Проблемы оптимизации процесса инструментального контроля аппаратуры обработки информации.
Горячев Сергей Вячеславович
ПРОБЛЕМЫ ОПТИМИЗАЦИИ ПРОЦЕССА ИНСТРУМЕНТАЛЬНОГО КОНТРОЛЯ АППАРАТУРЫ ОБРАБОТКИ ИНФОРМАЦИИ
Источник: журнал «Специальная Техника»
При определении возможности использования тех или иных технических средств для обработки информации, составляющей тайну (государственную, служебную, конфиденциальную, коммерческую) проводится, как известно, целый ряд испытаний возможности попадания указанной информации к потенциальному противнику.
Вопросы, связанные с необходимостью защиты информации в зависимости от степени ее ценности подробно рассмотрены на страницах отечественной и зарубежной печати. В рамках настоящей публикации этот аспект не рассматривается. Рассмотрим чисто технический аспект испытаний обозначенных выше технических средств. Далее для простоты эти технические средства будем называть аппаратурой, обрабатывающей информацию, подлежащую защите, или объектом защиты.
Итак, одним из необходимых видов испытаний объекта защиты является инструментальный контроль по определению возможности попадания информации, обрабатываемой данной аппаратурой, к посторонним лицам по так называемым техническим каналам утечки.
Как показывает практика проведения подобных работ, процесс инструментального контроля идет по пути постоянного усложнения и увеличения необходимого объема проводимых работ. Это обусловлено рядом причин:
- совершенствование измерительной аппаратуры добывания информации, улучшение ее технических характеристик по чувствительности, частотному и динамическому диапазонам;
- усложнение аппаратуры, обрабатывающей информацию, подлежащую защите, повышение скоростей передачи данных, увеличение количества функциональных возможностей;
- совершенствование научно-методических основ процесса добывания информации потенциальным противником и ряда других факторов.
За последние неполных четыре десятилетия процесс исследования объектов защиты настолько усложнился качественно и вырос в объемном плане, что к настоящему моменту назрели определенные предпосылки для кризиса. В связи с этим весьма актуальным становится вопрос о необходимости оптимизации процесса инструментального контроля и в частности, выбора критериев и механизма этой оптимизации.
Рассмотрение вопроса о возможности попадания информации к посторонним лицам за счет ее утечки по техническим каналам напрямую связано с вопросом о самом техническом канале утечки, его свойствах и особенностях.
Не останавливаясь на этом фундаментальном вопросе подробно, стоит отметить только некоторые моменты.
Под техническим каналом утечки понимается физическая среда, через которую информация (или ее признаки) может, распространяясь в пространстве, попадать к постороннему лицу и регистрироваться его техническими средствами. Механизм распространения обусловлен известными физическими законами.
В процессе нормального функционирования аппаратуры существуют каналы передачи информации, которые заложены в ее конструктив изначально на стадии разработки, и без которых нормальный процесс создания, передачи, хранения, обработки информации невозможен. Эти каналы могут являться внутренними (внутренние интерфейсные шины, дискретные элементы изделия, гальванические элементы и т.п.) и внешними (соединительные кабели, каналы передачи данных) по отношению к самой аппаратуре. Условно их можно назвать функциональными каналами.
Для предотвращения попадания к потенциальному противнику информации, циркулирующей по этим каналам, используется ряд методов организационно-технического характера. К их числу можно отнести, например, методы защиты от несанкционированного доступа, методы криптографической защиты. Главным в данном случае является тот факт, что эти каналы созданы специально, и их параметры подбираются таким образом, чтобы информация циркулировала в них оптимальным образом без потерь и искажений.
С другой стороны, в процессе работы аппаратуры появляются такие каналы, которые функционально в нее не заложены, но которые реально присутствуют в силу действия физических законов. В элементарном случае, например, – создание электрического поля вокруг проводника, по которому протекает ток.
Такие каналы не являются функциональными и называются в ряде источников побочными.
Таким образом, подводя промежуточный итог сказанному, можно констатировать, что для определения возможности и условий обработки информации на данной аппаратуре необходимо провести комплекс предварительных испытаний, в ходе которых необходимо выяснить возможности ее утечки по побочным техническим каналам.
