Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам

Авторы патента:

G06F12/14 - защита от обращений к памяти посторонних пользователей

Владельцы патента RU 2543564:

Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" (RU)

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей системы контроля доступа к ресурсам за счет реализации функций обнаружения и предотвращения вторжений. Система содержит: блок анализа запроса доступа, блок определения процесса, запрашивающего доступ, решающий блок, блок аудита несанкционированных событий, блок завершения процесса, блок хранения прав доступа к ресурсам. 2 ил.1 с.п. ф-лы, 2 илл.

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой, обрабатываемой и хранимой в компьютерных системах (КС).

Основой защиты информации от несанкционированного доступа является реализация контроля (разграничения прав) доступа к защищаемым ресурсам - это файловые объекты, объекты реестра ОС, устройства, сетевые объекты, сервисы олицетворения и т.д. При этом для субъектов доступа (в известных системах - для пользователей - учетных записей) задаются правила доступа (в зависимости от ресурса, разрешение/запрет чтения, исполнения, записи и т.д.). Любой запрос доступа к защищаемом ресурсу (в отношении которого реализована разграничительная политика доступа) перехватывается диспетчером доступа (решающим блоком) и анализируется на непротиворечивость заданным администратором правилам. В результате данного анализа санкционированный доступ диспетчером разрешается, а несанкционированный доступ блокируется, параметры несанкционированного запроса доступа (время, субъект и объект доступа, запрошенный тип доступа и т.д.) диспетчером фиксируются в журнале аудита (как правило, записываются в соответствующем файле).

Несанкционированный доступ к защищаемым ресурсам в КС может быть реализован либо в результате несанкционированных (запрещенных разграничительной политикой) действий пользователя, либо в результате осуществления вторжения в вычислительную систему, реализуемого за счет наделения некоторыми вредоносными свойствами процесса (приложения), функционирующего в КС (причин тому множество - наличие уязвимости приложения, например, найденная ошибка программирования, использование вредоносных скриптов и т.п.), либо запуска вредоносной программы.

В общем случае, данные события различимы, т.е. факт вторжения в КС может быть идентифицирован, например, попытка запуска интернет-браузером программы (что должно быть запрещено разграничительной политикой), попытка доступа к ресурсам браузером под системной учетной записью, либо под учетной записью администратора, что опять же должно предотвращаться, попытка удаления/модификации браузером системных файлов, попытка доступа браузером к информации (файловым объектам), обрабатываемой иными приложениями, и т.д.

Таким образом, средствами контроля доступа к ресурсам в КС может быть реализована разграничительная политика, направленная на предотвращение атак на защищаемые ресурсы, реализуемых, в том числи, за счет вторжения в КС. Однако при этом разграничительная политика доступа должна строиться не в отношении субъекта доступа "пользователь", а в отношении субъекта доступа, задаваемого двумя сущностями: пользователь (учетная запись), процесс (полнопутевое имя исполняемого файла процесса), т.е. диспетчером доступа должны контролироваться события: какой пользователь, каким процессом запросил доступ к ресурсу (именно для определяемых подобным образом субъектов должны разграничиваться права доступа к ресурсам). При этом вторжения будут фиксироваться средствами аудита. В результате (при добавлении в субъект доступа сущности "процесс" в разграничительной политике) может быть реализована система обнаружения вторжений.

Однако важнейшей задачей защиты является не только обнаружение, но и предотвращение вторжений. В рассматриваемом выше случае предотвращаются атаки на защищаемые ресурсы (разграничиваются права доступа), реализуемые в результате осуществления вторжения, собственно же вторжение не предотвращается - процесс (приложение), на который осуществлена атака - являющийся инструментом вторжения злоумышленника, остается в КС активным, находится под его управлением и может далее эксплуатироваться злоумышленником с целью осуществления иных атак. Предотвращение же вторжения состоит в принудительном завершении процесса (приложения), на который осуществлена атака, в результате которой процесс (приложение) становится инструментом вторжения злоумышленника.

Защита КС от вторжений на основе контроля доступа к ресурсам должна состоять в следующем:

- разграничительной политикой доступа должна предотвращаться возможность несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения. Данные события могут быть идентифицированы, т.к. в общем случае они отличимы от несанкционированных (запрещенных разграничительной политикой) действий пользователей в КС (в данном случае процесс (приложение) реализует санкционированные для него функции - несанкционированные действия вызваны не поведением процесса, а действиями пользователя при штатной работе процесса);

- зафиксированные попытки несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения, должны фиксироваться в журнале аудита, чем реализуется система обнаружения вторжений;

- в качестве реакции на зафиксированную попытку несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения, данный процесс (приложение), реализующий нештатную (запрещенную разграничительной политикой доступа) функцию, должен принудительно завершаться средством защиты, чем реализуется система предотвращения вторжений.

