Способ и система автоматического управления лицензиями

Авторы патента:

G06F21/00 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2587422:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к системам и способам администрирования и управления лицензиями на программное обеспечение устройств, а более конкретно к системам и способам автоматического определения порядка применения политик безопасности к устройствам в сети исходя из доступного числа лицензий. Технический результат настоящего изобретения заключается в повышении защищенности устройств компьютерной сети с ограниченным набором лицензий на программное обеспечение. Способ применения политик безопасности к устройствам содержит этапы, на которых: а. выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств, где критерии выбирают в зависимости от целей сортировки устройств; б. получают значения критериев для каждого из устройств; в. вычисляют значение коэффициента устройства на основании полученных значений критериев для сортировки устройств, где коэффициент устройства числовое значение, вычисленное из полученных значений критериев для устройств; г. определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства; д. получают политику безопасности для каждого из устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; е. определяют набор функционала программного обеспечения, способный обеспечить требования полученной политики безопасности; ж. применяют полученную политику безопасности к устройству на основании приоритета определенного в пункте г., программным обеспечением для которого получены доступные лицензии, где выбирают ту лицензию на программное обеспечение для применения полученных политик безопасности из полученных доступных лицензий, которая позволяет использовать набор функционала программного обеспечения, способный применить полученную политику безопасности к устройству, при этом при недоступности лицензии, позволяющей применить политику полностью, выбирают такую из доступных лицензий, которая разрешает использование того объема функционала, который позволит применить полученную политику максимально полно. 7 з.п. ф-лы, 3 ил.

Область техники

Настоящее изобретение относится к системам и способам управления лицензиями на программное обеспечение устройств, а более конкретно к системам и способам автоматического определения порядка применения политик безопасности к устройствам в сети исходя из доступного числа лицензий.

Уровень техники

В настоящее время часто встречаются ситуации, когда число устройств корпоративной локальной сети растет, а кроме того, увеличивается разнообразие устройств. Если раньше корпоративная сеть ограничивалась стационарными компьютерами и ноутбуками, то теперь наравне с ними в сети используются смартфоны, планшеты, коммуникаторы. Таким «парком» устройств тяжело управлять администратору при отсутствии средств автоматизации.

Одним из способов автоматизации является сортировка или классификация устройств в соответствии с какими-либо признаками или критериями (тип устройства, пользователь устройства, программное обеспечение, установленное на устройстве и т.д.), с последующим использованием подобной сортировки для решения различных задач администрирования сети.

Из уровня техники известны публикации, которые описывают методы сортировки устройств для упрощения управления этими устройствами. Так, публикация US 8341717 описывает динамическое назначение сетевых политик устройствам на основании классификации. Устройства опознаются на основании цифровых сертификатов, и в зависимости от классификации сертификата устройству предоставляется доступ к различным услугам.

В патенте US 7979864 описываются способы определения количества лицензий для решения поставленных задач в порядке приоритета, также учитываются неиспользованные лицензии, которые перераспределяются для решения задачи.

Описываемые способы позволяют управлять лицензиями в сети и сортировать устройства для предоставления услуг, но данные методы и их совокупность не позволяют оперативно реагировать на меняющуюся конфигурацию устройств и их количество и осуществлять оптимальную защиту устройств в сети с ограниченным набором лицензий.

Описываемая далее система и способ позволяют автоматически применять политики безопасности к устройствам, учитывая приоритет устройств и количество доступных лицензий.

Раскрытие изобретения

Настоящее изобретение предназначено для автоматического назначения порядка шифрования устройству в корпоративной локальной сети.

Технический результат настоящего изобретения заключается в повышении защищенности устройств компьютерной сети с ограниченным набором лицензий на программное обеспечение, осуществляющее применение политик безопасности к устройствам сети, путем применения назначенных политик безопасности к устройствам на основании приоритета устройств, установленного сортировкой устройств сети на основании определенного значения коэффициента устройства.

Способ применения назначенных политик безопасности к устройствам, в котором: выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств; получают значения критериев для устройств; вычисляют значение коэффициентов устройств на основании полученных значений критериев для сортировки; определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства; получают политику безопасности для устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; применяют полученные политики безопасности к устройствам на основании приоритета, определенного ранее, программным обеспечением для которого получены доступные лицензии.

В частном случае реализации способа определяют набор функционала программного обеспечения, способный обеспечить требования назначенной политики безопасности. В частном случае определяют лицензию на программное обеспечение, которая позволяет использовать набор функционала программного обеспечения, способный применить политику безопасности к устройству. Также могут использовать набор функционала программного обеспечения для применения политики безопасности, который позволяет использовать доступные лицензии.

В другом частном случае реализации способа политиками безопасности являются политики шифрования.

В еще одном частном случае наибольший приоритет получают устройства с наибольшим значением коэффициента. В другом случае наименьший приоритет получают устройства с наименьшим значением коэффициента.

В частном случае политики применяются к устройству последовательно в порядке, установленном приоритетом.

В другом частном случае сортируют устройства в порядке убывания коэффициента устройства.

Еще в одном частном случае сортируют устройства в порядке возрастания коэффициента устройства.

