RU15613U1 - Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств - Google Patents

Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств Download PDF

Info

Publication number
RU15613U1
RU15613U1 RU2000118286/20U RU2000118286U RU15613U1 RU 15613 U1 RU15613 U1 RU 15613U1 RU 2000118286/20 U RU2000118286/20 U RU 2000118286/20U RU 2000118286 U RU2000118286 U RU 2000118286U RU 15613 U1 RU15613 U1 RU 15613U1
Authority
RU
Russia
Prior art keywords
network
local
computer network
global
corporate
Prior art date
Application number
RU2000118286/20U
Other languages
English (en)
Inventor
А.В. Володин
А.А. Грушо
Original Assignee
Володин Андрей Владимирович
Грушо Александр Александрович
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Володин Андрей Владимирович, Грушо Александр Александрович filed Critical Володин Андрей Владимирович
Priority to RU2000118286/20U priority Critical patent/RU15613U1/ru
Application granted granted Critical
Publication of RU15613U1 publication Critical patent/RU15613U1/ru

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств, содержащая устройство защиты целостности процессов взаимодействия локальной и глобальной сетей, включенное между локальной вычислительной сетью корпоративной компьютерной сети и глобальной сетью, отличающаяся тем, что устройство защиты целостности процессов взаимодействия локальной и глобальной сетей содержит последовательно соединенные через порты "вход-выход" первый буферный блок, сервер безопасности, второй буферный блок, причем первый буферный блок через порты "вход-выход" первой рабочей станции связан с первой локальной вычислительной сетью корпоративной сети, а второй буферный блок через порты "вход-выход" второй рабочей станции и глобальную сеть связан со второй локальной вычислительной сетью корпоративной компьютерной сети, при этом первый и второй буферные блоки содержат по одному маломощному доверенному процессору для линейного преобразования обрабатываемой информации, а сервер безопасности содержит мощный недоверенный процессор обработки линейно-преобразованной информации, циркулирующей между локальными сегментами корпоративной компьютерной сети.