Таким образом, реализация системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам состоит в реализации контроля доступа к ресурсам для субъекта доступа: пользователь, процесс; и в реализации двух видов реакции на зафиксированную попытку несанкционированного доступа к ресурсам, основанного на использовании злоумышленником процесса (приложения) в качестве инструмента вторжения - соответствующие правила и виды реакции задаются администратором при задании разграничительной политики доступа к ресурсам, - фиксирование данного события в журнале аудита (обнаружение вторжения) и принудительное завершение процесса (приложения), запросившего несанкционированный (в отношении соответствующих заданных администратором правил) доступ к защищаемым ресурсам.

Анализ литературных источников и описаний работы современных ОС и приложений позволяет отметить следующее. В качестве субъекта доступа в известных системах контроля доступа к ресурсам используется сущность "пользователь" (учетная запись), а реакцией на обнаружение несанкционированного доступа в известных системах контроля доступа к ресурсам является исключительно регистрация соответствующих событий в журнале аудита. Это не позволяет их рассматривать и использовать в качестве систем обнаружения и предотвращения вторжений.

В настоящее время известны различные системы контроля доступа к ресурсам.

Так, например, в системе разграничения доступа к ресурсам, Патент №2207619 (G06F 13/00), реализована возможность задавать разграничения доступа как для пользователей, так и для процессов. Однако, во-первых, возможно задание разграничительной политики доступа отдельно для субъекта «пользователь» и отдельно для субъекта «процесс», что не позволяет построить эффективную систему обнаружения вторжений (в разграничительной политике используется не один, а два невзаимосвязанных субъекта доступа), во-вторых, данная система не позволяет завершать процесс (приложение), в отношении которого обнаружено вторжение.

В заявке ЕПВ №0192243 (кл. G06F 12/14, 1986) описан способ защиты системных файлов, в котором информация, определяющая права доступа системных пользователей, остается все время в безопасном процессоре. Однако данная система не может позиционироваться, как система обнаружения и предотвращения вторжений (субъект доступа пользователь и реакции по завершению процессов в данной системе не предусмотрено).

В патенте №2134931 (кл. H04L 9/32, G06F 12/14) описан способ обеспечения доступа к объектам в операционной системе основанный на назначении меток безопасности субъектам и объектам доступа, при этом для каждого объекта операционной системы заранее формируют и затем запоминают в памяти сигнал метки объекта, т.е. права доступа к объектам, назначаемые в виде меток безопасности. Однако данная система не может позиционироваться, как система обнаружения и предотвращения вторжений (субъект доступа пользователь, определяемый в разграничительной политике меткой безопасности) и реакции по завершению процессов в данной системе не предусмотрено).

Наиболее близкой по техническому решению и выбранной авторами за прототип является система контроля доступа к ресурсам, реализуемая в ОС Microsoft Windows [М. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows. - СПб.: Питер, 2005 - 992 с. (глава 8, рис.8.5. Пример проверки прав доступа)].

Система контроля доступа к ресурсам представлена на Фиг.1. Система контроля доступа к ресурсам содержит блок анализа запроса доступа 1, решающий блок 2, блок аудита несанкционированных событий 3, блок хранения прав доступа к ресурсам 4, причем вход блока анализа запроса доступа 1 соединен с первым входом системы 4, второй выход - со вторым входом блока аудита несанкционированных событий 3, первый выход с первым входом решающего блока 2, второй вход которого - с выходом блока хранения прав доступа к ресурсам 4, первый выход - с первым входом блока хранения прав доступа к ресурсам 4, второй выход - с выходом системы 7, третий выход - с первым входом блока аудита несанкционированных событий 3, первый вход/выход которого - с первым входом/выходом системы 8, второй вход/выход - со вторым входом/выходом системы 9, второй вход блока хранения прав доступа к ресурсам 4 соединен со вторым входом системы 6.