Система применения назначенных политик безопасности к устройствам, которая содержит: средство анализа, предназначенное для выбора критериев для устройств, которые, по меньшей мере, характеризуют местоположение устройства, пользователей устройства, программное обеспечение устройства и определения приоритета применения политики безопасности к устройству, сортируя устройства в соответствии с определенным значением коэффициента устройства; средство управления, связанное со средством анализа и предназначенное для получения значения критериев, по меньшей мере, для одного устройства, определения коэффициента устройства на основании полученных значений критериев, применения политик безопасности к устройствам на основании приоритета при помощи программного обеспечения, для которого получены доступные лицензии и получения политики безопасности для устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; базу данных, связанную со средством управления и средством анализа, предназначенную для хранения политик безопасности и доступных лицензий.

В частном случае реализации системы средство анализа дополнительно предназначено для определения набора функционала программного обеспечения, способного обеспечить требования назначенной политики безопасности.

В другом частном случае средство анализа дополнительно предназначено для определения лицензии на программное обеспечение, которая позволяет использовать набор функционала программного обеспечения, способный применить назначенную политику безопасности к устройству.

Еще в одном частном случае средство анализа дополнительно предназначено для использования набора функционала программного обеспечения для применения политики безопасности, которое позволяет использовать доступные лицензии.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 изображает пример системы применения назначенных политик безопасности к устройствам.

Фиг.2 изображает способ применения назначенных политик безопасности к устройствам.

Фиг.3 изображает пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Одной из задач, для которых применяется сортировка устройств, является осуществление оптимальной защиты устройств в сети. Оптимальная защита осуществляется путем определения приоритета устройств при применении к устройствам политик безопасности. Политики безопасности применяются в условиях ограниченного числа лицензий на программное обеспечение, используемое для применения политик безопасности к устройству. В данном случае под политикой безопасности понимается ряд технологических приемов (шифрование файлов содержащих конфиденциальную информацию, запрет на использование внешних накопителей, использование антивирусного программного обеспечения и т.д.), которые регулируют управление, защиту и распределение ценной информации. Политиками безопасности в частном случае являются политики шифрования, политики антивирусной защиты. Программным обеспечением, используемым для применения политик безопасности, в частном случае является антивирусное программное обеспечение с широким набором функционала, часть которого может быть ограничена действующей лицензией. Также таким программным обеспечением, в частном случае, является программное обеспечение, используемое при шифровании, которое также в зависимости от лицензии предоставляет различный функционал. Например, одна лицензия позволяет использовать только шифрование файлов, другая допускает применение полнодискового шифрования. Антивирусное программное обеспечение может быть также функционально ограничено действующей лицензией, например лицензия допускает использование лишь локальной базы данных, хранящей записи о вредоносном программном обеспечении, и не позволяет использовать базы данных на удаленных серверах.

В описанных условиях необходимо выбрать наиболее приоритетные устройства для применения политик и осуществить их защиту в первую очередь. Приоритет устройств определяют сортировкой.

Для сортировки устройств в сети необходимо получить наиболее полное представления об устройстве в сети, чтобы сортировка была наиболее объективной. Для этого используют максимально широкий набор критериев. Для сортировки устройств учитывают, например, пользователей устройств, программное обеспечение, установленное на устройствах, аппаратную часть устройств, файлы, хранящиеся на устройстве, а также местоположение устройства по отношению к корпоративной локальной сети предприятия.

Местоположение устройства - группа критериев, которая определяет мобильность устройства. На основании этой группы делают вывод о том, покидает ли устройство границы корпоративной локальной сети, в каких участках корпоративной сети находится устройство и т.д. Статистику по местоположению получают, например, проанализировав точки доступа, к которым подключается устройство, по маске подсети или используют данные с модуля геолокации устройства. Если установлено, что устройство перемещается, то устройство по критерию мобильности признается мобильным, в противном случае устройство признается немобильным. Также определить данный критерий возможно, проанализировав данные об аппаратном обеспечении устройства: если аппаратура соответствует ноутбуку или телефону, то логично предположить, что устройство является мобильным. Следует отметить, что мобильными могут являться не только телефоны, ноутбуки или планшеты, стационарные ПК также могут перемещаться, например переезжать с одного рабочего места на другое. Критерии этой группы в частном случае могут определять следующий тип местоположения: устройство не перемещается, устройство перемещается внутри корпоративной сети, устройство покидает пределы корпоративной сети.

Пользователи устройств - группа критериев, которая определяет владельцев устройств или лиц, которые временно используют данное устройство для работы. Эти критерии могут указывать как на конкретное лицо, так и на некоторую группу пользователей, например администраторов, топ-менеджеров, разработчиков и т.д. Конкретное лицо определяют, например, именем и должностью, идентификационным номером, учетной записью. Данная группа критериев также характеризует поведение пользователя, в частном случае для этого используются критерии, которые определяют использование сменных носителей пользователем, работу в Интернете, установку прикладного программного обеспечения.

