Căn cứ để phân loại, đánh giá an toàn bức xạ của thiết bị là độ bức xạ đo được trong những điều kiện tiêu chuẩn (trong phòng thí nghiệm). Tuy nhiên, môi trường thực địa nơi thiết bị sẽ được lắp đặt, sử dụng cũng là yếu tố quan trọng cần xem xét để lựa chọn thiết bị sao cho vừa có tiêu chuẩn phù hợp, an toàn vừa đảm bảo hiệu quả. Cơ quan an toàn thông tin Liên bang Đức (BSI) đã phát kiến Mô hình phân vùng (Zones Model) để qui chuẩn, phân hạng môi trường sử dụng trên cơ sở khả năng suy hao tín hiệu sóng điện từ phát ra từ thiết bị phụ thuộc vào yếu tố khoảng cách và đặc điểm thực địa. Cấp độ phân loại theo mô hình này kết hợp với các tiêu chuẩn an toàn bức xạ của thiết bị là cơ sở để lựa chọn các thiết bị điện tử, IT sử dụng trong những lĩnh vực xử lý thông tin đòi hỏi độ an toàn, bảo mật cao.
1. Chống bức xạ điện từ
Mọi dụng cụ điện tử đều ít nhiều bức xạ sóng điện từ. Với các thiết bị xử lý dữ liệu – chẳng hạn như máy tính PC, bức xạ đó có thể mang theo thông tin đang xử lý. Khi đó, bức xạ điện từ được gọi là TEMPEST – bức xạ nhất thời và phát dẫn không chính thức.
Nếu bức xạ trên được thu ở một khoảng cách nhất định, chẳng hạn từ một ngôi nhà kế bên hoặc từ một xe ôtô đậu trong vùng phụ cận, thông tin gốc có thể khôi phục lại được và tính bảo mật của dữ liệu sẽ bị đe dọa. Chống bức xạ có nghĩa là tìm cách giảm bức xạ điện từ TEMPEST đến một ngưỡng rủi ro chấp nhận được.
Trong quy định kiểm soát TEMPEST của NATO mô tả các phương pháp xác định nội dung thông tin bức xạ và thiết lập các giá trị ngưỡng. Những đặc tả đó đã được nhiều quốc gia phê chuẩn để sử dụng. BSI đã sử dụng hệ thống qui định trên trong hoạt động giám định cấp phép. Qui định của NATO xác định 3 loại giá trị ngưỡng khác nhau ứng với 3 phân nhóm thiết bị theo mức độ triệt nhiễu, mức độ an toàn bức xạ khi sử dụng.
Mô hình phân vùng
BSI đã phát triển thêm một mô hình đánh giá gọi là Mô hình phân vùng (Zone Model). Dựa trên cơ sở các trường điện từ bị suy hao ở khoảng cách xa và bị hấp thụ đáng kể bởi các công trình xây dựng (lô cốt, nhà cửa), mô hình này chia ra các mức phân vùng để xác định đặc tính của một vị trí thực địa nhất định gồm: “vùng 1” (suy hao kém), “vùng 2” (suy hao trung bình), và “vùng 3” (suy hao mạnh). Nếu suy hao xác định ở một vị trí không thỏa mãn yêu cầu, vị trí sẽ không được phân vùng theo mô hình. Khi đó, vị trí được phân loại là “Vùng 0” (không chống được bức xạ).
Tương tự như qui định của pháp luật về Thử nghiệm tương thích điện từ (EMC), đối với mô hình phân vùng, mức độ bức xạ cũng được đo lường trong điều kiện thực tế cụ thể cho từng giá trị ngưỡng và băng thông.
Để thực hiện thử nghiệm nhanh chóng, nội dung tín hiệu không bắt buộc phải phân tích. Với phương pháp đo lường tự động, mỗi ngày BSI có thể hoàn thành thử nghiệm cho 2 thiết bị. Trung bình mỗi tuần có thể thử được 6 đến 8 thiết bị IT (máy tính PC, máy in, máy chủ hay các thiết bị hệ thống khác) cần tài liệu chứng nhận sự phù hợp để sử dụng trong khuôn khổ mô hình phân vùng.
Tăng cường các yêu cầu bắt buộc
Những năm gần đây, mức bảo vệ bắt buộc EMC được tăng cường, nhiều thiết bị IT ngày nay vượt qua kiểm định “vùng 2” mà chỉ cần bổ sung thêm một vài biện pháp triệt nhiễu, thậm chí không cần triệt nhiễu. Các thiết bị này có thể đủ an toàn để làm việc trong điều kiện thực địa có độ suy hao bức xạ trung bình. Tuy nhiên, đối với “vùng 1” (suy hao kém) phải áp dụng thêm các biện pháp triệt nhiễu. Bản thân “vùng 3” làm suy hao bức xạ rất mạnh nên các thiết bị chỉ cần được bảo vệ chống bức xạ tối thiểu. Giới hạn trên của mức bức xạ cho phép được chỉ dẫn trong Luật tương thích điện từ trường (EMVG).
