Способ защиты локальной сети от вредоносных программ из интернета и устройство преобразования файлов

Изобретение относится к локальным вычислительным сетям, а именно к обеспечению их информационной безопасности. Технический результат – обеспечение защиты локальной сети от проникновения вредоносных программ из интернета при высокой скорости передачи данных на сервер локальной сети. Способ защиты локальной сети включает этапы, на которых данные из интернета предварительно проверяют программными средствами защиты на компьютере, который не имеет доступа в локальную сеть, проверенные данные в виде графических и/или текстовых файлов постранично отображают на дисплее устройства преобразования файлов, при этом синхронно фотографируют страницы и отправляют фотографические файлы страниц на сервер локальной сети. 2 н. и 5 з.п. ф-лы, 6 ил.

 

Изобретение относится к локальным вычислительным сетям, в частности к обеспечению их информационной безопасности.

Известны способы защиты локальной вычислительной сети от вредоносных программ из интернета, в которых используют шлюз-компьютер с установленным межсетевым экраном [1, 2, 3].

Недостатками аналогов являются невозможность гарантировать абсолютную надежность межсетевого экрана, недостаточная защита от внутренних угроз безопасности и невозможность в полной мере обеспечить защиту от угроз передачи инфицированных вирусами программ и файлов.

Известен способ защиты локальной сети от вредоносных программ из интернета, заключающийся в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере - шлюзе, который не имеет доступа в локальную сеть.

Полученные данные из интернета передают в защищаемую локальную сеть на бумажных носителях информации (машинописные или распечатанные на принтере тексты) через оператора компьютера - шлюза.

Способ реализован в системе с так называемыми физически разделенными внешней и внутренней локальными сетями. Внешняя сеть имеет доступ к компьютеру - шлюзу, внутренняя - защищаемая локальная сеть изолирована от интернета [4].

Недостатком способа является сверхнизкая скорость (оперативность) передачи информации на сервер защищаемой локальной сети.

Известен способ защиты локальной сети от вредоносных программ из интернета, заключающийся в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере - шлюзе, который не имеет доступа в локальную сеть.

Полученные данные из интернета передают на сервер локальной сети альтернативными вариантами:

1) переносят данные на двухвходовый накопитель цифровой информации, затем забирают их автоматически или при помощи оператора на устройство фильтрации трафика и преобразования формы представления данных, где они проходят соответствующую проверку и преобразование формы, после чего попадают на сервер;

2) переносят данные на накопитель информации, затем оператор вручную переносит накопитель на устройство фильтрации трафика и преобразования формы представления, где данные проходят проверку, после чего попадают на сервер;

3) переносят данные оператором на бумажный носитель (машинописные или распечатанные на принтере тексты), сканируют их и передают на устройство фильтрации трафика и преобразования формы представления, после чего данные попадают на сервер.

Способ реализован в системе с так называемыми физически разделенными внешней и внутренней локальными сетями. Где внешней сетью является терминальная сеть из терминалов на рабочих местах внутренних пользователей. Периферия (клавиатура, монитор и мышь) посредством KVM переключателя подключается к компьютеру пользователя для работы во внутренней сети, или к терминалу для работы во внешней сети [5].

Данное техническое решение принято за прототип способа.

Недостатком прототипа способа в вариантах 1 и 2, как следует из описания прототипа, является то, что проверка и преобразование формы представления данных осуществляется программным путем компьютером (устройством фильтрации трафика и преобразования формы представления данных), следовательно, присутствует риск проникновения на сервер вредоносных программ.

Недостатком прототипа в варианте 3 является низкая скорость (оперативность) передачи информации на сервер защищаемой локальной сети и непродуктивный расход бумаги.

Предлагаемым изобретением устраняются перечисленные недостатки прототипа, решается задача защиты локальной сети от проникновения вредоносных программ из интернета при высокой скорости передачи данных на сервер локальной сети.

Для достижения этого технического результата способ защиты локальной сети от вредоносных программ из интернета заключается в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере, который не имеет доступа в локальную сеть.

