防止电磁泄漏发射

3.2　防止电磁泄漏发射

1985年，在法国召开的一次国际计算机安全会议上，年轻的荷兰人范·艾克当着各国代表的面，公开了他窃取微机信息的技术。他用价值仅几百美元的器件对普通电视机进行改造，然后安装在汽车里，这样就从楼下的街道上，接收到了放置在8层楼上的计算机电磁波的信息，并显示出计算机屏幕上显示的图像。他的演示给与会的各国代表以巨大的震动。据报道，目前在距离微机百米乃至千米的地方，都可以收到并还原微机屏幕上显示的图像。

在国外有实验表明，银行计算机显示的密码指令在马路上就能轻易地被截获。通常窃视这种微弱电磁辐射的方法是：用定向天线对准作为窃视目标的微机所在的方向，搜索信号，然后依靠特殊的办法清除掉无用信号，将所需的图像信号放大，这样微机荧屏上的图像即可原原本本地重现了。

计算机主机及其附属电子设备如视频显示终端、打印机等在工作时不可避免地会产生电磁波辐射，这些辐射中携带有计算机正在进行处理的数据信息。尤其是显示器，由于显示的信息是给人阅读的，是不加任何保密措施的，所以其产生的辐射是最容易造成泄密的。使用专门的接收设备在几百米甚至一公里以上的距离内都可以将这些电磁辐射接收下来，经过处理，就可恢复还原出原信息。国外计算机应用比较早，计算机设备的辐射问题早已有研究，在1967年的计算机年会上美国科学家韦尔博士发表了阐述计算机系统脆弱性的论文，总结了计算机四个方面的脆弱性：处理器的辐射、通信线路的辐射、转换设备的辐射、输出设备的辐射。这是最早发表的研究计算机辐射安全的论文，但当时没有引起人们的注意。1983年，瑞典的一位科学家发表了一本名叫《泄密的计算机》的小册子，其中再次提到计算机的辐射泄漏问题。1985年，荷兰学者艾克在第三届计算机通信安全防护大会上，公开发表了他的有关计算机视频显示单元电磁辐射的研究报告，同时在现场作了用一台黑白电视机接收计算机辐射泄漏信号的演示。他的报告在国际上引起强烈反响，从此人们开始认真对待这个问题。据有关报道，国外已研制出能在一公里之外接收还原计算机电磁辐射信息的设备，这种信息泄露的途径使敌对者能及时、准确、广泛、连续而且隐蔽地获取情报。

计算机电磁辐射泄密问题已经引起了各个国家的高度重视，要防止这些信息在空中传播，必须采取防护和抑制电磁辐射泄密的专门技术措施，这方面的技术措施有：干扰技术（干扰机）、屏蔽技术（屏蔽室）和Tempest技术（低辐射机）。计算机是靠高频脉冲电路工作的，由于电磁场的变化，必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去，只要具有相应的接收设备，就可以将电磁波接收，从中窃得秘密信息。据国外试验，在1000米以外能接收和还原计算机显示终端的信息，而且看得很清晰。微机工作时，在开阔地带距其100米外，用监听设备就能收到辐射信号。计算机电磁辐射大致分为两类：第一类是计算机的运算控制和外部设备等部分产生的辐射，频率一般在10兆赫到1000兆赫范围内，这种电磁波可以用相应频段的接收机接收，但其所载信息解读起来比较复杂；第二类是由计算机终端显示器的阴极射线管辐射出的视频电磁波，其频率一般在6.5兆赫以下。对这种电磁波，在有效距离内，可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波，已成为国外情报部门的一项常用窃密技术，并已达到很高水平。