Tuy nhiên, để làm việc an toàn trong môi trường “vùng 0”, các thiết bị buộc phải trang bị mức bảo vệ rất cao mà không có phương pháp cổ điển nào thỏa mãn được. Không có khả năng hạ mức bức xạ xuống dưới ngưỡng mà “vùng 0” yêu cầu. Vì vậy, cần tiến hành thêm một phương pháp phân tích tín hiệu để đảm bảo rằng phần bức xạ nhiễu mang tin không vượt quá các ngưỡng.
Tín hiệu cần được phát hiện và tối thiểu hóa sự bức xạ – một công việc có thể phải mất hàng tuần, có khi hàng tháng và cần có chi phí để phát triển thêm biện pháp triệt nhiễu. Do đó chỉ nên sử dụng thiết bị thuộc “Vùng 0” khi không thể tránh được.
Khác với các thiết bị IT đã được đề cập ở trên, các thiết bị mật mã buộc phải trải qua các phân tích có hệ thống.
Đối với những thiết bị đã được chứng nhận phù hợp mô hình phân vùng, có thể phát triển Qui trình kiểm tra gọn (STP) để thẩm định chất lượng của từng thiết bị, có thể tiến hành tại “các phòng thí nghiệm được chỉ định”. Những qui trình đó quá chung chung đối với các thiết bị cần chống bức xạ, đủ để sử dụng ở “vùng 0”. Nó không thể bao hàm các phương pháp chống nhiễu đặc biệt. Ở đây, các qui trình kiểm tra gọn STP được thiết kế chỉ để kiểm tra phát hiện các thiết bị có nghi vấn.
2. Độ suy hao của môi trường, nhà cửa
Một cách thức để có thể tiếp cận trái phép thông tin mật là ghi lại các bức xạ từ các thiết bị IT có chứa nội dung thông tin mật (ở phần trên đã đề cập). Vì vậy, cần có những biện pháp an ninh đặc biệt để phòng tránh khả năng đó.
Ví dụ, biện pháp bảo vệ có thể bao gồm các thiết bị IT phải được bọc chống bức xạ. Những thiết bị như thế, được gọi là thiết bị TEMPEST, có giá thành khá cao. Do đó, chúng thường chỉ được sử dụng ở những nơi có đòi hỏi mức bảo vệ chống bức xạ rất cao.
Biện pháp khác là tạo lập một khu vực an toàn xung quanh thiết bị IT. Nhưng phải đảm bảo chắc chắn là bức xạ từ thiết bị IT suy giảm đến mức không còn hữu ích tại đường biên của khu vực. Giới hạn phát hiện bức xạ đó được NATO qui định cho từng cấp độ mật của tài liệu cần bảo vệ.
Có rất nhiều thông số khác nhau làm giảm mức tín hiệu trên đường từ thiết bị IT đến máy thu (của đối tượng tấn công). Bên cạnh thông số khoảng cách không gian, vật liệu xây dựng thì các hạ tầng khác đóng một vai trò quan trọng, vì các tác động này rất khó kết luận, chỉ trên cơ sở thiết kế xây lắp nên cách duy nhất để xác định độ suy giảm tín hiệu là đo đạc trên thực địa.
Đo đạc trên thực địa
Bước đầu tiên là xác định đường biên của khu vực an toàn. Khu vực đó phải được kiểm soát bằng các biện pháp an ninh sao cho các tấn công bên trong khu vực này được loại trừ. Giới hạn khu vực nêu trên không đồng nhất với giới hạn khu vực của tòa nhà. Một mặt, khu vực thực địa thường khó tách bạch, chẳng hạn như bao gồm cả khu đậu xe công cộng. Mặt khác, khu vực an ninh có thể mở rộng ra cả diện tích bên ngoài, nơi không ai nhận ra sự hiện diện quá lâu của một cá nhân như khu vực đường sắt, đường bộ với giao thông dày đặc.
Sau khi xác định được đường biên, cần tiến hành đo đạc chính xác mức suy hao của bức xạ từ nguồn đến đường biên đó. Để thực hiện được điều này, một máy phát được bố trí trong phòng làm việc phát tín hiệu đến một máy thu bố trí tại đường biên. Trên cơ sở mức hấp thụ tín hiệu từ máy phát đến máy thu, căn phòng cần đo được xếp vào một loại vùng nhất định. Tùy thuộc vào mức độ khảo sát, có thể tiến hành đo đạc với nhiều vị trí thu khác nhau.
