Программно-аппаратный комплекс автоматической репликации данных (пакард) и способ управления им
Владельцы патента RU 2695497:
Акционерное общество "Научно-производственное предприятие "Калужский приборостроительный завод "Тайфун" (RU)
Изобретение относится к области вычислительной техники. Технический результат заключается в повышении уровня защиты сетевых ресурсов от несанкционированного доступа. Технический результат достигается за счет программно-аппаратного комплекса автоматической репликации данных (ПАКАРД), содержащего средства управления, состоящие из следующих функциональных компонентов: микроконтроллера, USB HUB (концентратора), устройства временного хранения (УВХ), отличающийся тем, что в комплекс введены дополнительно USB вход, выполненный с возможностью подключения к УВХ, и соединенный с микроконтроллером, который, в свою очередь, соединен с USB HUB, подключенным к первому, второму и третьему USB входам, каждый из которых выполнен с возможностью подключения к ПЭВМ, где на УВХ выполняется копирование данных для их передачи между ПЭВМ, находящихся в разных сетях, изолированных друг от друга, например в локальной и в глобальной сети, а первый, второй и третий USB входы выполнены с возможностью подключения к ПЭВМ, между которыми будут передаваться данные. 2 н. и 3 з.п. ф-лы, 1 ил.
Область техники
Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и может быть использовано в части защиты информации, обрабатываемой и хранимой в информационно-вычислительных системах различного назначения от несанкционированного доступа, а более конкретно, к устройствам передачи данных и способам защиты их.
Уровень техники
Во многих информационных системах включая локальные сети, виртуальные сети, компьютерное устройство должно следовать правилам доступа к сети, например, политикам безопасности, которые управляют доступом к различным ресурсам сети. На практике, часто необходимо обеспечить доступ с одного компьютерного устройства к различным сетям, например к сетевым ресурсам интернет - по внешнему сетевому каналу, либо - к сетевым ресурсам компании - по локальному сетевому каналу. В существующих решениях невозможно эффективно изолировать приложения для доступа к сетям с различным уровнем доверия.
Поэтому, было бы желательно создать устройство для защиты компьютера и способ, которые обеспечили бы достаточную гибкость защиты, чтобы позволить компьютерному устройству получить доступ к ресурсам, находящихся в разных сетях, изолированных друг от друга, в соответствии с нужными сетевыми политиками и обеспечивая при этом надежную изоляцию соответствующих приложений для обеспечения гарантированной защиты от утечки данных по внешним каналам связи.
Известна полезная модель Пат. №130429 RU МПК G06F 21/70, G06F 15/00 Терминал и защищенная компьютерная система, включающая терминал, опубл. 01.04.2013, технический результат которой состоит в том, что за счет введения в конструкцию компьютера общего назначения средств управления, выполненных с возможностью контроля доступа к средствам хранения данных и к потоку ввода-вывода, обеспечивается полная изоляция программных сред от взаимного влияния. Данная система является наиболее близкой (прототипом) по технической сущности к заявляемому техническому решению.
СУЩНОСТЬ ПОЛЕЗНОЙ МОДЕЛИ (прототипа)
Одна из основных задач настоящей полезной модели состоит в создании терминала (например, в виде персонального компьютера, ноутбука, сервера, планшета, сетевого устройства, мобильного коммуникатора или любого другого компьютерного устройства), с множественностью программных сред для доступа к сетевым ресурсам с разным уровнем доверия, в котором обеспечивается полная изоляция этих сред от взаимного влияния.
Технический результат состоит в том, что за счет введения в конструкцию компьютера общего назначения средств управления, выполненных с возможностью контроля доступа к средствам хранения данных и к потоку ввода-вывода, обеспечивается полная изоляция программных сред от взаимного влияния.
Вышеуказанная задача решена благодаря тому, что терминал для безопасного доступа к сетевым ресурсам, содержит, по меньшей мере, одно компьютерное устройство, выполненное с возможностью обработки исполняемого кода, корпус, выполненный в виде моноблока, и установленные внутри него средства управления, выполненные с возможностью загрузки и выгрузки программной среды в компьютерное устройство и/или с возможностью переключения между программными средами, загруженными в компьютерное устройство.
Средства управления снабжены интерфейсами для подключения к сетевым ресурсам для средств ввода - вывода, выполненных с возможностью считывания данных от средств ввода и вывода информации посредством средств вывода. Средства управления снабжены интерфейсами для подключения к сетевым устройствам, выполненным с возможностью доступа к сетевым ресурсам.
Средства управления интерфейсами для подключения к средствам хранения данных выполненным с возможностью хранения данных, по меньшей мере, двух программных сред, каждая из которых включает исполняемый код, данные программ, политики безопасности и пользовательские данные, при этом средства управления выполнены с возможностью приема и передачи данных между компьютерным устройством, средством ввода-вывода, сетевым интерфейсом и средством хранения данных и с возможностью передачи управления компьтерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится компьютерное устройство в любой момент времени, не имеет доступа к данным программных сред, имеющих возможность управления компьютерного устройства и иные моменты времени, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится компьютерное устройство в любой момент времени.
Недостатки аналога, принятого в качестве прототипа являются ограниченные функциональные возможности, невозможность реализовать заданные технические требования из-за:
1. Сложности исполнения:
Терминал представляет собой корпус, внутрь которого устанавливаются компоненты стандартного ПК (возможно в нескольких экземплярах). Причем создание терминала может быть, (например, в виде персонального компьютера, ноутбука, сервера, планшета, сетевого устройства, мобильного коммуникатора или любого другого компьютерного устройства), с множественностью программных сред для доступа к сетевым ресурсам с разным уровнем доверия.