В отличие от прототипа проверенные данные в виде графических и/или текстовых файлов постранично отображают на дисплее устройства преобразования файлов, с частотой смены кадров без процесса регенерации кадра, там же синхронно фотографируют страницы, с помощью аппаратных средств, и отправляют фотографические файлы страниц на сервер локальной сети.

Благодаря совокупности отличительных признаков данные преобразуют в форму фотографических файлов аппаратно (см. ниже устройство преобразования файлов), данные поступают на сервер и хранятся в виде фотографий страниц в одном из графических форматов (RAW, JPEG, TIFF и т.п.). Следовательно, проникновение вредоносных программ в локальную сеть исключено, как впрочем, и любых программ.

В этом заключается существенное отличие от способов программного преобразования текстовых данных в графический файл. Например, известен способ преобразования текстового документа Word в формат JPEG с помощью стандартной утилиты "Ножницы" ОС Windows 7 [6]. Припередаче на сервер такого программно преобразованного файла существует риск проникновения вредоносных программ в локальную сеть.

В силу отображения страниц файла на дисплее с частотой смены кадров, страницы фотографируют с той же частотой. К примеру, при частоте смены кадров в 100 Гц стостраничный документ будет отправлен на сервер за 1 секунду. Скорость (оперативность) передачи информации на сервер защищаемой локальной сети многократно превышает скорость передачи способа прототипа по схеме "принтер - сканер". Так отправка на сервер такого же документа по способу прототипа займет сотни минут.

Устройство преобразования файлов состоит из корпуса, в котором размещены дисплей, цифровая фото/видео камера, блок синхронизации спуска затвора цифровой фото/видео камеры, вход блока синхронизации спуска затвора цифровой фото/видео камеры подключен к внешнему видеоинтерфейсу дисплея, выход блока синхронизации спуска затвора цифровой фото/видео камеры соединен с цифровой фото/видео камерой, матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры, внешний видеоинтерфейс дисплея предназначен для соединения с видеоадаптером компьютера, внешний интерфейс цифровой фото/видео камеры предназначен для соединения с сервером локальной сети.

Блок синхронизации спуска затвора цифровой фото/видео камеры включает последовательно соединенные буфер, элемент задержки, формирователь сигнала управления спуском и элемент управления спуском затвора цифровой фото/видео камеры.

Матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры посредством объектива.Матрицы дисплея и цифровой фото/видео камеры выполнены с идентичными габаритными размерами полей пикселей (активных областей), установлены вплотную друг к другу с совмещением полей пикселей.

Разрешающая способность матрицы цифровой фото/видео камеры равна или больше разрешающей способности матрицы дисплея.

Матрицы дисплея и цифровой фото/видео камеры соединены между собой оптическим клеем.

Изобретение проиллюстрировано чертежами:

Фиг. 1 - пример схемы системы защиты локальной сети от вредоносных программ с одним рабочим местом оператора компьютера, соединенного с интернетом;

Фиг. 2 - блок-схема устройства преобразования файлов;

Фиг. 3 - структурная схема блока синхронизации спуска затвора цифровой фото/видео камеры;

Фиг. 4 - пример принципиальной схемы блока синхронизации спуска затвора цифровой фото/видео камеры, реализованного на прецизионных таймерах;

Фиг. 5 - эпюры сигналов видеоинтерфейса и блока синхронизации спуска затвора цифровой фото/видео камеры;

Фиг. 6 - вариант узла оптического сопряжения матриц дисплея и цифровой фото/видео камеры;

Реализация способа защиты локальной сети от вредоносных программ из интернета осуществляется в системе защиты локальной сети, пример которой изображен на Фиг. 1. Система включает компьютер 101 доступа в интернет с периферией (монитор, клавиатура, мышь) 102, устройство преобразования файлов 103, защищаемую локальную сеть 104. Локальная сеть 104 включает сервер 105 и множество рабочих станций 106. Компьютер 101 портом 107 интерфейса видеоадаптера соединен с портом 108 внешнего видеоинтерфейса дисплея устройства преобразования файлов 103, выход которого соединен с сервером 105. Первый этап способа, а именно - данные из интернета предварительно проверяют программными средствами защиты, реализуется компьютером 101, соединенным с интернетом, а последующие этапы реализуются компьютером 101 и устройством преобразования файлов 103.