Description

Система защиты корпоративной компьютерной сети от предметноориентированных несанкционированных воздействий скрытых программноаппаратных средств.
Предлагаемая полезная модель относится к вычислительной технике, в частности к системам, связывающим между собой несколько вычислительных устройств, образующих корпоративную компьютерную сеть.
Известно устройство, содержащее формирователь эталона, оперативный запоминающий узел хранения эталона с последовательно соединенными блоком блокировки, преобразователем кода, дешифратор команд, дешифратор адреса, регистр команд, и буфер записи эталона. Однако это устройство не способно предотвратить несанкционированное воздействие скрытых программно-аппаратнБ1х средств на информащю (патент РФ Г« 2146834, кл. G 06 F 12/14).
Наиболее близким к предлагаемому техническому решению является система обеспечения целостности информации вычислительных устройств, содержащая блок защиты целостности файловой системы, блоки контроля целостности системы по находящимся в системе пользователям и процессам, блок управления системой обеспечения целостности. Это техническое решение не обеспечивает многоуровневую зшциту от предметноориентированных воздействий скрытых програшлно-аппаратных средств в системе локальных вычислительных сетей, включенных в глобальную сеть (патент РФ f 2145727, кл.С 06 F 12/16 - прототип).
Предлагаемая полезная модель решает техническую задачу разделения программных кодов и данных в компьютерах общего назначения и обеспечения многоуровневой защиты функций компьютера в межсетевом взаимодействии и устранения скрытых каналов утечки информации в сеть через несанкционированные действия.
Поставленная техническая задача решается тем, что в системе зшдиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств, содержащей устройство защиты целостности процессов взаимодействия локальной и глобальной сетей, включенное между локальной вычислительной сетью корпоративвой компьютерной сети и глобальной сетью, это устройство содержит последовательно соединенные через порты вход-выход первый буферный блок, сервер безопасности, второй буферный блок, причем первый буферный блок через порты вход-выход первой рабочей станции связан с первой локальной вычислительной сетью корпоративной сети, а второй буферный блок через порты входвыход второй рабочей станции и глобальную сеть связан со второй локальной вычислительной сетью корпоративной компьютерной сети, при этом первый и второй буферные блоки содержат по одному маломощному доверенному процессору для линейного преобразования обрабатываемой информации, а сервер безопасности содержит мощный недоверенный процессор обработки линейно-преобразованной информации, циркулирующей между локальными сегментами корпоративной компьютерной сети.
Такое выполнение системы защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств обеспечивается благодаря следующим обстоятельствам,
Пусть даны два сегмента локальной сети и возможность их соединения по глобальной сети. Пользователи и информация внутри локальных сегментов одноуровневые, Ин ормаид я - ценная. Глобальная сеть имеет меньший уровень доверия. Несанкционированный потребитель не имеет физического доступа к локальным сегментам локальной вычислительной сети и имеет целью получить ценную ин-рормацкю, находясь в глобальной сети. Оборудование и программное обеспечение импортные, причем противная сторона имеет всю ин ормациго о недокументированных возможностях программного обеспечения и оборудования. Предполагаем, что в каждой программно-аппаратной среде действует робот-агент, который реализован некоторой программой и невидим для средств защиты компьютеров и локальной сети, В условиях наличия cвjiзи с противной стороной в глобальной сети робот-агент получает инструкции и дополнительные программы для обработки данных, а также передает ценную информацию противной стороне в глобальной сети.
Можно предположить, что интеллектуальные способности противной стороны в глобальной сети достаточно большие, чтобы вскрывать простые шифры, разобраться данных и программном обеспечении, подделывать коды аутентификации. Вместе с тем возможности роботаагента ограничены в условиях отсутствия связи с противной стороной в глобальной сети и равны этим возможностшл в условиях наличия такой связи. Без наличия с противной стороной в глобальной сети робот-агент не ориентирован на конкретные приложения, особенно если они не являются стандартными приложениями импортного программного обеспечения. Поэтому правомерно предположить, что роботагент без связи с противной стороной не сможет разобраться в структуре нестандартных данных и восстановить простейшие параметры преобразований, не заданных в явной форме,
Связь робота-агента с противной стороной в глобальной сети может осуществляться с использованием недокументированных программ процессора невидимо для средств за1циты и с помощью одного из следующих видов каналов, которыми являются:
-легальный канал - штатный канал для передачи пакетов от сегмента к сегменту через глобальную сеть;
-полулегальный канал - использование штатного канала путем кодирования передаваемой информации в значениях параметров передаваемой
информации и параметров связи;
- нелегальный канал - нештатный метод передачи сообщений во вне сегмента локальной сети.
Задача состоит в том, чтобы создать связь между сегментами локальной сети через глобальную сеть, не допуская утечки ценной информации противной стороне в глобальной сети, использующей указанные выше каналы передачи. Этим будет решена поставленная выше техническая задача.
Предполагается, что защита информации может опираться на доверенную программно-аппаратную среду отечественного производства низкой производительности и способную реализовать вычисление несложных функций. Связь локальных сегментов через глобальную сеть осуществляется следующим образом. На стыке каждого сегмента локальной сети и глобальной сети устанавливается сервер безопасности, В глобальной сети противная сторона обладает возможностями перехва га всего трафика меж,11у сегментами локальной сети или передаче на сервер безопасности информации для управления агентами противной стороны в локальной сети и в сервере безопасности, В каждом сегменте локальной сети может действовать робот-агент, стремящийся передать информацию из сегмента локальной сети к противной стороне и отслеживающий поступающую ин4)ормацию на предмет выявления инструкций от нее. Как робот-агент, так и противная сторона опробуют различные возможности для организации каналов взаимодействия,