Работает система контроля доступа к ресурсам следующим образом. Администратором со второго входа системы 6 (со входа задания прав доступа и аудита доступа к ресурсам - разграничительной политики доступа к ресурсам) в блок хранения прав доступа к ресурсам 4 устанавливаются права доступа к ресурсам субъектов (например, этот блок может хранить матрицу доступа в виде отдельного файла, может хранить правила доступа к объекту в виде атрибутов объекта), в которых указывается, какие субъекты (в данной системе - пользователи, определяемые их учетными записями), какое право доступа (чтение, запись, исполнение, переименование, удаление и т.д.) к какому ресурсу имеют, и нарушение каких правил доступа требуется фиксировать в журнале аудита - запоминать в блоке 3. При запросе доступа к ресурсу, поступающего на вход системы 5, содержащего в своем составе имя пользователя (учетная запись) и имя (полнопутевое имя соответствующего исполняемого файла) процесса, которым пользователь запрашивает доступ к ресурсу, полнопутевое имя ресурса (объекта), к которому запрашивается доступ, а также запрашиваемый тип доступа - чтение, запись и т.д.), запрос доступа с первого входа системы 5 (со входа запроса доступа) поступает в блок анализа запроса доступа 1. Блок 1 выделяет из поступившего запроса доступа необходимую для последующего анализа непротиворечивости запроса доступа заданным в блоке 4 правилам (имя пользователя, полнопутевое имя ресурса (объекта), запрашиваемый тип доступа, и выдает данную информацию для анализа в решающий блок 2, для регистрации параметров несанкционированного запроса (если блоком 2 этот запрос доступа будет признан несанкционированным) - в блок аудита несанкционированных событий 3. Для обработки запроса доступа решающий блок 2 с первого выхода запрашивает у блока хранения прав доступа к ресурсам 4 заданные администратором правила доступа субъектов к объекту, к которому запрошен доступ, получает их от него на второй вход и сравнивает параметры запрошенного доступа к ресурсу (полученными из блока 1 на первый вход) с разрешенными (запрещенными) правилами доступа субъекта, запросившего доступ, к этому объекту. В результате проведенного сравнения, решающий блок 2 выдает на выход системы 7 (на управляющий выход разрешения/запрета доступа) управляющий сигнал, разрешающий (если запрос не противоречит заданным правилам) или отклоняющий запрошенный у системы с первого входа системы 5 доступ. В случае нарушения правила доступа (зафиксирован несанкционированный доступ) при условии, что администратором при задании разграничительной политики доступа к ресурсам для данного правила в качестве реакции задана регистрация несанкционированного события в журнале аудита (со входа 6 в блоке 4), решающим блоком 2 в блок 3 выдается управляющий сигнал о необходимости фиксирования в журнале аудита параметров запроса доступа, как обнаруженного несанкционированного доступа. Параметры доступа, получаемые блоком 3 со второго выхода блока 1, регистрируются (запоминаются) блоком 3 в качестве параметров несанкционированного доступа. При этом блоком 3 со второго входа/выхода - со второго входа/выхода системы 9 запрашиваются необходимые дополнительные параметры для формирования необходимой информации в журнале аудита (дата, время зафиксированного несанкционированного доступа и т.д.). С первого входа/выхода системы 8 администратор может получить доступ к журналу аудита - к блоку 3 (прочитать, при необходимости, очистить журнал - прочитать, удалить соответствующий файл).

Прототип, реализующий разграничение прав доступа пользователей к ресурсам, не может позиционироваться даже как система обнаружения вторжений (не говоря уже об их предотвращении), поскольку не анализируются (не разграничиваются) права доступа к ресурсам для процессов, а в качестве реакции не предусмотрена возможность принудительного завершение процесса, в отношении которого зафиксировано вторжение. Подобным образом реализуется контроль (разграничение прав доступа) к различным защищаемым ресурсам КС - это файловые объекты, объекты реестра ОС, устройства, сетевые объекты, сервисы олицетворения и т.д.

В предлагаемом изобретении решается задача расширения функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.

Для достижения технического результата в систему контроля доступа к ресурсам, содержащую блок анализа запроса доступа, решающий блок, блок аудита несанкционированных событий, блок хранения прав доступа к ресурсам, причем вход блока анализа запроса доступа соединен с первым входом системы, второй выход - со вторым входом блока аудита несанкционированных событий, первый выход - с первым входом решающего блока, второй вход которого - с выходом блока хранения прав доступа к ресурсам, первый выход - с первым входом блока хранения прав доступа к ресурсам, второй выход - с первым выходом системы, третий выход - с первым входом блока аудита несанкционированных событий, первый вход/выход которого - с первым входом/выходом системы, второй вход/выход - со вторым входом/выходом системы, второй вход блока хранения прав доступа к ресурсам соединен со вторым входом системы, дополнительно введены блок определения процесса, запрашивающего доступ, и блок завершения процесса, причем вход блока определения процесса, запрашивающего доступ, соединен с первым входом системы, первый выход - с третьим входом решающего блока, с третьим входом блока аудита несанкционированных событий, второй выход - со вторым входом блока завершения процесса, первый вход которого - с четвертым выходом решающего блока, выход - со вторым выходом системы.

