ОСОБЕННОСТИ ПОСТРОЕНИЯ КАБЕЛЬНОЙ ПРОВОДКИ СКС ДЛЯ ПЕРЕДАЧИ ОХРАНЯЕМОЙ ИНФОРМАЦИИ 8.1. Общие положения В данной главе рассматриваются некоторые особенности построения кабельной проводки СКС, предназначенной для передачи охраняемой информации1 разнообразных видов со степенью секретности не выше «секретно». Выполнение рассматриваемых далее положений и принципов дополнительно обеспечивает достаточно эффективную защиту от так называемого намеренного силового воздействия по коммуникационным каналам, приводящим к выходу из строя активного оборудования информационно-вычислительной сети предприятия. Необходимость отнесения той или иной системы связи к закрытой определяется руководством предприятия (учреждения) заказчика. Случайный или преднамеренный доступ к охраняемой информации приводит к следующим отрицательным последствиям для предприятия: • нарушение конфиденциальности сведений, передаваемых по информационной сети предприятия; • получение неуполномоченными лицами на основании анализа сетевого графика данных о внутренней структуре предприятия, режимах его работы и т.д.; • возможность частичного или полного нарушения функционирования сети. и доступа к сетевым ресурсам (массивам данных, сетевым принтерам и т.д.). Наиболее существенным требованием к системам защиты от несанкционированного доступа (НСД) согласно ГОСТ Р 50739 является обеспечение доступа к чтению, записи, созданию или уничтожению информации только надлежащим образом уполномоченным лицам или процессам, инициированным ими. Данную задачу согласно этому стандарту решает комплекс средств защиты, обеспечивающих разграничение доступа за счет применения специальных средств учета и регистрации событий, имеющих отношение к защите информации, а также гарантированно поддерживающих заданный уровень защиты от НСД. Указанная выше задача решается на всех уровнях информационно-вычислительной сети предприятия (на аппаратном и программном). Далее согласно теме данной монографии ограничимся рассмотрением только уровня кабельной проводки. Наиболее полным из известных нормативным документом, в соответствии с которым осуществляется построение кабельной проводки сетей для передачи охраняемой информации, являются специальные технические требования Гостех-комиссии СТР-97. Данный документ имеет гриф «секретно», поэтому далее приводятся только его общие положения и рекомендации, которые не попадают под действие указанного грифа и могут быть использованы в процессе проектирования СКС. Определенные сведения относительно принципов построения защищенных сетей содержатся также в стандарте ГОСТ 51583-2000. Основными постулатами, которые положены в основу создания кабельной проводки, используемой в процессе построения сетей закрытой связи, являются: • минимизация уровня внешнего излучения, создаваемого информационными сигналами, передаваемыми по кабельным трактам СКС; • использование технических решений, обеспечивающих полное устранение наводок в соседних кабелях или же их маскировку; • применение специальных проектных и организационных решений, делающих невозможным или, по меньшей мере, сильно затрудняющих непосредственный несанкционированный доступ к линейным кабелям и коммутационному оборудованию кабельной системы. Сдача в эксплуатацию кабельной системы для передачи охраняемой информации разрешается только после ее аттестации на соответствие требованиям безопасности. 8.2. Способы минимизации уровня внешнего излучения и маскировки информационных сигналов Для организации трактов передачи структурированных кабельных систем согласно действующим стандартам могут использоваться волоконно-оптические и симметричные кабели. Скрутка витых пар симметричного кабеля позволяет добиться подавления отрицательного воздействия на передаваемые информационные сигналы внешних помех. Одновременно она достаточно эффективно минимизирует внешнее электромагнитное поле, возникающее вокруг кабеля в случае передачи по нему информационного сигнала. Тем не менее остаточное значение напряженности внешнего поля оказывается вполне достаточным для возможности перехвата охраняемой информации, передаваемой по кабелю из витых пар. Для его уменьшения в процессе построения защищенных сетей используется ряд мер. 8.2.1. Технические средства Минимизация уровня внешнего излучения достигается применением для организации кабельных трасс только экранированных и/или волоконно-оптических кабелей. При этом в случае построения кабельной проводки защищенной сети на базе симметричных электрических кабелей какие-либо разрывы экранов не допускаются, так как это резко уменьшает эффективность подавления внешнего электромагнитного поля. Эффективность подавления излучения увеличивается в случае прокладки кабелей в заземленных металлических трубах, коробах и рукавах. Еще более высокую эффективность минимизации внешнего излучения, которое может быть использовано для перехвата охраняемой информации, дает применение волоконно-оптических кабелей. Однако при сегодняшнем уровне развития техники данное решение не может быть рекомендовано для массового построения СКС на уровне горизонтальной проводки главным образом из-за его более высокой стоимости. Основным средством предотвращения образования так называемых технических каналов утечки охраняемой информации по цепям вспомогательных технических средств и по сети электропитания является их пространственный разнос. Достаточно эффективная блокировка технического канала обеспечивается в том случае, если угол пересечения кабелей СКС питания выбирается близким или равным прямому углу. В области сетей электропитания дополнительно рекомендуется включать в питающие фидеры запирающие катушки. Технической основой применения данного решения является существенное отличие частот электропитания и информационных сигналов. Запирающая катушка представляет собой сетевой фильтр низкой частоты с затуханием не ниже 60 дБ на частотах свыше 1 кГц , устанавливаемый на входе силового кабеля в контролируемую зону. Для уменьшения паразитной связи между входом и выходом через электрические и магнитные поля катушки и конденсаторы фильтра размещаются в экранированном корпусе. 