美國核動力潛艇“吉米·卡特”2005年下水后,利用母艇上的巨型計算機通過各種程序對別國海底光纜進行竊聽、信息收集和破解,面對世界強國紛紛建立網絡軍隊的日益嚴峻形式,今年5月我國已正式成立了網絡藍軍。這說明我國對信息安全越來越重視,通常人們討論的重點是網絡攻擊、安全漏洞和計算機病毒與此同時還要重視網絡終端設備在運行過程中由于電磁輻射所造成的信息泄漏的問題。目前利用計算機的電磁泄漏竊取信息是國內外情報機關獲取信息的重要途徑。因此防止信息電磁泄漏已成為網絡信息安全的重要課題,應受到我們足夠重視。
一、歷史背景
早在20世紀60年代,美國軍方發現計算機系統的電磁輻射會導致重要的信息泄漏,并且國外在這方面加緊研究并在視頻信息泄漏研究領域已取得了不少成果,下面舉兩個例子加以說明:
·1985年,荷蘭人W.vanEck第一次向世界介紹了顯示器電磁輻射造成信息泄漏的試驗結果和分析。他使用一臺改裝過的電視接收機(黑白電視接收機,并配有增益為18dB的高頻放大器,被截獲的內容能清晰地顯示在屏幕上。
·1997年,瑞士的CRYPTOAG公司對考察者進行了截獲計算機泄漏信息的演示。該公司的TEMPE機和接收天線及接收放大器放在同一問屏蔽室內,測試設備放在另一間屏蔽室內。所用的放大器帶寬為1GHz,放大倍數500倍(從導線上竊聽)和1000倍(從空中竊聽),供電電源用的是電池,測試設備是德國的羅德與施瓦茨公司生產的。再現了竊收監視器工作內容。
二、計算機系統電磁泄漏分析
計算機是一個十分復雜的電子系統,外來的電磁輻射,內部元件之間、分系統之間、各傳送通道間的串擾對計算機及其數據信息所產生的干擾與破壞,嚴重的威脅著工作的穩定性、可靠性和安全性,接下來我們會逐一分析每一部件電磁分布情況。
電磁輻射除了會對信息設備產生電磁干擾外,電磁的輻射還會導致電磁信息的泄漏。因為電磁泄漏是指電子設備的雜散電磁能量通過導線或空間向外擴散。任何處于工作狀態的電磁信息設備,如計算機、打印機、復印機、傳真機、手機電話等,都存在不同程度的電磁泄漏問題,這是無法擺脫的電磁現象。如果這些泄漏“夾帶”著設備所處理的信息,就構成了所謂的電磁信息泄漏,如下圖所示:
1. 計算機主板的電磁泄漏
計算機主機板基本可分為5個功能塊:處理子系統(CPU)及其支持部件、只讀存儲器(ROM)子系統、隨機存儲器(RAM)子系統、板上的I/O適配器和I/O通道。板上器件主要是集成電路芯片,由于其結構尺寸和驅動電流都很小,所以其輻射作用也很小。另一方面芯片處理的都是并行信號,即使泄漏信息被截獲也很難接收和恢復,所以通常并不把集成芯片認為是主要的泄漏源。并行數據對計算機及其他系統信息泄漏防護具有很大優越性。因此,應該更多地注意串行信號的泄漏問題,盡可能把串行信號并行化。
2. 磁盤存儲器的電磁輻射
硬盤存儲器是計算機系統最重要的存儲設備。主要由四部分組成,即磁頭盤片組件( HAD:Head Disk Assembly)、印制電路板、面板、減震安裝支架及其他附件。其原理是通過磁頭向高速運轉中的涂覆有磁性材料的硬盤片寫入或讀出數據。
硬盤存儲器的最大特點是采用全封閉的HDA結構,將磁頭、盤片密封在一個腔體中,里面安裝有空氣過濾器,構成一個超凈化的密封腔工作環境,以避免外界灰塵及其他雜物影響磁頭及盤片的工作。里面還有磁頭定位機構、盤片驅機構、讀出前置電路。從功能上來說,硬盤驅動器包括三大部分,即主軸穩速系統,磁頭定位系統和數據讀寫系統。盤片的高速旋轉是靠一個轉軸電機來驅動的,磁頭定位系統能夠使磁頭移動到所需的磁道和扇區。它們在工作時都會產生一定的電磁噪聲,通過傳導和輻射的方式發射出去。因此,它們是主要的輻射源之一。硬盤的讀寫操作都是通過硬盤控制器控制進行的,因此,硬盤控制器所在的印制電路板也是一個重要的輻射源。傳輸電纜和連接器,用于和計算機主板相連以及獲得電源。它們在完成這些工作的同時,一些無用的電磁噪聲也會通過傳導或輻射的方式,耦合到這些電和連接器上。而且因為電纜有天線效應,當這些電磁噪聲或有用信號頻率較高時,就容易產生電磁輻射。因此,這些傳輸電纜和連接器,也是不可忽視的輻射源。