Новым в предлагаемом изобретении является снабжение системы контроля доступа к ресурсам блоком определения процесса, запрашивающего доступ, блоком завершения процесса и их связями.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам. Следовательно, заявленное техническое решение соответствует критерию «новизна».

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».

Совокупность существенных признаков в предлагаемом изобретении позволила обеспечить расширение функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.

В результате можно сделать вывод о том, что:

- предлагаемое техническое решение обладает изобретательским уровнем, т.к. оно явным образом не следует из уровня техники;

- изобретение является новым, так как из уровня техники по доступным источникам информации не выявлено аналогов с подобной совокупностью признаков;

- изобретение является промышленно применимым, так как может быть использовано во всех областях применения КС, подверженных атакам, где требуется решение задачи обнаружения и предотвращения вторжений.

Предлагаемое изобретение поясняется чертежом, представленным на Фиг.2.

Заявляемая система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам содержит блок анализа запроса доступа 1, блок определения процесса, запрашивающего доступ, 2, решающий блок 3, блок аудита несанкционированных событий 4, блок завершения процесса 5, блок хранения прав доступа к ресурсам 6, причем вход блока анализа запроса доступа 1 соединен со входом блока определения процесса, запрашивающего доступ, 2, с первым входом системы 7, второй выход - со вторым входом блока аудита несанкционированных событий 4, первый выход - с первым входом решающего блока 3, второй вход которого - с выходом блока хранения прав доступа к ресурсам 6, первый выход - с первым входом блока хранения прав доступа к ресурсам 6, второй выход - с первым выходом системы 9, третий выход - с первым входом блока аудита несанкционированных событий 4, первый вход/выход которого - с первым входом/выходом системы 11, второй вход/выход - со вторым входом/выходом системы 12, второй вход блока хранения прав доступа к ресурсам 6 соединен со вторым входом системы 8, первый выход блока определения процесса, запрашивающего доступ, 2-е третьим входом решающего блока 3, с третьим входом блока аудита несанкционированных событий 4, второй выход - со вторым входом блока завершения процесса 5, первый вход которого - с четвертым выходом решающего блока 3, выход - со вторым выходом системы 10.

Рассмотрим работу системы обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам.

Принципиально меняется разграничительная политика доступа субъектов к объектам. В качестве субъекта доступа, для которого администратором в блоке 6 со входа 8 задаются правила доступа к ресурсам (объектам) выступает сущность "пользователь, процесс" (назначаются правила доступа в отношении того, каким пользователем, каким процессом запрашивается доступ к ресурсу).

При запросе доступа, поступающем на вход системы 7, кроме выделения из запроса доступа параметров доступа блоком 1: имя пользователя (учетная запись), полнопутевое имя ресурса (объекта), к которому запрашивается доступ, а также запрашиваемый тип доступа - чтение, запись и т.д., блоком 2 выделяется из запроса доступа имя (полнопутевое имя соответствующего исполняемого файла) процесса, которым пользователь запрашивает доступ к ресурсу (объекту). Выявленные параметры (расширенные параметром имя процесса) из блоков 1 и 2 поступают в решающий блок 3 для анализа санкционированности (непротиворечивости заданным правилам) запроса доступа и в блок 4 для регистрации выявленного несанкционированного запроса, если он будет признан таким блоком 3. Одновременно параметр «имя процесса, запросившего доступ», блоком 2 выдается в блок 5, задачей которого является выработка управляющего сигнала на завершение процесса, запросившего несанкционированный доступ в отношении заданного правила, при условии, что для нарушенного правила в качестве реакции установлено завершение процесса, о чем блок 5 уведомляется блоком 3.