计算机电磁波辐射泄漏一类是传导发射，通过电源线和信号线辐射；另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。任何一台电子设备工作时都会产生电磁辐射，计算机设备也不例外，计算机设备包括主机、磁盘机、磁带机、终端机、打印机等所有设备都会不同程度地产生电磁辐射造成信息泄漏，如主机中各种数字电路电流的电磁泄漏、显示器视频信号的电磁泄漏、键盘开关引起的电磁泄漏、打印机的低频泄漏等。计算机信息泄漏主要有两种途径：一是被处理的信息会通过计算机内部产生的电磁波向空中发射，称为辐射发射；二是这种含有信息的电磁波也可以经电源线、信号线、地线等导体传送和辐射出去，称为传导发射。由于由信息辐射造成泄露所提供的情报比用其他获取情报的方法更为及时、准确、广泛、连续且隐蔽。所以，国外的情报机构早在20世纪80年代初期就把接收计算机电磁辐射信息作为窃密的重要手段之一。因此，计算机设备信息辐射防护技术已成为一种极为重要的信息安全技术。目前，计算机各部分中的信号形式主要是二进制数字信号。在主机内部的各单元电路板、连续线、控制板和显示终端、打印机等输出设备，以及各机箱之间的连线中，都是这种信号。尽管这种信号本身是视频脉冲形式的，但是它含有丰富的谐波，它们的视频扩展到VHF、UHF等很高的频段，辐射能力很强，完全可能向周围空间辐射出相当强的电磁场，对于辐射发射的泄露信息能够用天线来接收；另一方面，在数据线、打印机驱动信号线、电源线中存在着信号电流成分。它们的频率较低，辐射能力弱，但这种信号电流产生的磁场可能透过外套泄露出来，被卡在线上的电流探头捡拾到，接收到的信号送到特制的接收机中进行处理、复原。计算机系统中最容易截获的信号是显示屏上的显示信号。计算机设备具有信息泄露的特性，且可以采取一定手段对信号进行接收和复原，极容易造成敏感信息的泄露。

计算机设备信息泄露防护技术，就是针对计算机的信号辐射特性，运用一定的技术手段不让窃收方接收到计算机辐射的信号和复原出有关的真实信息，可以用屏蔽室、屏蔽柜、低电磁发射计算机系统、微机视频信息保护机等方法。

用于传送数据的通信电缆或支持信息服务的电力电缆被截断会造成信息的不可用，甚至造成整个系统的中断；用于传送敏感信息的通信电缆被截获，会造成秘密泄露。组织应采取适当的措施对电缆进行保护，防止截断或损坏，如：电缆应尽可能埋在地下，或得到其他适当的保护；使用专门管线，避免线路通过公共区域；电源电缆应与通信电缆分离，以防干扰；定期对线路进行维护，及时发现线路故障隐患等。

抑制计算机中信息泄露的技术途径有两种：一是电子隐蔽技术，二是物理抑制技术。电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息；物理抑制技术则是抑制一切有用信息的外泄。物理抑制技术可分为包容法和抑源法。包容法主要是对辐射源进行屏蔽，以阻止电磁波的外泄传播；抑源法就是从线路和元器件入手，从根本上阻止计算机系统向外辐射电磁波，消除产生较强电磁波的根源。应当对传输信息资料的通信电缆或支持信息服务的电力电缆加以保护，使其免于被窃听或被破坏。计算机系统电磁信息泄漏可采取的具体防护措施包括抑源法、屏蔽法和噪声干扰法。

抑源法是从降低电磁泄漏源的发射强度角度来采取措施，它是指对计算机设备内部产生和运行串行数据信息的部件、线路和区域采取电磁辐射发射抑制措施和传导发射滤波措施，并视需要在此基础上对整机采取整体电磁屏蔽措施，减小全部或部分频段信号的传导和辐射发射。对电源线和信号传输线则采取接口滤波和线路屏蔽等技术措施，以达到抑制电磁信息泄漏源发射的目的。

