Система защиты средств передачи информации узла связи от компьютерных атак
Владельцы патента RU 2540810:
Федеральное государственное казенное учреждение "27 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации (RU)
Изобретение относится к области обеспечения безопасности передаваемой по техническим средствам информации. Техническим результатом является повышение эффективности защиты передаваемой по каналам и линиям связи информации и устойчивости работы средств передачи информации, используемых в подвижных объектах узла связи. Система защиты средств передачи информации узла связи от компьютерных атак состоит из диспетчерского пункта, содержащего автоматизированное рабочее место должностного лица (АРМ ДЛ) с интегрированным в него устройством управления средствами защиты (УСЗ) от компьютерных атак (КА), включающим в себя блок ввода данных, блок базы данных весовых коэффициентов эффективности противодействия КА, блок оценки эффективности противодействия КА, блок определения оптимальных режимов функционирования средств защиты (СЗ) от КА и блок сопряжения со средствами защиты от КА, коммутатор локальной вычислительной сети (ЛВС), блок кабельного ввода и телефонный аппарат (ТА) системы АТС; абонентской линии (АЛ) телефонной связи, первой, второй и третьей проводных линий Ethernet, волоконно-оптической линии связи (ВОЛС); подвижного объекта связи и управления, содержащего блок кабельного ввода, маршрутизатор, межсетевой экран с СЗИ №1, АРМ ДЛ с интегрированными в него средствами защиты информации (СЗИ) №2 и №4, сервер связи с интегрированными в него СЗИ №3 и №4, телефонную станцию оперативной связи, ТА системы АТС, широкодиапазонную (ШРД) радиостанцию и приемопередающую антенну ШРД радиостанции; первого и второго подвижных объектов связи (ПОС), каждый из которых содержит блок кабельного ввода, коммутатор ЛВС, первое, второе и третье АРМ ДЛ с интегрированными в них СЗИ №4, ШРД радиостанцию с приемопередающей антенной. 4 з.п. ф-лы, 2 ил.
Изобретение относится к системам обеспечения безопасности передаваемой по техническим средствам информации между должностными лицами и может быть использовано для защиты средств передачи информации от компьютерных атак.
При обмене информацией между должностными лицами возможны попытки воздействия на нее с целью перехвата или искажения передаваемой информации. Для защиты передаваемой информации используются различные методы и способы, в том числе организационные и технические [1]. С помощью организационных мер ограничивается доступ к средствам передачи информации, а в качестве технических мер защиты используются методы шифрования информации, передаваемой по абонентским линиям и каналам связи, в том числе применяются средства защиты, использующие криптографические методы. Однако эти меры не обеспечивают требуемую степень защиты и не исключают возможность воздействия на электронные средства передачи информации, в том числе на средства обработки и передачи информации на основе компьютерной техники путем поражения информации с помощью вирусов и ввода ложной информации.
Целью изобретения является повышение эффективности защиты передаваемой по каналам и линиям связи информации и устойчивости работы средств передачи информации, используемых в подвижных объектах узла связи.
