Способ организации доступа в компьютерной системе


 


Владельцы патента RU 2427904:

Щербаков Андрей Юрьевич (RU)
Тимофеев Юрий Андреевич (RU)
Тимофеев Андрей Юрьевич (RU)

Изобретение относится к области информатики, а более конкретно - к способам организации доступа в компьютерной системе. Технический результат заключается в обеспечении полной изоляции личных и служебных данных. Такой результат достигается благодаря тому, что пользователю через абонентское устройство предоставляется и поддерживается в течение всего сеанса работы доступ только к одной из изолированных областей компьютерной системы, при этом все данные передаются по сети между абонентским устройством и изолированной областью в зашифрованном виде в течение всего сеанса работы пользователя, а по окончании указанного сеанса работы оперативная память абонентского устройства гарантированно стирается. 1 з.п. ф-лы, 1 ил.

 

Изобретение относится к области информатики, а более конкретно - к способам организации доступа в компьютерной системе.

Настоящее изобретение может найти применение при создании и эксплуатации компьютерных систем различного назначения, в которых разделяются данные различных категорий, например личные данные пользователей и служебная информация.

В настоящее время компьютерные системы объединяют от десятков до десятков тысяч персональных компьютеров. При этом каждый персональный компьютер обладает собственным подмножеством данных, которое объединяет как личную информацию пользователя, так и некоторую корпоративную информацию, характеризующую целевую функцию сетевой корпоративной среды, в которую включен персональный компьютер. Эту информацию удобно назвать служебной информацией.

Таким образом, личная информация в рамках ПК оказывается интегрирована, «перемешана» со служебной информацией, что в первую очередь осложняет обеспечение ее безопасности (поскольку трудно выделить объекты защиты) и делает невозможным обеспечение заданных характеристик надежности компьютерной системы в целом, поскольку не обеспечена доступность служебной информации, локализованной в рамках конкретного персонального компьютера. Решением проблемы могло бы быть перемещение служебной информации на серверную компоненту КС, но и в этом случае остается открытым вопрос о переносе фрагментов служебной информации с сервера на персональный компьютер. При возможности подключения к ПК компактных внешних накопителей большой емкости (десятки гигабайт) вполне реальным становится перенос во вне компьютерной системы значительно или даже всей отчужденной на сервере служебной информации.

Далее, даже при наличии сетевых управляющих компонент администрирование сети персональных компьютеров является весьма объемной задачей, имеющей мультипликативную сложность в зависимости от объема сети. Из практики известно, что максимально доступный администрированию объем управляемых ПК без физического доступа к ним не превышает 50, а при необходимости посещать каждый ПК - не более 20. В этих условиях поддержание адекватной информационной безопасности становится чрезвычайно сложной задачей.

В основу настоящего изобретения положена задача создания способа организации доступа и связанного с ним способа обмена данными в компьютерной системе, которые позволяли бы обеспечить полную изоляцию личных и служебных данных в компьютерной системе, обеспечивали бы легкость управления доступом к данным, возможность использования каждым пользователем всех вычислительных ресурсов компьютерной системы и корректный обмен данными без перемешивания личных и служебных данных в компьютерной системе.

Эти задачи решены в реализованном согласно настоящему изобретению способе организации доступа в компьютерной системе, состоящей по меньшей мере из двух изолированных областей, каждая из которых является совокупностью компьютеров, соединенных отдельной сетью, размещенных на этих компьютерах данных и программ, обрабатывающих указанные данные, а также некоторого числа соединенных отдельной сетью абонентских устройств, состоящих из средств отображения и ввода информации, процессора с оперативной памятью и сетевого адаптера, согласно которому каждый пользователь компьютерной системы в начале сеанса работы проводит свою авторизацию, заключающуюся в предъявлении пользователем оригинальной информации, не известной другим пользователям, в результате чего пользователю через абонентское устройство предоставляется и поддерживается в течение всего сеанса работы доступ только к одной из изолированных областей компьютерной системы, при этом все данные передаются по сети между абонентским устройством и изолированной областью в зашифрованном виде в течение всего сеанса работы пользователя, а по окончании указанного сеанса работы оперативная память абонентского устройства гарантированно стирается.

Также настоящее изобретение относится к способу организации доступа (обмена данными) в компьютерной системе, состоящей по меньшей мере из двух изолированных областей, каждая из которых является совокупностью компьютеров, соединенных отдельной сетью, размещенных на этих компьютерах данных и программ, обрабатывающих указанные данные, согласно которому каждой изолированной области в компьютерной системе присваивается определенный уровень доступа и перемещение данных разрешается только от изолированной области меньшего уровня доступа к области данных более высокого уровня доступа, а обратное перемещение запрещается.

За счет реализации заявленного авторами способа достигается следующее:

- обеспечивается полная изоляция личных и служебных данных в компьютерной системе,

- снижается трудоемкость управления доступом к данным,

- достигается возможность использования каждым пользователем всех вычислительных ресурсов компьютерной системы,

- возможен корректный обмен данными без перемешивания данных различных категорий (например, личных и служебных) в компьютерной системе.

Настоящее изобретение раскрыто в нижеследующем схематичном описании компьютерной системы обработки данных различных категорий, со ссылками на чертеж, схематически изображающую блок-схему этой системы, описывающую все заявляемые способы.

Компьютерная система обработки данных различных категорий состоит из области с низкой категорией доступа 1 (например, предназначенной для хранения и обработки личных данных), шлюза перемещения данных 2, также представляющего собой выделенную область компьютерной системы, области с высокой категорией доступа 3 (например, предназначенной для хранения и обработки служебных данных), среды передачи зашифрованных данных 4, абонентских устройств 5-7, из которых абонентское устройство 7 является административным, управляющим функциями по организации доступа для шлюза 2.

