RU2727090C1 - Программно-аппаратный комплекс для обмена данными автоматизированных систем - Google Patents

Программно-аппаратный комплекс для обмена данными автоматизированных систем Download PDF

Info

Publication number
RU2727090C1
RU2727090C1 RU2020107349A RU2020107349A RU2727090C1 RU 2727090 C1 RU2727090 C1 RU 2727090C1 RU 2020107349 A RU2020107349 A RU 2020107349A RU 2020107349 A RU2020107349 A RU 2020107349A RU 2727090 C1 RU2727090 C1 RU 2727090C1
Authority
RU
Russia
Prior art keywords
software
automated systems
network
server
network switches
Prior art date
Application number
RU2020107349A
Other languages
English (en)
Inventor
Владимир Александрович Иновенков
Александр Михайлович Калашников
Никита Павлович Кузнецов
Original Assignee
Открытое Акционерное Общество "Российские Железные Дороги"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Российские Железные Дороги" filed Critical Открытое Акционерное Общество "Российские Железные Дороги"
Priority to RU2020107349A priority Critical patent/RU2727090C1/ru
Application granted granted Critical
Publication of RU2727090C1 publication Critical patent/RU2727090C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к области вычислительной техники для обеспечения межсетевой связи. Технический результат заключается в повышении уровня защищенности и безопасности передаваемой информации при обмене данными автоматизированных систем. Технический результат достигается за счет программно-аппаратного комплекса для обмена данными автоматизированных систем, который содержит стеки сетевых коммутаторов, предназначенные для подключения к ним технических средств соответствующих автоматизированных систем, отказоустойчивые кластеры межсетевых экранов, дополнительный стек сетевых коммутаторов, анализатор сетевого трафика, блок памяти, сервер сопряжения, сервер хранения и передачи информации, шину передачи данных и сервер централизованного управления. 1 ил.

