Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации
Владельцы патента RU 2387086:
Российская Федерация в лице Министерства промышленности и торговли Российской Федерации (Минпромторг России) (RU)
Изобретение относится к области защиты вычислительных сетей. Технический результат заключается в повышении безопасности при работе с внешними сетями. Сущность изобретения заключается в том, что при работе с внешними сетями обмен данными осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройства фильтрации графика и преобразования формы представления данных, подключенные к внутренней сети. Локальная вычислительная сеть разделена на внутреннюю сеть и внешнюю выделенную сеть. Выделенная сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети. При этом система содержит двухвходовый накопитель цифровой информации, соединенный с виртуальными средами пользователей на сервере, и устройство фильтрации графика и преобразования формы представления данных, соединенное с двухвходовым накопителем цифровой информации напрямую или через сетевое оборудование и накопителем цифровой информации во внутренней сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети. 2 н.п. ф-лы, 1 ил.
Изобретение относится к вычислительным сетям, в частности к обеспечению их информационной безопасности.
Основным требованием к сетям с точки зрения безопасности является защита информационных ресурсов локальной вычислительной сети (ЛВС) от несанкционированного доступа, разрушения и искажения, а также от незаконной передачи данных за пределы ЛВС.
Способы и системы защиты информационных ресурсов сети в условиях ее взаимодействия с внешними (не контролируемыми предприятием) сетями, например сетью Internet, разрабатывают с момента появления компьютерных сетей и известны их многочисленные варианты (см., например патент RU №2318296, МПК Н04L 12/54, 2006 г., патент RU №2325694, МПК Н04L 12/00, 2008 г., патент RU №2327214, МПК G06F 21/22,2008 г.).
В простейшем случае используют системы на основе прав доступа по имени учетной записи и паролю в совокупности со специальным программным обеспечением таким, как брандмауэры, фильтрующее и маршрутизирующее оборудование (статья Ю. Рудакова «Технические решения для физически разделенных сетей», публикация ООО «ЕПОС», 17 декабря 2002 г., стр.1, рис.1). В некоторых случаях в качестве дополнительных мер безопасности используют двухфакторную аутентификацию.
Недостатками аналогов являются невозможность гарантировать абсолютную надежность брандмауэра, недостаточная защита от внутренних угроз безопасности и невозможность в полной мере обеспечить защиту от угроз передачи инфицированных вирусами программ и файлов.
Наиболее близким к предлагаемому техническому решению является схема локальной вычислительной сети учреждения с физическим разделением на внешнюю и внутреннюю сети с обменом данными между ними через оператора (статья Ю. Рудакова «Технические решения для физически разделенных сетей», публикация ООО «ЕПОС», 17 декабря 2002 г., стр.2, рис.2).
Система, принятая за прототип, содержит физически раздельные внутреннюю сеть - сеть без доступа к/из внешних сетей, и внешнюю сеть - сеть с доступом к внешним сетям. Во внутренней сети располагают информационные и вычислительные ресурсы предприятия и ПЭВМ пользователей. Во внешней - ПЭВМ с доступом в Internet через шлюз, брандмауэр с необходимыми средствами фильтрации и контроля трафика. Способ работы внутреннего пользователя во внешних сетях сводится к передаче во внешнюю сеть или получении из внешней сети данных на цифровых носителях информации (например, дискетах) или на бумажных носителях (например, машинописные тексты) через операторов ПЭВМ внешней сети.
Недостатком прототипа является то, что внутренний пользователь не имеет возможности самостоятельно работать с внешними сетями. Так же для известной системы характерна децентрализация и наличие рядом с каждой точкой доступа оператора выделенной сети, что в совокупности делает ее дорогой и сложной в эксплуатации. Кроме того, практика передачи файлов без их проверки службой безопасности не является безопасной.
Задача настоящего изобретения в том, чтобы дать внутренним пользователям возможность самостоятельно работать с внешними сетями, сделать работу с внешними сетями более безопасной, а саму систему удобной и экономичной в эксплуатации.
Технический результат предлагаемого изобретения состоит в повышении удобства использования, снижении стоимости эксплуатации системы по сравнению с прототипом, большей защищенности системы и возможности внутренним пользователям работать во внешней сети.
Решение поставленной задачи и технический результат достигаются тем, что в способе обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями обмен данных осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройство фильтрации трафика и преобразования формы представления данных, подключенное к внутренней сети.
Решение поставленной задачи и технический результат также достигаются тем, что в системе информационной безопасности локальной вычислительной сети, содержащей внутреннюю и внешнюю сети, внешняя сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети, дополнительно система содержит двухвходовый накопитель цифровой информации, соединенный с виртуальной операционной средой внутренних пользователей на сервере, и устройство фильтрации трафика и преобразования формы представления передаваемых между сетями данных, соединенное с сетевым накопителем цифровой информации напрямую или через сетевое оборудование, и накопителем цифровой информации во внутренней локальной вычислительной сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети, при помощи устройств типа KVM для переключения одного набора периферии (клавиатуры, монитора и мыши) между ПЭВМ внутренних пользователей и терминалами.
Для пояснения изобретения обратимся к чертежу, на котором приведена схема системы обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями.
Локальная вычислительная сеть разделена на две физически несвязанные части - внутреннюю и внешнюю. Внешняя сеть предназначена для работы внутренних пользователей 1 с внешними сетями. Внутренняя сеть предназначена для работы внутренних пользователей 1 с локальными информационными и вычислительными ресурсами.
