Система управления защитой информации

Авторы патента:

Федюнин Павел Александрович (RU)

Хакимов Тимерхан Мусагитович (RU)

Хворов Руслан Александрович (RU)

Дьяченко Валерий Александрович (RU)

Скрыль Сергей Васильевич (RU)

H04L9/00 - Устройство для секретной или скрытой связи (способы расширения спектра вообще H04B 1/69)

H04L63/20 - Передача дискретной информации, например телеграфная связь (пишущие машины B41J; телеграфные системы G08B; оптические телеграфные аппараты G08B,G08C; фототелеграфные системы G08C; шифровальные или дешифровальные устройства как таковые G09C; кодирование, декодирование или преобразование кода вообще H03M; устройства, применяемые как для телеграфной, так и для телефонной связи H04M; избирательные устройства H04Q)

G06F21/55 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2757927:

Федеральное государственное казенное военное образовательное учреждение высшего образования "Военный учебно-научный центр Военно-воздушных сил "Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина" (г. Воронеж) Министерства обороны Российской Федерации (RU)

Изобретение относится к защите информации. Технический результат заключается в повышении надежности защиты информации за счет того, что в дополнительно введенных блоках оценивается уровень временного ресурса, используемого в интересах реализации средств защиты информации, решается задача оптимального распределения функционального ресурса системы управления и применение конкретных средств в соответствии с планом, сформированным в базах данных на выявленные воздействия нарушителя. 1 ил.

Изобретение относится к области управления защитой информации и может быть использовано в распределенных автоматизированных системах, в том числе для взаимоувязанных сетей с различными протоколами передачи данных.

Наиболее близкая по технической сущности к заявленному изобретению является система, состоящая из объектов распределенной системы управления; транспортной сети обмена информацией; типовых блоков защит информации; автоматизированного центра управления защитой информации распределенной системы; моделей действий нарушителя и противодействий им; средств защиты информации (патент РФ №113442 «Автоматизированная система управления защитой информации в территориально распределенной прикладной системе управления», опубл. 10.02.2012, МПК H04L 9/00). Недостатком данной системы является низкая своевременность обработки информации при заданных параметрах защищенности системы в целом, обусловленная невозможностью выбора конкретных средств защиты информации из всего разнообразия таковых в заданные интервалы времени функционирования системы по своему целевому предназначению.

Техническим результатом изобретения является обеспечение оперативной адаптации параметров механизмов защиты к выявленным угрозам или штатным изменениям в структуре автоматизированных систем и повышение эффективности работы системы в целом за счет оценки и оптимального распределения ее ресурса для применения средств защиты.

Указанный технический результат достигается тем, что в известную систему, состоящую из центра управления защитой информации, резервного центра управления защитой информации, территориального центра управления защитой информации, резервного территориального центра управления защитой информации и транспортной сети обмена данными, причем выходы центра управления защитой информации, резервного центра управления защитой информации, территориального центра управления защитой информации, резервного территориального центра управления защитой информации соединены с первым, вторым, третьим и четвертым входом транспортной сети обмена данными, соответственно, а также N объектов каждый из которых содержит последовательно соединенные встроенный сенсор реализации управляющих воздействий и типовое средство защиты информации, n-ый выход, где n=1…N, транспортной сети обмена данными соединен с первым входом сенсора реализации управляющих воздействий, соответствующего n-го объекта, отличающаяся тем, что дополнительно в каждом из N объектов введены последовательно соединенные блок оценки функционального ресурса и блок решения оптимизационной задачи, выход которого соединен со вторым входом сенсора реализации управляющих воздействий, причем второй выход сенсора реализации управляющих воздействий соединен с входом блока оценки функционального ресурса соответствующего объекта.

Сущность изобретения заключается в том, что дополнительно в каждом из N объектов введены последовательно соединенные блок оценки функционального ресурса и блок решения оптимизационной задачи, выход которого соединен со вторым входом сенсора реализации управляющих воздействий, причем второй выход сенсора реализации управляющих воздействий соединен с входом блока оценки функционального ресурса соответствующего объекта.

Входящие в систему элементы выполнены в виде:

ЦУЗИ, ЦУЗИ-Р, ТЦУЗИ, ТЦУЗИ-Р - программно-технических комплексов, подключенных к транспортной сети;

модели действий нарушителя и противодействий им - баз данных;

СрЗИ - обслуживаемого или необслуживаемого программно-аппаратного комплекса;

СРВ - программного комплекса;

блок оценки функционального ресурса - программного средства;

блоки решения оптимизационной задачи - программного комплекса.

А типовые блоки защиты информации включают: блок управления доступом, блок регистрации и учета, криптографический блок, блок обеспечения целостности информации, блок антивирусной защиты.

Наличие резервного центра управления защитой информации и территориального резервного центра управления защитой информации подчиненных ЦУЗИ, повышают надежность работы системы, а блок решения оптимизационной задачи и блок оценки функционально ресурса входящий состав объектов распределенной системы, решающий задачу оптимального распределения ее функционального ресурса позволяет обеспечить своевременность выполнения целевой функции системы.