Устройство преобразования файлов (Фиг. 2) состоит из корпуса 201, в котором размещены дисплей 202, цифровая фото/видео камера 203, блок синхронизации 204 спуска затвора цифровой фото/видео камеры 203. Вход блока синхронизации 204 спуска затвора цифровой фото/видео камеры 203 подключен к внешнему видеоинтерфейсу 205 дисплея 202, выход блока синхронизации 204 спуска затвора соединен с цифровой фото/видео камерой 203. Матрица 206 дисплея 202 оптически сопряжена с матрицей 207 цифровой фото/видео камеры 203 посредством объектива 208. Внешний интерфейс 209 цифровой фото/видео камеры предназначен для соединения с сервером локальной сети. Порт 210 внешнего видеоинтерфейса 205 дисплея 202 предназначен для соединения (например, посредством разъема DVI-D) с видеоадаптером (не показан) компьютера (101 на Фиг. 1), который имеет доступ в интернет в системе защиты локальной сети (Фиг. 1).

Блок синхронизации спуска затвора цифровой фото/видео камеры Фиг. 3 включает последовательно соединенные буферный усилитель 301, элемент задержки 302, формирователь сигнала управления 303 и элемент управления 304 спуском затвора. В общем случае цифровой фото/видео камеры элемент управления 304 встроен в разрыв цепи спуска затвора (не показано). В частном случае исполнения цифровой фото/видео камеры в виде фотоаппарата элемент управления 304 шунтирует кнопку спуска фотоаппарата.

В примере Фиг. 4 блок синхронизации построен на последовательно соединенных прецизионных таймерах 401 и 402 (ИС 1006ВИ1 [6 стр. 93-94]). Таймер 401 является элементом задержки (302 на Фиг. 3) Компаратор на входе ИС 1006ВИ1 (вывод 2) таймера 401 одновременно выполняет функцию буфера (301 на Фиг. 3). Таймер 402 является формирователем сигнала управления (303 на Фиг. 3) и одновременно выполняет функцию элемента управления (304 на Фиг. 3) спуском затвора. Вывод 3 ИС 1006ВИ1 таймера 402 соединен с кнопкой спуска 403 фотоаппарата.

В варианте оптического сопряжения матриц дисплея и цифровой фото/видео камеры, на Фиг. 6, матрица 601 дисплея размещена на плате драйверов (управления) 602 и установлена вплотную к матрице 603 размещенной на плате управления 604 цифровой фото/видео камеры. Матрицы 601 и 603 выполнены с идентичными габаритными размерами полей пикселей (не показаны) и совмещены полями пикселей.

Матрицы 601 и 603 соединены между собой оптическим клеем с минимально возможным зазором 605. Оптический клей одновременно выполняет функцию иммерсионной среды, уменьшая в зазоре 605 расходимость пучка лучей излучаемых пикселем матрицы 601.

Работает устройство преобразования файлов (Фиг. 2) совместно с вычислительным блоком (процессор, ОЗУ, внешняя память) компьютера 101 доступа в интернет (Фиг. 1).

Компьютер 101 имеет два видеоадаптера (предпочтительный вариант), один из которых соединен видеоинтерфейсом с монитором периферии 102, а другой - с портом 210 (порт 108 на Фиг. 1) внешнего видеоинтерфейса 205 дисплея 202. На компьютере 101 установлены: программа раздельной работы на два монитора (дисплея) (см. [9]) и программа автоматического постраничного листания, например Cool Reader [7].

