Система мониторинга безопасности компьютеров специального назначения

Изобретение относится к области вычислительной техники и предназначено для контроля за местоположением и состоянием компьютеров и их компонентов, предназначенных для обработки и хранения информации с высокой степенью конфиденциальности. Его использование позволит получить технический результат в виде повышения эффективности защиты компьютера от несанкционированных действий, в частности, от несанкционированного изъятия критичных компонентов, например, таких как жесткие диски или модули создания доверенной среды при обработке секретной информации.

Компьютеры специального назначения обычно не объединяются в единую компьютерную сеть во избежание несанкционированных действий по сетевым каналам, организуются в виде автоматизированного рабочего места (АРМ) для персональной работы, как правило, на охраняемой территории и оснащаются средствами аппаратно-программной защиты от несанкционированного доступа, включая средства криптографической защиты. Поэтому основную угрозу безопасности подобным АРМ и их информационным ресурсам представляет обслуживающий персонал и сами пользователи.

Поскольку у защищаемого АРМ отсутствует связь с внешними устройствами, а изъятие критичных компонентов или целиком системного блока компьютера происходит, как правило, при выключенном состоянии компьютера, возникает проблема контроля наличия и местоположения компонентов АРМ и его состояния.

Для решения данной проблемы предлагается использовать технологию радиочастотной идентификации (РЧИ или RFID-Radio Frequency IDentification), которая в настоящее время широко используется для идентификации и определения местоположения различных объектов (см., например, патент RU 2378661 «Способ определения места хранения предмета с использованием радиочастотных меток» от 24.04.2008, опубл. 10.01.2010).

Наиболее близкой к предлагаемому техническому решению является система мониторинга и определения местоположения оборудования центра хранения и обработки данных (в частности, серверов), описанная в патенте US №8779922, кл. G06K 7/01, G08B 13/22, дата подачи 10.08.2012, опубл. 15.07.2014.

В состав системы входят следующие компоненты: компьютер управления с прикладным ПО, базой данных, пользовательским интерфейсом и дисплеем; контроллеры, установленные на стойках с размещенными в них серверами и подключенные к компьютеру управления по локальной сети; электронные считыватели, размещенные на стойке напротив каждого сервера и подключенные к контроллеру стойки кабелями; пассивные РЧИ-метки, установленные на каждом из серверов на небольшом расстоянии от считывателя (в ближнем поле взаимодействия).

Считыватели РЧИ-меток имеют оригинальную малогабаритную конструкцию. В их состав входят процессор, собственная память и система управления питанием, поступающим с контроллера стойки, а также могут быть включены дополнительные датчики (контроля температуры, сенсорный индикатор, датчик целостности или несанкционированного отсоединения считывателя и т.п.). Каждый считыватель имеет постоянный уникальный электронный идентификатор, соответствующий контролируемому им оборудованию.

Система работает следующим образом. Прикладное ПО обеспечивает взаимодействие управляющего компьютера через интерфейс оператора и контроллеры аппаратных стоек со считывателями, установленными на стойке, которые проводят опрос меток, установленных на серверах. Поскольку каждый контроллер имеет код, идентифицирующий его со стойкой, на котором он установлен, а каждая пассивная метка и размещенный напротив ее считыватель, в свою очередь, идентифицируют конкретный сервер, то в результате информация от каждого считывателя, поступающая в режиме реального времени, позволяет компьютеру управления осуществлять мониторинг состояния каждой единицы оборудования, а именно состояние каждого из серверов в конкретной стойке.

В процессе мониторинга отслеживается информация каждого считывателя, и в случае несоответствия считанного уникального электронного идентификатора контролируемого оборудования идентификатору, находящемуся в базе данных управляющего компьютера, фиксируется нарушение (подмена). В случае, например, попытки несанкционированного удаления сервера из стойки считыватель, установленный на корпусе стойки, при опросе метки, размещенной на сервере, не получает от нее ответного сигнала (необходимый уровень сигнала для пассивной метки обеспечивается только в ближнем поле и не фиксируется при увеличении расстояния больше допустимого), что также фиксируется управляющим компьютером как нарушение (кража).

