Устройство для контроля несанкционированного доступа

 

Устройство для контроля несанкционированного доступа относится к вычислительной технике, а именно к средствам защиты информации от несанкционированного доступа в электронных вычислительных системах (машинах), локальных вычислительных сетях (ЛВС) на базе персональных электронных вычислительных машин (ПВЭМ). Техническим результатом является расширение функциональных возможностей устройства и повышение оперативности контроля несанкционированного доступа к информации. Для этого устройство содержит входные регистры, параллельно-последовательный регистр, выходные регистры, генератор импульсов, делитель частоты, передатчик, приемник, кодер, декодер, триггер готовности, триггер ответа, триггер прерывания, логическая схема И, блок постоянного запоминающего устройства, задатчики адреса ПЭВМ, адреса портов, адреса памяти, схема анализа адреса, переключатель режима, блок управления. 1 з.п. ф-лы, 3 ил.

Область техники Изобретение относится к области вычислительной техники, а именно к средствам защиты информации от несанкционированного доступа в электронных вычислительных системах (машинах), локальных вычислительных сетях (ЛВС) на базе персональных электронных вычислительных машин (ПЭВМ).

Уровень техники Известно устройство для контроля состояния объектов (например, по патенту РФ N 2029377, 2055401), которое осуществляет централизованный контроль за несанкционированным физическим доступом к техническим средствам вычислительной системы. Для этого технические средства вычислительной системы снабжены датчиками, состояние которых контролируется центральным устройством. Недостатком этих устройств является избыточность используемого для этих целей оборудования (датчики, значительная кабельная продукция), а также возможность неконтролируемого включения технических средств и считывания информации с экранов видеомониторов. Кроме того, архитектура сети контроля отличается от архитектуры основной локальной вычислительной сети (ЛВС) на базе персональных ЭВМ, что также приводит к избыточности используемой кабельной продукции.

Наиболее близким аналогом (прототипом) заявляемого устройства является сетевая плата сети Ethernet (например, EtherCard PLUS Elitel6 Series SMS. Руководство пользователя), позволяющая выполнять обмен информацией между ПЭВМ, объединенными в локальную вычислительную сеть.

Сущность изобретения Известное устройство содержит входные регистры, первые два информационных входа которых соединены соответственно с входом данных от датчиков и шиной данных персональной ЭВМ, сдвиговый параллельно-последовательный регистр, первый информационный вход которого соединен с выходом входных регистров, выходные регистры, первый информационный вход которых соединен с первым выходом сдвигового параллельно-последовательного регистра, а выход с шиной данных ПЭВМ, генератор импульсов, делитель частоты, вход которого соединен с выходом задающего генератора, передатчик, выход которого соединен с линией локальной сети контроля, приемник, вход которого соединен с шиной локальной сети контроля, кодер, вход которого соединен со вторым выходом сдвигового параллельно-последовательного регистра, а выход с первым входом передатчика, декодер, два входа которого соединены соответственно с первыми выходами приемника и делителя частоты, а первый выход с четвертым входом сдвигового параллельно-последовательного регистра, триггер ответа, выход которого соединен с шиной данных ПЭВМ, а первый вход с четвертым управляющим входом входных регистров, триггер готовности, первый выход которого соединен с третьим управляющим входом входных регистров, триггер прерывания, выход которого соединен с шиной прерывания ПЭВМ, а первый вход со вторым выходом триггера готовности, блок управления, первый вход которого соединен со вторым выходом делителя частоты, первый выход непосредственно и второй и третий выходы через управляющую логическую схему И соединены с двумя управляющими входами сдвигового параллельно-последовательного регистра, а четвертый выход соединен со вторым входом передатчика и вторым входом триггера готовности, третий вход управляющей логической схемы И соединен со вторым выходом декодера, блок постоянного запоминающего устройства (ПЗУ), первый вход и выход которого соединены соответственно с шиной адреса и шиной данных ПЭВМ.

Недостатком известного устройства (прототипа) являются его ограниченные функциональные возможности, не позволяющие его использовать для осуществления централизованного контроля от несанкционированного доступа (НСД) к информации в локальной вычислительной сети, объединяющей многочисленные ПЭВМ должностных лиц (АРМ ДЛ), и отображения сведений об НСД на автоматизированном рабочем месте службы обеспечения безопасности информации (АРМ СОБИ).

Целью данного предлагаемого изобретения является расширение функциональных возможностей устройства и повышение оперативности контроля несанкционированного доступа к информации.