Данные из интернета, предварительно проверяются программными средствами защиты на компьютере 101 (Фиг. 1). Там же из графических и/или текстовых файлов формируются страницы с масштабом, соответствующим полному заполнению габарита поля пикселей дисплея 202 и отправляются на устройство преобразования файлов, пролистывая страницы автоматически. Дисплей 202 постранично отображает страницы с частотой смены кадров. Объектив 208 строит изображение страницы с матрицы 206 дисплея 202 на матрицу 207 цифровой фото/видео камеры 203, вписывая ее в поле пикселей матрицы (не показано). Цифровая фото/видео камера 203 производит фотосъемку страницы синхронно с отображением страницы дисплеем 202. Сигнал управления цифровой фото/видео камеры 203 формируется блоком 204 синхронизации спуска затвора цифровой фото/видео камеры 203 из сигнала кадровой синхронизации VSYNC (vertical synchronization) интерфейса видеоадаптера компьютера 101 (Фиг. 1)

В блоке 204 синхронизации спуска затвора (см. Фиг. 3) импульс кадровой синхронизации VSYNC инвертируется буфером 301. Инвертированный импульс задерживается элементом 302 до начала интервала отображения страницы на дисплее. Затем элемент 303 формирует импульс управления спуском затвора в пределах интервала отображения страницы, который управляет элементом 304.

На Фиг. 5 работа блока 209 синхронизации спуска затвора пояснена эпюрами сигналов в варианте исполнения блока на двух таймерах (см. Фиг. 4). Импульс кадровой синхронизации подается на вывод 2 ИС1006ВИ1 таймера 401. Таймер запускается по переднему фронту импульса (эпюра 1) и формирует положительный импульс (время задержки), длительность которого задает RC-цепочка на схеме таймера (эпюра 2). По заднему фронту этого импульса таймер 402 формирует импульс управления спуском затвора на выводе 3 ИС1006ВИ1 (эпюра 3). В случае использования в качестве цифровой фото/видео камеры фотоаппарата, для управления спуском достаточно одного таймера 401 (см. пунктирную цепь на схеме Фиг. 4). Спуск происходит по заднему фронту импульса (эпюра 2) низким уровнем сигнала, который шунтирует кнопку спуска 403 фотоаппарата. Фотографический файл страницы в формате RAW через внешний интерфейс 214 цифровой фото/видео камеры 208 отправляется в автоматическом режиме на сервер 105 (см. Фиг. 1) локальной сети 104. В альтернативном варианте фотографические файлы в сжатом формате JPEG, TIFF и т.п. сохраняются в памяти цифровой фото/видео камеры 208 и поступают на сервер 105 уже по запросу (команде) с сервера.

Операторы рабочих станций 106 локальной сети 104 (Фиг. 1) работают с фотографическими файлами, а при необходимости редактирования документов - с восстановленными из фотографических файлов текстовыми файлами, если это допустимо политикой безопасности, принятой в локальной сети.

Отметим, что заявляемый способ защиты локальной сети от вредоносных программ из интернета и устройство преобразования файлов могут быть использованы в любой из известных систем защиты локальной сети, например, в системе прототипа.

Источники информации.

1. Патент РФ №2214623, класс G06F 15/163, публ. 20.10.2003, «Вычислительная сеть с межсетевым экраном и межсетевой экран».

2. Патент РФ №2304302, класс G06F 12/14, H04L 12/66, публ. 10.08.2007, «Способ обработки сетевых пакетов для обнаружения компьютерных атак».

3. Максимов В. Межсетевые экраны. Способы организации защиты. КомпьютерПресс №3, 2003.

4. Рудаков Ю. Технические решения для физически разделенных сетей. - ООО «ЕПОС». 2002 г, стр. 2.

5. Патент РФ №2387086, публ. 20.04.2010, "Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации" (прототип).

6. http://lumpics.ru/how-to-convert-word-document-to-jpq/

7. http://geek-nose.com/chitalka-knig-dlya-kompyutera/

8. Пухальский Г.И. Новосельцева Т.Я. Проектирование дискретных устройств на интегральных микросхемах: Справочник. - М.: Радио и связь. 1990.

