Устройство защиты информационных ресурсов вычислительной сети

Авторы патента:

G06F21/20 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

G06F15/163 - межпроцессорная коммуникация

G06F12/14 - защита от обращений к памяти посторонних пользователей

Владельцы патента RU 2313127:

Закрытое акционерное общество "Центр открытых систем и высоких технологий" (RU)

Изобретение относится к устройствам, предназначенным для защиты информационных ресурсов вычислительной сети, соединенной с внешней информационной сетью, от несанкционированного доступа пользователей и пересылки сообщений. Техническим результатом является повышение уровня защищенности взаимодействия внешней и локальной сетей и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена. Указанный результат достигается за счет того, что заявленное устройство содержит серверы с блоками памяти, промежуточную память, коммутаторы, коннекторы, линии обмена данными, блок управления. Указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, в которые введены блоки проверки. 1 ил.

Изобретение относится к устройствам, предназначенным для защиты информационных ресурсов вычислительной сети, соединенной с внешней информационной сетью, от несанкционированного доступа пользователей и пересылки сообщений из внешней информационной сети в локальную вычислительную сеть при обмене информационными сообщениями.

Известна система защиты ресурсов виртуального канала корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования-межсетевой экран, например, CyberGuard (Computerworld Россия, 27 августа 1996 г.), Black Hole (Computerworld Россия, 27 августа 1996 г.). Система содержит выделенный компьютер, работающий под операционной системой Unix (например, UnixWare 2.1., FreeBSD) и функциональным программным обеспечением. Данная система не дает возможности контролировать и управлять соединением, используются данные служебных заголовков стандартных протоколов для получения аутентификационных признаков, требуется установка данных экранов к каждой территориально локализованной группе компьютеров, нуждающихся в защите.

Известен способ передачи информации в режиме "электронной почты" (патент РФ №2163757), обеспечивающий высокую степень защиты информационных ресурсов локальной вычислительной сети, соединенной с глобальной информационной сетью, от несанкционированного доступа пользователей глобальной информационной сети в локальную вычислительную сеть при обмене сигналами сообщений электронной почты. Способ заключается в том, что сигнал сообщений электронной почты записывается в память сервера локальной вычислительной сети, а затем из памяти сервера локальной вычислительной сети осуществляется перезапись в память средства промежуточной записи сигналов для хранения в течение установленного времени, при этом удаляются сигналы сообщений электронной почты из памяти сервера локальной вычислительной сети, сигнал сообщений электронной почты из памяти средства промежуточной записи сигналов записывают в память сервера глобальной информационной сети. Аналогичным образом осуществляются операции при передаче сигнала сообщений электронной почты от пользователя глобальной информационной сети.

Устройство, реализующее указанный способ (патент РФ №2168757), содержит серверы, средство промежуточной записи сигналов и средства управления соединениями, средство формирования и приема сигналов сообщений электронной почты. Известное решение принято в качестве прототипа для заявленного изобретения.

Недостатком известных технических решений является то, что существующая система защиты не обеспечивает полностью защищенное взаимодействие двух различных сетей, не предусматривает возможность обмена структурированными сообщениями между двумя сегментами сети с контролем структуры и содержания сообщений, не позволяет осуществить регистрацию всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.

Целью предлагаемого изобретения является повышение уровня защищенности взаимодействия внешней и локальной сетей, создание возможностей обмена структурированными сообщениями между двумя сегментами сети с контролем структуры и содержания сообщений, и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.

Поставленная цель достигается за счет того, что в устройстве защиты информационных ресурсов компьютерной сети, содержащем серверы с блоками памяти, промежуточную память, коммутатор, коннекторы, линии обмена данными, блок управления, указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, при этом в каждый из указанных серверов вычислительной сети и сервера внешней вычислительной сети введены блоки проверки, предназначенные для проверки структуры сообщения и дополнительной информации в составе сообщения, указанные блоки памяти содержат первый, второй, третий, четвертый блок памяти указанного сервера вычислительной сети и пятый, шестой, седьмой, восьмой блоки памяти сервера внешней вычислительной сети, причем первый и седьмой блоки памяти предназначены для временного хранения сообщений от пользователей вычислительной сети и пользователей внешней вычислительной сети соответственно, второй и пятый блоки памяти - для копирования сообщений от пользователей вычислительной сети, прошедших проверку, третий и шестой блоки памяти - для записи сообщений из промежуточной памяти от пользователей внешней вычислительной сети и пользователей вычислительной сети соответственно, четвертый и восьмой блоки памяти - для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку, коннекторы выполнены в виде первого, второго, третьего коннекторов указанного коммутатора, причем указанные первый, второй, третий, четвертый блоки памяти и блок проверки сервера вычислительной сети соединены линиями обмена данными указанного сервера вычислительной сети, имеющими первый и второй входы, указанные пятый, шестой, седьмой, восьмой блоки памяти и блок проверки сервера внешней вычислительной сети соединены линиями обмена данными указанного сервера внешней вычислительной сети, имеющими первый и второй входы, при этом первый вход сервера вычислительной сети соединен с первым коннектором коммутатора, первый вход сервера внешней вычислительной сети соединен со вторым коннектором коммутатора, третий коннектор коммутатора соединен со входом промежуточной памяти, а блок управления соединен с управляющим входом коммутатора.