В сервере безопасности возможно наличие робота-агента, который в отсутствии защиты организует взаимосвязь локальной сети и протеной стороны.
Основная идея технического решения состоит в том, чтобы не дать возможности роботу-агенту локальной сети или противной стороне управлять роботом-агентом сервера безопасности, В связи с тем, что он не обладает интеллектуальными способностями анализировать
семантику сообщений, его изоляция может быть осуществлена путем преобразования сообщений в тракте обработки сервера безопасности неизвестным противной стороне способом, Робот-агент сервера безопасности априори не ориентирован на реализованные приложения и не обладает интеллектом для восстановления преобразований сообщений, В этом случае команды извне, посланные для его управления по легальным и полулегальным каналам, не могут восприниматься этим роботом-агентом. Нелегальный канал отсекается автономным управлением в первом и втором буферных блоках. Таким образом, несмотря на наличие робота-агента сервер безопасности выполняет свои функции или не работает вовсе, Робот-агент локальной сети благодаря шифрованию не может связаться с противной стороной в глобальной сети. Таким образом, в сервере безопасности реализована двухуровневая защита, где обрабатываемая информация находится на нижнем недоверенном уровне, а обрабатывающие программы на верхнем доверенном уровне.
Предлагаемая полезная модель поясняется схемой, показанной на фигД,
Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программноаппаратных средств содержит устройство I защиты целостности процессов взаимодействия локальной и глобальной сетей, в котором последовательно соединены через порты вход-выход первый буферный блок 2, сервер безопасности 3, второй буферный бло1 4, Устройство I связано по портам вход-выход первого буферного блока 2 с первой рабочей станцией 5 и черех нее с первой локальной сетью б, а по портам вход-выход второго буферного блока 4 со второй рабочей стан1ц1ей 7 и через нее с глобальной сетью 8, при этом каждый из буферных блоков 2 и 4 содержит по одному маломощному доверенному процессору 9 и 10 соответственно. Аналогичным образом любая локальная сеть корпоративной компьютерной сети, например вторая локальная сеть II через третью станцию 12 и второе устройство защиты 13, четвертую рабочую станцию 14 может быть соединена с глобальной сетью 8. Локальные сети 6 и II являются частями корпоративной компьютерной сети, которые связаны через глобальную сеть 8, Предлагаемая система работает следующим образом. Информация от первой локальной сети б для передачи в глобальную сеть 8 представляется в виде пакета, который поступает в первую станцию 5, где он препарируется, например, следующим образом;
-все служебные поля выделяются флагами заданного вида;
-вся информация в полях представляется в виде последовательности байт;
-последовательность, передаваемая на первый буферный блок 2, является последовательностью байт.
Буферный блок 2 осуществляет с каждым байтом следующие преобразования:
-преобразование байта в байт с помощью линейного преобразования AI;
-вычисление от преобразованного байта по линейному преобразованию А2 байта, являющегося кодом аутентификации (MAC);
-пересылка последовательности пар байт (преобразованный байт « МАО на сервер безопасности 3 по интерфейсу 232.
Сервер безопасности 3 выполняет следующие функции:
-анализ последовательностей, помещенных между флагами полей пакета, на предмет их корректности;
-анализ на предмет разрешения на пропуск пакета (фильтрация);
-маршрутизация, куда входит формирование нового адреса отправителя и получателя;
-шифрование с помощью гаммы одноразового использования каждого байта поступившего пакета, а также сложение MAC данного байта с MAC гаммы для данного байта;
-формирование нового пакета в виде последовательности байт, поля разделяются флагами;
-передача последовательности байт во второй буферный блок 4 по интерфейсу RS 232,
Второй буферный блок 4 проверяет коды аутентификации при помощи линейного преобразования А2. Если MAC не совпадают или отсутствуют, то ин JOpмaция уничтожается. После проверки коды аутентификации уничтожаются, а байты сообщения преобразуются по линейнол у преобразованию (AI) , Из второго буферного блока 4 последовательность байт полей нового пакета передается на вторую рабочую станцию 7 по интерфейсу RS 232, которая преобразует информацию межлу флагами в поля стандартного пакета и передает в глобальную сеть 8, Обратный ход информации из глобальной сети 8 может происходить в любую локальную сеть, входящую в состав корпоративной компьютерной сети, т,е, либо в первую локальную сеть б, либо во вторую локальную сеть II через соответственно вторую станцию 7 или четвертую рабочую станцию 14, в которых на приемных концах пакет преобразуется в последовательность байт, где поля выделяются специальными флагами, и передается на вторые буферные блоки устройств защиты I или 13 соответственно, в серверах безопасности этих устройств I или 13 вычитается гамма и вычитается код аутентификации геишиы из кода аутентификации поступившего байта. В преобразованном виде пакет отпраетяется в первый буферный блок устройств I или 13, гд проверяются коды аутентификации, отбрасываются флаги и пакет передается на первую станцию 5 или третью рабочую станцию 12, от которых пакет передается получателю - либо первой локальной сети 6, либо второй локальной сети II,
Таким образом при использовании предлагаемой системы защита корпоративной компьютерной сети обеспечивается за счет того, что с помощью доверенных процессоров при преобразовании обрабатываемой информации в компьютере исключаются все каналы для передачи сигналов управления и предметно ориентированного программного обеспечения для скрытых программно-аппаратных средств в системах, реализующих межсетевое взаимодействие, а Т81кже для передачи информации от скрытых программно-аппаратных средств из защищаемой компьютерной среды, вследствие чего эти скрытые средства из-за низких интеллектуальных способностей не могут осуществлять хищение и организацию каналов утечки информации через межсетевое взаимодействие.

