RU15613U1 - Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств - Google Patents
Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств Download PDFInfo
- Publication number
- RU15613U1 RU15613U1 RU2000118286/20U RU2000118286U RU15613U1 RU 15613 U1 RU15613 U1 RU 15613U1 RU 2000118286/20 U RU2000118286/20 U RU 2000118286/20U RU 2000118286 U RU2000118286 U RU 2000118286U RU 15613 U1 RU15613 U1 RU 15613U1
- Authority
- RU
- Russia
- Prior art keywords
- network
- local
- computer network
- global
- corporate
- Prior art date
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств, содержащая устройство защиты целостности процессов взаимодействия локальной и глобальной сетей, включенное между локальной вычислительной сетью корпоративной компьютерной сети и глобальной сетью, отличающаяся тем, что устройство защиты целостности процессов взаимодействия локальной и глобальной сетей содержит последовательно соединенные через порты "вход-выход" первый буферный блок, сервер безопасности, второй буферный блок, причем первый буферный блок через порты "вход-выход" первой рабочей станции связан с первой локальной вычислительной сетью корпоративной сети, а второй буферный блок через порты "вход-выход" второй рабочей станции и глобальную сеть связан со второй локальной вычислительной сетью корпоративной компьютерной сети, при этом первый и второй буферные блоки содержат по одному маломощному доверенному процессору для линейного преобразования обрабатываемой информации, а сервер безопасности содержит мощный недоверенный процессор обработки линейно-преобразованной информации, циркулирующей между локальными сегментами корпоративной компьютерной сети.
Description
Система защиты корпоративной компьютерной сети от предметноориентированных несанкционированных воздействий скрытых программноаппаратных средств.
Предлагаемая полезная модель относится к вычислительной технике, в частности к системам, связывающим между собой несколько вычислительных устройств, образующих корпоративную компьютерную сеть.
Известно устройство, содержащее формирователь эталона, оперативный запоминающий узел хранения эталона с последовательно соединенными блоком блокировки, преобразователем кода, дешифратор команд, дешифратор адреса, регистр команд, и буфер записи эталона. Однако это устройство не способно предотвратить несанкционированное воздействие скрытых программно-аппаратнБ1х средств на информащю (патент РФ Г« 2146834, кл. G 06 F 12/14).
Наиболее близким к предлагаемому техническому решению является система обеспечения целостности информации вычислительных устройств, содержащая блок защиты целостности файловой системы, блоки контроля целостности системы по находящимся в системе пользователям и процессам, блок управления системой обеспечения целостности. Это техническое решение не обеспечивает многоуровневую зшциту от предметноориентированных воздействий скрытых програшлно-аппаратных средств в системе локальных вычислительных сетей, включенных в глобальную сеть (патент РФ f 2145727, кл.С 06 F 12/16 - прототип).
Предлагаемая полезная модель решает техническую задачу разделения программных кодов и данных в компьютерах общего назначения и обеспечения многоуровневой защиты функций компьютера в межсетевом взаимодействии и устранения скрытых каналов утечки информации в сеть через несанкционированные действия.
Поставленная техническая задача решается тем, что в системе зшдиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств, содержащей устройство защиты целостности процессов взаимодействия локальной и глобальной сетей, включенное между локальной вычислительной сетью корпоративвой компьютерной сети и глобальной сетью, это устройство содержит последовательно соединенные через порты вход-выход первый буферный блок, сервер безопасности, второй буферный блок, причем первый буферный блок через порты вход-выход первой рабочей станции связан с первой локальной вычислительной сетью корпоративной сети, а второй буферный блок через порты входвыход второй рабочей станции и глобальную сеть связан со второй локальной вычислительной сетью корпоративной компьютерной сети, при этом первый и второй буферные блоки содержат по одному маломощному доверенному процессору для линейного преобразования обрабатываемой информации, а сервер безопасности содержит мощный недоверенный процессор обработки линейно-преобразованной информации, циркулирующей между локальными сегментами корпоративной компьютерной сети.