Известная система имеет ряд существенных недостатков при использовании для защиты АРМ специального назначения. Она требует проведения сложного монтажа непосредственно на защищаемом оборудовании, установки дополнительных источников электропитания, разработки дополнительного оборудования (специальных считывателей), а также прокладки кабелей и организации локальной сети для информационного взаимодействия между компонентами системы. Подобные операции над оборудованием специального назначения крайне нежелательны, при этом возникают дополнительные каналы несанкционированного воздействия на компоненты защищаемого АРМ, что может отрицательно повлиять на эффективность защиты АРМ от несанкционированных действий.

Предлагаемая система мониторинга безопасности компьютеров специального назначения состоит из сервера управления (СУ), АРМ администратора (АРМ-А), сервера базы данных (СБД), считывателей РЧИ-меток и активных РЧИ-меток. СУ, СБД и АРМ-А располагаются в выделенном помещении и могут быть объединены в одном сервере, входящем в состав рабочего места администратора. Защищаемые АРМ пользователей размещаются в одном или нескольких выделенных помещениях с системой контроля доступа в каждое из них. Критические компоненты АРМ размещаются в экранированном корпусе, в качестве которого может выступать металлический корпус системного блока компьютера, на который при необходимости можно установить дополнительные экранирующие элементы. На охраняемый компонент (например, жесткий диск с конфиденциальной информацией) устанавливается активная РЧИ-метка. Дополнительная метка может быть установлена под основанием экранированного корпуса в месте его постоянного размещения.

Каждый считыватель имеет идентифицирующий его код и привязан к помещению, в котором он установлен. Каждая активная метка также имеет идентифицирующий код и привязана к конкретному АРМ и/или контролируемому компоненту. Считыватель и корпус с охраняемым объектом и активной меткой ориентируются в пространстве в пределах прямой видимости и на расстоянии, обеспечивающем надежный прием сигнала метки.

СУ подключен к считывателям помещений, контролирует их работоспособность и получает информацию, считываемую с РЧИ-меток, находящихся в помещениях. Он посредством стандартных протоколов взаимодействует также с СБД, который обеспечивает хранение всех долговременных и кратковременных данных, используемых СУ, включая данные о всех компонентах системы и связях между ними.

СУ по стандартным протоколам осуществляет взаимодействие с АРМ-А, программное обеспечение которого позволяет администратору проводить общую настройку системы, а также настройку и контроль за текущими событиями системы, настройку изменяемых параметров оборудования, привязку компонентов и объектов контроля к конкретному местоположению и т.п. АРМ-А осуществляет графическое отображение местоположения и состояния всех контролируемых объектов, а также выводит список экстренных сообщений о событиях, связанных с нарушением безопасности. Программное обеспечение администратора позволяет осуществлять протоколирование событий.

Размещение объектов с радиочастотными идентификаторами в экранирующих объемах известно, но при этом решаются другие задачи, а именно задачи защиты системы на базе РЧИ-меток от атак несанкционированного считывания информации с метки с последующим открытием с ней сеанса связи и подменой данных на ней (такой вид атаки на систему получил название «скимминг»). Для борьбы с несанкционированным считыванием предложен ряд решений на основе экранирования, начиная от создания узконаправленных каналов связи между меткой и считывателем с помощью подбора частоты и экранирования РЧИ-излучения в металлических шкафах с подобранной величиной отверстий для выхода излучения с заданной длиной волны (см., например, патент US 8692654, 08.04.2014) и кончая полным экранированием РЧИ-носителя во время хранения и переноски в специальных контейнерах и различных аксессуарах из экранирующего материала, обеспечивающих радиочастотную защиту (см., например, патент US 20110016615, 27.01.2011).

Предлагаемая система мониторинга работает следующим образом.

Активная метка охраняемого компонента генерирует сигнал заданной частоты и интенсивности, с заданной периодичностью формирует и передает сигнал, содержащий сведения об охраняемом объекте и АРМ, в состав которого он входит. Однако данный сигнал не фиксируется считывателем, размещенным в помещении, где находится АРМ, поскольку корпус блока, где установлен охраняемый компонент, экранирует сигнал метки.