Поставленная цель достигается тем, что система защиты средств передачи информации узла связи от компьютерных атак состоит из диспетчерского пункта, содержащего автоматизированное рабочее место должностного лица (АРМ ДЛ), в которое интегрировано устройство управления средствами защиты (УСЗ) от компьютерных атак (КА), включающее в себя блок ввода данных, блок базы данных весовых коэффициентов эффективности противодействия (ВКЭП) компьютерным атакам, блок оценки эффективности противодействия КА, блок определения оптимальных режимов функционирования (ОРФ) средств защиты (СЗ) от КА и блок сопряжения со средствами защиты от КА, коммутатор локальной вычислительной сети (ЛВС), блок кабельного ввода и телефонный аппарат (ТА) системы АТС; абонентской линии (АЛ) телефонной связи, первой, второй и третьей проводных линий Ethernet; подвижного объекта связи и управления, содержащего блок кабельного ввода, маршрутизатор, межсетевой экран, представляющий собой средство защиты информации №1 (СЗИ №1), АРМ ДЛ, в которое интегрировано средство защиты информации №2 (СЗИ №2), выполненное в виде средства защиты от несанкционированного доступа (НСД), сервер связи, в который интегрировано средство защиты информации №3 (СЗИ №3), выполненное в виде средства обнаружения атак на уровне программного обеспечения, телефонную станцию оперативной связи, ТА системы АТС, широкодиапазонную (ШРД) радиостанцию и приемопередающую антенну ШРД радиостанции; первого подвижного объекта связи (ПОС), содержащего блок кабельного ввода, коммутатор ЛВС, первое, второе и третье АРМ ДЛ, в каждое из которых интегрировано средство защиты информации №4 (СЗИ №4), выполненное в виде средства антивирусной защиты, широкодиапазонную радиостанцию и приемопередающую антенну ШРД радиостанции; второго подвижного объекта связи, содержащего блок кабельного ввода, коммутатор ЛВС, первое, второе и третье АРМ ДЛ, в каждое из которых интегрировано средство защиты информации №4 (СЗИ №4), выполненное в виде средства антивирусной защиты, широкодиапазонную радиостанцию и приемопередающую антенну ШРД радиостанции; волоконно-оптической линии связи (ВОЛС) для подключения внешней сети связи общего пользования, при этом первые входы-выходы АРМ ДЛ диспетчерского пункта соединены с входами-выходами блока ввода данных устройства УСЗ от КА узла связи, первый выход которого соединен со входом блока базы данных ВКЭП компьютерным атакам, выход которого соединен со входом блока оценки эффективности противодействия КА, выход которого соединен со вторым входом блока определения ОРФ СЗ от КА, первый вход которого соединен со вторым выходом блока ввода данных, выход блока определения ОРФ СЗ от КА соединен со входом блока сопряжения со СЗ от КА, вход-выход которого соединен с первым входом-выходом коммутатора ЛВС, второй вход-выход которого соединен со вторым входом-выходом АРМ ДЛ, третий вход-выход коммутатора ЛВС соединен с первым станционным входом-выходом блока кабельного ввода, второй станционный вход-выход которого соединен с линейным входом-выходом ТА системы АТС, первый линейный вход-выход блока кабельного ввода посредством первой проводной линии Ethernet по стыку Ethernet подключен к первому линейному входу-выходу блока кабельного ввода подвижного объекта связи и управления, второй линейный вход-выход которого посредством АЛ телефонной связи соединен со вторым линейным входом-выходом блока кабельного ввода диспетчерского пункта; первый и второй станционные входы-выходы блока кабельного ввода подвижного пункта связи и управления подключены соответственно к первому и второму входам-выходам маршрутизатора, третий, четвертый, пятый и шестой входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно межсетевого экрана, АРМ ДЛ, сервера связи и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции, высокочастотный вход-выход которой соединен с входом-выходом приемопередающей антенны, третий и четвертый линейные входы-выходы блока кабельного ввода подвижного объекта связи и управления посредством второй и третьей проводных линий Ethernet подключены к линейным входам-выходам соответственно блока кабельного ввода первого подвижного объекта связи и блока кабельного ввода второго подвижного объекта связи, второй вход-выход межсетевого экрана соединен с третьим станционным входом-выходом блока кабельного ввода подвижного объекта связи и управления, четвертый станционный вход-выход которого соединен с канальным входом-выходом телефонной станции, абонентский вход-выход которой соединен с линейным входом-выходом ТА системы АТС; станционный вход-выход блока кабельного ввода первого ПОС соединен с первым входом-выходом коммутатора ЛВС, второй, третий, четвертый и пятый входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно первого, второго и третьего АРМ ДЛ и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции, высокочастотный вход-выход которой соединен с высокочастотным входом-выходом приемопередающей антенны; станционный вход-выход блока кабельного ввода второго ПОС соединен с первым входом-выходом коммутатора ЛВС, второй, третий, четвертый и пятый входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно первого, второго и третьего АРМ ДЛ и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции, высокочастотный вход-выход которой соединен с высокочастотным входом-выходом приемопередающей антенны; пятый линейный вход-выход блока кабельного ввода подвижного объекта связи и управления соединен с ВОЛС для подключения внешней сети связи общего пользования, при этом приемопередающая антенна ШРД радиостанции подвижного объекта связи и управления по эфиру соединена с приемопередающими антеннами ШРД радиостанций соответственно первого и второго подвижных объектов связи.
