RU2727090C1 - Программно-аппаратный комплекс для обмена данными автоматизированных систем - Google Patents
Программно-аппаратный комплекс для обмена данными автоматизированных систем Download PDFInfo
- Publication number
- RU2727090C1 RU2727090C1 RU2020107349A RU2020107349A RU2727090C1 RU 2727090 C1 RU2727090 C1 RU 2727090C1 RU 2020107349 A RU2020107349 A RU 2020107349A RU 2020107349 A RU2020107349 A RU 2020107349A RU 2727090 C1 RU2727090 C1 RU 2727090C1
- Authority
- RU
- Russia
- Prior art keywords
- software
- automated systems
- network
- server
- network switches
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Изобретение относится к области вычислительной техники для обеспечения межсетевой связи. Технический результат заключается в повышении уровня защищенности и безопасности передаваемой информации при обмене данными автоматизированных систем. Технический результат достигается за счет программно-аппаратного комплекса для обмена данными автоматизированных систем, который содержит стеки сетевых коммутаторов, предназначенные для подключения к ним технических средств соответствующих автоматизированных систем, отказоустойчивые кластеры межсетевых экранов, дополнительный стек сетевых коммутаторов, анализатор сетевого трафика, блок памяти, сервер сопряжения, сервер хранения и передачи информации, шину передачи данных и сервер централизованного управления. 1 ил.
Description
Изобретение относится к технике связи и может быть использовано для безопасного взаимодействия автоматизированных систем, как со стороны сети передачи данных оперативно-технологического назначения, так и со стороны сети передачи данных общетехнологического назначения.
Известно техническое решение для многомодовой межсетевой связи, представляющее цифровую сетевую систему, способную одновременно обеспечивать сеанс подключения к многомодовому межсетевому соединению по множеству разнородных сетевых систем, от пользовательского базового устройства (UPD) до сетевых шлюзов NSP, CSP или ASP, и предоставляя множество межсетевых сред. Оно также обеспечивает способы поддержки следующих услуг межсетевого взаимодействия одновременно: общедоступных и совместно используемых интернет-услуг; услуги виртуальной частной сети (VPN) с поддержкой MPLS и IP; сеансы подключения гибридной сетевой системы между разнородными сетевыми системами, ориентированными на установление соединения и без установления соединения; и сквозные, ориентированные на соединение и сеансы соединения с коммутацией каналов для прикладных услуг на основе VDMI через цифровой приемопередатчик, будь то наземная или беспроводная среда на основе xDSL или VCC (WO2013015673, H04L 12/66, 31.01.2013).
Известное техническое решение не предназначено для использования в системах обмена данными между общегосударственными сетями обмена данными общего применения и территориальными ведомствами и не позволяет обеспечить необходимый уровень защиты и безопасности передаваемой информации.
В качестве прототипа принят программно-аппаратный комплекс технических средств автоматизированной системы обмена данными (мультиплексор телекоммуникационный многофункциональный), построенный по модульному принципу и содержащий модули адаптеров, реализующих протоколы канального уровня и выполняющих процедуры взаимодействия с каналами связи, выходы которых подключены к входам модулей сопряжения с каналами связи со стандартными стыками (С1-ТГ, С1-ТЧ, C1-И, С2, С2 спец, и др.) и сгруппированными по типам используемых каналов (ТЧ, ТГ и т.д.), в составе программно-аппаратного комплекса функции мультиплексирования, коммутации и управления техническими средствами программно-аппаратного комплекса и каналами связи выполняют функциональные модули, размещаемые в системном блоке ПЭВМ, которая управляет работой этих функциональных модулей и является одновременно сервером локальной сети, к которой подключены автоматизированные рабочие места, осуществляющие прием/передачу, обработку, хранение информации и управление системой обмена данными, а в разъемы системной шины материнской платы этой ПЭВМ устанавливаются модули адаптеров, реализующих протоколы канального уровня, а модули сопряжения с каналами связи со стандартными стыками конструктивно объединены в отдельный блок (крейт) - блок интерфейсов каналов связи (RU128429, H04L 12/66, 20.05.2016).
Известное техническое решение обладает расширенными функциональными возможностями комплекса как узловой транспортной станции в сетях передачи, прежде всего ведомственного назначения, путем обеспечения возможности расширения номенклатуры и количества используемых открытых и шифрованных каналов связи, увеличения количества используемых в своем составе технических средств общего применения взамен специально разработанных, а также увеличения перечня возможных режимов работы и обеспечения возможности комплексирования программно-аппаратного комплекса из набора функциональных модулей для объектов связи различного уровня управления.