В случае попыток несанкционированного доступа к компоненту при вскрытии экранирующего корпуса сигнал метки фиксируется считывателем, информация поступает в СУ и высвечивается на АРМ-А с выдачей на экране графического отображения помещения и АРМ, на котором зафиксировано нарушение, и выводом экстренного сообщения о произошедшем событии. При этом информация протоколируется в электронном журнале.

При попытке переноса блока с охраняемыми объектами для вскрытия его корпуса в место, недоступное для приема сигнала метки считывателем, будет зафиксирован сигнал дополнительной экранированной метки, установленной под основанием экранированного корпуса в месте его постоянного размещения, и сообщение о несанкционированном перемещении блока будет зафиксировано на АРМ-А аналогично ситуации вскрытия корпуса блока.

Использование активной метки позволяет реализовать описанный механизм защиты как на работающем АРМ, так и при нахождении его в неработающем состоянии в реальном времени и в любое время, поскольку для работы системы не требуется дополнительных источников питания, связанных с АРМ. Работоспособность системы обеспечивается надежностью работы считывателя сигнала меток и самих меток. Для этого в СУ устанавливается система контроля работы считывателей, и в случае отказа считывателя или его умышленного вывода из работоспособного состояния также будет выдано экстренное сообщение о нарушении безопасности, а на графическом отображении дисплея АРМ-А будет отмечено помещение и считыватель, работа которого нарушена.

Надежность функционирования активных меток будет в основном определяться состоянием их источника питания и может поддерживаться регламентными работами по замене или подзарядке источника питания с учетом его срока службы.

Дальнейшим развитием предложенного технического решения является использование интеллектуальных активных меток. Наличие в них собственного процессора позволяет осуществлять программирование функций управления режимами работы и обеспечивать определенные условия взаимодействия со считывателем.

Предлагается запрограммировать работу интеллектуальных активных меток со считывателем в двух режимах передачи за счет управления мощностью и/или частотой сигнала метки. В одном из режимов экранирующий элемент полностью экранирует сигнал метки, а в другом режиме сигнал проходит через экранирующий элемент и принимается считывателем. Основным режимом является работа при генерации меткой «слабого» экранированного сигнала, при использовании которого его фиксация считывателем, как и при использовании обычной активной метки, будет информировать об отсутствии экрана (вскрытии блока). Работа в режиме «сильного» сигнала позволит получать в заданные моменты времени информацию о состоянии метки (например, о параметрах ее источника питания и необходимости их замены или (по отсутствию данного сигнала) контролировать нарушение работоспособности самой метки).

Техническим результатом предложенной системы мониторинга является реализация дополнительного механизма защиты компьютеров специального назначения и их компонентов, который может быть интегрирован с другими средствами защиты АРМ, обеспечивающими комплексную защиту информационной системы, предназначенной для обработки и хранения информации с высоким уровнем конфиденциальности. При этом интеграция системы мониторинга не требует изменений и доработок в аппаратной части защищаемого АРМ и обеспечивается путем несложной доработки программной составляющей комплекса защиты, заключающейся в подключении к нему сервера управления системы мониторинга со своим прикладным обеспечением.

Технический результат достигается тем, что в известную систему мониторинга размещения и состояния компьютерного оборудования, состоящую из компьютера управления, включающего прикладное программное обеспечение, базу данных и пользовательский интерфейс, радиочастотных считывателей, подключенных к компьютеру управления, радиочастотных идентифицирующих излучателей (РЧИ-меток), установленных на контролируемых компонентах компьютерного оборудования, причем считыватели и метки содержат уникальные электронные идентификаторы и связаны радиочастотным каналом обмена информацией с возможностью контроля состояния и местоположения контролируемых компонентов, введен экранирующий радиочастотный сигнал корпус, в котором размещается охраняемый компонент оборудования, причем на него устанавливается активная РЧИ-метка, генерирующая информацию об охраняемом компоненте и его местоположении.