Система защиты средств передачи информации отличается тем, что межсетевой экран, представляющий собой средство защиты СЗИ №1, осуществляет фильтрацию трафика, поступающего из внешней сети связи и/или передающегося во внешнюю сеть в соответствии с выбранными ограничениями по доступу к информации, а также тем, что средство защиты информации от НСД (СЗИ №2), интегрированное в АРМ ДЛ подвижного объекта связи и управления, реализует функцию аутентификации должностных лиц и разграничение доступа к информации.
Средство зашиты СЗИ №3, интегрированное в сервер связи подвижного объекта связи и управления, осуществляет мониторинг функционирования программного обеспечения, реализующего службы связи, а средство защиты СЗИ №4, интегрированное в АРМ ДЛ диспетчерского пункта и подвижного объекта связи и управления, в каждое АРМ ДЛ первого и второго подвижных объектов связи, осуществляет мониторинг АРМ ДЛ и обрабатываемых ими данных с целью выявления и обезвреживания вредоносных программ.
Проведенный анализ научно-технической литературы и патентной документации не выявил устройств, аналогичных по совокупности признаков и решаемым задачам предлагаемой системе защиты средств передачи информации узла связи. Кроме того, предлагаемая система защиты отличается оригинальностью решения поставленной задачи, включая новые решения по устройству управления средствами защиты и алгоритму их работы, что позволило существенно повысить эффективность системы защиты и способствовало обеспечению устойчивости работы средств передачи информации подвижных объектов связи на полевых узлах.
Таким образом, заявляемая система защиты средств передачи информации узла связи от КА соответствует критерию изобретения «новизна». Сравнение заявляемого решения с другими техническими решениями показывает, что для реализации блоков системы защиты в предложенной совокупности признаков хорошо известны в данной области техники и дополнительного творчества для их воспроизведения не потребуется.
Данное решение существенно отличается от известных решений в данной области техники. Заявляемое решение явным образом не следует из уровня техники и имеет изобретательский уровень. Это позволяет сделать вывод о соответствии технического решения критерию «существенные отличия».
Заявляемая система защиты средств передачи информации узла связи от КА может быть реализована с использованием существующих блоков и устройств, используемых в электросвязи и вычислительной технике, и является промышленно применимым.
На фиг.1 представлена структурная электрическая схема системы защиты средств передачи информации узла связи (СПИ УС) от КА, а на фиг.2 приведен алгоритм работы предлагаемой системы защиты.