При определении порядка проведения таких работ мы исходим из ряда предпосылок.
Предпосылка первая.
В рассматриваемом канале действуют определенные физические законы. Наше рассмотрение не должно выходить за рамки их действия.
Предпосылка вторая.
Исследования должны охватывать все возможные каналы утечки, и каждый канал должен быть рассмотрен в полном объеме. В идеале исследователь не должен позволить себе упустить что-то такое, что привело бы к утечке информации.
Если для сравнения рассмотреть порядок испытания аппаратуры на температурные воздействия, то при этом, как правило, достаточно провести испытания функционирования в граничных точках, чтобы сделать вывод о возможности ее работы во всем температурном диапазоне.
В нашем же случае проверке должна быть подвергнута каждая точка исследуемого диапазона во всех режимах работы аппаратуры. Причем, исследование это может носить как инструментальный, так и аналитический характер.
Предпосылка третья.
Возможность действия противника по добыванию информации в том или ином техническом канале утечки ограничены его техническими возможностями. В их числе:
- чувствительность приемного регистрирующего устройства;
- частотный диапазон;
- динамический диапазон;
- возможность использования тех или иных технических средств в различных условиях.
Предпосылка четвертая.
При проведении исследований мы ограничиваемся определенными критериями безопасности. Эти критерии четко определены действующими нормативно-руководящими документами. Они зависят от вида информации, степени ее ценности, условий эксплуатации и ряда других условий.
Предпосылка пятая.
Как правило, при проведении испытаний исследователь бывает ограничен временными рамками. В случае проверки на предмет возможности получения информации, обрабатываемой аппаратурой, исследователь ставит себя на место потенциального противника при условии соблюдения его реальных возможностей.
При определении количества возможных технических каналов утечки и объема их исследований можно сказать следующее.
Исследуемая аппаратура должна эксплуатироваться в реальном физическом мире, в котором, как уже говорилось выше, действуют всеобщие физические законы и явления. Эти физические законы проявляются во взаимодействии нашего объекта защиты с другими объектами. Причем, наш объект с одной стороны оказывает влияние на другие объекты, а с другой – сам подвержен воздействию с их стороны. (Абстрактно можно говорить даже о его взаимодействии с Луной и другими космическими телами).
Чисто физических характеристик такого взаимодействия множество. Вследствие этого, можно говорить о бесконечном множестве технических каналов утечки информации, обрабатываемой исследуемой аппаратурой. Необходимость детальной проверки такого количества каналов заведомо приведет нас в тупик.
При рассмотрении объема проводимых исследований необходимо отметить следующее. Время, которое необходимо затратить на проведение инструментального контроля в одном техническом канале утечки можно определить по формуле:
Тис = Тизм + Тобр + Тпер + Тан + Тпр,
где:
Тис – общее время, требующееся для проведения инструментального контроля в одном техническом канале утечки;
Тизм – общее время, требуемое для проведения измерений в исследуемом канале утечки;
Тобр – время обработки результатов измерений;
Тпер – время передачи результатов измерений или результатов первичной обработки в анализирующее устройство;
Тан – время проведения анализа результатов по какому-либо критерию и выдачи решения;
Тпр – время представления результатов исследований.
Время измерений является суммой общего количества единичных измерений во всем рабочем диапазоне исследуемого канала утечки:
где:
Ti – время проведения единичного измерения. Это время определяется временем настройки измерительного прибора на рабочую точку (например, временем настройки селективного измерительного приемника на исследуемую рабочую частоту) и временем непосредственно самого измерения. Это время, в свою очередь, определяется техническими характеристиками измерительного прибора, а также выбранным в ходе эксперимента временем усреднения измерения.
N – общее количество исследуемых точек в рабочем диапазоне исследуемого канала утечки. Этот параметр определяется величиной рабочего диапазона, рядом технических условий, таких как особенности функционирования проверяемой аппаратуры, особенностями исследуемого канала утечки. В каждом случае этот параметр определяется индивидуально.