Включение активной РЧИ-метки, имеющей собственный источник питания, обеспечивает возможность генерации сигнала в реальном масштабе времени при любом состоянии контролируемого оборудования. Наличие экранирующего корпуса обеспечивает физическое и радиоэкранирование охраняемого компонента, а также управление сигналом о попытке несанкционированного доступа к критичному компоненту компьютерной системы. Использование интеллектуальной активной РЧИ-метки дополнительно позволяет получать необходимую информацию о состоянии самой метки в любой момент времени по запросу считывателя, управляемого сервером управления с АРМ администратора.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы мониторинга безопасности компьютеров специального назначения и защиты компьютера от несанкционированных действий, в частности от несанкционированного изъятия критичных компонентов, изложенных в формуле изобретения. Следовательно, заявленное техническое решение соответствует критерию «новизна».

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы мониторинга безопасности компьютеров специального назначения. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».

Графические изображения

На фиг. 1 схематично показана структура реализации предлагаемой системы, где:

1 - автоматизированное рабочее место администратора (АРМ-А);

2 - сервер управления (СУ);

3 - сервер баз данных (СБД);

4 - РЧИ-считыватель (ридер меток);

5 - активная РЧИ-метка (излучатель);

6 - контролируемый компонент компьютера;

7 - экранированный корпус;

8 - дополнительная метка под корпусом.

Обозначения пространственных объектов размещения системы:

С - серверная;

П - помещения с размещенными компьютерами специального назначения;

АРМ - автоматизированные рабочие места пользователей.

В каждом из помещений может располагаться несколько АРМ. Система мониторинга может обслуживать одновременно несколько помещений.

Предлагаемая система мониторинга безопасности компьютеров реализована заявителем с помощью известных покупных комплектующих изделий. За основу было выбрано отечественное устройство СПРУТ-1, состоящее из считывателя и активных меток. Связь считывателя с метками осуществляется по радиоинтерфейсу с рабочей частотой 2,4 ГГц, передача осуществляется по протоколу ZigBee (стандарт IEEE 802.15.4-2006). Считыватель представляет собой контроллер с принимающей штыревой антенной, позволяющий считывать информацию с меток и программировать их на заданный режим функционирования. Обладает малым энергопотреблением, небольшими габаритами, высокой помехоустойчивостью и защищенностью. При потере связи с СУ может работать автономно с накоплением информации и ее последующей передачей. Связь с СУ проводная по интерфейсам RS232, RS485, USB. Устройство СПРУТ-1 выполнено на базе приемопередатчика общего назначения производства DIG International (DIGI).

Считыватель имеет свой уникальный код, содержащий сведения о его инвентарном номере, модели, а также типе, определяющем набор его дополнительных свойств и связей. Каждый считыватель привязан к конкретному помещению.

Активная метка, работающая со считывателем, представляет собой миниатюрный передатчик с собственной памятью, куда заносятся идентификационные данные: номер, модель, описание, ее назначение и т.п. Кроме того, метка передает данные о состоянии ее элемента питания и позволяет вырабатывать два различных по мощности сигнала. Максимальная излучаемая мощность метки 100 мВт, что не требует дополнительного лицензирования для ее применения. Элемент питания обеспечивает срок службы метки от 1 месяца до 3-5 лет в зависимости от установленной мощности сигнала и периодичности импульсов.

Разработанные СУ и СБД работают под управлением операционных систем Windows Server 2008 / 2012 и могут быть совмещены на одном физическом сервере. СУ обеспечивает возможность подключения к нему (напрямую или через соответствующие контроллеры) всех управляемых компонентов системы и управления ими. Программное обеспечение позволяет проводить установки и удаления компонентов СУ и СБД. Взаимодействие между компонентами СУ и СБД осуществляется посредством стандартных сетевых протоколов.

Программные модули АРМ-А работают под управлением операционных систем Windows 7/8/8.1, Windows Server 2008 /2012. АРМ-А взаимодействует с компонентами СУ посредством стандартных сетевых протоколов. ПО АРМ-А состоит из нескольких программных модулей, включая следующие программы: программу выполнения долговременных настроек объектов системы и связей между ними, а также общих настроек системы; программу текущего контроля за событиями системы и выполнения настроек текущей сессии; программу просмотра протоколов работы системы. Программа текущего контроля содержит графическое изображение совокупности помещений, зарегистрированных в системе, с указанием с помощью маркировок текущего местоположения и состояния АРМ пользователей и РЧИ-носителей, идентифицирующих контролируемые объекты. Программа выводит список экстренных сообщений (сообщений о нарушении безопасности).