Структурная схема системы управления защитой информации приведена на фигуре, где обозначено:

1 - транспортная сеть обмена данными;

2 - центр управления защитой информации (ЦУЗИ);

3 - резервный центр управления защитой информации (ЦУЗИ-Р);

4 - территориальный центр управления защитой информации (ТЦУЗИ);

5 - территориальный резервный центр управления защитой информации (ТЦУЗИ-Р);

6 - встроенный сенсор реализации управляющих воздействий (СРВ);

7 - блок оценки функционального ресурса;

8 - блок решения оптимизационной задачи;

9 - типовое средство защиты информации (СрЗИ).

При значительном числе типовых объектов в распределенной системе и/или их значительной территориальной удаленности от ЦУЗИ эти объекты разделены на территориальные «кластеры» в соответствии с функциональными особенностями системы и защитой информации, а в каждом кластере управляет свой территориальный центр управления защитой информации (ТЦУЗИ).

Под термином «кластер» понимается объединение нескольких однородных элементов системы управления, которое может рассматриваться как самостоятельная единица, обладающая определенными свойствами.

Устройство работает следующим образом.

Транспортная сеть обмена данными 1 представляет собой совокупность взаимосвязанных элементов предназначенных для обмена информацией между объектами распределенной автоматизированной системы. Строится на стандартных протоколах для IP-сетей, так и для сетей с иными протоколами передачи данных.

В блоках 2 (ЦУЗИ) и 3 (ЦУЗИ-Р) происходит формирование, доведение до блоков 4 (ТЦУЗИ) и 5 (ТЦУЗИ-Р) исходных значений в виде таблиц (матриц) для всех элементов системы защиты информации (например, блок управления доступом, блок регистрации и учета, криптографический блок, блок обеспечения целостности информации, блок антивирусной защиты),

В блоках 4 (ТЦУЗИ) и 5 (ТЦУЗИ-Р) происходит формирование, доведение до блоков 2 (ЦУЗИ) и 3 (ЦУЗИ-Р) данных о функционировании этих служб для выработки последующих управляющих команд. Каждый блок имеет план, сформированный в базах данных, как реакции на выявленные воздействия нарушителя. Совокупность планов покрывает все множество воздействий нарушителя на основе его формальной модели. Формальная модель действий нарушителя и противодействий им выполнена в разрезе функций блока защиты информации с планом реакций и выполнена в виде одной или нескольких баз данных.

В блоке 9 средств защиты информации (СрЗИ) обеспечивается выявление одной или ряда угроз безопасности информации, а также выполнение одного или ряда механизмов защиты в состав каждого объекта распределенной системы. В качестве угроз безопасности рассматривается несанкционированный доступ к информации, нарушение целостности информации или ее блокирование, а в качестве механизмов защиты могут быть реализованы, например, криптографическая защита с использованием различных алгоритмов шифрования, фильтрация информации по ряду критериев и т.п.

В блоке 7 оценки функционального ресурса распределенной системы осуществляется оценка уровня временного ресурса Δτ используемого в интересах реализации конкретного средства защиты, соответствующего γ_(extr) экстремуму функции работы системы по своему целевому назначению (например, своевременная обработка и доведение информации) (Оптимизация механизмов защиты информации в инфокоммуникационных системах специального назначения: утверждения и доказательства // Р.А. Хворов [и др.] / Журнал «Информация и безопасность», Воронеж.: ВГТУ, №3, 2016. - С. 75-81).

В блоке решения оптимизационной задачи 8 осуществляется решение задачи оптимального распределения функционального ресурса этой системы, выделяемого для реализации функций защиты информации и применение конкретных средств, в соответствии с планом, сформированном в базах данных, как реакции на выявленные воздействия нарушителя, в результате чего достигается цель изобретения (Оптимизация процесса обеспечения антивирусной защиты в АСУ специального назначения // Р.А. Хворов [и др.] / Журнал «Телекоммуникации», М.: Наука и технологии, №3, 2016. - С. 21-28).

В состав каждого объекта распределенной системы входят средства защиты информации, сенсор реализации управляющих воздействий, обеспечивающий управление параметрами механизмов защиты со стороны ЦУЗИ, в подчинении которого находится СрЗИ, за счет решения задачи оптимального распределения функционального (временного) ресурса этой системы, выполняемого в блоке решения оптимизационной задачи. Каждый ЦУЗИ, ЦУЗИ-Р, ТЦУЗИ, ТЦУЗИ-Р получает от СРВ каждого подчиненного СрЗИ информацию о состоянии параметров механизмов защиты, например, журналы с результатами анализа служебных полей принятых информационных пакетов, результатов дешифрования пакетов, журналы его состояния, включая журналы о санкционированных (несанкционированных) действиях, сообщения о несанкционированном доступе и т.п.

Таким образом, заявленная система управления защитой информации характеризуется высокой степенью надежности, позволяет выработать формализованную модель действий нарушителя на основе априорных данных, систематически актуализировать ее на основе текущих данных о выявленных воздействиях и организовывать управление системой защиты информации как программную реакцию по указанной модели на выявленные воздействия, обеспечивая адаптацию механизмов защиты к воздействию нарушителя, позволяя изменять параметры системы в целом, а также повысить эффективность работы самой распределенной системы по целевому назначению (своевременной обработки и доведения информации), на основе рационального распределения выделяемого функционального (временного) ресурса самой системы для реализации конкретного средства защиты из всего разнообразия таковых.