Время обработки Тобр определяется суммой двух слагаемых:
Тобр = Тобр1 + Тобр2,
где:
Тобр1 – время первичной обработки результатов измерений;
Тобр2 – время вторичной обработки результатов.
Эти два элемента присутствуют в любой измерительной системе, как автоматизированной, так и “ручной”. Они определяются техническими характеристиками измерительного прибора, техническими параметрами счетно-анализирующего устройства, алгоритмом обработки.
Время представления результата – время, требующееся для наглядного отображения результатов измерения и обработки результатов на электронном или бумажном носителе.
Время анализа – время, требующееся для анализа результатов измерения и обработки и последующего заключения по определенному критерию.
Время передачи результатов измерения и обработки определяется протоколом обмена информацией по организованному в данной системе связному интерфейсу. В существующих автоматизированно-измерительных комплексах в качестве таковых используются стандартные связные и приборные интерфейсы RS-232, МЭК и прочие.
Рассмотрим для примера простейший случай исследования амплитудно-частотного спектра сигнала импульсного преобразователя с частотой преобразования 25 КГц блока питания в канале утечки “сеть электропитания” в диапазоне частот 10 Гц – 1 ГГц с использованием типового автоматизированного комплекса, построенного на базе сканирующего приемника типа AR-3000. На практике подобная задача возникает в большинстве случаев при проведении исследований.
Не вдаваясь в несложные, но утомительные расчеты, можно показать, что количество частотных (рабочих) точек, на которых нужно произвести измерения сигнала, составляет 40000.
Проведя расчеты по приведенным выше формулам определяем, что время, требующееся для осуществления такого объема измерений превышает 30 часов.
Если вести речь о полноценном обследовании аппаратуры, обрабатывающей информацию, подлежащую защите, нужно помнить о том, что:
- исследовать возможность утечки информации необходимо во всех возможных каналах утечки;
- исследования необходимо проводить во всех возможных режимах работы аппаратуры;
- при исследованиях необходимо провести анализ наличия в данном канале утечки не только самой информации, подлежащей защите, но и той информации, по которой возможно ее восстановление. К примеру, это может быть ключевая информация при криптографической обработке, или сигналы исходной информации, преобразованные по какому-либо алгоритму.
Даже при поверхностном рассмотрении данной проблемы становится понятно, что ее решение в полном объеме не представляется реальным. Таким образом, не обойтись без оптимизации этого процесса.
Следует сказать, что задача оптимизации процесса исследований аппаратуры стоит изначально. Действующие нормативно-методические документы, разработанные Гостехкомиссией России, Федеральным Агентством Правительственной Связи и рядом других организаций определяют критерии оптимизации в методическом плане.
В рамках этих документов:
- определяется конкретный перечень из всех возможных технических каналов утечки, в которых необходимо и достаточно проведение исследований защищаемого объекта;
- определяется максимально возможная степень превышения возможно присутствующего в канале сигнала над шумом в конкретном канале утечки для определенного вида сигналов и условий эксплуатации защищаемого объекта;
- определяются иные моменты, позволяющие конкретизировать процесс исследования.
Требования упомянутых выше руководящих документов носят аксиоматический характер и не могут подвергаться корректировке. Ставится задача выработки критериев оптимизации исследований, не затрагивая при этом требований нормативных документов.
Попутно следует сказать, что выработка таких критериев, их детализация и математическое обоснование – задача весьма сложная и объемная и требует особого рассмотрения.
В качестве исходной предпосылки для рассмотрения вопроса о выработке критериев оптимизации берется факт высокой сложности существующей аппаратуры, обрабатывающей информацию, и происходящих при этом процессов.
Основная цель оптимизации может быть следующая: определение конкретных критериев, позволяющих при сокращении объема исследований повысить их достоверность.
Оптимизация процесса исследований может вестись по двум направлениям:
- аппаратная оптимизация;
- методологическая оптимизация.
Если вести речь об аппаратной оптимизации, то под этим следует понимать внесение в конструктив аппаратуры таких решений, которые позволяют облегчить процесс инструментального контроля.
В качестве примера такого конструктивного решения можно привести вынос на внешнюю панель изделия контактов с подсоединенными к ним контрольными точками для подключения измерительной аппаратуры при проведении исследований.