Изобретение поясняется чертежом, где изображена блок-схема устройства защиты информационных ресурсов компьютерной сети.

Изобретение реализуется следующим образом. Устройство содержит сервер 1 вычислительной сети с блоками памяти: первым - 2, предназначенным для временного хранения сообщений от пользователя вычислительной сети (далее по тексту - первым блоком памяти 2), вторым - 3, предназначенным для копирования сообщений от пользователей вычислительной сети, прошедших проверку (далее по тексту - вторым блоком памяти 3), третьим - 4, предназначенным для записи сообщений из промежуточной памяти 19 от пользователей внешней вычислительной сети (далее по тексту - третьим блоком памяти 4), четвертым - 5, предназначенным для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку (далее по тексту - четвертым блоком памяти 5), с первым блоком проверки 6, с линиями обмена данными 7 сервера 1 вычислительной сети, с первым входом 8 сервера 1 вычислительной сети и вторым входом 9 сервера 1 вычислительной сети; сервер 10 внешней вычислительной сети с блоками памяти: пятым - 11, предназначенным для копирования сообщений пользователей вычислительной сети, прошедших проверку (далее по тексту - пятым блоком памяти 11), шестым - 12, предназначенным для записи сообщений из промежуточной памяти 19 от пользователей вычислительной сети (далее по тексту - шестым блоком памяти 12), седьмым - 13, предназначенным для временного хранения сообщений от пользователей внешней вычислительной сети (далее по тексту - седьмым блоком памяти 13), восьмым - 14, предназначенным для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку (далее по тексту - восьмым блоком памяти 14), с вторым блоком проверки 15, с линиями обмена данными 16 сервера 10 внешней вычислительной сети, с первым входом 17 сервера 10 внешней вычислительной сети и вторым входом 18 сервера 10 внешней вычислительной сети; промежуточную память 19; коммутатор 20; блок управления 21; первый коннектор 22; второй коннектор 23; третий коннектор 24. Первый 2, второй 3, третий 4, четвертый 5 блоки памяти и первый блок проверки 6 соединены линиями обмена данными 7 сервера 1 вычислительной сети; аналогично пятый 11, шестой 12, седьмой 13, восьмой 14 блоки памяти и второй блок проверки 15 соединены линиями обмена данными 16 сервера 10 внешней вычислительной сети. Первый вход 8 сервера 1 вычислительной сети соединен первым коннектором 22 с коммутатором 20, первый вход 17 сервера 10 внешней вычислительной сети соединен вторым коннектором 23 с коммутатором 20, третий коннектор 24 коммутатора 20 соединен со входом 25 промежуточной памяти 19, блок управления 21 соединен с управляющим входом 26 коммутатора 20. Вторые входы 9 сервера 1 вычислительной сети и 18 сервера 10 внешней вычислительной сети предназначены для подключения других внешних устройств или пользователей.