В качестве реакции на обнаруженное системой несанкционированное событие (реакции на нарушение правил доступа, задаваемых администратором в разграничительной политике для субъекта доступа: пользователь, процесс - полнопутевое имя исполняемого файла процесса, либо соответствующей маской (субъект доступа позволяет учитывать, какой пользователь каким процессом (приложением) запросил доступ к ресурсу, задаваемых со входа 8 в блок 6), администратором может быть установлены как регистрация подобного события в журнале аудита (в блоке 4), так и принудительное завершение системой процесса, запросившего выявленный системой несанкционированный доступ, блоком 5. Реакции на нарушении каждого заданного правила устанавливаются администратором со входа 8 системы и хранятся вместе с заданными правилами доступа к ресурсам в блоке 6. Реакция системы - принудительное завершение системой процесса, запросившего выявленный системой несанкционированный доступ, устанавливается администратором в отношении тех правил, нарушение которых им идентифицируется как вторжение в систему, например попытка исполнения интернет-браузером (соответствующим процессом) какой-либо программы, запрос интернет-браузером прав другого пользователя (запрос у ОС олицетворения потока данного процесса с правами другого пользователя) и т.д.

В случае нарушения правила доступа (зафиксирован несанкционированный доступ) при условии, что администратором при задании разграничительной политики доступа к ресурсам для данного правила в качестве реакции задана только регистрация несанкционированного события в журнале аудита, решающим блоком 3 в блок 4 выдается управляющий сигнал о необходимости фиксирования в журнале аудита параметров запроса доступа, как обнаруженного несанкционированного доступа. Параметры доступа, получаемые блоком 4 с соответствующих выходов блока 1 и блока 2, фиксируются (запоминаются) блоком 4 в качестве параметров несанкционированного доступа.

Если же для нарушенного (блоком 3 выявлено нарушение - попытка несанкционированного доступа) правила в качестве реакции системы администратором (со входа 8 в блоке 6) задана не только регистрация несанкционированного события в журнале аудита, но и принудительное завершение системой процесса, запросившего доступ к ресурсу с нарушением соответствующего правила, решающим блоком 3 (с четвертого выхода) в блок 5 выдается управляющий сигнал на завершение процесса, запросившего несанкционированный доступ. В отношении этого процесса, определяемого блоком 2 из запроса доступа, параметры которого передаются на второй вход блока 5, блоком 5 формируется управляющий сигнал на завершение данного процесса, выдаваемый на второй выход системы 10. Процесс принудительно завершается, чем предотвращается вторжение - последующие несанкционированные действия данного скомпрометированного процесса (приложения).

В остальном заявляемая система работает как прототип.

Оценим достижение поставленной цели - решение задачи расширения функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.

Видим, что соответствующая задача решена в полном объеме - системой могут не только обнаруживаться (за счет реализации разграничительной политики доступа для субъекта доступа: пользователь, процесс), но предотвращаться вторжения - принудительно завершаться скомпрометированный (что выявляется системой) процесс (приложение).

Изобретение является промышленно применимым в части возможности технической реализации включенных в систему блоков.

Техническая реализация всех блоков системы основана на типовых решениях по хранению и обработке данных (включая их выборку и анализ), по обработке запросов доступа к ресурсам. Все используемые блоки технически реализуемы и их реализация достигается стандартными средствами.

Данное решение апробировано заявителем при построении опытного образца средства защиты от вторжений.

Таким образом, в предлагаемом изобретении решены задачи расширения функциональных возможностей системы контроля доступа к ресурсам, за счет реализации функций обнаружения и предотвращения вторжений.

С учетом современного уровня развития вычислительной техники оно технически реализуемо.

Система контроля доступа к ресурсам, содержащая блок анализа запроса доступа, решающий блок, блок аудита несанкционированных событий, блок хранения прав доступа к ресурсам, причем вход блока анализа запроса доступа соединен с первым входом системы, второй выход - со вторым входом блока аудита несанкционированных событий, первый выход - с первым входом решающего блока, второй вход которого - с выходом блока хранения прав доступа к ресурсам, первый выход - с первым входом блока хранения прав доступа к ресурсам, второй выход - с первым выходом системы, третий выход - с первым входом блока аудита несанкционированных событий, первый вход/выход которого - с первым входом/выходом системы, второй вход/выход - со вторым входом/выходом системы, второй вход блока хранения прав доступа к ресурсам соединен со вторым входом системы, отличающаяся тем, что в нее дополнительно введены блок определения процесса, запрашивающего доступ, и блок завершения процесса, причем вход блока определения процесса, запрашивающего доступ, соединен с первым входом системы, первый выход - с третьим входом решающего блока, с третьим входом блока аудита несанкционированных событий, второй выход - со вторым входом блока завершения процесса, первый вход которого - с четвертым выходом решающего блока, выход - со вторым выходом системы.

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС).