Система управления защитой информации, состоящая из центра управления защитой информации, резервного центра управления защитой информации, территориального центра управления защитой информации, резервного территориального центра управления защитой информации и транспортной сети обмена данными, причем выходы центра управления защитой информации, резервного центра управления защитой информации, территориального центра управления защитой информации, резервного территориального центра управления защитой информации соединены с первым, вторым, третьим и четвертым входами транспортной сети обмена данными соответственно, а также N объектов, каждый из которых содержит последовательно соединенные встроенный сенсор реализации управляющих воздействий и типовое средство защиты информации, n-й выход, где n=1…N, транспортной сети обмена данными соединен с первым входом сенсора реализации управляющих воздействий, соответствующего n-го объекта, отличающаяся тем, что дополнительно в каждом из N объектов введены последовательно соединенные блок оценки функционального ресурса и блок решения оптимизационной задачи, выход которого соединен со вторым входом сенсора реализации управляющих воздействий, причем второй выход сенсора реализации управляющих воздействий соединен с входом блока оценки функционального ресурса соответствующего объекта.

Изобретение относится к криптографическим преобразованиям. Технический результат заключается в повышении производительности и криптографической стойкости способа шифрования информаци за счет того, что процедуру формирования символа шифргаммы делают составной, получая его путем сложения результатов параллельных вычислений в М блоках формирования компоненты шифргаммы, в каждом из которых вычисление символа компоненты шифргаммы происходит по алгоритму, определяемому своей функцией со своими параметрами.

Идентификация сетевого узла, на который будут реплицироваться данные // 2756304

Изобретение относится к репликации данных. Технический результат заключается в повышении безопасности аутентифицированного обнаружения ресурсов, где данные могут быть реплицированы при соблюдении конкретных требований политики, правил и директив.

Адресация доверенной среды исполнения с использованием ключа шифрования // 2756048

Группа изобретений относится к области защиты информации. Техническим результатом является увеличение безопасности.

Адресация доверенной среды исполнения с использованием ключа подписи // 2756040

Способ аутентификации коммутаторов на основе кодирования сигнала в нескольких базисах // 2755593

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении аутентификации коммутаторов второго уровня (модель OSI) в сетях связи военного назначения.

Оптическая схема приемника с одним детектором и система для квантового распределения ключей (варианты) // 2754758

Изобретение относится к квантовой криптографии и средствам для квантового распределения ключей по открытому пространству. Технический результат - снижение шумовых импульсов и как следствие снижение уровня квантовых ошибок в ключе за счет использования в схеме одного детектора одиночных фотонов.

Оптическая схема приемника и система для квантового распределения ключей // 2754390

Техническое решение в общем относится к области вычислительной техники, а в частности к квантовой криптографии и средствам для квантового распределения ключей по открытому пространству. Техническим результатом, достигающимся при решении данной технической задачи, является повышение надежности приемника для квантового распределения ключей за счет упрощения конструкции оптической схемы.

Способ защиты вычислительных сетей // 2754101

Изобретение относится к вычислительной технике. Технический результат заключается в повышении результативности защиты за счет снижения возможности злоумышленника по подбору имен и паролей санкционированных FTP клиентов, а также вскрытия средств защиты вычислительных сетей и их обхода.

Система выработки и распределения ключей и способ распределенной выработки ключей с использованием квантового распределения ключей (варианты) // 2752844

Изобретение относится к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации. Техническим результатом является повышение отказоустойчивости системы за счет децентрализованной обработки запросов пользовательских ключей и расчета квантовых маршрутов.

Криптографическое устройство с изменяемой конфигурацией // 2752697

Изобретение относится к сетевому узлу, выполненному для осуществления криптографической операции, способу осуществления криптографической операции и компьютерочитаемому носителю информации. Технический результат заключается в обеспечении безопасной криптографической схемы обмена ключами и достигается за счет того, что первый сетевой узел выполнен с возможностью приема в качестве входа параметра () сложности и параметра () структуры и получения общей матрицы (), причем общую матрицу совместно используют со вторым сетевым узлом посредством интерфейса связи, элементы в общей матрице выбирают по модулю первого модуля (, общая матрица () представляет собой квадратную матрицу () размера (), равного параметру () сложности, деленному на параметр () структуры, элементы в общей матрице () являются многочленами по модулю многочлена () приведения степени, равной параметру () структуры, причем указанная криптографическая операция использует общую матрицу.

Способ адаптивного выбора маршрута в узле беспроводной ячеистой сети связи, соответствующее устройство для выполнения способа адаптивного выбора маршрута и соответствующая компьютерная программа // 2757663

Изобретение относится к области беспроводной связи. Технический результат заключается в обеспечении возможности инициализации таблицы маршрутов, которая настраивается в узле для принятия решения о следующем сегменте (hop) при маршрутизации пакетов в направлении к получателю.