Такое выполнение системы защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств обеспечивается благодаря следующим обстоятельствам,
Пусть даны два сегмента локальной сети и возможность их соединения по глобальной сети. Пользователи и информация внутри локальных сегментов одноуровневые, Ин ормаид я - ценная. Глобальная сеть имеет меньший уровень доверия. Несанкционированный потребитель не имеет физического доступа к локальным сегментам локальной вычислительной сети и имеет целью получить ценную ин-рормацкю, находясь в глобальной сети. Оборудование и программное обеспечение импортные, причем противная сторона имеет всю ин ормациго о недокументированных возможностях программного обеспечения и оборудования. Предполагаем, что в каждой программно-аппаратной среде действует робот-агент, который реализован некоторой программой и невидим для средств защиты компьютеров и локальной сети, В условиях наличия cвjiзи с противной стороной в глобальной сети робот-агент получает инструкции и дополнительные программы для обработки данных, а также передает ценную информацию противной стороне в глобальной сети.
Можно предположить, что интеллектуальные способности противной стороны в глобальной сети достаточно большие, чтобы вскрывать простые шифры, разобраться данных и программном обеспечении, подделывать коды аутентификации. Вместе с тем возможности роботаагента ограничены в условиях отсутствия связи с противной стороной в глобальной сети и равны этим возможностшл в условиях наличия такой связи. Без наличия с противной стороной в глобальной сети робот-агент не ориентирован на конкретные приложения, особенно если они не являются стандартными приложениями импортного программного обеспечения. Поэтому правомерно предположить, что роботагент без связи с противной стороной не сможет разобраться в структуре нестандартных данных и восстановить простейшие параметры преобразований, не заданных в явной форме,
Связь робота-агента с противной стороной в глобальной сети может осуществляться с использованием недокументированных программ процессора невидимо для средств за1циты и с помощью одного из следующих видов каналов, которыми являются:
-легальный канал - штатный канал для передачи пакетов от сегмента к сегменту через глобальную сеть;
-полулегальный канал - использование штатного канала путем кодирования передаваемой информации в значениях параметров передаваемой
информации и параметров связи;
- нелегальный канал - нештатный метод передачи сообщений во вне сегмента локальной сети.
Задача состоит в том, чтобы создать связь между сегментами локальной сети через глобальную сеть, не допуская утечки ценной информации противной стороне в глобальной сети, использующей указанные выше каналы передачи. Этим будет решена поставленная выше техническая задача.
Предполагается, что защита информации может опираться на доверенную программно-аппаратную среду отечественного производства низкой производительности и способную реализовать вычисление несложных функций. Связь локальных сегментов через глобальную сеть осуществляется следующим образом. На стыке каждого сегмента локальной сети и глобальной сети устанавливается сервер безопасности, В глобальной сети противная сторона обладает возможностями перехва га всего трафика меж,11у сегментами локальной сети или передаче на сервер безопасности информации для управления агентами противной стороны в локальной сети и в сервере безопасности, В каждом сегменте локальной сети может действовать робот-агент, стремящийся передать информацию из сегмента локальной сети к противной стороне и отслеживающий поступающую ин4)ормацию на предмет выявления инструкций от нее. Как робот-агент, так и противная сторона опробуют различные возможности для организации каналов взаимодействия,
В сервере безопасности возможно наличие робота-агента, который в отсутствии защиты организует взаимосвязь локальной сети и протеной стороны.
Основная идея технического решения состоит в том, чтобы не дать возможности роботу-агенту локальной сети или противной стороне управлять роботом-агентом сервера безопасности, В связи с тем, что он не обладает интеллектуальными способностями анализировать
семантику сообщений, его изоляция может быть осуществлена путем преобразования сообщений в тракте обработки сервера безопасности неизвестным противной стороне способом, Робот-агент сервера безопасности априори не ориентирован на реализованные приложения и не обладает интеллектом для восстановления преобразований сообщений, В этом случае команды извне, посланные для его управления по легальным и полулегальным каналам, не могут восприниматься этим роботом-агентом. Нелегальный канал отсекается автономным управлением в первом и втором буферных блоках. Таким образом, несмотря на наличие робота-агента сервер безопасности выполняет свои функции или не работает вовсе, Робот-агент локальной сети благодаря шифрованию не может связаться с противной стороной в глобальной сети. Таким образом, в сервере безопасности реализована двухуровневая защита, где обрабатываемая информация находится на нижнем недоверенном уровне, а обрабатывающие программы на верхнем доверенном уровне.