Description

Изобретение относится к технике связи и может быть использовано для безопасного взаимодействия автоматизированных систем, как со стороны сети передачи данных оперативно-технологического назначения, так и со стороны сети передачи данных общетехнологического назначения.
Известно техническое решение для многомодовой межсетевой связи, представляющее цифровую сетевую систему, способную одновременно обеспечивать сеанс подключения к многомодовому межсетевому соединению по множеству разнородных сетевых систем, от пользовательского базового устройства (UPD) до сетевых шлюзов NSP, CSP или ASP, и предоставляя множество межсетевых сред. Оно также обеспечивает способы поддержки следующих услуг межсетевого взаимодействия одновременно: общедоступных и совместно используемых интернет-услуг; услуги виртуальной частной сети (VPN) с поддержкой MPLS и IP; сеансы подключения гибридной сетевой системы между разнородными сетевыми системами, ориентированными на установление соединения и без установления соединения; и сквозные, ориентированные на соединение и сеансы соединения с коммутацией каналов для прикладных услуг на основе VDMI через цифровой приемопередатчик, будь то наземная или беспроводная среда на основе xDSL или VCC (WO2013015673, H04L 12/66, 31.01.2013).
Известное техническое решение не предназначено для использования в системах обмена данными между общегосударственными сетями обмена данными общего применения и территориальными ведомствами и не позволяет обеспечить необходимый уровень защиты и безопасности передаваемой информации.
В качестве прототипа принят программно-аппаратный комплекс технических средств автоматизированной системы обмена данными (мультиплексор телекоммуникационный многофункциональный), построенный по модульному принципу и содержащий модули адаптеров, реализующих протоколы канального уровня и выполняющих процедуры взаимодействия с каналами связи, выходы которых подключены к входам модулей сопряжения с каналами связи со стандартными стыками (С1-ТГ, С1-ТЧ, C1-И, С2, С2 спец, и др.) и сгруппированными по типам используемых каналов (ТЧ, ТГ и т.д.), в составе программно-аппаратного комплекса функции мультиплексирования, коммутации и управления техническими средствами программно-аппаратного комплекса и каналами связи выполняют функциональные модули, размещаемые в системном блоке ПЭВМ, которая управляет работой этих функциональных модулей и является одновременно сервером локальной сети, к которой подключены автоматизированные рабочие места, осуществляющие прием/передачу, обработку, хранение информации и управление системой обмена данными, а в разъемы системной шины материнской платы этой ПЭВМ устанавливаются модули адаптеров, реализующих протоколы канального уровня, а модули сопряжения с каналами связи со стандартными стыками конструктивно объединены в отдельный блок (крейт) - блок интерфейсов каналов связи (RU128429, H04L 12/66, 20.05.2016).
Известное техническое решение обладает расширенными функциональными возможностями комплекса как узловой транспортной станции в сетях передачи, прежде всего ведомственного назначения, путем обеспечения возможности расширения номенклатуры и количества используемых открытых и шифрованных каналов связи, увеличения количества используемых в своем составе технических средств общего применения взамен специально разработанных, а также увеличения перечня возможных режимов работы и обеспечения возможности комплексирования программно-аппаратного комплекса из набора функциональных модулей для объектов связи различного уровня управления.
Известный программно-аппаратный комплекс представляет собой многоуровневую микропроцссорную структуру, ориентированную на выполнение многоканального информационного обмена по каналам связи и не имеет функциональной возможности обрабатывать данные на прикладном уровне посредствам уникальных протоколов обмена данными, обеспечивая при этом отсутствие прямого сетевого соединения между приемопередающими блоками и блоками хранения информации.
Технический результат изобретения заключается в повышении уровня защищенности и безопасности передаваемой информации при обмене данными автоматизированных систем.
Технический результат достигается тем, что программно-аппаратный комплекс для обмена данными автоматизированных систем содержит стеки сетевых коммутаторов, предназначенные для подключения к ним технических средств соответствующих автоматизированных систем, входы/выходы каждого стека сетевых коммутаторов соединены с выходами/входами соответствующего отказоустойчивого кластера межсетевых экранов, причем отказоустойчивые кластеры межсетевых экранов соединены между собой через дополнительный стек сетевых коммутаторов, к которому подключен анализатор сетевого трафика, соединенный с блоком памяти, дополнительные выходы/входы каждого отказоустойчивого кластера межсетевых экранов соединены с входами/выходами соответствующего сервера сопряжения, подключенного к серверу хранения и передачи информации, серверы сопряжения соединены с шиной передачи данных, к которой подключены сервер централизованного управления и дополнительные вход/выход дополнительного стека сетевых коммутаторов.
На чертеже представлена схема программно-аппаратного комплекса для обмена данными автоматизированных систем.
Программно-аппаратный комплекс для обмена данными автоматизированных систем содержит стеки 1, 2 сетевых коммутаторов, предназначенные для подключения к ним технических средств 3, 4 соответствующих автоматизированных систем, входы/выходы каждого стека 1 (2) сетевых коммутаторов соединены с выходами/входами соответствующего отказоустойчивого кластера 5 (6) межсетевых экранов, причем отказоустойчивые кластеры 5 и 6 межсетевых экранов соединены между собой через дополнительный стек 7 сетевых коммутаторов, к которому подключен анализатор 8 сетевого трафика, соединенный с блоком 9 памяти, дополнительные выходы/входы каждого отказоустойчивого кластера 5 (6) межсетевых экранов соединены с входами/выходами соответствующего сервера 10 (11) сопряжения, подключенного к серверу 12 хранения и передачи информации, сервера 10 и 11 сопряжения соединены с шиной 13 передачи данных, к которой подключены сервер 14 централизованного управления и дополнительные вход/выход дополнительного стека 7 сетевых коммутаторов.
Программно-аппаратный комплекс для обмена данными автоматизированных систем работает следующим образом.