Программное обеспечение, установленное на устройстве, - группа критериев, которая характеризует программное обеспечение, под управлением которого находится устройство (операционную систему и компоненты, приложения, микропрограммы и т.д.). Критерии в частном случае могут указывать на конкретное программное обеспечение, например критерий KIS, укажет на то, установлено ли на устройстве Kaspersky Internet Security. В другом частном случае критерии указывают на версию программного обеспечения, например критерий KIS 2010 указывает на то, установлено ли на устройстве Kaspersky Internet Security версии 2010. Также критерии определяют принадлежность программного обеспечения к некоторой группе, например игровое программное обеспечение, офисное программное обеспечение, браузеры, антивирусное программное обеспечение, специальное программное обеспечение и т.д. Под специальным программным обеспечением понимается совокупность программ, используемых для решения определенного класса задач, например программное обеспечение автоматизированной системы управления технологическими процессами. Также критерий может характеризовать уязвимость программного обеспечения, показывая, насколько данное программное обеспечение угрожает безопасности устройства. При сортировке для определения первоочередных устройств, которые необходимо обновлять, в частном случае используется критерий устаревания программного обеспечения, который показывает, насколько программное обеспечение устарело.

Группа критериев, которая включает в себя критерии, характеризующие файлы, хранящиеся на устройстве. Эти критерии учитывают тип хранящихся документов, их количество, гриф секретности документов (специальная отметка, свидетельствующая о степени секретности сведений, содержащихся в их носителе) или их конфиденциальность (информация, хранящаяся в документе, общедоступна, или к ней имеет доступ ограниченный круг лиц). Применение этих критериев к устройству позволяет составить представление о назначении и целях использования устройства, например, компьютер секретаря, разработчика, сервер с базой данных, мобильное устройство частного лица и т.д. Для получения значений критериев этой группы в частном случае используется агент управления 105 (Фиг.2). Агент управления 105 разбирает и анализирует документы, хранящиеся на устройстве. Таким образом, агент определяет тип документов, конфиденциальность документов и гриф секретности. Для определения конфиденциальности в частном случае применяются методы поиска по словарю, синтаксический разбор фрагментов документа по шаблону, технологии цифровых отпечатков. Для определения грифа секретности применяются в частном случае те же методы и технологии, что и для определения конфиденциальности.

Перечисленные критерии принимают как булевы значения, так и некоторые дискретные значения в зависимости от целей сортировки. Например, критерий уязвимости программного обеспечения в одном случае принимает значения 0 - уязвимо - или 1 - уязвимостей в данном программном обеспечении не обнаружено. В другом случае данный критерий принимает значение от 0 до 5, где 0 характеризует программное обеспечение, уязвимости в котором неизвестны, а 5 характеризует программное обеспечение, уязвимости в котором обнаруживаются регулярно.

В зависимости от целей сортировки выбираются различные критерии. Сортировка осуществляется по убыванию или возрастанию коэффициента устройства, который получают на основании критериев. Коэффициент устройства в частном случае получают одним из перечисленных методов: нейронная сеть, нечеткая логика, суммирование с учетом значимости критериев, пример дан ниже. Полученный коэффициент имеет различное прикладное значение, все зависит от используемых критериев для расчета и целей сортировки.

Для осуществления оптимальной защиты устройств в сети с ограниченным набором лицензий, применяют способ, изображенный на Фиг.2. В первую очередь определяют критерии для устройств 201, которые способны охарактеризовать устройство с позиции приоритетности применения политики безопасности. Например, такими критериями являются: группа критериев, которая определяет мобильность устройства; группа критериев, которая определяет владельцев устройств или лиц, которые временно используют данное устройство для работы; группа критериев, которая включает в себя критерии, характеризующие документы, хранящиеся на устройстве. Данные критерии выбираются для каждой конкретной сортировки на основании установленных правил в сети. После того как критерии определены, необходимо получить их значения для устройств на этапе 202, для которых необходимо определить приоритет и применить политики безопасности. Способы получения значений различны. В одном частном случае может использоваться агент управления 105 (Фиг.1), установленный на устройстве 100. Агент управления 105 получает значения критериев и отправляет их на сервер управления 102. В другом частном случае сервер управления 102 самостоятельно получает эти значения. Например, для определения местоположения устройства 100 сервер управления 102 получает данные от агента управления 105, который получит данные от служб геолокации, а в другом случае сервер управления 102 определит подсеть, в которой работает устройство 100. Еще в одном частном случае для получения значений критериев используется смешанный способ, в котором в зависимости от ситуаций сервер управления 102 использует как агент управления 105, так и собственные сервисы, например сканер портов. После получения значений критериев их необходимо обработать для определения коэффициента устройства 100 на этапе 203. Способы, используемые для получения коэффициента устройства, различны. Например, суммирование с учетом значимости критериев:

Kf=X₁*Kr₁+X₂*Kr₂+X₃*Kr₃+…+X_n*Kr_n, где:

Kf - коэффициент устройства;

X_n - коэффициент значимости;

Kr_n - значение критерия.

Коэффициент значимости отражает важность используемого критерия, данный коэффициент определяется действующими правилами в сети, либо жестко задан в алгоритмах сортировки. Использование данного коэффициента позволяет учитывать различия в значимости критериев. Таким образом определяются значения коэффициентов для всех устройств, к которым необходимо применить назначенные политики безопасности. После определения значения коэффициента устройства устройства сортируются на этапе 204. Сортировка в частном случае осуществляется упорядочиванием в порядке возрастания коэффициента. В другом частном случае упорядочиванием в порядке убывания коэффициента. Наибольший приоритет получают устройства с наибольшим коэффициентом. В частном случае наибольший приоритет получают устройства с наименьшим коэффициентом. Определив приоритет, на этапе 205 получают назначенные политики для устройств и доступные лицензии на программное обеспечение, используемое для применения политик безопасности. Источником этой информации в частном случае является база данных сети. Получив политики безопасности, доступные лицензии и определив приоритет, применяют назначенные политики безопасности к устройствам в порядке приоритета на этапе 206. В первую очередь применяют политику безопасности к устройствам, имеющим наибольший приоритет, далее политика применяется к устройствам с наименьшим приоритетом.