3. CD-ROM驅動器的電磁輻射
由于光盤驅動器內部存在有精密的光學系統,其防塵要求是非常嚴格的。一般情況下,整個驅動器封裝在一個密閉的金屬盒中。這在客觀上起到了屏蔽作用,降低了驅動器的電磁輻射。但是,磁噪聲,仍然能夠通過耦合到連接電纜發射出去而產生電磁泄漏。
4. 電源的電磁輻射
電源是PC機的最重要部件之一,其主要功能是將外部的交流電轉換成計算機各部件需要的、各種類型的、穩定的直流電源。一般個人計算機的電源通常是開關電源。開關電源與線性穩壓電源相比,具有功耗小、效率高、體積小、重量輕、穩壓范圍寬等特點,但開關電源會產生較強的電磁干擾,影響周圍設備的正工作,同時電源還會通過與其連接的電源線向外輻射電磁波。
5. 機箱的電磁輻射
機箱在制造過程中不可避免的產生接縫和孔隙,而且很多有關機箱散熱等要求,需要有孔隙。在機箱內的各元器件、集成電路、印制電路板的走線、有信號電流經過的地方都可能向周圍空間輻射電磁能量,并通過機箱的孔隙輻射出去,主機頻率越高就越容易產生電磁輻射。因此我們要選擇高導電性、導磁性材料做的機箱,要使其具有良好的屏蔽效果,以防止電磁輻射而導致的信息電磁漏,并且還要有良好的接地措施外擴散和外電磁環境對機箱內部器件的影響。我們把機箱放在專業紅外線相機前拍攝,可以明顯看到機箱的輻射分布(越紅的區域輻射越大)。另外提醒大家一點,如果夏天因散熱問題把機箱蓋打開,輻射將大大加強。
6. CRT顯示的電磁泄漏
顯示器是計算機系統的主要組成部分,也是人與計算機的接口部件。上圖顯示出了顯示器的內部實物圖,其中偏轉線圈、主電路板、信號線元件成為顯示器電磁輻射的最主要源頭。在一定強度的電磁輻射作用下,人體的眼睛、大腦、神經等器官容易受到損害。另一方面,由于計算機處理的是各種數據和信息,其輻射的電磁波中會攜帶這些信息。若這些電磁波被人用專門設備接收,則會造成信息泄密。
計算機系統各部件的電磁輻射對信息安全的危害程度是不同的,顯示器因為具有開放性好、串行信號處理單元豐富和視頻通路電流大、視放電平高等特點,被認為是首要的信息泄漏因素。筆者認為視頻信號處理電路和電子束的電磁輻射是主要原因,CRT部件和視頻放大器為主要的泄漏發射源。但隨著液晶顯示器的逐漸普及,液晶顯示器的輻射量要遠小于CRT顯示器。
7. 鍵盤和鼠標的電磁輻射
鍵盤是計算機系統中最長用的部件,它一般由按鍵、導電塑膠、微處理器和接口電路組成。鍵盤是計算機系統中人機交互的重要工具之一,同時也是計算機的數據輸入裝置。如果截獲到鍵盤輻射出的電磁信息,其中不僅包含在顯示器屏幕上直接顯示的內容,還包含一些在鍵盤上輸入的非顯示信息的指令。有實驗證明:當在鍵盤連續保持按下“H”鍵時,可以用頻譜儀測量鍵盤與主機連接的信號線的傳導發射特性;當按不同的鍵時,頻譜儀接收到的譜線會發生頻移。
鼠標同鍵盤一樣,都是通過其與計算機之間的連接電纜向外輻射電磁波,這種電磁波可以被一定規格的偵收電路所接收、解碼與還原。
8. PCB電磁泄漏