Проведенные заявителем испытания опытного экземпляра подтвердили возможность его реализации с достижением указанного положительного технического результата.

Изложенные выше сведения свидетельствуют о выполнении при использовании заявленного технического решения следующей совокупности условий:

- средства, воплощающие заявленное устройство при его осуществлении, предназначены для использования в промышленности, а именно в автоматизированных системах, использующих технологии радиочастотной идентификации объектов и субъектов, в том числе, в информационно-вычислительных системах для защиты от несанкционированного доступа к их компонентам;

- для заявленного устройства в том виде, как оно охарактеризовано в независимом пункте изложенной формулы изобретения, подтверждена возможность его осуществления с помощью описанных в заявке средств.

Следовательно, заявленное техническое решение соответствует критерию «промышленная применимость».

Таким образом, предлагаемая система мониторинга сохранила достоинства прототипа, а именно способность осуществлять контроль за местоположением и состоянием компонентов компьютерной системы. В то же время технические решения предлагаемой системы мониторинга не требуют сложного монтажа и прокладывания кабельных линий на оборудовании защищаемой компьютерной системы, что не приводит к вмешательству в ее аппаратные компоненты, не может отрицательно повлиять на эффективность существующей защиты от несанкционированных действий и позволяет использовать данную систему для мониторинга безопасности компьютеров специального назначения, обеспечивая при этом их дополнительную защиту и повышая тем самым эффективность общей защиты. Система легко встраивается в интегрированную систему безопасности информационно-вычислительных комплексов.

Источники информации

1. Патент RU №2378661, кл. G01S 5/16, 24.04.2008, опубл. 10.01.2010.

2. Патент US 8692654, кл. H04Q 5/22, 26.06.2012, опубл. 08.04.2014.

3. Патент US 20110016615, кл. A41D 27/20, 01.01.2010, опубл. 27.01.2011.

4. Патент US 8779922, кл. G06K 7/01, G08B 13/22, 10.08.2012, опубл. 15.07.2014. - прототип.

1. Система мониторинга безопасности компьютеров специального назначения, состоящая из подсистемы управления, включающей оснащенные прикладным программным обеспечением и взаимодействующие между собой посредством стандартных протоколов сервер управления, сервер баз данных и рабочее место администратора, радиочастотных считывателей, подключенных к серверу управления, и радиочастотных идентифицирующих излучателей (РЧИ-меток), установленных на контролируемых компонентах компьютера, причем считыватели и метки содержат уникальные электронные идентификаторы и связаны радиочастотным каналом обмена информацией с возможностью контроля состояния и местоположения контролируемых компонентов,

отличающаяся тем, что

для повышения надежности защиты компьютера от несанкционированного воздействия на его критичный контролируемый компонент устанавливается активная РЧИ-метка, генерирующая информацию об охраняемом компоненте и его местоположении в данном компьютере, а сам контролируемый компонент размещается в закрытом экранирующем радиочастотный сигнал корпусе, блокирующем прямой канал обмена информацией между меткой и считывателем в нормальном закрытом состоянии компьютера и открывающем канал для передачи информации о попытке несанкционированного доступа к охраняемому компоненту при вскрытии экранирующего корпуса.

2. Система по п. 1, отличающаяся тем, что для возможности получения идентифицирующей контролируемый объект информации в любой требуемый момент времени на него устанавливается интеллектуальная активная метка, запрограммированная на работу со считывателем в режиме слабого сигнала, блокируемого экранирующим элементом и обеспечивающего работу системы в режиме по п. 1, и сигнала повышенной интенсивности, проходящего через экран и обеспечивающего возможность передачи информации считывателю о текущем состоянии контролируемого объекта и самой метки.

3. Система по п. 1, отличающаяся тем, что для исключения возможности выноса экранирующего корпуса с контролируемым компонентом из зоны действия считывателя штатное местоположение экранирующего корпуса снабжается дополнительной РЧИ-меткой, которая устанавливается под корпусом и в случае его перемещения и устранения тем самым экранирования организует канал связи со считывателем для передачи информации о несанкционированном перемещении охраняемого компонента.