2. Высокой избыточности:
Система управления обеспечивает полное разделение сред исполнения ПО, хранения данных и устройств ввода-вывода, т.к. зачастую, достаточно лишь разделения сетей и хранилищ данных.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Предпосылками к созданию устройства и способа управления им является необходимость переноса данных между двумя изолированными друг от друга сетями без снижения уровня информационной безопасности.
Целью изобретения является повышение уровня защищенности информационных ресурсов серверов за счет разграничения доступа к ресурсам во время передачи данных между ПЭВМ, находящихся в разных сетях, изолированных друг от друга, например, в локальной и в глобальной сети.
Достигается это тем, что для разграничения доступа к ресурсам создан программно-аппаратный комплекс автоматической репликации данных (ПАКАРД) и способ управления им.
ПАКАРД представляет собой аппаратное средство, корпус которого выполнен в виде моноблока с установленными внутри него средствами управления, состоящими из следующих функциональных компонентов: микроконтроллера; USB HUB (концентратора); устройства временного хранения (УВХ); специализированных высокочастотных реле; управляющего приложения для ПК.
Данное аппаратное средство имеет четыре USB входа, три из которых предназначены для ПЭВМ, между которыми могут передаваться данные и один вход для УВХ, на который копируются данные для их передачи между ПЭВМ, находящихся в разных сетях (Фиг. 1).
Дополнительные преимущества и аспекты изобретения приведены в дальнейшем детальном описании, где показана и описана реализация способа на базе настоящего изобретения. Способ, описанный в настоящем тексте, может иметь другие и отличные реализации, несколько ее деталей могут быть модифицированы различными очевидными способами, не отклоняясь от основной сути изобретения. Соответственно, чертеж и описания должны рассматриваться как иллюстрирующие, но не ограничивающие изобретение.
Принцип работы обмена данными между двумя изолированными друг от друга сетями заключается в следующем:
ПАКАРД поочередно подключается к файловым серверам. На каждом сервере установлено управляющее приложение для ПК, которое при обнаружении подключенного ПАКАРДа осуществляет обмен данными. После завершения операции обмена данными, управляющее приложение посылает команду на ПАКАРД, в результате обработки которой устройство подключается к следующему серверу.
Переключение между ПЭВМ, находящихся в разных сетях, выполняется при помощи специализированных высокочастотных реле, которыми управляет микроконтроллер. УВХ и микроконтроллер подключаются одновременно только к одному ПЭВМ, что обеспечивает разграничение доступа к ресурсам во время передачи данных между локальной и глобальной сетями.
После завершения обмена данными между ПЭВМ и УВХ, управляющее приложение отправляет команду переключения микроконтроллеру, который в свою очередь, отключает УВХ от одного ПЭВМ и подключает его к следующему.
К достоинствам предлагаемого изобретения может быть отнесено следующее:
1. Реализуется возможность разграничения доступа к ресурсам при необходимости обмена данными между ПЭВМ, находящихся в разных сетях, изолированных друг от друга, что обеспечивает повышение уровня защищенности информационных ресурсов. (Прим.: устройство не вмешивается в сам процесс обмена данными, лишь предоставляет безопасную среду передачи и соответствующий алгоритм действий)
2. Реализуется возможность переноса информации между физически разделенными сетями.
3. Реализуется возможность предотвращения несанкционированного доступа к информации, обрабатываемой и хранимой в информационно-вычислительных системах различного назначения, что обеспечивается за счет использования физического размыкания каналов передачи данных в момент переключения комплекса.
4. При отказе или сбое в работе устройства все контакты на высокочастотных реле переходят в разомкнутое состояние, что исключает возможность физического соединения между несколькими сетями.
5. Исключается применение флеш-накопителя для передачи данных.
1. Программно-аппаратный комплекс автоматической репликации данных (ПАКАРД), содержащий средства управления, состоящие из следующих функциональных компонентов: микроконтроллера, USB HUB (концентратора), устройства временного хранения (УВХ), отличающийся тем, что в комплекс введены дополнительно USB вход, выполненный с возможностью подключения к УВХ, и соединенный с микроконтроллером, который, в свою очередь, соединен с USB HUB, подключенным к первому, второму и третьему USB входам, каждый из которых выполнен с возможностью подключения к ПЭВМ, где на УВХ выполняется копирование данных для их передачи между ПЭВМ, находящихся в разных сетях, изолированных друг от друга, например в локальной и в глобальной сети, а первый, второй и третий USB входы выполнены с возможностью подключения к ПЭВМ, между которыми будут передаваться данные.
2. ПАКАРД по п. 1, отличающийся тем, что переключение между ПЭВМ, находящихся в разных сетях, изолированных друг от друга, выполняется при помощи специализированных высокочастотных реле, которыми управляет микроконтроллер.
3. ПАКАРД по п. 1, отличающийся тем, что USB HUB (концентратор) служит для подключения УВХ и микроконтроллера к ПЭВМ для управления микроконтроллером в процессе передачи данных.
4. ПАКАРД по п. 1, отличающийся тем, что он размещен в корпусе, выполненном в виде моноблока.
5. Способ управления ПАКАРДом по п. 1, включающий обмен данными и обеспечение защиты информации от несанкционированного доступа к информации, отличающийся тем, что установленное на каждом сервере управляющее приложение для ПК, предназначено для осуществления обмена данными при обнаружении подключенного ПАКАРДа, который отправляет команду переключения микроконтроллеру, а микроконтроллер в свою очередь, отключает УВХ от одного ПЭВМ и подключает его к следующему.