Claims (1)

  1. Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств, содержащая устройство защиты целостности процессов взаимодействия локальной и глобальной сетей, включенное между локальной вычислительной сетью корпоративной компьютерной сети и глобальной сетью, отличающаяся тем, что устройство защиты целостности процессов взаимодействия локальной и глобальной сетей содержит последовательно соединенные через порты "вход-выход" первый буферный блок, сервер безопасности, второй буферный блок, причем первый буферный блок через порты "вход-выход" первой рабочей станции связан с первой локальной вычислительной сетью корпоративной сети, а второй буферный блок через порты "вход-выход" второй рабочей станции и глобальную сеть связан со второй локальной вычислительной сетью корпоративной компьютерной сети, при этом первый и второй буферные блоки содержат по одному маломощному доверенному процессору для линейного преобразования обрабатываемой информации, а сервер безопасности содержит мощный недоверенный процессор обработки линейно-преобразованной информации, циркулирующей между локальными сегментами корпоративной компьютерной сети.
    Figure 00000001
RU2000118286/20U 2000-07-18 2000-07-18 Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств RU15613U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2000118286/20U RU15613U1 (ru) 2000-07-18 2000-07-18 Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2000118286/20U RU15613U1 (ru) 2000-07-18 2000-07-18 Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств

Publications (1)

Publication Number Publication Date
RU15613U1 true RU15613U1 (ru) 2000-10-27

Family

ID=48276309

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2000118286/20U RU15613U1 (ru) 2000-07-18 2000-07-18 Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств

Country Status (1)

Country Link
RU (1) RU15613U1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2453917C1 (ru) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для оптимизации выполнения антивирусных задач в локальной сети

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2453917C1 (ru) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для оптимизации выполнения антивирусных задач в локальной сети

Similar Documents

Publication Publication Date Title
Al‐Turjman et al. An overview of security and privacy in smart cities' IoT communications
Usmonov et al. The cybersecurity in development of IoT embedded technologies
BR112017016047A2 (pt) métodos de transmissão de um pacote e de pacotes contendo dados digitais através de uma nuvem e de transmissão de dados digitais através de uma nuvem.
CN105610837B (zh) 用于scada***主站与从站间身份认证的方法及***
CN114143068B (zh) 电力物联网网关设备容器安全防护***及其方法
CN108881486A (zh) 基于可信技术的智能网联汽车远程通信方法及***
RU15613U1 (ru) Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств
EP0493892A2 (en) Intrusion detection apparatus for local area network
CN114553577B (zh) 一种基于多主机双隔离保密架构的网络交互***及方法
CN212463237U (zh) 一种基于区块链进行物联网访问控制的网关
CN114430553A (zh) 一种面向移动物联网设备欺骗防御的便携式代理服务器
RU2178913C1 (ru) Механизм взаимоаутентификации в распределенных информационно-управляющих системах реального времени
CN116418602B (zh) 一种基于可信硬件的元数据保护匿名通信方法及***
CN114040366B (zh) 一种网络通信安全性高的蓝牙连接加密方法
Bahrami et al. Considering safety in the internet of things and necessities of technological investigation
CN114978714B (zh) 基于risc-v的轻量级数据总线加密安全传输方法
KR102173695B1 (ko) 이종의 네트워크 간의 데이터 교환 장치 및 방법, 그리고 이를 이용한 데이터 교환 시스템
CN209460765U (zh) 一种新型公网与公安内网隔离装置
CN114844695B (zh) 基于区块链的业务数据流转方法、***及相关设备
Dik et al. On the issue of ensuring the safety of objects with “smart habitat”
CN117714219B (zh) 一种设备地址/标识的隐藏还原方法及报文传输方法
CN217935630U (zh) 一种具有kvm功能的网络隔离加密***
CN113037464B (zh) 一种基于区块链技术的智慧城市城域网架构方法
Mohanty et al. Token Based Authentication and Modified Hashing Approach to Improve the Security of Internet of Things Enabled Wireless Networks
Altaie et al. Hybrid SPECK Encryption Algorithm for Internet of Thing (IoT)