PCB是一種復雜的信息泄漏源。PCB板上器件本身,即其引腳、印制板連線、插頭、插座及電纜都像天線,在各種波形工作電流的激勵下,向空間發射電磁波,并以此種形式向外泄漏信息。其輻射效果與PCB的結構、傳輸線的長度、電路組成、回路面積、地線走向及整體布局等諸多因素有關。可以引用電偶極子和偶極子在自由空間的電磁場分布模型來討論計算機PCB板的電磁輻射問題,這種討論對裸露的PCB板的輻射情況是很接近的。因為由于PCB板大都采用大規模集成電路,線度小,容易滿足電偶極子和磁偶極子的輻射模型的應用條件,如果要精確地討論實物的輻得電路各處的實際激勵電流,考慮電磁波在不同介質中的傳播規律及邊界條件求得實際的空間電磁場分布。但這是一個非常復雜的工作。由磁偶極子的輻模型,推得磁偶極子的總輻射功率與激勵電流的平方、回路面積的平方、激勵流的四次方成正比。對于任意電流分布,可以看作是上述單位電流元的某種加權分布,按空間積分,進行矢量疊加求得。軟盤存儲器與硬盤存儲器的主要電信息輻射之一就是讀/寫它們電路的PCB板。
9. 線纜電磁泄漏
在計算機系統中,由于視頻電纜傳送的信號是串行信號,而且電纜在波長天是其物理長度3倍的情況下起天線諧振作用,因此它是最容易產生電磁輻射和信信息泄漏的泄漏源。已有實驗研究證明,液晶顯示器、平板顯示器和等離子顯示器能的視頻接口電纜在整個計算機系統的輻射頻譜中占有相當大的比重。因而應該采措施如多點接地來降低和抑制電纜連線的電磁泄漏。對于網絡系統中的其他纜,同樣存在著電磁泄漏的問題,其泄漏途徑同計算機系統中的視頻電纜類似。
10. 其他網絡器件的電磁泄漏
對于網絡系統中的其他元器件,比如路由器、交換機等,同樣也存在著電電磁泄漏的現象。相關的電磁泄漏原理同上述的電子器件類似,必須充分考慮上述電磁泄漏現象,采取相關的拘防范措施,以防止關鍵有用信息的電磁泄漏。
三、常見電磁信息泄漏防護技術
最初信息電磁泄漏防護技術是從EMC領域借鑒而來的,比如屏蔽、濾波、接地等技術措施,隨著人們對信息電磁泄漏問題的認識逐漸清晰,防護技術也獨立地發展起來了,研究角度從頻域轉向時頻結合,技術手段從以硬件為主而轉向軟硬結合。新的屏蔽材料和部件的出現使信息電磁泄漏屏蔽性能不斷提高。目前,電磁屏蔽玻璃、導電橡膠、金屬纖維等材料和屏蔽窗、襯墊、套管等部件已處于實用階段。Soft-TEMPEST(Transient Electromagnetic Pulse Emanation Surveillance Technology)技術是新近發展起來的信息,表示電磁泄漏防護技術,通過改變信息技術設備的工作狀態或信號特征實現泄漏防護。必需采取一些綜合技術方法和手段來實現對信息電磁泄漏的抑制效果與防護要求.
1.抑源法
抑源法主要是解決元件與源器件、系統布局等一些初期設計中可能潛伏的電磁泄漏問題。現今很多低輻射技術和產品都由此產生,如超大規模集成芯片、多層印制板電路、低輻射系統布局軟件、接口插件、低噪源器件、屏蔽與吸收材料、導電玻璃與波導窗等。
2.屏蔽法
電磁屏蔽主要有兩個目的:一是限制內部輻射的電磁能量越出某一區域;二是防止外來的電磁輻射進入某一區域。在信息電磁泄漏的防護中,屏蔽法主要是針對輻射源實施電磁屏蔽的一種技術手段,以實現對電磁輻射的有效抑制。這種方法既可以對系統的組件進行屏蔽設計,也可以對整個系統進行屏蔽設計。屏蔽效果的好壞取決與于所采用的屏蔽技術和輻射源的泄漏情況,如所選用的蔽材料的性能、輻射源的輻射頻率、屏蔽體的形狀等等因素組成。對于不同性質的電磁場,屏蔽可分為電場屏蔽、磁場屏蔽以及低頻、高頻屏蔽等技術方下面對通常采用的幾種屏蔽方法技術進行簡要的介紹。
·整體屏蔽技術
整體屏蔽是指利用金屬箱(殼)將整個設備系統屏蔽起來,達到一定的屏蔽效果,必要時采用多層或多重屏蔽。如下圖所示,顯示器打印機,機箱都被整體金屬箱屏蔽起來起到良好的防護作用。