Предлагаемая полезная модель поясняется схемой, показанной на фигД,
Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программноаппаратных средств содержит устройство I защиты целостности процессов взаимодействия локальной и глобальной сетей, в котором последовательно соединены через порты вход-выход первый буферный блок 2, сервер безопасности 3, второй буферный бло1 4, Устройство I связано по портам вход-выход первого буферного блока 2 с первой рабочей станцией 5 и черех нее с первой локальной сетью б, а по портам вход-выход второго буферного блока 4 со второй рабочей стан1ц1ей 7 и через нее с глобальной сетью 8, при этом каждый из буферных блоков 2 и 4 содержит по одному маломощному доверенному процессору 9 и 10 соответственно. Аналогичным образом любая локальная сеть корпоративной компьютерной сети, например вторая локальная сеть II через третью станцию 12 и второе устройство защиты 13, четвертую рабочую станцию 14 может быть соединена с глобальной сетью 8. Локальные сети 6 и II являются частями корпоративной компьютерной сети, которые связаны через глобальную сеть 8, Предлагаемая система работает следующим образом. Информация от первой локальной сети б для передачи в глобальную сеть 8 представляется в виде пакета, который поступает в первую станцию 5, где он препарируется, например, следующим образом;
-все служебные поля выделяются флагами заданного вида;
-вся информация в полях представляется в виде последовательности байт;
-последовательность, передаваемая на первый буферный блок 2, является последовательностью байт.
Буферный блок 2 осуществляет с каждым байтом следующие преобразования:
-преобразование байта в байт с помощью линейного преобразования AI;
-вычисление от преобразованного байта по линейному преобразованию А2 байта, являющегося кодом аутентификации (MAC);
-пересылка последовательности пар байт (преобразованный байт « МАО на сервер безопасности 3 по интерфейсу 232.
Сервер безопасности 3 выполняет следующие функции:
-анализ последовательностей, помещенных между флагами полей пакета, на предмет их корректности;
-анализ на предмет разрешения на пропуск пакета (фильтрация);
-маршрутизация, куда входит формирование нового адреса отправителя и получателя;
-шифрование с помощью гаммы одноразового использования каждого байта поступившего пакета, а также сложение MAC данного байта с MAC гаммы для данного байта;
-формирование нового пакета в виде последовательности байт, поля разделяются флагами;
-передача последовательности байт во второй буферный блок 4 по интерфейсу RS 232,
Второй буферный блок 4 проверяет коды аутентификации при помощи линейного преобразования А2. Если MAC не совпадают или отсутствуют, то ин JOpмaция уничтожается. После проверки коды аутентификации уничтожаются, а байты сообщения преобразуются по линейнол у преобразованию (AI) , Из второго буферного блока 4 последовательность байт полей нового пакета передается на вторую рабочую станцию 7 по интерфейсу RS 232, которая преобразует информацию межлу флагами в поля стандартного пакета и передает в глобальную сеть 8, Обратный ход информации из глобальной сети 8 может происходить в любую локальную сеть, входящую в состав корпоративной компьютерной сети, т,е, либо в первую локальную сеть б, либо во вторую локальную сеть II через соответственно вторую станцию 7 или четвертую рабочую станцию 14, в которых на приемных концах пакет преобразуется в последовательность байт, где поля выделяются специальными флагами, и передается на вторые буферные блоки устройств защиты I или 13 соответственно, в серверах безопасности этих устройств I или 13 вычитается гамма и вычитается код аутентификации геишиы из кода аутентификации поступившего байта. В преобразованном виде пакет отпраетяется в первый буферный блок устройств I или 13, гд проверяются коды аутентификации, отбрасываются флаги и пакет передается на первую станцию 5 или третью рабочую станцию 12, от которых пакет передается получателю - либо первой локальной сети 6, либо второй локальной сети II,
Таким образом при использовании предлагаемой системы защита корпоративной компьютерной сети обеспечивается за счет того, что с помощью доверенных процессоров при преобразовании обрабатываемой информации в компьютере исключаются все каналы для передачи сигналов управления и предметно ориентированного программного обеспечения для скрытых программно-аппаратных средств в системах, реализующих межсетевое взаимодействие, а Т81кже для передачи информации от скрытых программно-аппаратных средств из защищаемой компьютерной среды, вследствие чего эти скрытые средства из-за низких интеллектуальных способностей не могут осуществлять хищение и организацию каналов утечки информации через межсетевое взаимодействие.
