от утечки по кабелям и проводам рекомендуется осуществлять путем:

-- применения экранирующих конструкций;

-- раздельной прокладки кабелей ОТСС и ВТСС.

При невозможности выполнения требований по разносу кабелей электропитания ОТСС и ВТСС электропитание последних следует осуществлять либо экранированными кабелями, либо от разделительных систем, либо через сетевые фильтры.

Не допускается образование петель и контуров кабельными линиями. Пересечение кабельных трасс разного назначения рекомендуется осуществлять под прямым углом друг к другу.

Необходимо предусмотреть отключение электросети от источника питания ОТСС при исчезновении напряжения в сети, при отклонении параметров электропитания от норм, заданных в технических устройствах, и при появлении неисправностей в цепях электропитания.

Все металлические конструкции ОТСС (шкафы, пульты, корпуса распределительных устройств и металлические оболочки кабелей) должны быть заземлены.

Заземление ОТСС следует осуществлять от общего контура заземления, размещенного в пределах контролируемой территории, с сопротивлением заземления по постоянному току в соответствии с требованиями стандартов.

Система заземления должна быть единой для всех элементов ОТС и строиться по радиальной схеме.

Образование петель и контуров в системе заземления не допускается.

Экраны кабельных линий ОТСС, выходящих за пределы контролируемой территории, должны заземляться в кроссах от общего контура заземления в одной точке для исключения возможности образования петель по экрану и корпусам.

Заключение

В данной курсовой работе рассмотрена комплексная система защиты информационных ресурсов объекта - офиса. Изложены основные сведения, которые требуются для организации такой защиты. Среди них и теоретическая база, и практические решения информационной безопасности такие как: выявление каналов утечки информации и их защита, способов несанкционированного доступа и их предотвращение, модели угроз и приемы их реализации.

Главной целью злоумышленника является получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т.д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. Полный объем сведений о деятельности конкурента не может быть получен только каким-нибудь одним из возможных способов доступа к информации. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение. От целей зависит как выбор способов действий, так и количественный и качественный состав привлекаемых сил и средств посягательства.

Точно также, способы защиты информационных ресурсов должны представлять собой целостный комплекс защитных мероприятий, которые изложены в курсовой работе. Разумеется, это не полный перечень, поскольку каждый руководитель решает какие методы и средства защиты необходимо использовать применительно к данному объекту, что зависит от функций, выполняемых объектом, а также от его экономических соображений. Таким образом, главной целью данной курсовой работы была разработка комплексной системы защиты информации.

Перечень сокращений

ТСР - технические средства защиты

ТКУИ - технические каналы утечки информации

ОТСС - основные технические средства и системы

ВТСС - вспомогательные технические средства и системы

НД - несанкционированный доступ

ТСЗИ - технические средства защиты информации

Список используемой литературы

1. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. «Информационная безопасность государственных организаций и коммерческих фирм». Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.

2. «Шпионские страсти. Электронные устройства двойного применения». Рудометов Е.А. четвертое издание 2000г.

3. Петраков А.В. «Основы практической защиты информации». 3-е изд. Учебное пособие-М.: Радио и связь, 2001г.-368с.

4. Хорошко В.А., Чекатков А.А. «Методы и средства защиты информации» (под редакцией Ковтанюка) К.: Издательство Юниор, 2003г.-504с.

5. А.П.Зайцев, А.А.Шелупанов «Технические средства и методы защиты информации»

6. WEB-сайт www.razvedka.ru

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.