电磁屏蔽技术包括设备的屏蔽和环境的屏蔽，它是从阻断电磁信息泄漏源发射的角度采取措施，主要指涉密计算机设备或系统被放置在全封闭的电磁屏蔽室内（与外界联系的线路接口或门窗均采用特殊处理的屏蔽隔离技术），其主要材料分别是金属板和金属网等。目前已经具有满足不同防护需求的不同级别屏蔽效能的屏蔽机房、屏蔽机柜、屏蔽舱、屏蔽包等。

噪声干扰法是在信道上增加噪声，从而降低窃收系统的信噪比，使其难以将泄露信息还原。噪声源的选择可利用相关原理与被保护信号内容相关，通过不同技术途径实现与计算机视频等终端设备的信息相关、谱相关、行场频（同步）相关，并产生宽带的相关干扰信号，不仅在信噪比上实施保护，而且从信号相关性上有效地防止信息泄露。

抑源法通过降低或消除计算机电磁泄漏源的发射从根本上解决问题，屏蔽法则通过阻断发射和传导途径来达到电磁信息泄漏防护的目的，而噪声法是通过添加与信息相关的噪声，增大窃收泄露信息的难度。此外，根据电磁波按距离的指数衰减的规律，也可以通过尽可能的增大警戒距离来减小计算机电磁信息泄漏的威胁。随着电磁攻击手段的不断提高，各种类型和程度的防护措施也不断涌现，防护水平逐渐提高。目前主要的防护措施有防泄漏计算机、屏蔽室和干扰器。

防泄漏计算机（如图3-1所示）是综合运用抑源法和屏蔽法制造的满足相关低电磁信息泄露发射标准的信息设备。与一般商用机不同，防泄漏计算机为抑制电磁泄漏采取了多种方法。采用“包容法”，使用金属机箱将商用机屏蔽起来而成；一些必要的通风孔采用波导窗结构；必须的开口，如磁盘插入口则使用带簧片的可开启封闭门。这种结构有如一个小的屏蔽室，可使其达到相关涉密计算机防护标准要求。“抑源法”不是利用现成商用机，而是按照抑制红信号电磁泄漏发射的原则重新设计，制造出全新的产品。通过实施“红黑”隔离、滤波及屏蔽等基本措施，使整机达到相关涉密计算机防护标准。随着技术与制造工艺水平的提高，防泄漏计算机重量越来越轻，外形与一般商用机差别越来越小，同时价格也下降不少。防泄漏计算机的防护程度高，主要用于高密级、信息设备使用比较分散的场合。

图3-1　华密FDXN-I防电磁泄漏便携计算机

1.计算机主板防泄漏

计算机内部主机板PCB是电磁辐射的基本辐射源，各种高频信号经过PCB板上的走线和元器件后，以耦合、传导、辐射等方式，向外发射电磁波，其辐射强度正比于辐射单元长度、面积和单元上的电压、电流。所以，在电路板布线时，应设法控制电路板上信号传输的有效长度，减小信号形成的有效环路面积。主要采取以下措施：

采用栅网地线或接地平面，使信号线靠近地线，能有效地减小接地系统的电压和激励辐射单元的共模电流；

时钟电路和辐射较强的电路尽量远离I/O线缆连接处和电路板外接导线，防止这些长导线被感应上电磁信号；

采用多层PCB设计，同一层仅布相同性质的信号线，并且信号线之间间隔一层地线或电源线，降低电磁辐射；

在PCB上相邻信号回路间增加解耦电容，减小电路间的耦合效应，抑制传导发射，在靠近IC芯片处设置解耦电容，减小或消除信号脉冲引起的瞬变电流的辐射；

对辐射较大的电路、器件，采用局部隔离、单独屏蔽等措施，抑制其辐射强度；

采取“红黑”隔离技术，防止携带有用信息的红信号的耦合泄漏。

2.计算机电源的低辐射设计

对计算机电源作低辐射处理的目的是降低电磁辐射与传导强度，提高电磁兼容等级，避免系统内部有用信息耦合到电源通道从而发生电磁信息泄漏的危险。采用屏蔽及滤波技术设计符合相关标准的计算机专用低辐射交流电源或是安装交流电源滤波器可达到这一目的。