Система контроля доступа к файлам на основе их ручной и автоматической разметки // 2543556

Изобретение относится к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах. Техническим результатом является повышение эффективности контроля доступа к файлам.

Способ аутентификации пользователей с защитой от подсматривания // 2541868

Изобретение относится к области аутентификации пользователей. Техническим результатом является повышение эффективности аутентификации пользователей.

Система переформирования объекта в запросе доступа // 2538918

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей.

Устройство создания доверенной среды для компьютеров информационно-вычислительных систем // 2538329

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы.

Способ загрузки компьютером защищенного хранилища данных // 2538288

Изобретение относится к области защиты хранилища данных компьютера. Техническим результатом является повышение эффективности защиты хранилища данных.

Способ проверки антивирусом компьютера в uefi на ранней стадии загрузки компьютера // 2538287

Изобретение относится к области защиты компьютера от вредоносных программ. Техническим результатом является повышение безопасности компьютера.

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера // 2538286

Изобретение относится к области запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Техническим результатом является повышение безопасности компьютера.

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера // 2537814

Система контроля доступа к ресурсам компьютерной системы с субъектом доступа "пользователь, процесс" // 2534599

Изобретение относится к системе защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей контроля доступа к ресурсам.

Карта с интегральной микросхемой с защищенным входным/выходным буфером // 2549517

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении защиты карты. Карта с интегральной микросхемой содержит блок обработки, связанный с оперативным запоминающим устройством и со средствами обмена данными с внешним устройством, причем оперативное запоминающее устройство содержит единственную зону памяти, выделенную для данных обмена, при этом блок обработки выполнен с возможностью записывать данные, которые предназначены для обмена между указанной картой с интегральной микросхемой и указанным внешним устройством, в указанную единственную выделенную зону памяти и с возможностью ограничивать риск попадания в эту единственную выделенную зону памяти данных, которые способны нарушить защиту карты, при этом блок обработки программирован таким образом, чтобы скремблировать данные, содержащиеся в указанной единственной выделенной зоне памяти, перед передачей данных из внешней среды, с тем чтобы данные, последовательно принимаемые картой, не могли быть рекомбинированы или использованы для создания несанкционированной команды. 2 н. и 6 з.п. ф-лы, 1 ил.

Способ загрузки кода по меньшей мере одного программного модуля // 2557459

Изобретение относится к вычислительной технике. Технический результат заключается в устранении нарушений в работе операционной системы за счет загрузки кода по меньшей мере одного программного модуля в главную память посредством процессора системы безопасности. Способ загрузки кода программного модуля в главную память посредством процессора системы безопасности, в котором главный загрузчик осуществляет загрузку в главную память кода указанного программного модуля до запуска исполнения операционной системы в диапазон адресов главной памяти, находящийся вне диапазона адресов, используемого операционной системой, и после запуска операционная система переадресует обращение к указанному программному модулю от пользовательской программы по адресу в главной памяти, по которому был загружен код программного модуля до запуска исполнения операционной системы, с использованием файловой системы операционной системы, которая автоматически ассоциирует адрес программного модуля в пространстве виртуальной памяти пользовательской программы с физическим адресом программного модуля в главной памяти. 4 н. и 11 з.п. ф-лы, 5 ил.

Способ защиты информации и портативное многофункциональное устройство для защиты информации // 2560827

Изобретение относится к вычислительной технике. Технический результат заключается в повышении степени защищенности информации, хранящейся на внешнем носителе. Способ защиты информации, в котором осуществляют шифрование данных, записанных в виде файла, путем шифрования отдельным ключом каждой структурной единицы памяти (сектора/группы секторов), содержащей данные файла. Размер структурной единицы памяти, подлежащей шифрованию самостоятельным ключом, задается заранее. Шифрование каждой структурной единицы памяти осуществляется ключом, случайно выбранным из массива ключей, заранее сформированных и хранящихся в блоке хранения персональных данных. Также в заявляемом способе осуществляют контроль управляющих команд и типа внешнего накопителя, позволяющих исключить возможность записи на внешний накопитель несанкционированных данных, или же исключить использование модифицированных накопителей. 2 н. и 2 з.п. ф-лы, 2 ил.