8.2.2. Маскировка передаваемых сигналов Еще одним основным приемом, часто используемым при создании сетей передачи охраняемой информации, является маскировка передаваемых сигналов одним или несколькими шумоподобными источниками. В этом случае даже при перехвате сигнала охраняемой информации его будет трудно или даже невозможно отделить от шумов. Зашумление целесообразно применять в тех ситуациях, когда кабель полностью или на части своей длины находится вне контролируемой зоны. Для зашумления кабелей сети закрытой связи, проходящих вне контролируемой зоны, необходимо использовать независимые друг от друга генераторы шума, создающие вокруг кабелей маскирующее шумовое электромагнитное поле. Генераторы включаются по симметричной (в центральную пару в случае регулярной структуры сердечника) или несимметричной схеме в свободную пару внешнего повива. В кабелях с пучковой скруткой сердечника в свободную пару центрального пучка включается один источник по симметричной схеме, а в каждый пучок - по одному генератору, работающему по несимметричной схеме. Уровень шумов, подаваемых в свободные пары кабеля, должен составлять: • 14 дБ - при включении генератора по симметричной схеме; • 3,5 дБ - при включении генератора по несимметричной схеме. На выводах нагрузочных резисторов напряжение шумового сигнала должно составлять не менее: • 1,6 В - при включении генератора по симметричной схеме; • 0,52 В - при включении генератора по несимметричной схеме. В том случае, если длина кабеля не позволяет получить указанные значения напряжения с помощью генераторов шума с указанными выше параметрами, кабели зашумляются с двух сторон. 8.3. Проектные мероприятия на архитектурной фазе Основной задачей проектных решений в любой форме их реализации является противодействие несанкционированному физическому доступу неуполномоченных лиц к отдельным компонентам кабельной системы. В соответствии со схемой построения СКС может быть выделено четыре основных вида несанкционированных действий по непосредственному доступу к кабельной системе]: • подключение к линейному кабелю горизонтальной и магистральной подсистем; • подключение к отдельным портам ИР на рабочих местах; • подключение к розеткам коммутационного оборудования в аппаратной и кроссовых различного уровня; • подключение за счет изменения схемы физических соединений СКС. Для предотвращения этих действий разработан целый комплекс организационно-технических мероприятий, отдельные положения которого по-разному используются применительно к различным объектам СКС. 8.3.1. Защита кабелей вне охраняемой зоны Обеспечение конфиденциальности передаваемой информации и защиты от НСД к линейным кабелям, находящимся вне охраняемой зоны, сводится к своевременному обнаружению попытки физического доступа к таким кабелям. Для этого еще на стадии проектирования магистральной части структурированной кабельной проводки используется ряд проектных мероприятий, реализация которых обеспечивает облегчение контроля доступа посторонних лиц как к линейным кабелям, так и к коммутационному оборудованию. Прокладка электрических кабелей сети закрытой связи вне пределов контролируемой зоны предприятия допускается при выполнении следующих условий: • трасса прокладки кабеля должна выбираться вдоль дороги на просматриваемой местности; • все колодцы кабельной канализации и распределительные шкафы (при их наличии) должны быть оборудованы приспособлениями для опечатывания и опломбирования; • кабели должны быть по возможности поставлены под избыточное воздушное давление с сигнализацией его понижения или высокой утечки; • в состав штатного оборудования кабельной системы должно быть введено устройство для сигнализации о понижении сопротивления изоляции; • электрические кабели сети закрытой связи должны быть зашумлены. Перечисленный выше комплекс мероприятий в большем или меньшем объеме может быть использован также в отношении волоконно-оптических кабелей. 8.3.2. Требования к коммутационному оборудованию Для построения сети закрытой связи применяется физически отделенное от сети •открытой связи коммутационное оборудование на всех уровнях построения кабельной проводки. Данное коммутационное оборудование желательно размещать в технических помещениях с тамбурами, входы которых снабжены датчиками открывания/закрывания и замками с дистанционным управлением. Внутреннее пространство тамбуров снабжается средствами видеонаблюдения и видеорегистрации. Строительными решениями, принимаемыми на архитектурной фазе проектирования, обеспечивается размещение коммутационного оборудования сети закрытой связи на расстоянии не менее 5 м от границ контролируемой зоны. В частности одним из мероприятий, облегчающих выполнение указанной нормы, является рекомендация не размещать это оборудование на наружных стенах здания объекта. Коммутационное оборудование, располагаемое вне кроссовых и аппаратных, должно устанавливаться в металлических шкафах или закрываться металлическими кожухами, запираемыми цилиндрическими замками. Крышки и двери этих шкафов в обязательном порядке оборудуются приспособлениями для опечатывания или опломбирования. Использование этих шкафов для установки коммутационного оборудования открытой сети не рекомендуется. Все конструктивы для размещения коммутационного