Все соединения с внешними (смежными системами) в программно-аппаратном комплексе защищены отказоустойчивыми кластерами 5 и 6 межсетевых экранов.
Отказоустойчивый кластер выполняет следующие функции:
- межсетевое экранирование;
- криптографическая защита канала связи с АРМ администратора информационной безопасности программно-аппаратного комплекса;
- идентификация и аутентификация администратора информационной безопасности в программно-аппаратном комплексе;
- фильтрация трафика с учетом состояния сессии (stateful packet inspection);
- обеспечение трансляции адресов (NAT);
- инспекция прикладных протоколов;
- антиспуфинг защита;
- предотвращение DoS-атак.
При взаимодействии технических средств 3, 4 соответствующих автоматизированных систем через программно-аппаратный комплекс осуществляется следующая последовательность обработки информации.
Техническое средство 3 (4) автоматизированной системы устанавливает соединение с ip-адресом отказоустойчивого кластера 5 (6) межсетевых экранов на выделенный порт, который перенаправляет соединение с данного порта на соответствующий сервер 10 (11) сопряжения. Сервер 10 (11) сопряжения отправляет поступившие данные для обмена на сервер 12 хранения и передачи информации.
Сервер 11 (10) сопряжения опрашивает сервер 12 хранения и передачи информации на наличие сообщений для загрузки. Загружает их при наличии и передает в средства 4 (3) соответствующей автоматизированной системы.
При анализе сетевого трафика и обнаружению вторжений осуществляется следующая обработка информации.
Весь сетевой трафик, циркулирующий в программно-аппаратном комплексе, со стека 7 сетевых коммутаторов передается для анализа в анализатор 8 сетевого трафика, который осуществляет анализ получаемого от сетевого коммутатора сетевого трафика (инспектируемый сетевой трафик) на наличие в нем признаков компьютерных атак.
Анализатор 8 сетевого трафика предназначен для выполнения следующих функций:
- обнаружение компьютерных атак на основе динамического анализа сетевого трафика, начиная с канального уровня стека протоколов TCP/IP и заканчивая прикладным;
- эвристический анализ по выявлению аномалий в сетевом трафике и в действиях его пользователей;
- обнаружение компьютерных атак в режиме, близком к реальному масштабу времени, с оповещением о выявленной атаке визуально (в журнале компьютерных атак) и по электронной почте (о наиболее критичных событиях, выборочных событиях и т.д.);
- отображение обнаруженных компьютерных атак в консоли управления и уведомление о зафиксированных критичных компьютерных атаках;
- автоматическое сохранение истории обнаруженных компьютерных атак для обеспечения последующего анализа;
- поиск (выборочный поиск) обнаруженных компьютерных атак в соответствии с заданными фильтрами;
- экспорт журналов компьютерных атак в файл формата CSV (текстовый формат, предназначенный для представления табличных данных) для последующего импорта в сторонние приложения;
- использование отдельных правил обнаружения компьютерных атак или группы правил;
- возможность написания собственных правил обнаружения компьютерных атак для анализа сетевого трафика;
- контроль целостности исполняемых и конфигурационных файлов;
- контроль целостности загружаемых баз разрешающих правил;
- контроль его работоспособности в целом;
- локальное и удаленное управление (администрирование);
- идентификацию и аутентификацию администратора при его локальных запросах на доступ к процессу управления;
- обновление баз разрешающих правил в автоматизированном режиме (с помощью администратора безопасности);
- настройку параметров его функционирования;
- отображение и экспорт в файл формата РСАР сетевых пакетов, соответствующих зарегистрированным компьютерным атакам (с целью обеспечения последующего анализа атак);
- автоматическую передачу данных о компьютерных атаках системе сбора и передачи событий по протоколу syslog;
- резервное копирование и восстановление программного обеспечения, конфигурационных файлов и журналов;
- разграничение полномочий пользователей в зависимости от задаваемой роли, а также аудит выполнения им функций.
При обнаружении в инспектируемом трафике сигнатуры компьютерной атаки или обнаружения аномалии сетевого трафика, анализатор 8 сетевого трафика автоматически сохраняет информацию об обнаруженных событиях информационной безопасности в собственной базе данных в блоке 9 памяти и передает ее в сервер 14 централизованного управления, предназначенный для выполнения следующих функций: обеспечение централизованного управления (администрирования) программными и программно-аппаратными компонентами комплекса; обеспечение и сопровождение работы программных и программно-аппаратных комплексов (в том числе обновление программного обеспечения и сигнатур угроз); обеспечение управления обновлением программного обеспечения комплекса и анализ защищенности его компонентов; резервное копирование конфигурационных файлов и информации о событиях на компонентах комплекса; обеспечения функционирования программного комплекса VipNet Administrator 4 для первичной инициализации и сопровождения компонентов сети защиты VipNet.
Администратор информационной безопасности программно-аппаратного комплекса осуществляет мониторинг событий, зафиксированных анализатором 8 сетевого трафика и переданных в программный комплекс по управлению информационной безопасностью в системах (на чертеже не показан), и проводит соответствующие мероприятия по выявленным инцидентам.
При выявлении уязвимостей в программном обеспечении компонентов программно-аппаратного комплекса последовательность обработки информации следующая.
На автоматизированном рабочем месте (на чертеже не показано) программно-аппаратного комплекса по предварительно настроенному расписанию с сервера 14 централизованного управления запускаются задачи сканирования компонентов этого комплекса на наличие уязвимостей.
При обнаружении уязвимостей в программном обеспечении компонентов программного комплекса анализатор 8 автоматически сохраняет информацию об обнаруженных уязвимостях в блоке 9 памяти в собственную базу данных и формирует отчет.
Администратор информационной безопасности программно-аппаратного комплекса осуществляет анализ отчетов программного комплекса, сформированных анализатором 8 и проводит соответствующие мероприятия по выявленным инцидентам.
Таким образом, предлагаемое техническое решение позволяет повысить уровень защищенности и безопасности передаваемой информации при обмене данными автоматизированных систем.