Phân vùng đối với khu vực được căn cứ vào các tiêu chí cố định dưới đây. Các giá trị được chọn để đánh giá là các kết quả nhỏ nhất.
Trong hình 1, các số 1 đến 8 là các phòng và cũng là các vị trí đặt máy phát, còn các vị trí từ chữ cái A đến I chỉ các máy thu bên trong hoặc bên ngoài gần biên giới khu vực an ninh. Công tác đo đạc chú ý đến mức độ suy hao khác nhau của các thiết bị IT sử dụng trong các phòng khác nhau và đồng thời chú ý đến mức suy giảm của nhiễu bên ngoài khu vực an ninh. Kết hợp kết quả đo xác định suy hao với an toàn bức xạ của bản thân thiết bị, có thể xác định thiết bị sử dụng an toàn tại một vị trí thực địa nhất định.
Phân loại khu vực
Kết quả đo được so sánh với các thông số đo ở khoảng cách 20m tính từ vị trí máy phát trong môi trường trống, các khu vực được chia thành:
- Vùng 1 tương đương với suy hao ở khoảng cách trống 20m.
- Vùng 2 tương đương với suy hao ở khoảng cách trống 100m.
- Vùng 3 kết quả từ Vùng 2 cộng thêm 20dB.
Vùng 1 là khu vực suy hao yếu nhất, Vùng 3 là khu vực có suy hao cao nhất. Vùng 0 dành cho những không gian không đáp ứng được mức hấp thụ tối thiểu. Khi đó, cần sử dụng các thiết bị có bọc chống bức xạ đặc biệt (TEMPEST).
Hạn chế
Mô hình phân vùng chỉ áp dụng cho các tòa nhà, không gian thực địa và các thiết bị di động ở chế độ tĩnh, có thể xác định rõ ràng đường biên an ninh. Khi xét riêng mỗi tầng nhà hay mỗi phòng trong một tòa nhà, không thể so sánh với “Vùng” của tầng khác, phòng khác. Bởi vì phát xạ từ thiết bị IT có thể kết hợp với những kết cấu kim loại khác nhau để truyền lan không thể kiểm soát được đến những khoảng cách khá xa trong mỗi tòa nhà. Do tính truyền lan đó, đường biên khu vực an ninh phải được thiết lập phía ngoài bản thân tòa nhà đó.
Kiểm tra thực địa theo mô hình phân vùng là một nhiệm vụ của cơ quan an ninh thông tin. Nói chung ở đâu có xử lý dữ liệu mật, ở đó cần các biện pháp bảo vệ đặc biệt. Khách hàng cần có những tư vấn cần thiết trong lĩnh vực an ninh phát xạ ngay từ những bước đầu lập dự án.
Do kiểm tra một cách độc lập môi trường suy hao và bức xạ nhiễu của bản thân thiết bị nên mô hình phân vùng cho phép người sử dụng dễ dàng lựa chọn ứng dụng các thiết bị xử lý dữ liệu mật. Mô hình này cho phép đánh giá cơ sở thực địa để hình thành khu vực an ninh. Nếu không đáp ứng được các yêu cầu bức xạ theo phân vùng, cần sử dụng các thiết bị IT khác nhằm thỏa mãn mức độ phát xạ cho phép để xử lý dữ liệu mật.
3. Các phương pháp kiểm tra để ngăn chặn nghe lén
Hệ thống đo lường và các phương pháp kiểm tra để đảm bảo bí mật cá nhân cũng như các cuộc đàm thoại, bao gồm cả môi trường hội họp, trao đổi mật cấp chính phủ - biện pháp bảo vệ chống nghe lén. Một số phương pháp kiểm tra sẽ được trình bày dưới đây.
Các thiết bị nghe lén bí mật truyền nội dung thu được qua sóng vô tuyến. Những cánh cửa không cách âm, hay cửa sổ kính một lớp có thể là kẽ hở để nghe lén cuộc hội thoại trong phòng từ một vị trí xa, ngoài hành lang hoặc từ ngoài đường phố....
Để đảm bảo an ninh, các cửa sổ, cửa ra vào, tường, trần, và sàn nhà phải được cách âm phù hợp với yêu cầu. Có thể sử dụng hệ thống đo lường âm học công trình để kiểm tra độ cách âm. Các thông số đo lường được chuẩn hóa đó sẽ giúp phát hiện và loại trừ các khiếm khuyết.