Система защиты средств передачи информации узла связи (СПИ УС) от компьютерных атак (фиг.1) содержит:
1 - диспетчерский пункт, включающий в себя:
2 - автоматизированное рабочее место должностного лица (АРМ ДЛ);
3 - устройство управления средствами защиты (УСЗ) от компьютерных атак (КА), состоящее из:
4 - блока ввода данных,
5 - блока базы данных весовых коэффициентов эффективности противодействия (ВКЭП) компьютерным атакам,
6 - блока оценки эффективности противодействия КА,
7 - блока определения оптимальных режимов функционирования (ОРФ) средств защиты (СЗ) от компьютерных атак,
8 - блока сопряжения со средствами защиты от КА;
9 - коммутатор локальной вычислительной сети (ЛВС);
10 - блок кабельного ввода;
11 - телефонный аппарат системы АТС;
12 - первую проводную линию Ethernet;
13 - абонентскую линию (АЛ) телефонной связи;
14 - подвижный объект связи и управления (ПОС и У), состоящий из:
15 - блока кабельного ввода,
16 - маршрутизатора,
17 - межсетевого экрана, представляющего собой средство защиты информации №1 (СЗИ №1),
18 - автоматизированного рабочего места должностного лица (АРМ ДЛ), в которое интегрированы средства защиты информации №2 (СЗИ №2) и №4 (СЗИ№4),
19 - сервера связи, в который интегрированы средства защиты информации №3 (СЗИ №3) и №4 (СЗИ №4),
20 - телефонной станции оперативной связи,
21 - телефонного аппарата системы АТС,
22 - широкодиапазонной (ШРД) радиостанции,
23 - приемопередающей антенны ШРД радиостанции;
24 - вторую проводную линию Ethernet;
25 - первый подвижный объект связи (ПОС), состоящий из:
26 - блока кабельного ввода,
27 - коммутатора локальной вычислительной сети (ЛВС),
28 - первого АРМ ДЛ с интегрированным в него СЗИ №4,
29 - второго АРМ ДЛ с интегрированным в него СЗИ №4,
30 - третьего АРМ ДЛ с интегрированным в него СЗИ №4,
31 - широкодиапазонной (ШРД) радиостанции,
32 - приемопередающей антенны ШРД радиостанции;
33 - третью проводную линию Ethernet;
34 - второй ПОС, состоящий из:
35 - блока кабельного ввода,
36 - коммутатора ЛВС,
37 - первого АРМ ДЛ с интегрированным в него СЗИ №4,
38 - второго АРМ ДЛ с интегрированным в него СЗИ №4,
39 - третьего АРМ ДЛ с интегрированным в него СЗИ №4,
40 - широкодиапазонной (ШРД) радиостанции,
41 - приемопередающей антенны ШРД радиостанции;
42 - волоконно-оптическую линию связи (ВОЛС) для подключения внешней сети связи общего пользования.
Входы-выходы АРМ ДЛ 2 диспетчерского пункта 1 соединены с входами-выходами блока 4 ввода данных устройства 3 УСЗ от КА узла связи, первый выход которого соединен со входом блока 5 базы данных ВКЭП компьютерным атакам, выход которого соединен со входом блока 6 оценки эффективности противодействия КА, выход которого соединен со вторым входом блока 7 определения ОРФ СЗ от КА, первый вход которого соединен со вторым выходом блока 4 ввода данных.
Выход блока 7 определения ОРФ СЗ от КА соединен со входом блока 8 сопряжения со средствами защиты от КА, вход-выход которого соединен с первым входом-выходом коммутатора ЛВС 9, второй вход-выход которого соединен со вторым входом-выходом АРМ ДЛ 2, третий вход-выход коммутатора 9 ЛВС соединен с первым станционным входом-выходом блока 10 кабельного ввода, второй станционный вход-выход которого соединен с линейным входом-выходом ТА 11 системы АТС, первый линейный вход-выход блока 10 кабельного ввода посредством первой 12 проводной линии Ethernet по стыку Ethernet подключен к первому линейному входу-выходу блока 15 кабельного ввода подвижного объекта 14 связи и управления. Первый и второй станционные входы-выходы блока 15 кабельного ввода подключены соответственно к первому и второму входам-выходам маршрутизатора 16, третий, четвертый, пятый и шестой входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно межсетевого экрана 17, АРМ ДЛ 18, сервера связи 19 и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции 22, высокочастотный вход-выход которой соединен с входом-выходом приемопередающей антенны 23, второй вход-выход межсетевого экрана 17 соединен с третьим станционным входом-выходом блока 15 кабельного ввода подвижного объекта 14 связи и управления. Второй вход-выход межсетевого экрана 17 соединен с третьим станционным входом-выходом блока 15 кабельного ввода подвижного объекта 14 связи и управления, четвертый станционный вход-выход которого соединен с канальным входом-выходом телефонной станции 20 оперативной связи, абонентский вход-выход которой соединен с линейным входом-выходом ТА 21 системы АТС.