Работает устройство следующим образом. Структурированное (например, в формате XML) сообщение от пользователя вычислительной сети через второй вход 9 сервера 1 вычислительной сети поступает в первый блок памяти 2. Далее сообщение по линиям обмена данными 7 сервера 1 вычислительной сети передается в первый блок проверки 6, где осуществляется проверка структуры сообщения (в случае применения XML структуры для этого используют DTD или XML SCHEMA файлы, содержащие описание структуры сообщений) и дополнительной информации в составе сообщения (в том числе ЭЦП пользователя вычислительной сети). После этого сообщение, прошедшее проверку, передается по линиям обмена данными 7 сервера 1 вычислительной сети и копируется во второй блок памяти 3 сервера 1 вычислительной сети. При очередном подключении промежуточной памяти 19 с первого входа 8 сервера 1 вычислительной сети через первый коннектор 22 и третий коннектор 24 на вход 25 осуществляется копирование сообщений из второго блока памяти 3 сервера 1 вычислительной сети в промежуточную память 19. Далее, при подключении промежуточной памяти 19 к серверу 10 внешней вычислительной сети со входа 25 через второй коннектор 23 и третий коннектор 24 к первому входу 17 сервера 10 внешней вычислительной сети производится копирование сообщения из промежуточной памяти 19 в шестой блок памяти 12 сервера 10 внешней вычислительной сети, при этом промежуточная память 19 уже отсоединена от сервера 1 вычислительной сети. После этого сообщение отправляется по линиям обмена данными 16 сервера 10 внешней вычислительной сети во второй блок проверки 15, где осуществляется проверка структуры сообщения, дополнительной информации в составе сообщения (в том числе ЭЦП пользователя вычислительной сети). Затем сообщение пользователей вычислительной сети, прошедшее проверку, отсылается по линиям обмена данными 16 сервера 10 внешней вычислительной сети и копируется в пятый блок памяти 11 сервера 10 внешней вычислительной сети. При этом пятый блок памяти 11 сервера 10 внешней вычислительной сети доступен приложениям пользователей внешней вычислительной сети через второй вход 18 сервера 10 внешней вычислительной сети. Все коммутации производятся командами блока управления 21, передаваемыми с управляющего входа коммутатора 26 через первый коннектор 22 на первый вход 8 сервера 1 вычислительной сети и/или через второй коннектор 23 на первый вход 17 сервера 10 внешней вычислительной сети.

Аналогичным образом, сообщения от пользователей внешней вычислительной сети, поступающие через второй вход 18 сервера 10 внешней вычислительной сети, вначале записываются в седьмой блок памяти 13 сервера 10 внешней вычислительной сети. Затем сообщения по линиям обмена данными 16 сервера 10 внешней вычислительной сети передаются во второй блок проверки 15, где проверяется структура сообщений и дополнительная информация в составе сообщений (в том числе ЭЦП пользователей внешней вычислительной сети). После этого сообщения от пользователей внешней вычислительной сети, прошедшие проверки, по линиям обмена данными 16 сервера 10 внешней вычислительной сети передаются и копируются в восьмой блок памяти 14 сервера 10 внешней вычислительной сети. При очередном подключении промежуточной памяти 19 со входа 25 через третий коннектор 24 и второй коннектор 23 к первому входу 17 сервера 10 внешней вычислительной сети сообщения копируются из восьмого блока памяти 14 сервера 10 внешней вычислительной сети в промежуточную память 19. Затем при очередном подключении промежуточной памяти 19 со входа 25 к первому входу 8 сервера 1 вычислительной сети через третий коннектор 24 и первый коннектор 22 осуществляется копирование сообщений из промежуточной памяти 19 в третий блок памяти 4 сервера 1 вычислительной сети (при этом промежуточная память 19 уже отсоединена от сервера 10 внешней вычислительной сети), откуда сообщения передаются в первый блок проверки 6 по линиям обмена данными 7 сервера 1 вычислительной сети. Там осуществляется проверка структуры сообщений, дополнительной информации в составе сообщений (в том числе ЭЦП пользователя внешней вычислительной сети). Затем прошедшие проверки сообщения пользователей внешней вычислительной сети по линиям обмена данными 7 сервера 1 вычислительной сети передаются и копируются в четвертый блок памяти 5 сервера 1 вычислительной сети. При этом четвертый блок памяти 5 сервера 1 вычислительной сети доступен приложениям пользователей вычислительной сети через второй вход 9 сервера 1 вычислительной сети.

Благодаря использованию предлагаемого изобретения повышается уровень защищенности взаимодействия внешней и локальной сетей, реализуются возможности обмена между двумя сегментами сети структурированными сообщениями с контролем структуры и содержания сообщений, и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.

Устройство защиты информационных ресурсов компьютерной сети, содержащее серверы с блоками памяти, промежуточную память, коммутатор, коннекторы, линии обмена данными, блок управления, отличающееся тем, что указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, при этом в каждый из указанных серверов вычислительной сети и сервера внешней вычислительной сети введены блоки проверки, предназначенные для проверки структуры сообщения и дополнительной информации в составе сообщения, указанные блоки памяти содержат первый, второй, третий, четвертый блок памяти указанного сервера вычислительной сети и пятый, шестой, седьмой, восьмой блоки памяти сервера внешней вычислительной сети, причем первый и седьмой блоки памяти предназначены для временного хранения сообщений от пользователя вычислительной сети и от пользователей внешней вычислительной сети соответственно, второй и пятый блоки памяти - для копирования сообщений от пользователей вычислительной сети, прошедших проверку, третий и шестой блоки памяти - для записи сообщений из промежуточной памяти от пользователей внешней вычислительной сети и пользователей вычислительной сети соответственно, четвертый и восьмой блоки памяти - для копирования сообщения от пользователей внешней вычислительной сети, прошедших проверку, коннекторы выполнены в виде первого, второго, третьего коннекторов указанного коммутатора, причем указанные первый, второй, третий, четвертый блоки памяти и блок проверки сервера вычислительной сети соединены линиями обмена данными указанного сервера вычислительной сети, имеющими первый и второй входы, указанные пятый, шестой, седьмой, восьмой блоки памяти и блок проверки сервера внешней вычислительной сети соединены линиями обмена данными указанного сервера внешней вычислительной сети, имеющими первый и второй входы, при этом первый вход сервера вычислительной сети соединен с первым коннектором коммутатора, первый вход сервера внешней вычислительной сети соединен со вторым коннектором коммутатора, третий коннектор коммутатора соединен со входом промежуточной памяти, а блок управления соединен с управляющим входом коммутатора.