Политика безопасности в частном случае назначается на основании значения коэффициента. Например, политика шифрования установит:

1) необходимость шифрования, которая указывает на то, необходимо ли устройство шифровать вообще;

2) очередность шифрования данного устройства, очередность шифрования указывает на место в очереди на шифрование, ее устанавливают после сортировки устройств по полученным коэффициентам устройств;

3) тип шифрования указывает на полнодисковое шифрование устройства или шифрование отдельных файлов устройства;

4) алгоритм шифрования.

В частном случае для установления политики шифрования на основании коэффициента устройства используется база данных. Пример реализации базы данных представлен ниже.

Коэффициент устройства	Политика шифрования для устройств
Kf>5	Полнодисковое шифрование всех разделов носителей данных устройства
Kf>4	Шифрование всех файлов на устройстве, за исключением исполняемых и библиотек компонентов
Kf>3	Шифрование конфиденциальных, секретных и всех текстовых документов и изображений
Kf>2	Шифрование конфиденциальных, секретных и всех текстовых документов
Kf>1	Шифрование конфиденциальных и секретных документов
Kf=1, Kf<1	Шифрование не применяется

В левом столбце указано значение коэффициента устройства, а справа - соответствующая политика. В другом частном случае база имеет вид, представленный ниже.

Элемент политики	Коэффициент устройства
Полнодисковое шифрование	Kf>5

Шифрование исполняемых файлов	Kf>4
Шифрование изображений	Kf>3
Шифрование текстовых документов	Kf>2
Шифрование конфиденциальных документов	Kf>1
Шифрование секретных документов	Kf>1
…	…

В левом столбце представлены элементы политик, а в правом - значение коэффициента, при котором элемент включают в политику. Таким образом, политика будет собрана из элементов в соответствии с вычисленным коэффициентом. В первом примере политики жестко задаются, во втором случае формируются гибко. После установки политики шифрования устройства к устройству применяются эти политики шифрования.

Расчет по представленной методике иллюстрируется примером. Имеется некоторое мобильное устройство, принадлежащее топ-менеджеру, на котором хранятся конфиденциальные документы. Для расчета выбираются следующие критерии: мобильность (X₁), наличие конфиденциальных документов (X₂), должность пользователя устройства (X₃). Определяются значения критериев X₁=1 (устройство мобильно), X₂=1 (устройство хранит конфиденциальные документы), X₃=2 (устройство руководителя). Определяют коэффициент устройства:

Kf=X₁*Kr₁+X₂*Kr₂+X₃*Kr₃=1.1*1+2*1+0,5*2=4.1

На основании определенного коэффициента в соответствии с первой таблицей назначают политику шифрования, по которой будет осуществлено шифрование всех файлов на устройстве, за исключением исполняемых файлов и библиотек компонентов.

На Фиг.1 изображена система, реализующая описанный выше способ. Система включает устройства 100, к которым необходимо применить политики безопасности. Средство управления 101, установленное на сервере управления 102, имеет сетевое соединение с устройствами 100. Средство управления связано с базой данных 103, хранящей информацию о критериях, назначенных политиках безопасности и доступных лицензиях на программное обеспечение, и средством анализа 106. Средство анализа 106 выбирает критерии, значения которых необходимы для определения коэффициента устройства. Выбор происходит в частном случае путем извлечения этих критериев из текущих правил, установленных для назначения политик безопасности. Правила хранятся в базе данных 103 и в частном случае являются перечислением критериев. После выбора критериев средство анализа 106 передает критерии средству управления 101, средство управления 101 получает значения этих критериев для устройства 100, для получения критериев средство управления 101 обращается как к самому устройству 100, так и к базе данных 103. Используя полученные значения, средство управления 101 рассчитывает значение коэффициента устройства 100. Рассчитав коэффициент устройства для всех устройств, средство управления 101 передает значения коэффициента средству анализа 106. средство анализа 106, осуществляет сортировку устройств в соответствии с рассчитанным коэффициентом и сохраняет результаты в базе данных 103. Средство управления 101 получает доступные лицензии и назначенные политики безопасности и применяет их к устройствам 100, в порядке приоритета.

В частном случае средство анализа 106 разбирает назначенные политики безопасности на элементы, пример будет дан ниже, и определяет набор функционала программного обеспечения, который необходим для применения политики на устройстве. При применении политик, когда в порядке приоритета очередь дойдет до применения указанной политики, средство анализа 106 выберет из доступных лицензий ту, которая позволяет использовать весь необходимый набор функционала для применения политики. В частном случае, если не доступна лицензия, позволяющая применить политику полностью, будет подобрана лицензия, которая разрешает использование того объема функционала, который позволит применить политику максимально полно.