Второй и третий линейные входы-выходы блока 15 кабельного ввода подвижного объекта 14 связи и управления посредством второй 24 и третьей 33 проводных линий Ethernet подключены к линейным входам-выходам соответственно блока 26 кабельного ввода первого подвижного объекта 25 связи и блока 35 кабельного ввода второго подвижного объекта 34 связи.
Станционный вход-выход блока 26 кабельного ввода первого ПОС 25 соединен с первым входом-выходом коммутатора 27 ЛВС, второй, третий, четвертый и пятый входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно первого 28, второго 29 и третьего 30 АРМ ДЛ и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции 31, высокочастотный вход-выход которой соединен с высокочастотным входом-выходом приемопередающей антенны 32.
Станционный вход-выход блока 35 кабельного ввода второго ПОС 34 соединен с первым входом-выходом коммутатора 36 ЛВС, второй, третий, четвертый и пятый входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно первого 37, второго 38 и третьего 39 АРМ ДЛ и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции 40, высокочастотный вход-выход которой соединен с высокочастотным входом-выходом приемопередающей антенны 41.
Четвертый линейный вход-выход блока 15 кабельного ввода подвижного объекта 14 связи и управления соединен с ВОЛС 42 для подключения внешней сети связи общего пользования. При этом приемопередающая антенна 23 ШРД радиостанции 22 подвижного объекта 14 связи и управления по эфиру соединена с приемопередающими антеннами 32 и 41 соответственно первого 25 и второго 34 подвижных объектов связи.
Автоматизированное рабочее место 2 должностного лица диспетчерского пункта 1 выполнено с использованием персональной вычислительной машины (ПЭВМ) типа ЕС-1866, которая представляет собой многофункциональный терминал, дополненный аппаратными и программными средствами навигации, связи и передачи данных. Конструктивно ПЭВМ типа ЕС-1866 представляет собой переносной защищенный компьютер типа «Notebook», установленный на амортизационную раму с целью исключения его перемещения при нахождении подвижного объекта (диспетчерского пункта, подвижного объекта связи и управления, первого и второго подвижных объектов связи) в движении.
Упомянутый компьютер содержит системный блок, видеомонитор, стандартную клавиатуру и графический манипулятор типа «мышь». При этом в системный блок ПЭВМ АРМ ДЛ 2 дополнительно встроено устройство 3 управления средствами защиты от компьютерных атак, состоящее из блока 4 ввода данных, блока 5 базы данных весовых коэффициентов эффективности противодействия КА, блока 6 оценки эффективности противодействия КА, блока 7 определения оптимальных режимов функционирования СЗ от КА и блока 8 сопряжения со средствами защиты от КА.
АРМ ДЛ 2 указанного выше состава предназначено для управления работой средств защиты информации (СЗИ), установленных в средствах передачи информации на рабочих местах в подвижном объекте 14 связи и управления, первом 25 и втором 34 подвижных объектах связи. При этом АРМ ДЛ 2 обеспечивает:
а) ввод, хранение и отображение управляющей информации;
б) обмен информацией с взаимодействующими АРМ по сети обмена данными;
в) сбор, обобщение и отображение информации о состоянии средств защиты информации (СЗИ);
г) дистанционное управление средствами защиты информации;
д) решение информационных и расчетных задач по организации направлений обмена информацией с контролируемыми объектами.
Блок 4 ввода данных устройства 3 управления средствами защиты от КА узла связи предназначен:
а) для ввода с АРМ ДЛ 2 и передачи в блок 7 определения ОРФ СЗ от КА следующих исходных данных: состава имеющихся средств защиты от КА и мест их установки, возможных режимов функционирования для каждого СЗ от КА;
б) для ввода с АРМ ДЛ 2 и передачи в блок 5 базы данных весовых коэффициентов, определяющих эффективность функционирования каждого СЗ от КА в зависимости от места его установки и режимов функционирования по следующем критериям: устойчивость к КА, потребление ресурсов каналов связи (КС) и ресурсов вычислительных систем (ВС).