Устройство обнаружения компьютерных атак в маршрутах // 2566331

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления компьютерных атак в доверенных маршрутах информационно-телекоммуникационной сети (ИТКС). Техническим результатом является повышение достоверности обнаружения компьютерных атак в маршрутах ИТКС. Устройство обнаружения компьютерных атак в маршрутах содержит счетчики (2, 5, 7, 9, 10, 14, 16, 18), блоки дешифрации (3, 4, 8, 11, 12, 15, 17, 19), блоки сравнения (13, 28), центральный блок управления (30), блок управления (24), блок индикации (25) и блоки памяти (1, 6, 26, 29, 31). Первый блок памяти (1) снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого (3), третьего (8), четвертого (11), пятого (12), шестого (15), седьмого (17) и восьмого (19) блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого (11) и пятого (12) блоков дешифрации подключены к первому блоку сравнения (13), информационный выход которого подключен к третьему блоку памяти (26). Информационный вход пятого блока памяти (31) подключен к информационному выходу второго блока сравнения (28). Управляющий вход блока центрального управления передающим устройством (30) подключен к информационному выходу пятого блока памяти (31). Причем управляющие входы третьего блока памяти (26), четвертого блока памяти (29) и пятого блока памяти (31) объединены и являются управляющим входом устройства. 6 ил.

Устройство создания доверенной среды для компьютеров специального назначения // 2569577

Изобретение относится к информационной безопасности. Технический результат заключается в повышении эффективности защиты от несанкционированного доступа (НСД) к аппаратным и программным компонентам и к информации, хранимой и обрабатываемой в ПК. Устройство создания доверенной среды и защиты информации от НСД содержит управляющий микроконтроллер, энергонезависимую флэш-память, энергонезависимую быстродействующую память, быстродействующий электронный ключ, накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, блок переключателей для выбора режима работы устройства, при этом устройство выполнено в виде отдельного автономного блока, и дополнительно включает в себя универсальный разъем стандарта PCI Express М.2 Specification, через который реализованы интерфейсы взаимодействия устройства с материнской платой компьютера, преобразователь уровня сигнала чипсета, включенный в состав быстродействующего электронного ключа, независимое от чипсета устройство блокировки и управления основным питанием компьютера и интерфейс идентификации модели материнской платы для автоматической настройки параметров взаимодействия с ней устройства. 1 з.п. ф-лы, 2 ил.

Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну // 2571372

Изобретение относится к защите от несанкционированного доступа к информации, хранимой на компьютерах, в автоматизированных системах обработки информации. Технический результат заключается в повышении защиты информации пользователя от несанкционированного доступа. Согласно изобретению система включает автоматизированные рабочие места пользователей (АРМ) и функциональные серверы системы, дополнительно введены системы обмена с внешними системами защиты информации, которые подключены соответственно к шинам управления и обмена данными АРМ пользователей и к шинам управления и обмена данными функциональных серверов, кроме того, в каждую систему защиты информации пользователя от несанкционированного доступа дополнительно введена база данных системы обмена с внешними системами защиты информации, соединенную с шиной управления и обмена данными соответствующего АРМ пользователя или функционального сервера. 1 ил.

Устройство и способ для основанной на аппаратных средствах безопасной обработки данных с использованием правил диапазона адресов буферной памяти // 2573215

Изобретение относится к вычислительной технике. Технический результат заключается в безопасной обработке данных. Процессор для обработки потока данных из множества источников мультимедийного контента для устройства отображения содержит блок защиты, который определяет, основаны ли выходные данные, подлежащие записи из видеокодека в буферную память, на входных данных из по меньшей мере одной защищенной ячейки, ассоциированной с защищенным диапазоном адресов буферной памяти, и в ответ на определение: i) разрешает запись выходных данных в одну или более защищенных ячеек буферной памяти, причем защищенные ячейки ассоциированы с защищенным диапазоном адресов буферной памяти; и ii) блокирует запись выходных данных в одну или более незащищенных ячеек буферной памяти, причем незащищенные ячейки ассоциированы с незащищенным диапазоном адресов буферной памяти. 5 н. и 29 з.п. ф-лы, 7 ил.