Известный программно-аппаратный комплекс представляет собой многоуровневую микропроцссорную структуру, ориентированную на выполнение многоканального информационного обмена по каналам связи и не имеет функциональной возможности обрабатывать данные на прикладном уровне посредствам уникальных протоколов обмена данными, обеспечивая при этом отсутствие прямого сетевого соединения между приемопередающими блоками и блоками хранения информации.
Технический результат изобретения заключается в повышении уровня защищенности и безопасности передаваемой информации при обмене данными автоматизированных систем.
Технический результат достигается тем, что программно-аппаратный комплекс для обмена данными автоматизированных систем содержит стеки сетевых коммутаторов, предназначенные для подключения к ним технических средств соответствующих автоматизированных систем, входы/выходы каждого стека сетевых коммутаторов соединены с выходами/входами соответствующего отказоустойчивого кластера межсетевых экранов, причем отказоустойчивые кластеры межсетевых экранов соединены между собой через дополнительный стек сетевых коммутаторов, к которому подключен анализатор сетевого трафика, соединенный с блоком памяти, дополнительные выходы/входы каждого отказоустойчивого кластера межсетевых экранов соединены с входами/выходами соответствующего сервера сопряжения, подключенного к серверу хранения и передачи информации, серверы сопряжения соединены с шиной передачи данных, к которой подключены сервер централизованного управления и дополнительные вход/выход дополнительного стека сетевых коммутаторов.
На чертеже представлена схема программно-аппаратного комплекса для обмена данными автоматизированных систем.
Программно-аппаратный комплекс для обмена данными автоматизированных систем содержит стеки 1, 2 сетевых коммутаторов, предназначенные для подключения к ним технических средств 3, 4 соответствующих автоматизированных систем, входы/выходы каждого стека 1 (2) сетевых коммутаторов соединены с выходами/входами соответствующего отказоустойчивого кластера 5 (6) межсетевых экранов, причем отказоустойчивые кластеры 5 и 6 межсетевых экранов соединены между собой через дополнительный стек 7 сетевых коммутаторов, к которому подключен анализатор 8 сетевого трафика, соединенный с блоком 9 памяти, дополнительные выходы/входы каждого отказоустойчивого кластера 5 (6) межсетевых экранов соединены с входами/выходами соответствующего сервера 10 (11) сопряжения, подключенного к серверу 12 хранения и передачи информации, сервера 10 и 11 сопряжения соединены с шиной 13 передачи данных, к которой подключены сервер 14 централизованного управления и дополнительные вход/выход дополнительного стека 7 сетевых коммутаторов.
Программно-аппаратный комплекс для обмена данными автоматизированных систем работает следующим образом.
Все соединения с внешними (смежными системами) в программно-аппаратном комплексе защищены отказоустойчивыми кластерами 5 и 6 межсетевых экранов.
Отказоустойчивый кластер выполняет следующие функции:
- межсетевое экранирование;
- криптографическая защита канала связи с АРМ администратора информационной безопасности программно-аппаратного комплекса;
- идентификация и аутентификация администратора информационной безопасности в программно-аппаратном комплексе;
- фильтрация трафика с учетом состояния сессии (stateful packet inspection);
- обеспечение трансляции адресов (NAT);
- инспекция прикладных протоколов;
- антиспуфинг защита;
- предотвращение DoS-атак.
При взаимодействии технических средств 3, 4 соответствующих автоматизированных систем через программно-аппаратный комплекс осуществляется следующая последовательность обработки информации.
Техническое средство 3 (4) автоматизированной системы устанавливает соединение с ip-адресом отказоустойчивого кластера 5 (6) межсетевых экранов на выделенный порт, который перенаправляет соединение с данного порта на соответствующий сервер 10 (11) сопряжения. Сервер 10 (11) сопряжения отправляет поступившие данные для обмена на сервер 12 хранения и передачи информации.
Сервер 11 (10) сопряжения опрашивает сервер 12 хранения и передачи информации на наличие сообщений для загрузки. Загружает их при наличии и передает в средства 4 (3) соответствующей автоматизированной системы.
При анализе сетевого трафика и обнаружению вторжений осуществляется следующая обработка информации.
Весь сетевой трафик, циркулирующий в программно-аппаратном комплексе, со стека 7 сетевых коммутаторов передается для анализа в анализатор 8 сетевого трафика, который осуществляет анализ получаемого от сетевого коммутатора сетевого трафика (инспектируемый сетевой трафик) на наличие в нем признаков компьютерных атак.