Далее приводится пример работы описанной системы. Имеется три устройства и заданные для них политики безопасности. Для применения политик шифрования на устройствах 100 установлены агенты управления 105. Имеются две лицензии: одна разрешает использовать полный функционал агентов, вторая ограничивает агенты управления 105 по функционалу и допускает лишь шифрование файлов.

Устройства и политики представлены ниже

Устройства	Политики шифрования
1. Ноутбук	Полнодисковое шифрование всех разделов носителей данных устройства
Пользователь: руководитель
Мобильность: да
Конфиденциальные данные: да
2. Стационарный ПК	Шифрование конфиденциальных и секретных документов
Пользователь: специалист
Мобильность: нет
Конфиденциальные данные: да
3. Ноутбук	Шифрование конфиденциальных и секретных документов
Пользователь: специалист
Мобильность: да
Конфиденциальные данные: да

Для расчета используются следующие критерии: мобильность (X₁), наличие конфиденциальных документов (X₂), должность пользователя устройства (X₃). Определяются значения критериев X₁=1 (устройство мобильно), X₁=0 (устройство немобильно), X₂=1 (устройство хранит конфиденциальные документы), X₃=2 (устройство руководителя), X₃=1 (устройство специалиста). Определяем коэффициент устройств:

Kf₁=X₁*Kr₁+X₂*Kr₂+X₃*Kr₃=1.1*1+2*1+0,5*2=4.1

Kf₂=X₁*Kr₁+X₂*Kr₂+X₃*Kr₃=1.1*0+2*1+0,5*1=2.5

Kf₃=X₁*Kr₁+X₂*Kr₂+X₃*Kr₃=1.1*1+2*1+0,5*1=3.6

После определения значений коэффициентов средство анализа 106 осуществляет сортировку устройств в соответствии с рассчитанным коэффициентом и сохраняет результаты в базе данных 103. В результате наивысший приоритет имеет ноутбук руководителя, далее идет ноутбук специалиста, и самый низкий приоритет у стационарного ПК специалиста. В результате определения приоритета средство управления 101 применит политику шифрования к ноутбуку руководителя в первую очередь. Средство анализа 106 анализирует политику шифрования для этого устройства и определяет, что необходимо из доступных лицензий использовать полнофункциональную, допускающую полнодисковое шифрование. Для ноутбука специалиста будет использована оставшаяся лицензия. К стационарному ПК политики применены не будут по причине отсутствия доступных лицензий.

В частном случае средство анализа 103 передает политики шифрования средству управления 101, которое применяет назначенные политики к устройству 100. Для применения политик в частном случае используется агент управления 105, установленный на устройстве 100.

В частном случае описанная система используется для определения необходимого количества закупаемых лицензий на программное обеспечение, обеспечивающее шифрование устройств. Для этого вышеописанная система рассчитывает коэффициент устройств в сети и устанавливает политику шифрования для этих устройств. Средство анализа 106, анализируя установленные политики, определяет количество устройств, к которым необходимо применить шифрование, например количество таких устройств N, также определяется, к каким из этих устройств необходимо применить полнодисковое шифрование, например, таких устройств M, и файловое шифрование таких устройств будет N-M. В результате рекомендованное количество закупаемых лицензий N, из них M должны предоставлять возможность выполнять полнодисковое шифрование, a N-M лицензий позволяют применять файловое шифрование. Дополнительно предложенная система осуществляет повторный расчет для устройств в сети, например раз в месяц или при подключении к сети новых устройств. Подобный перерасчет позволяет поддерживать количество необходимых лицензий в актуальном состоянии.

Еще в одном частном случае описанная система осуществляет периодический перерасчет коэффициента устройства для устройств в сети и при изменении коэффициента устройства пересматривает приоритет применения политик безопасности.

Фиг.3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ применения политик безопасности к устройствам, в котором:
а. выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств, где критерии выбирают в зависимости от целей сортировки устройств;
б. получают значения критериев для каждого из устройств;
в. вычисляют значение коэффициента устройства на основании полученных значений критериев для сортировки устройств, где коэффициент устройства - числовое значение, вычисленное из полученных значений критериев для устройств;
г. определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства;
д. получают политику безопасности для каждого из устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности;
е. определяют набор функционала программного обеспечения, способный обеспечить требования полученной политики безопасности;
ж. применяют полученную политику безопасности к устройству на основании приоритета, определенного в пункте г., программным обеспечением для которого получены доступные лицензии, где выбирают ту лицензию на программное обеспечение для применения полученных политик безопасности из полученных доступных лицензий, которая позволяет использовать набор функционала программного обеспечения, способный применить полученную политику безопасности к устройству,
при этом при недоступности лицензии, позволяющей применить политику полностью, выбирают такую из доступных лицензий, которая разрешает использование того объема функционала, который позволит применить полученную политику максимально полно.

2. Способ по п. 1, в котором используют набор функционала программного обеспечения для применения политики безопасности, который позволяет использовать доступные лицензии.

3. Способ по п. 1, в котором полученными политиками безопасности, которые необходимо применить к устройству на основании определенного приоритета, являются политики шифрования.

4. Способ по п. 1, в котором наибольший приоритет получают устройства с наибольшим значением коэффициента.