В известное устройство дополнительно введены задатчики адреса ПЭВМ, адреса портов, адреса памяти, схема анализа адреса, пять входов которой соединены соответственно с выходами эадатчиков адреса портов и адреса памяти, входами записи, чтения и шиной адреса из ПЭВМ, первый выход с вторым входом блока ПЗУ, второй выход с четвертым управляющим входом входных регистров и первым входом триггера готовности, а третий выход с третьим управляющим входом выходных регистров, схема сравнения адреса ПЭВМ, три входа которой соединены соответственно с выходом задатчика адреса ПЭВМ, третьим выходом сдвигового параллельно-последовательного регистра и вторым выходом приемника, а выход с вторым установочными входами триггера ответа и триггера прерывания и вторым входом выходных регистров, переключатель режима, выход которого соединен со вторым входом блока управления, а первый ("С") и второй ("П") входы соответственно с вторым выходом схемы анализа адреса и выходом схемы сравнения адреса ПЭВМ.

Блок управления содержит триггер переключения режима параллельный/последовательный, установочный вход которого соединен со вторым входом ("Запуск") блока, а выход с первым выходом ("Параллельный/последовательный") блока, триггер синхронизации, установочный вход которого через вторую схему И соединен с первым входом ("Частота") блока и выходом триггера переключения режима параллельный/последовательный, счетчик-распределитель импульсов, счетный вход которого соединен с первым входом ("Частота") блока, сбросовый вход с выходом триггера синхронизации, первый выход со вторым выходом ("Импульс параллельный") блока, второй выход со сбросовым входом триггера переключения режима параллельный/последовательный, третий выход со сбросовым входом триггера синхронизации, триггер приема-передачи, установочный вход которого соединен с четвертым выходом счетчика-распределителя импульсов, а выход с четвертым выходом ("Включение передатчика") блока, счетчик, счетный вход которого соединен с первым входом ("Частота") блока, сбросовый вход с выходом триггера прием-передача, а выход со сбросовым входом триггера приема-передачи, первую схему И, два входа которой соединены соответственно с первым входом ("Частота") блока и выходом триггера приема-передачи, а выход - с третьим выходом ("Синхронизирующая серия") блока.

Перечень чертежей и иных материалов На фиг.1 приведена структурная схема устройства для контроля несанкционированного доступа.

На фиг.2 приведена структурная схема блока управления устройства.

На фиг.3 приведена структурная схема фрагмента вычислительной системы с применением устройства для контроля несанкционированного доступа.

Пример варианта выполнения устройства Устройство для контроля несанкционированного доступа (фиг.1) содержит задатчик адреса ПЭВМ 1, входные регистры 2, схему анализа адреса 3, задатчик адреса портов 4, задатчик адреса памяти 5, блок постоянного запоминающего устройства (ПЗУ) 6, схему сравнения адреса ПЭВМ 7, сдвиговый параллельно-последовательный регистр 8, триггер готовности 9, выходные регистры 10, триггер ответа 11, переключатель режима 12, кодер 13, генератор импульсов 14, делитель частоты 15, блок управления 16, триггер прерывания 17, передатчик 18, приемник 19, декодер 20, управляющую логическую схему И 21, шины от датчиков 22, шины ISA ПЭВМ 23, шины интерфейса локальной сети контроля (ЛСК) 24.

Блок управления 16 устройства (фиг. 2) содержит триггер переключения режима параллельный/последовательный 25, триггер синхронизации 26, триггер приема-передачи 27, счетчик-распределитель импульсов 28, счетчик 29, первую и вторую схему И 30, 31.

Фрагмент вычислительной системы с использованием устройства для контроля несанкционированного доступа (фиг.3) содержит ПЭВМ в составе автоматизированного рабочего места (АРМ) должностного лица (ДЛ) - пользователя 32, ПЭВМ в составе АРМ службы обеспечения безопасности информации (СОБИ) 33, устройство для контроля несанкционированного доступа (сетевая плата контроля) 34, сетевая плата Ethernet 35 локальной вычислительной сети (ЛВС), Т-коннектор 36, терминатор 37, кабель (Thin Ethernet Cable) 38.

Задатчики адреса ПЭВМ 1, задатчик адреса портов 4, задатчик адреса памяти 5 выполнены на микропереключателях и предназначены для установки соответствующих адресов вручную оператором при задании конфигурации локальной вычислительной сети (ЛВС) и локальной сети контроля (ЛСК). Входные регистры 2 предназначены для записи информации, поступающей в параллельном коде из шины ПЭВМ 23, для последующей передачи на шину интерфейса ДСК 24. Входные регистры 2 имеют четыре порта: порт адреса ПЭВМ, от которой необходимо получить ответ; два порта данных; порт команд.