Блок 4 ввода данных обеспечивает возможность ручного ввода исходных данных с клавиатуры ПЭВМ автоматизированного рабочего места ДЛ 2, ввода исходных данных с электронных накопителей, включая дискеты, диски CD и USB-диски, ввода исходных данных по локальной сети Ethernet.
Блок 5 базы данных весовых коэффициентов эффективности противодействия КА содержит информацию в виде, приведенном ниже в таблице.
| СЗ от КА | Место установки | Режим функционирования | Весовые коэффициенты | ||
| Устойчивость к КА F1 | Потребление ресурсов КС F2 | Потребление ресурсов ВС F3 | |||
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА №1 | ПОС и У | … | … | … | … |
| R1 | [0…1] | [0…1] | [0…1] | ||
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ ПОС и У | … | … | … | … |
| №2 | R2 | [0…1] | [0…1] | [0…1] | |
| СЗИ | Сервер связи | 1 | [0…1] | [0…1] | [0…1] |
| от КА | … | … | … | … | |
| №3 | ПОС и У | R3 | [0…1] | [0…1] | [0…1] |
| СЗ от КА | Место установки | Режим функционирования | Весовые коэффициенты | ||
| Устойчивость к КА F1 | Потребление ресурсов КС F2 |
Потребление ресурсов ВС F3 | |||
| СЗИ от КА | 1 | [0…1] | [0…1] | [0…1] | |
| АРМ ДЛ ПОС и У | … | … | … | … | |
| №4 | R4 | [0…1] | [0…1] | [0…1] | |
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | Сервер связи ПОС и У | … | … | … | … |
| №4 | R4 | [0…1] | [0…1] | [0…1] | |
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ диспетчерского пункта | … | … | … | … |
| №4 | [0…1] | [0…1] | [0…1] | ||
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ №1 ПОС №1 | … | … | … | … |
| №4 | R4 | [0…1] | [0…1] | [0…1] | |
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ №2 ПОС №1 | … | … | … | … |
| №4 | [0…1] | [0…1] | [0…1] | ||
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ №3 ПОС №1 | … | … | … | … |
| №4 | R4 | [0…1] | [0…1] | [0…1] | |
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ №1 ПОС №2 | … | … | … | … |
| №4 | R4 | [0…1]. | [0…1] | [0…1] | |
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ №2 ПОС №2 | … | … | … | … |
| №4 | R4 | [0…1] | [0…1] | [0…1] |
| СЗ от КА | Место установки | Режим функционирования | Весовые коэффициенты | ||
| Устойчивость к КА F1 | Потребление ресурсов КС F2 |
Потребление ресурсов ВС F3 |
|||
| СЗИ | 1 | [0…1] | [0…1] | [0…1] | |
| от КА | АРМ ДЛ №1 ПОС №2 | … | … | … | … |
| №4 | R4 | [0…1] | [0…1] | [0…1] |
В таблице указаны:
СЗИ - средства защиты информации с номерами от 1 до 4;
R1, R2, R3, R4 - количество возможных режимов функционирования соответственно для СЗИ №1-4;
F1 - устойчивость средств передачи данных к компьютерным атакам (КА). Этот показатель характеризует возможность выполнения средствами передачи данных своих функциональных задач при воздействии на них компьютерных атак;
F2 - потребление ресурсов канала связи (КС). Этот показатель определяет ресурс потребления каналов для передачи служебной информации СЗИ;
F3 - потребление ресурсов вычислительных средств (ВС). Этот показатель определяет ресурс вычислительной системы, в которой функционирует средство защиты информации.
Блок 6 оценки эффективности противодействия КА предназначен для оценки эффективности каждого решения, полученного в результате генетического поиска, по следующим критериям: устойчивость к КА, потребление ресурсов каналов связи (КС) и потребление ресурсов вычислительных систем.
Блок 6 на основании значений весовых коэффициентов, определяющих эффективность применения каждого СЗ от КА в зависимости от места его установки и режимов функционирования, получаемых из блока 5 базы данных, обеспечивает:
а) оценку эффективности каждого найденного решения;
б) определение достаточности найденного решения в соответствии с требуемыми значениями критериев эффективности;
в) передачу результатов оценки в блок 7 определения оптимальных режимов функционирования СЗ от КА.