9. http://www.compdoc.ru/comp/video/several_monitors/

1. Способ защиты локальной сети от вредоносных программ из интернета, заключающийся в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере, который не имеет доступа в локальную сеть, отличающийся тем, что проверенные данные в виде графических и/или текстовых файлов постранично отображают на дисплее устройства преобразования файлов, с частотой смены кадров без процесса регенерации кадра, там же синхронно фотографируют страницы с помощью аппаратных средств и отправляют фотографические файлы страниц на сервер локальной сети.

2. Устройство преобразования файлов, отличающееся тем, что состоит из корпуса, в котором размещены дисплей, цифровая фото/видео камера, блок синхронизации спуска затвора цифровой фото/видео камеры, вход блока синхронизации спуска затвора цифровой фото/видео камеры подключен к внешнему видеоинтерфейсу дисплея, выход блока синхронизации спуска затвора цифровой фото/видео камеры соединен с цифровой фото/видео камерой, матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры, внешний видеоинтерфейс дисплея предназначен для соединения с видеоадаптером компьютера, внешний интерфейс цифровой фото/видео камеры предназначен для соединения с сервером локальной сети.

3. Устройство по п. 2, отличающееся тем, что блок синхронизации спуска затвора цифровой фото/видео камеры включает последовательно соединенные буфер, элемент задержки, формирователь сигнала управления спуском и элемент управления спуском затвора цифровой фото/видео камеры.

4. Устройство по п. 2, отличающееся тем, что матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры посредством объектива.

5. Устройство по п. 2, отличающееся тем, что матрицы дисплея и цифровой фото/видео камеры выполнены с идентичными габаритными размерами полей пикселей (активных областей), установлены вплотную друг к другу с совмещением полей пикселей.

6. Устройство по п. 4 или 5, отличающееся тем, что разрешающая способность матрицы цифровой фото/видео камеры равна или больше разрешающей способности матрицы дисплея.

7. Устройство по п. 5, отличающееся тем, что матрицы дисплея и цифровой фото/видео камеры соединены между собой оптическим клеем.



 

Похожие патенты:

Изобретение относится к области защиты информационных систем, а именно к обнаружению компьютерных атак. Технический результат – расширение функциональных возможностей обнаружения DDoS-атак.

Изобретение относится к средствам создания моделей качества веб-страниц. Технический результат заключается в повышении точности модели качества веб-страниц.

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении эффективности сохранения и изменения исходных и эталонных записей данных предприятия.

Изобретение относится к области телекоммуникаций, а именно к области диагностирования и контроля технического состояния сетевого оборудования, компьютерных сетей, функционирующих в условиях эксплуатационных отказов, сбоев, а также компьютерных атак.

Изобретение относится к области защиты данных, записанных в память для хранения. Технический результат – обеспечение целостности данных с возможностью проверки их достоверности после восстановления в случае нарушения их целостности в условиях преднамеренных воздействий злоумышленника.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в обеспечении быстрой обработки больших объемов, обучающих данных, при минимальном проценте ложных позитивных срабатываний.

Изобретение относится к области информационной безопасности, а именно к определению вредоносных файлов в сетевом трафике. Технический результат – повышение эффективности использования вычислительных ресурсов при обеспечении автоматизированной защиты.

Изобретение относится к вычислительной технике. Техническим результатом является повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.

Изобретение относится к области разработки программного обеспечения. Техническим результатом является упрощение процесса разработки.

Изобретение относится к локальным вычислительным сетям, а именно к обеспечению их информационной безопасности. Технический результат - обеспечение защиты локальной сети от проникновения вредоносных программ из интернета при высокой скорости передачи данных на сервер локальной сети. Способ защиты локальной сети включает этапы, на которых данные из интернета предварительно проверяют программными средствами защиты на компьютере, который не имеет доступа в локальную сеть, проверенные данные в виде графических и/или текстовых файлов передают на устройство преобразования файлов, где их постранично отображают на дисплее, с частотой смены кадров без процесса регенерации кадра, при этом синхронно фотографируют страницы, с помощью аппаратных средств, и отправляют фотографические файлы страниц на сервер локальной сети. 2 н. и 5 з.п. ф-лы, 6 ил.