Похожие патенты:

Защищенное устройство // 2313122

Изобретение относится к защищенному устройству, оборудованному средством предотвращения неразрешенного использования содержания. .

Устройство воспроизведения содержания, способы и программы управления воспроизведением содержания // 2310908

Изобретение относится к устройству и способу управления воспроизведением содержания. .

Способ обеспечения безопасности игровых устройств и игровое устройство для его осуществления // 2310907

Способы и системы для аутентификации компонентов в графической системе // 2310227

Изобретение относится к способам и системам проверки подлинности компонентов при использовании графической системы, которая обеспечивает криптографическую защиту содержимого, направляемого через графический конвейер.

Всеобъемлющая, ориентированная на пользователя сетевая безопасность, обеспечиваемая динамической коммутацией датаграмм и схемой аутентификации и шифрования по требованию через переносные интеллектуальные носители информации // 2308080

Изобретение относится к защищенной передаче данных и предоставлению услуг в открытых или закрытых сетевых настройках. .

Блок источника лицензии, блок назначения лицензии и их способ // 2308074

Изобретение относится к устройству, программе и способу обработки лицензии. .

Способ (варианты) защиты вычислительных сетей // 2307392

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях.

Способы дистанционного изменения пароля связи // 2307391

Способ защиты информационных ресурсов неоднородной вычислительной сети // 2306600

Изобретение относится к вычислительной технике. .

Способ (варианты) и устройство (варианты) защиты канала связи вычислительной сети // 2306599

Трехуровневая виртуальная сеть vpn и способ ее построения // 2302035

Изобретение относится к трехуровневым виртуальным сетям (VPN). .

Коммутационная среда // 2280891

Изобретение относится к области вычислительной техники и может быть использовано при проектировании сверхбольших интегральных схем, устройств и систем с перестраиваемой архитектурой.

Коммуникационный процессор // 2260841

Изобретение относится к вычислительной технике и предназначено для построения коммуникационной среды со связями различного типа. .

Модуль для обмена сообщениями // 2249849

Изобретение относится к области вычислительной техники и может найти применение при построении коммутационных средств мультипроцессорных вычислительных и управляющих систем, абонентских систем связи с децентрализованным управлением и информационно-измерительных систем.

Модуль для передачи и вещания сообщений в матричном коммутаторе // 2249848

Изобретение относится к вычислительной технике и может найти применение при построении средств коммутации многопроцессорных вычислительных и управляющих систем, абонентских систем связи с децентрализованным управлением, систем сбора информации и информационно-измерительных систем.

Вычислительная сеть с межсетевым экраном и межсетевой экран // 2214623

Изобретение относится к сфере обеспечения информационной безопасности и, в частности, касается аппаратно-программных компонент межсетевых экранов, используемых для предотвращения несанкционированного доступа и обмена информацией между различными абонентами компьютерных сетей.

Способ управления криптографическими ключами при осуществлении связи между первым компьютерным блоком и вторым компьютерным блоком // 2213367

Изобретение относится к криптографической связи. .

Ячейка матричного коммутатора с потоковой настройкой // 2194302

Изобретение относится к цифровой вычислительной технике и предназначено для использования в однородных коммутационно-вычислительных структурах. .

Архитектура коммуникационной системы // 2193823

Изобретение относится к объединению сети Интернет с телефонными системами. .

Способ фильтрации межпроцессорных запросов в многопроцессорных вычислительных системах и устройство для его осуществления // 2189630

Изобретение относится к вычислительной технике. .

Способ обеспечения доступа к объектам корпоративной сети // 2311676

Изобретение относится к информационным вычислительным системам и может быть использовано для защиты информационных ресурсов в корпоративных сетях. .