Рабочее место внутреннего пользователя 1 состоит из необходимой периферии 2, например клавиатуры, монитора, мыши, соединенной через переключатель 3 типа KVM с ПЭВМ 4 для работы во внутренней сети и с терминалом 5 для работы во внешней сети. Множество терминалов 5 внутренних пользователей 1 подключают напрямую или через систему специализированного программного обеспечения и/или сетевого оборудования 6, например коммутатор, к одной или нескольким виртуальным средам, расположенным на сервере 7 или ином подходящем вычислительном оборудовании. Виртуальные среды имеют возможность взаимодействовать с внешними сетями через канал 8. Виртуальные среды по отдельному каналу соединены с двухвходовым накопителем цифровой информации 9, обеспечивающим доступ к данным только по одному из входов в каждый конкретный момент за счет физического отключения второго входа, который в свою очередь соединен с устройством 11 фильтрации трафика и преобразования формы представления данных между внутренней и внешней сетями. Устройство 11 соединено напрямую или через подходящую сетевую инфраструктуру 10 с накопителем цифровой информации 16, к которому внутренний пользователь 1 может получить доступ со своей ПЭВМ 4. В системе также предусмотрены альтернативные способы обмена данными между внутренней и внешней сетями, в которых в одном случае данные на переносном накопителе информации 12 оператором 14 переносятся вручную на устройство 11 фильтрации трафика и преобразования формы представления данных между сетями, откуда по описанному выше маршруту данные попадают на ПЭВМ 4 внутреннего пользователя 1. В другом случае данные оператором 14 на бумажном носителе 15, либо посредством преобразования формы представления, например, распечатки и последующего сканирования 13 попадают на устройство 11 фильтрации трафика и преобразования формы представления данных, откуда по уже описанному маршруту попадают на ПЭВМ 4 внутреннего пользователя 1.
Система работает следующим образом.
В исходной ситуации внутренний пользователь 1 работает через устройства периферии 2 с ПЭВМ 4 во внутренней сети. Для того чтобы начать работу во внешней сети внутренний пользователь 1 переключает устройство 3 (переключатель типа KVM) на терминал 5 и регистрируется в общей или в специально для него выделенной виртуальной операционной среде на сервере 7. После чего начинает работу при помощи стандартных программ, например браузера. При необходимости перенести данные из внешней сети во внутреннюю внутренний пользователь 1 сохраняет их сначала в операционной среде на сервере 7, затем переносит данные на двухвходовый накопитель цифровой информации 9. После чего данные забираются автоматически или при помощи оператора 14 на устройство 11 фильтрации трафика и преобразования формы представления данных, где проходят соответствующую проверку и преобразование формы, после чего попадают на внутренний сервер 16, откуда могут быть получены внутренним пользователем 1 на ПЭВМ 4, после того как он переключит устройство 3 типа KVM 3 на работу с ПЭВМ 4. Как вариант преобразование формы на устройстве фильтрации трафика и преобразования формы представления данных может быть заменено на описанную систему принтер-сканер 13 с участием оператора 14 или перенос данных на бумажном носителе 15 с последующим вводом текста оператором 14. Также оператором 14 данные могут быть перенесены из виртуальной среды пользователя на сервере 7 на переносимом носителе 12 сразу на устройство 11 фильтрации трафика и преобразования формы представления данных.
В ситуации обратной исходной внутренний пользователь 1 работает за ПЭВМ 4. Если возникает необходимость передать данные во внешнюю сеть, он копирует их с ПЭВМ 4 на сервер хранения цифровых данных 16 в локальной вычислительной сети, откуда они в ручном режиме оператором 14 или в автоматическом режиме попадают на устройство 11 фильтрации трафика и преобразования формы представления данных, где проходят необходимые проверки и преобразования формы. После чего они оператором 14 или в автоматическом режиме переносятся на двухвходовый накопитель цифровой информации 9. Далее внутренний пользователь 1 при помощи переключателя 3 типа KVM переключается на терминал 5, регистрируется в виртуальной среде пользователя на сервере 7. После этого он может забрать данные с устройства 9 и отправить их во внешнюю сеть по каналу 8. Альтернативными путями данные при участии оператора 14 могут быть перенесены с устройства 11 фильтрации трафика и преобразования формы представления данных непосредственно в виртуальную среду пользователя на сервере 4 или на двухвходовый накопитель цифровой информации 9 на бумажном носителе 15 с последующим набором в виртуальной среде пользователя на сервере 7, либо через систему принтер-сканер 13, либо, если преобразование формата представления данных было произведено на устройстве фильтрации трафика и преобразования формы представления данных 11, на переносном накопителе информации 12 в цифровом виде.
Технический эффект предлагаемого изобретения состоит в том, что за счет введения в локальную вычислительную сеть терминальной сети и использования двухвходового накопителя цифровой информации и устройства фильтрации трафика и преобразования формы представления данных значительно повышается уровень защищенности локальных информационных ресурсов предприятия, удобство использования и обслуживания сети и общая экономическая эффективность. Кроме того, повышается эффективность работы пользователя за счет предоставления ему возможности самостоятельно работать во внешних сетях.
1. Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями, отличающийся тем, что обмен данными осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройство фильтрации трафика и преобразования формы представления данных, подключенное к внутренней сети.
2. Система обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями, содержащая внутреннюю и внешнюю сети, отличающаяся тем, что внешняя сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети, дополнительно система содержит двухвходовый накопитель цифровой информации, соединенный с виртуальными операционными средами внутренних пользователей на сервере и устройство фильтрации трафика и преобразования формы представления данных, соединенное с сетевым накопителем цифровой информации напрямую или через сетевое оборудование, и накопителем цифровой информации во внутренней локальной вычислительной сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети при помощи устройства для переключения одного набора периферии между ПЭВМ внутренних пользователей и терминалами.