Изобретение относится к геоинформационным системам. Технический результат – снижение временных затрат оператора на конфигурирование электронного атласа с векторными пространственными данными из различных источников путем формирования данных для электронного атласа и применения к ним операций ввода, редактирования, выборки, соединения, агрегации, фильтрации, сортировки. Такой результат достигается за счет того, что система формирования пользовательского интерфейса для ввода, отображения и модификации векторных пространственных данных дополнительно содержит блок управления обработкой набора исходных векторных пространственных данных, блок генерации программного кода функциональных частей пользовательского интерфейса, блок хранения метаданных об исходных векторных пространственных данных, блок хранения промежуточных данных, блок хранения метаданных о выходных векторных пространственных данных. 1 з.п. ф-лы, 4 ил.

Изобретение относится к защите конфиденциальной информации, а именно к обработке видеоинформации, полученной с камер видеонаблюдения, с целью сокрытия приватной информации в видеоархиве. Технический результат – повышение эффективности сокрытия объектов в видеоархиве. Система сокрытия объектов в видеоархиве содержит камеру видеонаблюдения, память, выполненную с возможностью хранения видеоданных, поступающих от камер видеонаблюдения, процессор для обработки видеоданных в соответствии с командами, получаемыми от графического пользовательского интерфейса, графический пользовательский интерфейс, содержащий средства ввода и вывода данных, причем упомянутые средства ввода данных содержат блок получения запроса, блок задания опорной области, причем опорная область задается на первом и на последнем кадре видео из видеоархива, на которых виден выбранный объект, блок интерполяции положений областей и блок сохранения видео. 3 н. и 26 з.п. ф-лы, 4 ил.

Изобретение относится к системе управления POS-терминальной сети. Технический результат заключается в автоматизации централизованного управления POS-терминалами. Система содержит UPOS сервер, связанный с сервером авторизации транзакций, объединенный каналом передачи данных с устройством осуществления финансовых транзакций, содержащим модуль UPOS агента, к которому подключен один или более POS-терминалов, осуществляющих функционирование посредством ПО UPOS, в которой модуль UPOS агента выполнен с возможностью обеспечения маршрутизации данных между UPOS сервером, POS-терминалами и устройством осуществления транзакций; POS-терминал выполнен с возможностью приема клиентских запросов на выполнение транзакций, верификации клиентов, шифрования транзакционных данных клиентских запросов; UPOS сервер выполнен с возможностью мониторинга и контроля параметров POS-терминалов, управления работой POS-терминала, генерирования сценариев обработки транзакций и обмена данными с сервером авторизации транзакций, обновления параметров программного обеспечения POS-терминала. 14 з.п. ф-лы, 9 ил., 1 табл.

Изобретение относится к области компьютерной техники. Техническим результатом является упрощение процессов проектирования, разработки, тестирования и сопровождения программных реализаций сложных вычислительных методов. Способ графо-ориентированного создания программных реализаций сложных вычислительных методов включает построение и последующую автоматическую интерпретацию графического представления алгоритма в форме ориентированного графа, реализующего рассматриваемый сложный вычислительный метод, и заключается в выполнении последовательности действий: а) создание формата файлов входных данных для создаваемой программной реализации сложного вычислительного метода; б) создание графовой модели алгоритма, реализующего сложный вычислительный метод, в форме ориентированного графа, для которого каждый узел имеет уникальное имя и определяет фиксированное состояние общих данных, а с каждым ребром связана функция, называемая функцией перехода, которая определяет преобразование общих данных из одного состояния в другое; в) разработка программных реализаций функций перехода, определяемых графовой моделью, причем каждая функция перехода определяется парой функций с унифицированными сигнатурами: функцией-предикатом и функцией-обработчиком; г) отладка и тестирование разработанной программной реализации сложного вычислительного метода, включающие автоматическую интерпретацию графовой модели, которая заключается в загрузке входных данных, в оперативную память вычислительной машины в объект общих данных, и последующем обходе графа модели с запуском всех функций перехода с передачей им на вход модифицируемого объекта общих данных. 11 з.п. ф-лы, 20 ил.
Наверх