·密封屏蔽技術
由于信息技術設備的多樣性與復雜性,機械結構上的開口或者縫隙是在所難免的。但是從電磁屏蔽的角度上看,屏蔽結構應該是無縫隙的。信息設備中的電磁波可能會通過設備中的縫隙向外進行輻射,產生信息電磁泄漏。因此必須對有縫隙的結構的設備采用密封屏蔽技術來達到對電磁泄漏的防護。
3.防泄漏外套技術
防泄漏外套管可用于計算機與其他信息技術設備之間連線的屏蔽,對射頻輻射、電磁干擾、周圍環境實現密封,具有全方位屏蔽,并且實現lOOdB甚至更高的屏蔽效果。該類外套分為三種:鋅鑄件外套管、內側金屬噴涂的塑料外套管金屬拉伸外套管,在這三種類型中,金屬拉伸外套管的防護效果最好。
4.導電涂層技術
導電涂層包括用各種涂覆方法形成的金屬導電層、導電膠帶或其他專用的材料。導電涂層主要用途是通過金屬化涂敷的方法在非導電材料(如塑料)表面上構成一層完整的導電層,已達到對電磁波的吸收和屏蔽的效果。
5.磁屏蔽技術
磁屏蔽技術是解決電磁泄漏的重要手段之一。主要是用來抑制電磁輻射沿空間的傳播,通過切斷電磁輻射的途徑來達到電磁防護的目的。其實質是將關鍵部分用特殊材料封裝起來:如屏蔽電纜、屏蔽機箱等。電磁屏蔽的特點是不需要對被保護設備進行任何改造,性價比高。電磁屏蔽室、屏蔽機桌、屏蔽機柜等與大地相連,為屏蔽體上的電荷提供了一條低阻抗的電氣泄放通路。電磁屏蔽的效果與屏蔽體接地的好壞有密切的關系,一般屏蔽體的接地阻抗要求小于4歐
6.接地法
良好的接地為電流提供低阻抗回路,減弱電磁發射。在信息技術設備中需要注意的情況:信號的接地、屏蔽的接地和濾波器接地。計算機陰極射線管(CRT)顯示器中的電子束到達熒光屏后必須通過地線泄放,這個地線的阻抗要盡量低。屏蔽箱體良好接地才能發揮最大屏蔽效能,電纜屏蔽層、顯示器屏幕屏蔽窗等都要良好接地。
7.數據壓縮法
為了避免和減少數據信息通過信息技術設備之間的傳輸產生泄漏,應盡可能減少傳輸線的長度和數量。為此,可以使用數據壓縮技術,把需要若干條線路傳輸的數據信息經壓縮后在一條或少數幾條線路上進行傳輸。為確保分散的個人計算機與工作站之間的數據通信安全,可以采用復接器技術,把眾多終端的數據信息合并成一個數據流,以很高的比特率傳送出去,實現數據壓縮與傳送功能。
8.Soft-TEMPEST技術
上述的一些防護技術手段基本上都是屬于物理抑制方法,都需要對信息技術設備進行硬件方面的改進。20世紀末,Soft-TEMPEST的概念被提出,目前這種技術在美國已運用相當成熟,我國還在起步階段,這是一種全新的信息泄漏防護手段,只需改變信息設備的工作狀態和方式,用軟件的方法進行信息電磁泄漏的軟件防護
利用屏蔽技術,如用金屬之類的東西將整個視頻顯示器屏蔽起來或用屏蔽電纜對連接視頻電纜線進行視頻信號的傳輸屏蔽,雖然可以達到一定的屏蔽水平,但是卻不容易提高,同時也很難滿足TEMPEST技術指標,并且還受到一定的空間上的局限性。
9.偽泄漏技術
信息電磁泄漏防護的根本目的是防止載有重要信息的電磁發射被偵收與破譯。所以除了上面介紹過幾種的技術外,在不改變現有設備結構的前提下,采用偽泄漏進行防護。偽泄漏技術是通過有意設計使系統產生不帶信息的偽噪聲或偽泄漏,以淹沒或掩飾系統中的有用設備,使得實際偵收到的信息基本不是真正的信息,加強了信息的安全性。右圖為一款為數不多的某款偽噪聲設備。
上述多種方法雖然在國外應用的比較成熟了,但在國內目前的技術前提下容易實現的有屏蔽法、接地法等,在設備選型的時候就避免使用傳統的CRT顯示器我們把這幾種方法綜合運用就能在單位計算機系統電磁信息泄露方面收到良好的效果。
京公網安備 11010502049343號