Другим примером реализации такой оптимизации является введение в аппаратуру контрольных тестовых алгоритмов работы, при которых в циклическом режиме моделируется функционирование реальных рабочих режимов обработки информации.
Эти приемы позволяют более оперативно организовать процесс проведения исследований и существенно сокращают временные затраты.
Говоря о выборке критериев оптимизации в методическом аспекте следует иметь в виду следующее:
1. На пути от места циркулирования до места расположения потенциального противника информация может претерпевать изменения как в самой аппаратуре, так и в среде распространения.
2. Механизм этих видоизменений в техническом плане бывает четырех видов:
- изменения энергетики;
- изменение частотного спектра;
- модуляция;
- демодуляция (детектирование).
Причем, говоря о механизме такого видоизменения надо иметь в виду, что возможно как ослабление энергетических и частотных характеристик, так и их усиление (расширение).
3. Точное описание этого механизма практически невозможно.
В самой аппаратуре мы имеем дело с побочными излучениями и наводками, которые в свою очередь определяются паразитными элементами. Параметры данных паразитных элементов рассчитать не представляется возможным. К тому же они изменяются во времени.
В среде распространения сигнала, несущего в себе информацию, присутствует ряд факторов, неизбежно делающих ее реальные характеристики существенно отличными от теоретических. Например, на процесс распространения электромагнитной волны в пространстве влияют присутствующие предметы, элементы конструкции здания и т.п. При этом проявляются эффекты экранирования, переотражения, изменения частотного спектра и другие. Характер этих воздействий существенно зависит от условий эксплуатации. Так же как и паразитные параметры аппаратуры, эти параметры могут меняться во времени.
Таким образом, точно описать или смоделировать процесс распространения сигналов в канале утечки информации практически невозможно. В каком-то приближении получить его оценку можно путем набора статистики, но при этом опять же мы получим оценку, отличающуюся от реальности.
Итак, приходим к определенному противоречию. С одной стороны, как было сказано выше, в полном объеме провести обследование объекта защиты не представляется реально возможным. С другой стороны, в нашем распоряжении нет надежного механизма, позволяющего распространить результаты исследований, полученные в некоторых выбранных рабочих точках, на весь рабочий диапазон.
Очевидно, что оптимизация процесса инструментального контроля объекта исследований должна заключаться в нахождении компромисса в этом вопросе.
В любом случае перед началом проведения исследований строится какая-то гипотетическая модель рассматриваемого процесса, и затем, при сравнении ее с практически полученными данными, делается вывод о правильности действий и необходимости корректировки процесса исследований.
В общем случае можно предложить следующие варианты:
1. Из всего необходимого объема выбираются отдельные точки, характерные для данного процесса, и по определенному критерию делается вывод о возможности распространения полученных результатов на весь диапазон исследований.
2. Из всего необходимого объема исследований выбираются отдельные блоки, в пределах которых проводятся тщательные испытания на всех рабочих точках, и также по определенному критерию делается вывод о возможности распространения результатов исследований на весь диапазон.
При этом в любом случае остается вероятность того, что в область рассмотрения не попадут какие-то точки, существенно влияющие на общие результаты. Появление таких аномальных точек связано с наличием на практике процессов, не вписывающихся в изначально принятую теоретическую модель.
Задача выбора критериев оптимизации заключается в том, чтобы погрешность выбранного метода не снижала уровня безопасности защищаемого объекта при его эксплуатации.
Подводя общий итог, следует отметить основные моменты:
-
в процессе проведения исследований аппаратуры, обрабатывающей информацию, подлежащую защите, присутствует проблема большого объема испытаний, что делает нереальным проведение этих исследований с реальными временными и материальными затратами;
- задача сокращения объемов проводимых исследований стояла изначально со времен начала проведения работ по защите информации, обрабатываемой техническими средствами;
- ставится задача оптимизации процесса проведения исследований, выбора критериев этой оптимизации;
- основная цель выбора критериев оптимизации процесса исследований заключается в сокращении временных и материальных затрат на проведение работ при одновременном повышении достоверности результатов и повышении безопасности обработки информации.