3.计算机对外信号接口的防泄漏设计

计算机对外接口由于连接具有天线效应的外接电缆而成为主机重要的电磁泄漏源。对计算机各信号接口除采用抑源法对电路板作防泄漏处理外，还可采用屏蔽与滤波技术设计防泄漏接口。

4.计算机主机的整体屏蔽设计

对计算机主机的整体屏蔽是防止信息泄露的有效措施。简单地将主机密封在金属机箱中屏蔽效果很好，但是由于计算机丰富的对外接口、通风散热口以及机箱上的孔缝，这些都是主机向外泄漏电磁信息的重要途径，因此屏蔽机箱的设计需考虑以上因素。对于机箱屏蔽体孔缝需要有密封屏蔽——采用橡胶垫、密封胶、密封条等密封件，确保整体屏蔽的连续；对接口的屏蔽需加装屏蔽门或外接接口屏蔽护套；对通风口的屏蔽可加装通风波导；对于散热孔电磁泄漏的防护可以采用金属栅网。

5.显示器的防泄漏设计

显示器是计算机系统的主要外部设备之一。计算机视频信息的电磁泄漏在国内外研究中最为深入。显示系统由于串行数据的存在、信息的帧相关性及显示器的放大作用，因此更容易产生泄漏发射。显示器的防泄漏设计主要考虑视频接口、设备电源、显示器机壳和显示屏等泄漏源。视频接口主要采取信号滤波与屏蔽措施；设备电源则通过加装电源滤波器的方式防止信息的传导发射；显示器机壳的设计主要考虑对外接口及孔缝；而显示屏可以加装屏蔽玻璃，大大降低信号辐射的强度，同时对人眼视觉不造成大的影响。

6.键盘鼠标的防泄漏设计

键盘鼠标的防泄漏设计主要采用屏蔽技术及滤波技术对控制电路与连接电缆作处理，达到降低辐射的目的。在键盘的设计中，在按键区和控制电路之间设置一个红黑界面，并将红区完全屏蔽起来，就可以达到防止信息泄露的目的。防止红区信号耦合进黑区的有效手段是使用信号滤波器。为此，只要适当使用一个低通滤波器，就可将红、黑信号分离，抑制红信号的传导耦合。

7.外接电缆的防泄漏设计

外接电缆是计算机系统泄漏最强的部件之一。计算机电源线、信号线和控制线会产生传导泄漏发射。理论分析表明，传输线路上的传导发射在不同的频率上差异很大，而随着线路距离的增加传导发射损耗衰减较小。因此在传输线路远端，采用电流钳直接获取传导泄漏发射信号的可能性很大。同时，传输线路传导发射会产生辐射场，即由于传输线路的天线效应，能够在其周围空间产生一个较强的辐射电磁场。对电缆的防泄漏设计主要采用满足相关隔离屏蔽要求的线缆，以达到吸收和屏蔽电磁波的目的，在线缆连接处将金属编制网与连接器作良好的电连接，以保证屏蔽效果。

防电磁信息泄漏屏蔽室（如图3-2所示）主要使用屏蔽法，结合滤波的手段，屏蔽室中安装符合有关指标的电源滤波器、信号线滤波器、波导管、电缆及连接器等部件。采取建造电磁屏蔽室的措施防护的程度很高，成本也高，主要用于高密级、信息设备使用较集中的部位。

图3-2　防辐射特种屏蔽室

干扰器（如图3-3所示）使用噪声法结合滤波手段，在信息设备旁边工作，通过发射电磁干扰，从频率范围和幅度两方面完全覆盖电磁泄漏频谱，同时还要使用滤波器阻断信息设备电源线的传导发射。添加的噪声可能是伪随机白噪声，也可能是与泄露信息相关的噪声。电磁干扰器的价格比较便宜，使用也比较灵活方便，是目前应用比较广泛的产品。

图3-3　电磁干扰器