Claims (1)

  1. Программно-аппаратный комплекс для обмена данными автоматизированных систем, содержащий стеки сетевых коммутаторов, предназначенные для подключения к ним технических средств соответствующих автоматизированных систем, входы/выходы каждого стека сетевых коммутаторов соединены с выходами/входами соответствующего отказоустойчивого кластера межсетевых экранов, причем отказоустойчивые кластеры межсетевых экранов соединены между собой через дополнительный стек сетевых коммутаторов, к которому подключен анализатор сетевого трафика, соединенный с блоком памяти, дополнительные выходы/входы каждого отказоустойчивого кластера межсетевых экранов соединены с входами/выходами соответствующего сервера сопряжения, подключенного к серверу хранения и передачи информации, серверы сопряжения соединены с шиной передачи данных, к которой подключены сервер централизованного управления и дополнительные вход/выход дополнительного стека сетевых коммутаторов.
RU2020107349A 2020-02-18 2020-02-18 Программно-аппаратный комплекс для обмена данными автоматизированных систем RU2727090C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020107349A RU2727090C1 (ru) 2020-02-18 2020-02-18 Программно-аппаратный комплекс для обмена данными автоматизированных систем

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020107349A RU2727090C1 (ru) 2020-02-18 2020-02-18 Программно-аппаратный комплекс для обмена данными автоматизированных систем

Publications (1)

Publication Number Publication Date
RU2727090C1 true RU2727090C1 (ru) 2020-07-17

Family

ID=71616708

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020107349A RU2727090C1 (ru) 2020-02-18 2020-02-18 Программно-аппаратный комплекс для обмена данными автоматизированных систем

Country Status (1)

Country Link
RU (1) RU2727090C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2809234C1 (ru) * 2023-05-10 2023-12-08 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Программно-аппаратный комплекс для обеспечения защищенного обмена данными между техническими средствами оконечных автоматизированных систем

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060010491A1 (en) * 2004-07-09 2006-01-12 Nicolas Prigent Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system
US20070226789A1 (en) * 1994-10-12 2007-09-27 Secure Computing Corporation System and method for providing secure internetwork services via an assured pipeline
WO2013015673A1 (en) * 2011-07-22 2013-01-31 Chooi Tian Lee Apparatus and methods for multimode internetworking connectivity
RU128429U1 (ru) * 2012-11-20 2013-05-20 Открытое акционерное общество "Информационные телекоммуникационные технологии" (ОАО "Интелтех") Программно-аппаратный комплекс технических средств автоматизированной системы обмена данными
US20170295141A1 (en) * 2016-04-08 2017-10-12 Cisco Technology, Inc. Configuring firewalls for an industrial automation network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070226789A1 (en) * 1994-10-12 2007-09-27 Secure Computing Corporation System and method for providing secure internetwork services via an assured pipeline
US20060010491A1 (en) * 2004-07-09 2006-01-12 Nicolas Prigent Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system
WO2013015673A1 (en) * 2011-07-22 2013-01-31 Chooi Tian Lee Apparatus and methods for multimode internetworking connectivity
RU128429U1 (ru) * 2012-11-20 2013-05-20 Открытое акционерное общество "Информационные телекоммуникационные технологии" (ОАО "Интелтех") Программно-аппаратный комплекс технических средств автоматизированной системы обмена данными
US20170295141A1 (en) * 2016-04-08 2017-10-12 Cisco Technology, Inc. Configuring firewalls for an industrial automation network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2809234C1 (ru) * 2023-05-10 2023-12-08 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Программно-аппаратный комплекс для обеспечения защищенного обмена данными между техническими средствами оконечных автоматизированных систем

Similar Documents

Publication Publication Date Title
Beale et al. Wireshark & Ethereal network protocol analyzer toolkit
Izhikevich et al. {LZR}: Identifying unexpected internet services
Rahouti et al. SDN security review: Threat taxonomy, implications, and open challenges
US7213265B2 (en) Real time active network compartmentalization
CN107257332B (zh) 大型防火墙集群中的定时管理
CA2414869A1 (en) Method and apparatus for providing computer services
JPH09214493A (ja) ネットワークシステム
Li et al. Evaluation of security vulnerabilities by using ProtoGENI as a launchpad
Pfrang et al. Detecting and preventing replay attacks in industrial automation networks operated with profinet IO
Srinivasa et al. Interaction matters: a comprehensive analysis and a dataset of hybrid IoT/OT honeypots
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Visoottiviseth et al. Distributed honeypot log management and visualization of attacker geographical distribution
Jiang Multiple vulnerabilities in SNMP
RU2727090C1 (ru) Программно-аппаратный комплекс для обмена данными автоматизированных систем
Wang et al. Bridging the gap between security tools and SDN controllers
Brahmi et al. A Snort-based mobile agent for a distributed intrusion detection system
Li et al. SDN based intelligent Honeynet network model design and verification
Borders et al. OpenFire: Using deception to reduce network attacks
Balogh et al. LAN security analysis and design
EP1879350A1 (en) Distributed computer system with a local area network
KR20090116206A (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Giacobe Data fusion in cyber security: first order entity extraction from common cyber data
Vakaliuk et al. Modeling Attacks on the DHCP Protocol in the GNS3 Environment and Determining Methods of Security Against Them
Gou et al. Multi-agent system for worm detection and containment in metropolitan area networks
Alshaya Software-Defined Networking Security Techniques and the Digital Forensics of the SDN Control Plane