В компьютерной системе, состоящей из двух изолированных областей 1 и 3, каждая из которых является совокупностью компьютеров, соединенных отдельной сетью, размещенных на этих компьютерах данных и программ, обрабатывающих указанные данные, а также соединенных отдельной сетью абонентских устройств 5-7, включающих средства отображения и ввода информации, процессор с оперативной памятью и сетевой адаптер. Каждый пользователь компьютерной системы в начале сеанса работы проводит свою авторизацию, заключающуюся в предъявлении пользователем оригинальной информации, не известной другим пользователям, в результате чего пользователю через абонентское устройство предоставляется и поддерживается в течение всего сеанса работы доступ только к одной из изолированных областей компьютерной системы (для абонентского устройства 5 - к области 1, для устройства 6 - к области 1 или области 3 в разных сеансах работы, для абонентского устройства 7 - только к шлюзу 2), при этом все данные передаются по сети 4 между абонентским устройством и изолированной областью в зашифрованном виде в течение всего сеанса работы пользователя, а по окончании указанного сеанса работы оперативная память абонентского устройства гарантированно стирается. Каждой изолированной области в компьютерной системе присваивается определенный уровень доступа, и перемещение данных разрешается только от изолированной области меньшего уровня доступа к области данных более высокого уровня доступа, а обратное перемещение запрещается, что схематически показано перемещением информации через шлюз 2.

По сравнению со всеми известными авторам способами организации доступа и способами обмена данными в компьютерной системе предлагаемые способы отличаются тем, что обеспечивается полная изоляция личных и служебных данных в компьютерной системе, снижается трудоемкость управления доступом к данным, достигается возможность использования каждым пользователем всех вычислительных ресурсов компьютерной системы, возможен корректный обмен данными без перемешивания данных различных категорий (например, личных и служебных) в компьютерной системе.

Источники информации

1. Пройдаков Э.М., Теплицкий Л.А. Англо-русский толковый словарь по вычислительной технике, Интернету и программированию. - 3-е изд., М.: Русская редакция. 2002. - 640 с.

1. Способ организации доступа в компьютерной системе, состоящей, по меньшей мере, из двух изолированных областей, каждая из которых является совокупностью компьютеров, соединенных отдельной сетью, размещенных на этих компьютерах данных и программ, обрабатывающих указанные данные, а также некоторого числа соединенных отдельной сетью абонентских устройств, состоящих из средств отображения и ввода информации, процессора с оперативной памятью и сетевого адаптера, заключающийся в том, что каждый пользователь компьютерной системы в начале сеанса работы проводит свою авторизацию, заключающуюся в предъявлении пользователем оригинальной информации, не известной другим пользователям, в результате чего пользователю через абонентское устройство предоставляется и поддерживается в течение всего сеанса работы доступ только к одной из изолированных областей компьютерной системы, при этом все данные передаются по сети между абонентским устройством и изолированной областью в зашифрованном виде в течение всего сеанса работы пользователя, а по окончании указанного сеанса работы оперативная память абонентского устройства гарантированно стирается.

2. Способ организации доступа в компьютерной системе по п.1, отличающийся тем, что каждой изолированной области в компьютерной системе присваивается определенный уровень доступа и перемещение данных разрешается только от изолированной области меньшего уровня доступа к области данных более высокого уровня доступа, а обратное перемещение запрещается.



 

Похожие патенты:

Изобретение относится к способам подтверждения подлинности сервера обслуживания и способам оплаты в беспроводном Интернете. .

Изобретение относится к технологиям осуществления доступа к системе беспроводной связи. .

Изобретение относится к технологиям осуществления доступа к системе беспроводной связи. .

Изобретение относится к технологиям осуществления доступа к системе беспроводной связи. .

Изобретение относится к технике связи. .

Изобретение относится к технике связи. .

Изобретение относится к беспроводным сетям связи для предоставления услуг связи. .

Изобретение относится к технике связи. .

Изобретение относится к вычислительной технике и может быть использовано в компьютерных технологиях в системах обработки и передачи информации для защиты передаваемой информации.

Изобретение относится к вычислительной технике и может быть использовано для обеспечения конфиденциальности сведений, содержащихся в управляющей программе для станков с числовым программным управлением, во время ее передачи по каналам связи.

Изобретение относится к системам и методам создания описания и сравнения функционала исполняемых файлов и предназначено для определения принадлежности исполняемых файлов к известным коллекциям файлов.

Изобретение относится к защите контента в коммуникационных сетях, более конкретно к управлению Авторизованным Доменом. .

Изобретение относится к управлению информацией/событиями безопасности, в частности к эффективному хранению информации/событий безопасности с поддержкой запроса. .

Изобретение относится к компьютерному администрированию, а именно к способу предоставления привилегий. .

Изобретение относится к области технологии сетевых коммуникаций и, в частности, к способу шифрованного доступа по протоколу защищенной пересылки гипертекста (HTTPS), системе и устройству для его осуществления.

Изобретение относится к области электросвязи и вычислительной техники, а точнее к области способов защиты информации в компьютерных системах и сетях. .

Изобретение относится к области использования цифрового контента на основе цифровых лицензий. .

Изобретение относится к области использования цифрового контента на основе цифровых лицензий. .

Изобретение относится к средствам защиты аудиовизуальной информации цифровым водяным знаком
Наверх