Анализатор 8 сетевого трафика предназначен для выполнения следующих функций:
- обнаружение компьютерных атак на основе динамического анализа сетевого трафика, начиная с канального уровня стека протоколов TCP/IP и заканчивая прикладным;
- эвристический анализ по выявлению аномалий в сетевом трафике и в действиях его пользователей;
- обнаружение компьютерных атак в режиме, близком к реальному масштабу времени, с оповещением о выявленной атаке визуально (в журнале компьютерных атак) и по электронной почте (о наиболее критичных событиях, выборочных событиях и т.д.);
- отображение обнаруженных компьютерных атак в консоли управления и уведомление о зафиксированных критичных компьютерных атаках;
- автоматическое сохранение истории обнаруженных компьютерных атак для обеспечения последующего анализа;
- поиск (выборочный поиск) обнаруженных компьютерных атак в соответствии с заданными фильтрами;
- экспорт журналов компьютерных атак в файл формата CSV (текстовый формат, предназначенный для представления табличных данных) для последующего импорта в сторонние приложения;
- использование отдельных правил обнаружения компьютерных атак или группы правил;
- возможность написания собственных правил обнаружения компьютерных атак для анализа сетевого трафика;
- контроль целостности исполняемых и конфигурационных файлов;
- контроль целостности загружаемых баз разрешающих правил;
- контроль его работоспособности в целом;
- локальное и удаленное управление (администрирование);
- идентификацию и аутентификацию администратора при его локальных запросах на доступ к процессу управления;
- обновление баз разрешающих правил в автоматизированном режиме (с помощью администратора безопасности);
- настройку параметров его функционирования;
- отображение и экспорт в файл формата РСАР сетевых пакетов, соответствующих зарегистрированным компьютерным атакам (с целью обеспечения последующего анализа атак);
- автоматическую передачу данных о компьютерных атаках системе сбора и передачи событий по протоколу syslog;
- резервное копирование и восстановление программного обеспечения, конфигурационных файлов и журналов;
- разграничение полномочий пользователей в зависимости от задаваемой роли, а также аудит выполнения им функций.
При обнаружении в инспектируемом трафике сигнатуры компьютерной атаки или обнаружения аномалии сетевого трафика, анализатор 8 сетевого трафика автоматически сохраняет информацию об обнаруженных событиях информационной безопасности в собственной базе данных в блоке 9 памяти и передает ее в сервер 14 централизованного управления, предназначенный для выполнения следующих функций: обеспечение централизованного управления (администрирования) программными и программно-аппаратными компонентами комплекса; обеспечение и сопровождение работы программных и программно-аппаратных комплексов (в том числе обновление программного обеспечения и сигнатур угроз); обеспечение управления обновлением программного обеспечения комплекса и анализ защищенности его компонентов; резервное копирование конфигурационных файлов и информации о событиях на компонентах комплекса; обеспечения функционирования программного комплекса VipNet Administrator 4 для первичной инициализации и сопровождения компонентов сети защиты VipNet.
Администратор информационной безопасности программно-аппаратного комплекса осуществляет мониторинг событий, зафиксированных анализатором 8 сетевого трафика и переданных в программный комплекс по управлению информационной безопасностью в системах (на чертеже не показан), и проводит соответствующие мероприятия по выявленным инцидентам.
При выявлении уязвимостей в программном обеспечении компонентов программно-аппаратного комплекса последовательность обработки информации следующая.
На автоматизированном рабочем месте (на чертеже не показано) программно-аппаратного комплекса по предварительно настроенному расписанию с сервера 14 централизованного управления запускаются задачи сканирования компонентов этого комплекса на наличие уязвимостей.
При обнаружении уязвимостей в программном обеспечении компонентов программного комплекса анализатор 8 автоматически сохраняет информацию об обнаруженных уязвимостях в блоке 9 памяти в собственную базу данных и формирует отчет.
Администратор информационной безопасности программно-аппаратного комплекса осуществляет анализ отчетов программного комплекса, сформированных анализатором 8 и проводит соответствующие мероприятия по выявленным инцидентам.
Таким образом, предлагаемое техническое решение позволяет повысить уровень защищенности и безопасности передаваемой информации при обмене данными автоматизированных систем.