Схема анализа адреса 3 и схема сравнения адреса ПЭВМ 7 проводят сравнение адреса на шинах адреса ПЭВМ 23 и принятого с шины интерфейса ЛСК 24 с установленным на задатчике адреса портов 4 и адреса памяти 5. Постоянное запоминающее устройство (ПЗУ) 6 предназначено для хранения программы загрузки ПЭВМ (ориентировочный объем 8 К8 бит). Сдвиговый параллельно-последовательный регистр 8 производит преобразование параллельного слова в последовательный код при передаче и обратное преобразование при приеме информации. Выходные регистры 10 предназначены для считывания информации, поступающей из локальной сети контроля 24, и последующей записи ее в ПЭВМ. Переключатель 12 задает режим работы устройства в ПЭВМ должностного лица - пользователя ("П") и СОБИ ("С") и устанавливается вручную оператором в положение "П" или "С" при задании конфигурации ЛСК.

Кодер 13 предназначен для преобразования последовательной информации из потенциального кода в фазоманипулированный последовательный код. Генератор импульсов 14 и делитель частоты 15 образуют необходимые сигналы для синхронизации работы блоков устройства. Блок управления 16 определяет алгоритм работы устройства в режиме приема или передачи при функционировании в качестве АРМ пользователя (должностного лица) (П) или АРМ СОБИ (С) в зависимости от состояния переключателя 12. Передатчик 18 и приемник 19 предназначены соответственно для передачи и приема информации на (из) шины ЛСК и преобразования в требуемые физические уровни. Декодер 20 преобразует информацию из манчестерского кода в потенциальный код.

Устройства для контроля несанкционированного доступа 34, входящие в состав ПЭВМ (АРМ ДЛ и АРМ СОБИ) 32 и 33, соединяются в последовательную локальную сеть контроля (ЛСК) аналогично локальной вычислительной сети (ЛВС) Ethernet (сетевая плата 35), с использованием кабеля 38, Т-коннекторов 36 и терминаторов 37. АРМ должностного лица работает в режиме (конфигурации) "П" (установленном переключателем 12), а АРМ СОБИ в режиме (конфигурации) "С".

Работа устройства в локальной сети происходит под управлением программы "Подсистема разграничения доступа "Stop File" РДПИ.00329-01.

ПЗУ 6 устройства контроля содержит программу загрузки системы. После установки устройства в ПЭВМ загрузка АРМ возможна только со штатного накопителя (диска С). Дополнительно устройство через ЛСК обеспечивает прием и передачу четырех байт информации: - одного байта адреса АРМ, посылающего запрос;
- двух байт передаваемых данных;
- одного полубайта кода управления;
- одного полубайта состояния обмена.

Код управления определяет запрос к АРМ ДЛ со стороны АРМ СОБИ: "Блокировка АРМ ДЛ". "Разблокировка АРМ ДЛ". "Выдача состояния АРМ ДЛ".

Состояние обмена определяет состояние внутренних триггеров готовности 9, ответа 11.

Обмен по ЛСК всегда ведется по инициативе АРМ СОБИ. Установкой задатчика 1 в устройстве задается номер конкретного АРМ ДЛ. Допустимые номера АРМ ДЛ от OO до FD (в шестнадцатиричном коде). Номер АРМ СОБИ - FE. В процессе работы программы "Подсистема разграничения доступа" (ПРД) осуществляется динамический контроль работоспособности АРМ ДЛ со стороны ПРД следующим образом:
- АРМ СОБИ периодически (один раз в 5 с), используя ЛСК, посылает запросы по всем возможным адресам АРМ ДЛ;
- при получении запроса от АРМ СОБИ устройство контроля в АРМ ДЛ выдает прерывание и выполняет одно из следующих действий:
при включении питания на АРМ ДЛ в АРМ СОБИ передается информация о включении питания АРМ ДЛ;
при активизации работы ПРД на АРМ ДЛ проверяется правильность функционирования ПРД с последующей передачей на АРМ СОБИ информации о функционировании АРМ ДЛ;
- если после получения АРМ СОБИ информации о включении питания на АРМ ДЛ в течение определенного промежутка времени (25 с) на АРМ СОБИ не получена информация об инициализации ПРД на АРМ ДЛ или установлен факт неверной работы ПРД, на АРМ СОБИ формируется сигнал о нарушении работы АРМ ДЛ;
- если после получения АРМ СОБИ информации об инициализации ПРД на АРМ ДЛ в АРМ СОБИ отсутствует ответный сигнал от ранее работавшего АРМ ДЛ, то фиксируется факт выключения питания на АРМ ДЛ и проверяется правильность завершения работы пользователя, в противном случае формируется сигнал о нарушении работы АРМ ДЛ.