5. Способ по п. 1, в котором наименьший приоритет получают устройства с наименьшим значением коэффициента.

6. Способ по п. 1, в котором политики применяются к устройству последовательно в порядке, установленном приоритетом.

7. Способ по п. 2, в котором сортируют устройства в порядке убывания коэффициента устройства.

8. Способ по п. 2, в котором сортируют устройства в порядке возрастания коэффициента устройства.

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении характеристики маскирования перехода к концу срока службы электронного устройства при поддержании уровня безопасности.

Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем // 2586840

Изобретение относится к средствам защиты информации в компьютерных системах и сетях. Техническим результатом является повышение защищенности от несанкционированного доступа при обмене данными в сети.

Способ выполнения обращения к процедурам загрузочного драйвера // 2586576

Изобретение относится к области обеспечения безопасности программного обеспечения, а именно к способам выполнения обращения к процедурам загрузочного драйвера. Технический результат заключается в обеспечении доступа к исходным процедурам загрузочных драйверов в случае перехвата процедур руткитами путем выполнения обращения к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам.

Способ применения контрмер против атак по сторонним каналам // 2586020

Изобретение относится к принятию контрмер против атак по сторонним каналам. Технический результат - эффективное обеспечение защиты против атак по сторонним каналам за счет использования функции сопоставления по месту.

Система предоставления услуги анализа/верификации программ, способ управления такой системой, машиночитаемая среда хранения, устройство для анализа/верификации программ, устройство для управления средством анализа/верификации программ // 2586016

Изобретение относится к области анализа и верификации целевой программы с использованием средства анализа/верификации программы. Техническим результатом является эффективная верификация программ на основе выбора для использования одного из нескольких подходящих средств верификации программ.

Устройство шифрования данных (варианты), система на кристалле с его использованием (варианты) // 2585988

Изобретение относится к области шифрования потоков данных. Технический результат - повышение быстродействия процессов криптопреобразования данных.

Способ защиты доступности и конфиденциальности хранимых данных и система настраиваемой защиты хранимых данных // 2584755

Группа изобретений относится к области защиты данных, записанных в хранилище с долговременной памятью, и может быть использована для защиты доступности и конфиденциальности данных.

Способ конфигурирования ветроэнергетической установки, а также ветроэнергетическая установка // 2584629

Изобретение относится к способу конфигурирования ветроэнергетической установки, к ветроэнергетической установке, которая подготовлена для такого конфигурирования и к системе ветроэнергетической установки с ветроэнергетической установкой и банком данных управления.

Способ и устройство для определения результатов сканирования файла с применением множественных ядер // 2584508

Изобретение относится к области сканирования файлов на вирусы. Техническим результатом является эффективное использование множества антивирусных ядер с целью определения результатов сканирования файла.

Способ обеспечения безопасного выполнения файла сценария // 2584507

Изобретение относится к информационной безопасности. Технический результат заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами.

Система и способ обеспечения безопасности онлайн-транзакций // 2587423

Изобретение относится к системам проведения онлайн-транзакций. Технический результат заключается в обеспечении безопасности проведения онлайн-транзакций. Реализуемая компьютером система содержит средство управления, предназначенное для определения начало проведения онлайн-транзакции, производимой с помощью приложения, используемого для проведения онлайн-транзакции, и связано со средством для защищенного ввода данных, с защищенной средой, со средством безопасной передачи данных и со средством оценки рисков, предназначенным для оценки рисков онлайн-транзакции и передачи информации об оценки рисков средству управления. 4 ил., 1 табл.

Способ контроля приложений // 2587424

Изобретение относится к области управления приложениями, а именно к системам и способам контроля приложений. Технический результат настоящего изобретения заключается в повышении защиты вычислительного устройства. Способ формирования правила контроля приложений содержит этапы, на которых: a. обнаруживают неизвестное программное обеспечение, присутствующее на вычислительном устройстве; b. категоризируют по меньшей мере одно неизвестное программное обеспечение путем определения действий, совершаемых программным обеспечением в рамках своего функционирования; c. собирают информацию о присутствующем на вычислительном устройстве программном обеспечении для оценки пользователя вычислительного устройства; при этом оценка пользователя вычислительного устройства представляет собой численную оценку уровня компьютерной грамотности пользователя, чем больше которая, тем с меньшей вероятностью пользователь станет жертвой вредоносных приложений; d. производят оценку пользователя вычислительного устройства на основании собранной на этапе ранее информации о присутствующем на вычислительном устройстве программном обеспечении; при этом для осуществления оценки используют правила, каждое из которых ставит собранной на этапе ранее информации в соответствие число, на которое изменяется оценка пользователя вычислительного устройства; e. формируют правила контроля модулем контроля приложений по крайней мере одного неизвестного программного обеспечения путем сопоставления оценки пользователя вычислительного устройства и результатов проведенной категоризации неизвестного программного обеспечения; f. используют модуль контроля приложений согласно по меньшей мере одному сформированному на этапе ранее правилу контроля модулем контроля приложений неизвестного программного обеспечения. 3 ил., 3 табл.