Claims (1)
- Программно-аппаратный комплекс для обмена данными автоматизированных систем, содержащий стеки сетевых коммутаторов, предназначенные для подключения к ним технических средств соответствующих автоматизированных систем, входы/выходы каждого стека сетевых коммутаторов соединены с выходами/входами соответствующего отказоустойчивого кластера межсетевых экранов, причем отказоустойчивые кластеры межсетевых экранов соединены между собой через дополнительный стек сетевых коммутаторов, к которому подключен анализатор сетевого трафика, соединенный с блоком памяти, дополнительные выходы/входы каждого отказоустойчивого кластера межсетевых экранов соединены с входами/выходами соответствующего сервера сопряжения, подключенного к серверу хранения и передачи информации, серверы сопряжения соединены с шиной передачи данных, к которой подключены сервер централизованного управления и дополнительные вход/выход дополнительного стека сетевых коммутаторов.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020107349A RU2727090C1 (ru) | 2020-02-18 | 2020-02-18 | Программно-аппаратный комплекс для обмена данными автоматизированных систем |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020107349A RU2727090C1 (ru) | 2020-02-18 | 2020-02-18 | Программно-аппаратный комплекс для обмена данными автоматизированных систем |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2727090C1 true RU2727090C1 (ru) | 2020-07-17 |
Family
ID=71616708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2020107349A RU2727090C1 (ru) | 2020-02-18 | 2020-02-18 | Программно-аппаратный комплекс для обмена данными автоматизированных систем |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2727090C1 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2809234C1 (ru) * | 2023-05-10 | 2023-12-08 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Программно-аппаратный комплекс для обеспечения защищенного обмена данными между техническими средствами оконечных автоматизированных систем |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060010491A1 (en) * | 2004-07-09 | 2006-01-12 | Nicolas Prigent | Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system |
US20070226789A1 (en) * | 1994-10-12 | 2007-09-27 | Secure Computing Corporation | System and method for providing secure internetwork services via an assured pipeline |
WO2013015673A1 (en) * | 2011-07-22 | 2013-01-31 | Chooi Tian Lee | Apparatus and methods for multimode internetworking connectivity |
RU128429U1 (ru) * | 2012-11-20 | 2013-05-20 | Открытое акционерное общество "Информационные телекоммуникационные технологии" (ОАО "Интелтех") | Программно-аппаратный комплекс технических средств автоматизированной системы обмена данными |
US20170295141A1 (en) * | 2016-04-08 | 2017-10-12 | Cisco Technology, Inc. | Configuring firewalls for an industrial automation network |
-
2020
- 2020-02-18 RU RU2020107349A patent/RU2727090C1/ru active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070226789A1 (en) * | 1994-10-12 | 2007-09-27 | Secure Computing Corporation | System and method for providing secure internetwork services via an assured pipeline |
US20060010491A1 (en) * | 2004-07-09 | 2006-01-12 | Nicolas Prigent | Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system |
WO2013015673A1 (en) * | 2011-07-22 | 2013-01-31 | Chooi Tian Lee | Apparatus and methods for multimode internetworking connectivity |
RU128429U1 (ru) * | 2012-11-20 | 2013-05-20 | Открытое акционерное общество "Информационные телекоммуникационные технологии" (ОАО "Интелтех") | Программно-аппаратный комплекс технических средств автоматизированной системы обмена данными |
US20170295141A1 (en) * | 2016-04-08 | 2017-10-12 | Cisco Technology, Inc. | Configuring firewalls for an industrial automation network |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2809234C1 (ru) * | 2023-05-10 | 2023-12-08 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Программно-аппаратный комплекс для обеспечения защищенного обмена данными между техническими средствами оконечных автоматизированных систем |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Beale et al. | Wireshark & Ethereal network protocol analyzer toolkit | |
Izhikevich et al. | {LZR}: Identifying unexpected internet services | |
Rahouti et al. | SDN security review: Threat taxonomy, implications, and open challenges | |
US7213265B2 (en) | Real time active network compartmentalization | |
CN107257332B (zh) | 大型防火墙集群中的定时管理 | |
CA2414869A1 (en) | Method and apparatus for providing computer services | |
JPH09214493A (ja) | ネットワークシステム | |
Li et al. | Evaluation of security vulnerabilities by using ProtoGENI as a launchpad | |
Pfrang et al. | Detecting and preventing replay attacks in industrial automation networks operated with profinet IO | |
Srinivasa et al. | Interaction matters: a comprehensive analysis and a dataset of hybrid IoT/OT honeypots | |
Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
Visoottiviseth et al. | Distributed honeypot log management and visualization of attacker geographical distribution | |
Jiang | Multiple vulnerabilities in SNMP | |
RU2727090C1 (ru) | Программно-аппаратный комплекс для обмена данными автоматизированных систем | |
Wang et al. | Bridging the gap between security tools and SDN controllers | |
Brahmi et al. | A Snort-based mobile agent for a distributed intrusion detection system | |
Li et al. | SDN based intelligent Honeynet network model design and verification | |
Borders et al. | OpenFire: Using deception to reduce network attacks | |
Balogh et al. | LAN security analysis and design | |
EP1879350A1 (en) | Distributed computer system with a local area network | |
KR20090116206A (ko) | 클라이언트 ddos 방어 시스템 및 그 방법 | |
Giacobe | Data fusion in cyber security: first order entity extraction from common cyber data | |
Vakaliuk et al. | Modeling Attacks on the DHCP Protocol in the GNS3 Environment and Determining Methods of Security Against Them | |
Gou et al. | Multi-agent system for worm detection and containment in metropolitan area networks | |
Alshaya | Software-Defined Networking Security Techniques and the Digital Forensics of the SDN Control Plane |