Система и способ применения правил доступа к файлам при их передаче между компьютерами // 2573785

Изобретение относится к области защиты компьютерных устройств и данных конечных пользователей от несанкционированного доступа. Техническим результатом является повышение уровня защиты информации от неавторизованного доступа путем применения правил доступа к файлам при их передаче между компьютерами. Система применения правил доступа к файлам при их передаче между компьютерами содержит 1) средство определения правил доступа, установленное на локальном компьютере, предназначенное для: перехвата запросов пользователя удаленного компьютера на получение доступа к файлу локального компьютера; определения параметров по крайней мере следующих объектов: пользователя удаленного компьютера, файла, удаленного компьютера; при этом параметры удаленного компьютера включают по крайней мере следующие: показатели, определяющие для каждого из дисков, является ли диск зашифрованным; уровень безопасности, зависящий по крайней мере от одного из следующих параметров: дата последнего обновления антивирусных баз, наличие незакрытых уязвимостей на компьютере, дата последней антивирусной проверки, результаты последней антивирусной проверки, список установленных на компьютере приложений; тип шифрования дисков, который принимает одно из двух значений: шифрование файлов диска, шифрование диска целиком; определения правила доступа с помощью базы данных политик доступа на основе упомянутых определенных параметров, при этом упомянутое правило доступа является одним из следующих: запретить доступ, предоставить прозрачный доступ к зашифрованному файлу, предоставить зашифрованные файлы в виде шифротекста; передачи правила доступа средству применения правил доступа, установленному на удаленном компьютере; 2) упомянутое средство применения правил доступа, связанное со средством определения правил доступа и предназначенное для применения упомянутого определенного правила доступа к файлу локального компьютера в зависимости от установленных параметров объектов; 3) упомянутую базу данных политик доступа, содержащую правила доступа к файлам локального компьютера для удаленного компьютера в зависимости от параметров объектов. 2 н. и 21 з.п. ф-лы, 5 ил., 1 табл.

Способ безопасного расширения функций аппаратных средств защиты информации // 2574347

Изобретение относится к защите информации. Технический результат - обеспечение доверенной загрузки новых программных модулей. Способ безопасного расширения функций технических средств защиты информации (ТСЗИ), аппаратные составляющие которых представляют собой встраиваемые в защищаемые средства вычислительной техники (СВТ) автономные функционально достаточные устройства, состоящие из, по меньшей мере, энергонезависимой памяти (ЭНП), в которой хранят программные модули, соответствующие, по меньшей мере, одной функции из набора поддерживаемых ТСЗИ защитных функций, и контроллера, через который осуществляют доступ к ЭНП, путем доверенной загрузки новых программных модулей, под управлением которых обеспечивается требуемое расширение набора защитных функций, при этом новые программные модули хранят подписанными электронными подписями их поставщиков, полученными с помощью ключей подписи, во внешних по отношению к ЭНП ТСЗИ накопителях, в ЭНП ТСЗИ хранят базу ключей проверки подписей поставщиков новых программных модулей, и перед сеансом загрузки контролируют подлинность загружаемых программных модулей посредством процедуры проверки подписей. 3 з.п. ф-лы.

Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы // 2583714

Настоящее изобретение относится к системам и способам обеспечения безопасности и, более конкретно, к системам и способам обеспечения безопасности, работающим независимо от операционной системы, но выполненным с поддержкой приложения безопасности, работающего на уровне операционной системы. Технический результат настоящего изобретения заключается в повышении уровня безопасности компьютерной системы путем обеспечения безопасности компьютерной системы на этапе до запуска операционной системы. Способ обеспечения безопасности компьютерной системы на этапе до запуска операционной системы включает: а) осуществление запуска UEFI из постоянного запоминающего устройства перед запуском операционной системы; б) запуск из UEFI агента безопасности, работающего независимо от операционной системы; в) осуществление посредством агента безопасности сканирования и последующего удаления или помещения на карантин вредоносного программного обеспечения; где сканирование на наличие вредоносного программного обеспечения проводится лишь среди объектов, относящихся к запуску операционной системы и связанных с приложением безопасности, установленным в операционной системе; и где для осуществления сканирования агентом безопасности используется регулярно обновляемая база данных определений вредоносного программного обеспечения, хранящаяся на уровне упомянутого UEFI; г) выявление посредством агента безопасности состояний, связанных с событиями, имевшими место до последнего завершения работы операционной системы, по меньшей мере, одного из следующих типов: определение неспособности приложением безопасности, установленным в операционной системе, выполнять свои функции; выявление изменения в компьютерной системе, влияющего на процесс запуска операционной системы; д) определение агентом безопасности, по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов, где действия включают в себя, по меньшей мере, одно из: управление объектами, сохраненными в файловой системе компьютерной системы; осуществление взаимодействия с удаленными серверами; откат до более ранних версий приложений, установленных в операционную систему; отправка посредством агента безопасности запроса на выполнение после запуска операционной системы действия со стороны приложения безопасности, установленного в операционную систему; е) выполнение посредством агента безопасности упомянутого определенного в пункте д), по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов. 8 з.п. ф-лы, 10 ил.