После включения ПЭВМ при сканировании адресов схема анализа адреса 3 ждет совпадения адреса на шине 23 и адреса, установленного эадатчиком адреса портов 4 и памяти 5. При совпадении адресов разрешается работа постоянного запоминающего устройства (ПЗУ) 6. Специальная программа, записанная в ПЗУ, вмешивается в работу BIOS и выполняет функции контроля за несанкционированным доступом к ПЭВМ.

Дальнейшую работу устройства рассмотрим при установке переключателя 12 в положение "С" (режим АРМ СОБИ). Программа, загруженная в ПЭВМ, периодически производит запись в порты (входные регистры 2):
220 - адрес периферийной ПЭВМ (АРМ ДЛ), от которой необходимо получить ответ;
221, 222 - данные, адресованные периферийной ЭВМ;
223 - из устройства поступает сигнал "Готов" триггера готовности.

При сравнении адреса схемой 3 производится запись информации в порт команд регистра 2 и формируется импульс запуска на вход блока управления 16. Этот импульс устанавливает триггер переключения режима параллельный/последовательный 25 блока управления 16 в режим параллельной записи информации. Одновременно разрешается установка триггера синхронизации 26. Он взводится синхронно с фронтом импульса, поступающего с генератора импульсов 14 устройства. Триггер синхронизации 26 разрешает работу счетчика-распределителя импульсов 28.

Счетчик-распределитель импульсов 28 выдает импульс записи информации в сдвиговый параллельно-последовательный регистр 8 из входных регистров 2. Триггер переключения режима 25 сбрасывается и регистры переводятся в последовательный режим работы. Затем импульс со счетчика-распределителя импульсов 28 устанавливает триггер приема-передачи 27 в состояние "Передача". Выходной сигнал триггера 27 разрешает работу передатчика 18 и подачу сдвигающих импульсов на сдвиговые параллельно-последовательные регистры 8. После того как счетчик 29 отсчитает необходимое количество импульсов для передачи всего информационного слова, он сбросит триггер приема-передачи 27. Информационное слово с выхода сдвигового параллельно-последовательного регистра 8 кодируется кодером 13 в манчестерский код и через передатчик передается в линию 24 - локальную сеть контроля.

Информация, принятая из линии 24 (локальной сети контроля) приемником 19 в манчестерском коде, преобразуется в декодере 20 в потенциальный код и поступает на вход сдвигового параллельно-последовательного регистра 8. По окончании принимаемого информационного слова приемник 19 формирует сигнал "Конец слова". По этому сигналу разрешается работа схемы сравнения адреса ПЭВМ 7. Схема 7 сравнивает адрес, принятый в сдвиговый параллельно-последовательный регистр 8, с адресом, установленным задатчиком адреса ПЭВМ 1. При их сравнении выдается сигнал "Адрес сравнился". По этому сигналу триггер ответа 11 выдает сигнал "Ответ", и производится перепись принятой информации из сдвигового параллельно-последовательного регистра 8 в выходные регистры 10. Выходные регистры 10 и выход триггера ответа 11 доступны для чтения ПЭВМ.

Устройство для контроля несанкционированного доступа с конфигурацией (режимом) "П", заданной переключателем 12, устанавливается в ПЭВМ АРМ ДЛ (должностных лиц). Отличие работы устройства в режиме "П" от работы устройства в режиме "С" состоит в том, что в качестве импульса запуска на вход блока управления 16 поступает сигнал со схемы сравнения адреса ПЭВМ 7. Кроме того, если в устройстве не установлен сигнал "Готов" триггера готовности 9, то триггер прерывания 17 вырабатывает сигнал "Прерывание", поступающий на шину ПЭВМ. В остальном работа устройства в режиме "П" не отличается от работы устройства в режиме "С".

Объединив в локальную сеть контроля несколько контролируемых ПЭВМ с установленными устройствами в конфигурации "П" (АРМ ДЛ) и одну контролирующую ПЭВМ (АРМ СОБИ), с установленным устройством в конфигурации "С", контролирующая ПЭВМ (АРМ СОБИ), производя периодический опрос, получает информацию о физическом состоянии контролируемых ПЭВМ. В качестве параметров физического состояния контролируемых ПЭВМ может поступать следующая информация:
включение питания ПЭВМ (в том числе, несанкционированное);
выполнение загрузки операционной системы;
сообщение от программного обеспечения средств контроля доступа к ресурсам ПЭВМ;
сообщение о физическом вскрытии защитных кожухов (крышек) ПЭВМ.