Система и способ обнаружения направленных атак на корпоративную инфраструктуру // 2587426

Изобретение относится к области защиты от компьютерных угроз. Технический результат изобретения заключается в повышении безопасности вычислительного устройства. Способ обнаружения вредоносных объектов на вычислительном устройстве содержит этапы, на которых: а) получают информацию о по меньшей мере одном объекте на вычислительном устройстве, содержащую в том числе контрольную сумму объекта, при помощи средства обнаружения подозрительных объектов; б) анализируют упомянутую информацию об объекте при помощи средства обнаружения подозрительных объектов, при этом на основании набора эвристических правил, используемых средством обнаружения подозрительных объектов, определяют, является ли анализируемый объект подозрительным или нет; в) собирают при помощи средства обнаружения подозрительных объектов информацию об объекте, если он был признан подозрительным на этапе ранее, при этом упомянутая информация включает по меньшей мере журнал вызовов API-функций, время появления объекта на вычислительном устройстве, и передают собранную информацию о подозрительном объекте средству анализа объектов; г) производят анализ полученной от средства обнаружения подозрительных объектов информации об объекте средством анализа объектов, при этом на основании набора эвристических правил, используемых средством анализа объектов, определяют, является ли подозрительный объект потенциально вредоносным или нет, и посылают запрос на передачу потенциально вредоносного объекта; при этом признание подозрительного объекта потенциально вредоносным в соответствии с эвристическими правилами осуществляется путем сопоставления информации об анализируемом объекте и информации об объектах, хранящейся в базе данных вредоносных объектов и базе данных безопасных объектов; при этом набор эвристических правил, которые используются для упомянутого анализа отличается от набора эвристических правил, используемых средством обнаружения подозрительных объектов; д) получают запрос со стороны средства анализа объектов на передачу потенциально вредоносного объекта при помощи средства обнаружения подозрительных объектов; е) определяют при помощи средства соблюдения политик безопасности возможность передачи потенциально вредоносного объекта средству анализа объектов; при этом, если передача потенциально вредоносного объекта запрещена в соответствии с используемой средством соблюдения политик безопасности политики безопасности, средство соблюдения политик безопасности запрещает передачу потенциально вредоносного объекта средству анализа объектов, в противном случае передача разрешена; ж) передают при помощи средства обнаружения подозрительных объектов потенциально вредоносный объект для анализа средству анализа объектов, если передача была разрешена средством соблюдения политик безопасности на этапе ранее; з) анализируют полученный потенциально вредоносный объект при помощи средства анализа объектов, при этом выясняют, превосходит ли степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов заранее установленный порог, и если степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов превосходит заранее установленный порог, то признают упомянутый объект вредоносным. 2 н.п. ф-лы, 3 ил.

Система и способ оценки надежности правила категоризации // 2587429

Изобретение относится к области защиты от компьютерных угроз, а именно к системам и способам оценки надежности правила категоризации. Технический результат настоящего изобретения заключается в автоматизации анализа надежности правила категоризации на основании сравнения комбинации степеней надежности правила категоризации с установленным числовым порогом. Способ признания правила категоризации надежным содержит этапы, на которых: а) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом для создания правил категоризации используются файлы из базы данных для обучения; при этом правило категоризации позволяет определить принадлежность файла, к которому оно применяется, к одной из определенных в рамках правила категорий файлов; б) фильтруют при помощи средства обучения алгоритмов по меньшей мере одно созданное на этапе ранее правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом результатом фильтрации является выделение набора правил категоризации, каждое из которых разбивает множество файлов для обучения на подмножества файлов, соответствующие определенным в рамках правила категориям файлов, таким образом, что хотя бы одно такое подмножество, соответствующее категории файлов, представляет собой однородное множество файлов; при этом однородное множество файлов содержит только похожие файлы; в) обучают при помощи средства обучения алгоритмов по меньшей мере один алгоритм интеллектуального анализа данных для последующего определения степени надежности правила категоризации с использованием выделенного на этапе ранее набора правил категоризации и множества файлов для обучения, в состав которого входит по меньшей мере одно множество похожих файлов; г) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации; д) собирают при помощи средства сбора статистики статистку использования по меньшей мере одного созданного правила категоризации; при этом статистика использования правила категоризации представляет собой информацию о множестве файлов, принадлежащих к каждой из категорий, которые определены в рамках упомянутого правила категоризации; е) определяют при помощи средства определения надежности по меньшей мере одну степень надежности правила категоризации на основании статистики использования правила категоризации с использованием одного из алгоритмов интеллектуального анализа данных; ж) признают при помощи средства определения надежности правило категоризации надежным, если комбинация степеней надежности правила, определенных на этапе г), превышает установленный числовой порог. 2 н. и 10 з.п. ф-лы, 5 ил.

Защищенный пакет данных ремонта // 2587430

Изобретение относится к устройству и способу сохранения набора данных в блоке управления (БУ) системы управления транспортного средства. Технический результат - выполнение в независимой мастерской ремонтных работ, включающих безопасное обновление данных системы управления транспортного средства. Устройство сохранения набора данных в БУ системы управления транспортного средства содержит соединенное с транспортным средством вычислительное средство, приспособленное выполнять прикладную программу доступа, содержащую информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, при этом информация является зашифрованной, а устройство приспособлено дешифровать информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, деблокировать БУ транспортного средства путем передачи БУ пароля от вычислительного средства, выполнять операцию обслуживания путем сохранения информации о конкретной операции обслуживания в БУ, блокировать БУ путем передачи БУ команды блокирования от вычислительного средства и разрушать прикладную программу, чтобы ее было невозможно использовать вновь. 2 н. и 12 з.п. ф-лы, 2 ил.