Các thiết bị nghe trộm vô tuyến phát dẫn ở một dải tần số nhất định có thể được phát hiện bằng các thiết bị thu đo lường đặc biệt, chẳng hạn như các máy phân tích phổ. Nhưng việc phát hiện một tín hiệu cần quan tâm là hết sức khó khăn do phải quét vô số các tần số hợp pháp như sóng phát thanh, truyền hình, điện thoại di động hay các đài phát dữ liệu vô tuyến. Tìm kiếm “rệp” đúng là “mò kim đáy bể”. Điều gì sẽ diễn ra nếu thiết bị nghe trộm vô tuyến tắt? Các thiết bị ngày nay hoàn toàn có thể điều khiển từ xa, và nếu chúng ngừng hoạt động trước cuộc kiểm tra, thì các thiết bị đo không thể phát hiện được gì cả. Hơn nữa, trên thị trường còn có những thiết bị nghe trộm không sử dụng sóng vô tuyến mà truyền tin qua đường dây điện hoặc qua kênh hồng ngoại.
Do đó phương pháp kiểm tra quan trọng nhất vẫn là việc quan sát tỉ mỉ. Đồ đạc, vật trang trí, các hốc trong tường, trần nhà, kể cả các thiết bị điện... cần được kiểm tra xem có bị cài đặt gì thêm không bằng nhiều loại công cụ tìm kiếm khác nhau từ thô sơ cho đến hiện đại nhất như kính quang học chất lượng cao (FibreScopes).
Hệ thống máy soi tia X được sử dụng để kiểm tra các thiết bị không thể tháo lắp được, hay các thiết bị cao cấp có thể bị hỏng khi tháo rời từng bộ phận. Với kỹ thuật hiện đại, mức phóng xạ có thể giữ rất thấp để không ảnh hưởng đến người tiến hành kiểm định.
Đối với đường cấp điện, việc kiểm tra cũng phải được tiến hành tỉ mỉ với những thiết bị đặc biệt, bởi chúng có thể được sử dụng vào cả hai mục đích: cung cấp nguồn điện cho “rệp” và thực hiện vai trò đường truyền hữu tuyến.
Phát hiện các thiết bị nghe lén, được chế sẵn trong các loại nguyên vật liệu xây dựng tường, trần, sàn nhà là rất khó khăn. Thiết bị phát hiện thuộc họ phi tuyến đã chứng tỏ giá trị của mình trong đo lường kiểm tra các cấu trúc không phá hủy như các công trình xây dựng. Thiết bị này kích hoạt trước mọi dạng mạch vòng điện tử, bao gồm cả các thiết bị nghe lén. Tuy nhiên, do mức nhạy cảm cao của loại thiết bị này, cảnh báo giả thường xảy ra. Tốt nhất là nên sử dụng kết hợp nhiều phương pháp. Ví dụ, sử dụng cùng các camera cảm ứng nhiệt. Các thiết bị nghe trộm tiêu thụ điện năng, do đó chúng thường nóng hơn một chút so với môi trường xung quanh. Camera cảm ứng nhiệt thể hiện sự khác biệt nhiệt độ đó.
Bảo vệ hệ thống điện thoại số
Sử dụng hệ thống điện thoại số có thể dẫn đến nhiều khả năng bị nghe trộm. Các hệ thống này thường có nhiều tính năng chẳng hạn như “điện thoại con” để giám sát âm thanh trong phòng, định hướng âm học cho thiết bị điện thoại, cuộc đàm thoại, hay tính năng hội thảo từ xa… có nhiều ứng dụng thú vị, tiện dụng. Nhưng kẻ nghe trộm bất hợp pháp cũng có thể dễ dàng lợi dụng các tính năng này.
Nhiều hệ thống bị tắt các tín hiệu cảnh báo, các thông điệp hiển thị quan trọng. Hơn nữa, những thay đổi đó lại đúng thủ tục nên thường không bị phát hiện. Trong nhiều trường hợp, việc cấu hình hệ thống không cần phải làm trực tiếp, mà có thể thực hiện thông qua con đường bảo trì từ xa.
Bởi vậy, cần tiến hành kiểm tra hệ thống xem liệu nó có được cấu hình cho phép sử dụng các tính năng nghe lén hay không. Đối với các thiết bị sử dụng ở cấp chính phủ, có thể phát triển bộ công cụ phần mềm để tự động hóa công việc. Với các thiết bị đó, có thể tiến hành kiểm tra các đường bảo trì từ xa cũng như mức độ bảo đảm an ninh của chúng.
Những trình bày ở đây về vấn đề ngăn chặn nghe lén chưa thể đầy đủ. Chúng chỉ phần nào cho thấy những khó khăn ngày càng lớn trong công tác kiểm tra phát hiện chống nghe lén. Kiểm tra chống nghe lén cũng chỉ là giải pháp tình thế. Nó không thể thay thế được các biện pháp cần thiết khác như quản lý con người hay thực hiện các đo lường đảm bảo an toàn cho vật liệu. Với đầy đủ các biện pháp đó, việc chống cài đặt thiết bị nghe lén vào các phòng làm việc đặc biệt quan trọng mới có hiệu qủa