оборудования должны быть обязательно снабжены клеммами для заземления экранирующих оболочек кабелей. При включении в коммутационное оборудование сети закрытой связи кабелей прямых абонентских и соединительных линий внешних телекоммуникационных операторов производится зашумление этих линий с помощью генератора шума. 8.3.3. Особенности применения волоконно-оптических кабелей Волоконно-оптическая техника с точки зрения информационных систем обеспечивает существенно более высокую стойкость к попыткам несанкционированного доступа и съема охраняемой информации. Это обусловлено такими техническими особенностями волоконно-оптической элементной базы, как значительно меньшие мощности передаваемых сигналов и небольшие габариты самого волоконного световода. Поэтому основным видом защиты конфиденциальной информации являются проектные решения, которые сводятся к следующим положениям: • ограничение несанкционированного доступа к линейно-кабельным сооружениям и коммутационному оборудованию; • соблюдение задаваемого техническими условиями минимального радиуса изгиба кабелей различных видов. Характерной особенностью волоконно-оптических кабелей является их малый внешний диаметр, «плотная» конструкция сердечника и отсутствие в достаточно большой группе этих изделий металлических элементов. Исходя из этого содержание данной разновидности оптических кабелей под избыточным воздушным давлением сопряжено со значительными сложностями, а измерение сопротивления оболочки с целью контроля ее целостности является принципиально невозможным. Поэтому обнаружение непосредственного несанкционированного подключения к волоконному световоду, выполняемого с помощью ответвителя изгибного типа, возможно только в случае применения специального контрольного оборудования. В настоящее время известны две разновидности реализации такого оборудования. Согласно первой из них в приемнике предусматривается пороговое устройство, которое срабатывает при резком изменении среднего уровня принимаемого сигнала. Это интерпретируется как несанкционированное подключение и сопровождается выработкой предупреждающего сигнала. По второй схеме в тракт передачи включается оптический разветвитель, один из входов которого используется для подключения рефлектометра. Для обеспечения развязки информационного и контрольного оборудования они работают на различных длинах волн. Рефлектометр обнаруживает появление дефекта в тракте, что является для контрольной аппаратуры основанием для выработки предупреждающего сигнала. 8.4. Технические решения для отдельных подсистем защищенных СКС 8.4.1. Решения для рабочих мест Защита от НСД на рабочем месте на уровне технических решений сводится к следующим мероприятиям: • механическая блокировка свободных розеточных модулей ИР; • блокировка оконечных шнуров на рабочих местах и в технических помещениях с обеих сторон; • контроль целостности подключения в рабочих помещениях пользователей; • наблюдение за рабочими помещениями 8.4.2. Решения для линейной кабельной проводки Защита от НСД линейной кабельной проводки сводится к следующим мероприятиям: • применение специальных видов исполнения кабельных каналов; • контроль целостности кабельных каналов; • наблюдение за кабельными магистралями. 8.4.3. Решения для технических помещений Мероприятия по защите от НСД в технических помещениях могут разделяться на меры по защите технического помещения от несанкционированного доступа и дополнительной защите оборудования. Для защиты технического помещения на его входах предусматриваются тамбуры, а сами кроссовые и аппаратные располагают недалеко от постов охраны с возможностью их визуального контроля. Двери технических помещений оборудуются датчиками открывания/закрывания и средствами видеонаблюдения и видеорегистрации. Наиболее высокий уровень защиты активного сетевого оборудования и коммутационного оборудования СКС от НСД обеспечивается в том случае, если оно располагается в закрытом монтажном конструктиве, двери которого запираются на замки повышенной секретности. На практике находит также использование замков с дистанционным управлением и средств видеонаблюдения и видеорегистрации. Хорошим техническим средством защиты от НСД является применение при построении коммутационного поля СКС систем интерактивного управления кабельной проводкой. В известных системах этой разновидности информация о подключении и отключении коммутационных шнуров немедленно и в автоматическом режиме передается на станцию управления сетью с генерацией соответствующего предупреждающего сообщения. 8.5. Организационные мероприятия Уровень защиты конфиденциальной информации от НСД существенно повышается, если технические мероприятия, затрудняющие съем сигнала для его последующей обработки и дешифровки, дополняются организационными. Обычно для этой цели разрабатывается целый комплекс процедур, относящихся ко всем составным частям информационно-вычислительной сети предприятия. На уровне СКС основные положения этих мероприятий сводятся к следующему: • введение специальных процедур проведения регламентных и ремонтных работ всех видов в сочетании с разрешительным характером и обязательным контролем за их исполнением со стороны службы безопасности предприятия; • наличие плана действий в критических ситуациях с точки зрения нарушения безопасности информации, передаваемой по сети, и наличие заранее разработанных вариантов ликвидации угроз НСД; • допуск к работам на линейном и коммутационном оборудовании СКС только уполномоченных на это лиц при условии получения специального предписания; • обязательная проверка корректности выполнения любого изменения в схеме кабельной проводки информационно-вычислительной сети предприятия.