Промышленная применимость
Устройство для контроля несанкционированного доступа промышленно реализуемо, обладает лучшими функциональными характеристиками, позволяющими повысить оперативность контроля, выполнено на европлате для установки в системный блок ПЭВМ, обладает приемлемыми весогабаритными параметрами и малым энергопотреблением.

Формула изобретения

1. Устройство для контроля несанкционированного доступа, содержащее входные регистры, первые два входа которых соединены соответственно с входом данных от датчиков и шиной данных персональной электронной вычислительной машины (ПЭВМ), сдвиговый параллельно-последовательный регистр, первый информационный вход которого соединен с выходом входных регистров, выходные регистры, первый информационный вход которых соединен с первым выходом сдвигового параллельно-последовательного регистра, а выход с шиной данных ПЭВМ, генератор импульсов, делитель частоты, вход которого соединен с выходом генератора импульсов, передатчик, выход которого соединен с линией локальной сети контроля, приемник, вход которого соединен с шиной локальной сети контроля, кодер, вход которого соединен со вторым выходом сдвигового параллельно-последовательного регистра, а выход с первым входом передатчика, декодер, два входа которого соединены соответственно с первыми выходами приемника и делителя частоты, а первый выход с четвертым входом сдвигового параллельно-последовательного регистра, триггер ответа, выход которого соединен с шиной данных ПЭВМ, а первый вход с четвертым управляющим входом входных регистров, триггер готовности, первый выход которого соединен с третьим управляющим входом входных регистров, триггер прерывания, выход которого соединен с шиной прерывания ПЭВМ, а первый вход со вторым выходом триггера готовности, блок управления, первый вход которого соединен со вторым выходом делителя частоты, первый выход непосредственно и второй и третий выходы через управляющую логическую схему И соединены с двумя управляющими входами сдвигового параллельно-последовательного регистра, а четвертый выход соединен со вторым входом передатчика и вторым входом триггера готовности, третий вход управляющей логической схемы И соединен со вторым выходом декодера, блок постоянного запоминающего устройства (ПЗУ), первый вход и выход которого соединены соответственно с шиной адреса и шиной данных ПЭВМ, отличающееся тем, что в устройство дополнительно введены задатчики адреса ПЭВМ, адреса портов, адреса памяти, схема анализа адреса, пять входов которой соединены соответственно с выходами задатчиков адреса портов и адреса памяти, входами записи, чтения и шиной адреса из ПЭВМ, первый выход - с вторым входом блока ПЗУ, второй выход - с четвертым управляющим входом входных регистров и первым входом триггера готовности, а третий выход - с третьим управляющим входом выходных регистров, схема сравнения адреса ПЭВМ, три входа которой соединены соответственно с выходом задатчика адреса ПЭВМ, третьим выходом сдвигового параллельно-последовательного регистра и вторым выходом приемника, а выход - с вторыми установочными входами триггера ответа и триггера прерывания и вторым входом выходных регистров, переключатель режима, выход которого соединен со вторым входом блока управления, а первый С и второй П входы соответственно с вторым выходом схемы анализа адреса и выходом схемы сравнения адреса ПЭВМ.

2. Устройство для контроля несанкционированного доступа по п.1, отличающееся тем, что блок управления содержит триггер переключения режима параллельный/последовательный, установочный вход которого соединен со вторым входом "запуск" блока, а выход с первым выходом “параллельный/последовательный” блока, триггер синхронизации, установочный вход которого через вторую схему И соединен с первым входом “частота” блока и выходом триггера переключения режима "параллельный/последовательный", счетчик-распределитель импульсов, счетный вход которого соединен с первым входом “частота” блока, сбросовый вход - с выходом триггера синхронизации, первый выход - со вторым выходом "импульс параллельный" блока, второй выход - со сбросовым входом триггера переключения режима "параллельный/последовательный", третий выход - со сбросовым входом триггера синхронизации, триггер приема-передачи, установочный вход которого соединен с четвертым выходом счетчика-распределителя импульсов, а выход - с четвертым выходом “включение передатчика” блока, счетчик, счетный вход которого соединен с первым входом “частота” блока, сбросовый вход - с выходом триггера приема-передачи, а выход - со сбросовым входом триггера приема-передачи, первую схему И, два входа которой соединены соответственно с первым входом “частота” блока и выходом триггера приема-передачи, а выход - с третьим выходом “синхронизирующая серия” блока.

РИСУНКИ

Рисунок 1, Рисунок 2, Рисунок 3