Система и способ расчета интервала повторного определения категорий сетевого ресурса // 2589310

Изобретение относится к информационной безопасности. Технический результат заключается в снижении нагрузки на вычислительные ресурсы при определении категории сетевого ресурса. Способ расчета интервала повторного определения категорий содержимого сетевого ресурса, в котором а) анализируют содержимое сетевого ресурса, при этом анализируют содержимое отдельных страниц упомянутого сетевого ресурса; ссылки между отдельными страницами упомянутого сетевого ресурса; ссылки на другие сетевые ресурсы; б) определяют на основании результатов анализа по меньшей мере две категории содержимого упомянутого сетевого ресурса, при этом первая категория определяется как безопасная или небезопасная, вторая категория определяется как нежелательная для просмотра пользователями или нейтральная по содержимому; в) выполняют этапы "а" и "б" по меньшей мере еще один раз; г) на основании категорий, определенных на этапах "а", "б" и "в", вычисляют вероятность изменения по меньшей мере одной категории содержимого упомянутого сетевого ресурса; д) на основании вычисленной вероятности изменения категорий содержимого рассчитывают интервал повторного определения категорий содержимого упомянутого сетевого ресурса. 2 н. и 2 з.п. ф-лы, 3 ил.

Взаимодействие между множеством систем защиты данных // 2589342

Изобретение относится к области систем защиты данных. Техническим результатом является повышение эффективности взаимодействия между множеством систем защиты данных. Раскрыта система для обеспечения взаимодействия между множеством систем для защиты данных. Система включает в себя онтологию, сконфигурированную с возможностью хранения определений понятий, относящихся к элементам интерфейса, по меньшей мере, двух различных систем защиты данных, включающих в себя первую систему защиты данных и вторую систему защиты данных; и генератор отображения, сконфигурированный с возможностью генерирования отображения между, по меньшей мере, одним элементом интерфейса первой системы защиты данных и, по меньшей мере, одним элементом интерфейса второй системы защиты данных на основании онтологии. Система содержит преобразователь сообщения, сконфигурированный с возможностью приема сообщения, сгенерированного с помощью первой системы защиты данных, преобразования сообщения на основании отображения для получения преобразованного сообщения и передачи преобразованного сообщения во вторую систему защиты данных. 3 н. и 11 з.п. ф-лы, 6 ил.

Способ, устройство и система аутентификации на основе биологических характеристик // 2589344

Изобретение относится к технологиям аутентификации на основе биологических характеристик. Техническим результатом является снижение сложности клиентского устройства, за счет реализации выделения характерных признаков биометрического изображения на облачном сервере. Предложен способ биометрической аутентификации. Способ включает в себя этап, на котором принимают облачным сервером подлежащее регистрации биометрическое изображение, идентификатор (ID) клиентского устройства и первый пользовательский ID, переданные от клиентского устройства. Далее, посредством облачного сервера, осуществляют выделение характерных признаков на подлежащем регистрации биометрическом изображении для получения биометрического шаблона. Сохраняют облачным сервером взаимосвязь, ассоциированную с биометрическим шаблоном ID клиентского устройства и первым пользовательским ID для завершения регистрации пользователя. 5 н. и 6 з.п. ф-лы, 18 ил.

Доступ к камере над блокировкой // 2589366

Изобретение относится к мобильным устройствам. Технический результат заключается в предотвращении неавторизованного доступа к мобильному устройству. Считываемый компьютером носитель, хранящий исполняемые компьютером инструкции, которые при исполнении компьютером побуждают компьютер выполнять способ управления мобильным устройством, имеющим множество состояний аутентификации, в том числе заблокированное и разблокированное состояния, причем следующие функции доступны в заблокированном состоянии: захват изображения, обеспечение меню настроек захвата изображения, или переключение между режимом захвата видео и режимом захвата неподвижного изображения, и следующие функции приложения доступны пользователю, когда мобильное устройство находится в разблокированном состоянии, но являются недоступными пользователю мобильного устройства, когда мобильное устройство находится в заблокированном состоянии: удаление изображения, отправка изображения, или загрузка изображения на удаленный сервер. 3 н. и 17 з.п. ф-лы, 17 ил.

Способ и устройство для входа в учетную запись, а также терминал и сетевой сервер // 2589391

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности и безопасности аутентификации. Способ входа в учетную запись, в котором получают посредством терминала учетную запись и первый пароль; оценивают посредством терминала совпадает ли первый пароль с локальным паролем, привязанным к предварительно сохраненной учетной записи; и когда первый пароль совпадает с привязанным к предварительно сохраненной учетной записи локальным паролем, получают и загружают посредством терминала второй пароль, соответствующий предварительно сохраненной учетной записи, на сетевой сервер, с сопоставлением сетевым сервером второго пароля с паролем для входа в учетную запись, соответствующим учетной записи, и входят посредством терминала в учетную запись, если второй пароль успешно сопоставлен с паролем для входа в учетную запись, соответствующим учетной записи. 3 н. и 4 з.п. ф-лы, 10 ил.