Claims (1)
- Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств, содержащая устройство защиты целостности процессов взаимодействия локальной и глобальной сетей, включенное между локальной вычислительной сетью корпоративной компьютерной сети и глобальной сетью, отличающаяся тем, что устройство защиты целостности процессов взаимодействия локальной и глобальной сетей содержит последовательно соединенные через порты "вход-выход" первый буферный блок, сервер безопасности, второй буферный блок, причем первый буферный блок через порты "вход-выход" первой рабочей станции связан с первой локальной вычислительной сетью корпоративной сети, а второй буферный блок через порты "вход-выход" второй рабочей станции и глобальную сеть связан со второй локальной вычислительной сетью корпоративной компьютерной сети, при этом первый и второй буферные блоки содержат по одному маломощному доверенному процессору для линейного преобразования обрабатываемой информации, а сервер безопасности содержит мощный недоверенный процессор обработки линейно-преобразованной информации, циркулирующей между локальными сегментами корпоративной компьютерной сети.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2000118286/20U RU15613U1 (ru) | 2000-07-18 | 2000-07-18 | Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2000118286/20U RU15613U1 (ru) | 2000-07-18 | 2000-07-18 | Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств |
Publications (1)
Publication Number | Publication Date |
---|---|
RU15613U1 true RU15613U1 (ru) | 2000-10-27 |
Family
ID=48276309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2000118286/20U RU15613U1 (ru) | 2000-07-18 | 2000-07-18 | Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU15613U1 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2453917C1 (ru) * | 2010-12-30 | 2012-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для оптимизации выполнения антивирусных задач в локальной сети |
-
2000
- 2000-07-18 RU RU2000118286/20U patent/RU15613U1/ru active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2453917C1 (ru) * | 2010-12-30 | 2012-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для оптимизации выполнения антивирусных задач в локальной сети |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Al‐Turjman et al. | An overview of security and privacy in smart cities' IoT communications | |
Usmonov et al. | The cybersecurity in development of IoT embedded technologies | |
BR112017016047A2 (pt) | métodos de transmissão de um pacote e de pacotes contendo dados digitais através de uma nuvem e de transmissão de dados digitais através de uma nuvem. | |
CN105610837B (zh) | 用于scada***主站与从站间身份认证的方法及*** | |
CN114143068B (zh) | 电力物联网网关设备容器安全防护***及其方法 | |
CN108881486A (zh) | 基于可信技术的智能网联汽车远程通信方法及*** | |
RU15613U1 (ru) | Система защиты корпоративной компьютерной сети от предметно ориентированных несанкционированных воздействий скрытых программно-аппаратных средств | |
EP0493892A2 (en) | Intrusion detection apparatus for local area network | |
CN114553577B (zh) | 一种基于多主机双隔离保密架构的网络交互***及方法 | |
CN212463237U (zh) | 一种基于区块链进行物联网访问控制的网关 | |
CN114430553A (zh) | 一种面向移动物联网设备欺骗防御的便携式代理服务器 | |
RU2178913C1 (ru) | Механизм взаимоаутентификации в распределенных информационно-управляющих системах реального времени | |
CN116418602B (zh) | 一种基于可信硬件的元数据保护匿名通信方法及*** | |
CN114040366B (zh) | 一种网络通信安全性高的蓝牙连接加密方法 | |
Bahrami et al. | Considering safety in the internet of things and necessities of technological investigation | |
CN114978714B (zh) | 基于risc-v的轻量级数据总线加密安全传输方法 | |
KR102173695B1 (ko) | 이종의 네트워크 간의 데이터 교환 장치 및 방법, 그리고 이를 이용한 데이터 교환 시스템 | |
CN209460765U (zh) | 一种新型公网与公安内网隔离装置 | |
CN114844695B (zh) | 基于区块链的业务数据流转方法、***及相关设备 | |
Dik et al. | On the issue of ensuring the safety of objects with “smart habitat” | |
CN117714219B (zh) | 一种设备地址/标识的隐藏还原方法及报文传输方法 | |
CN217935630U (zh) | 一种具有kvm功能的网络隔离加密*** | |
CN113037464B (zh) | 一种基于区块链技术的智慧城市城域网架构方法 | |
Mohanty et al. | Token Based Authentication and Modified Hashing Approach to Improve the Security of Internet of Things Enabled Wireless Networks | |
Altaie et al. | Hybrid SPECK Encryption Algorithm for Internet of Thing (IoT) |