Блок 7 определения оптимальных режимов функционирования СЗ от КА предназначен для поиска и выбора оптимального решения по режимам функционирования каждого СЗ от КА, используемого на узле связи.
На основании исходных данных, полученных из блока 4 ввода данных, а также результатов оценки эффективности промежуточных решений, получаемых с выхода блока 6 оценки, блок 7 обеспечивает реализацию поиска оптимального решения на основе использования генетического алгоритма и передачу полученного решения в блок 8 сопряжения со средствами защиты от КА.
Блок 8 сопряжения со средствами защиты от КА предназначен для преобразования значений оптимальных режимов функционирования в настроечные данные, понятные для восприятия соответствующими СЗ от КА. Блок 8 осуществляет сопряжение с программным обеспечением СЗ от КА и передачу настроечных данных в СЗ от КА по локальной сети Ethernet.
Коммутатор 9 ЛВС предназначен для организации доступа к рабочим местам подвижного объекта 14 связи и управления, первого 25 и второго 34 подвижных объектов связи через первую проводную линию 12 Ethernet и обеспечения передачи по ней данных по стыку Ethernet 10/100 BASE ТХ между рабочими местами должностных лиц.
В качестве коммутатора 9 ЛВС может быть использован серийно выпускаемый промышленностью сетевой коммутатор мобильный типа СКМ-8, разработанный ОАО «СИСТЕМПРОМ» (105066, г.Москва, ул. Н.Красносельская, дом 13, стр.1). Указанный коммутатор соответствует стандарту IEEE 802.3u Fast Ethernet 10/100 Base T/TX Switch, имеет сетевой интерфейс 10/100 Base T/TX (восемь портов с разъемами типа PC 10ТВ) и порт конфигурации для работы с VLAN (виртуальная ЛВС). Он обеспечивает дуплексный и полудуплексный режимы работы, поддерживает автоматическое определение скорости передачи 10/100 Мбит/с half/full duplex.
Блок 10 кабельного ввода диспетчерского пункта 1, блок 15 кабельного ввода подвижного объекта 14 связи и управления, блоки 26 и 35 первого 25 и второго 34 подвижных объектов связи содержат присоединительные и коммутационные элементы, к которым с помощью кабельных разъемов подключаются проводные линии Ethernet и ВОЛС от взаимодействующих объектов. Блоки кабельного ввода предназначены для распределения информационных и управляющих цепей на аппаратуру и оборудование указанных объектов связи. Конструктивно блоки выполнены по однотипной схеме в соответствии с отраслевым стандартом, но отличаются по количеству установленных на панелях блоков присоединительных разъемов и распайке пар подключенных кабелей связи.
Телефонный аппарат 11 системы АТС предназначен для выхода должностному лицу с рабочего места 2 диспетчерского пункта 1 через телефонную станцию 20 на ТА 21 должностного лица подвижного объекта 14 связи и управления с целью обмена информацией по контролю за состоянием средств защиты информации на узле связи.
В качестве телефонных аппаратов 11 и 21 системы АТС могут быть использованы ТА системы АТС, изготовленные в соответствии с ГОСТ 7153-85. Аппараты телефонные общего назначения.
Первая 12, вторая 24 и третья 33 проводные линии Ethernet выполнены с использованием полевого кабеля типа «витая пара».
Абонентская линия 13 телефонной связи может быть выполнена с использованием многожильного полевого кабеля с четверочной структурой типа П-269М, например П-269М-2×4+1×2.
Маршрутизатор 16 подвижного объекта 14 связи и управления предназначен для обеспечения маршрутизации и передачи трафика по стыку Ethernet между объектами узла связи, а также для приема (передачи) по ВОЛС 42 трафика из внешней сети связи общего пользования.
Межсетевой экран 17, представляющий собой средство защиты информации №1, предназначен для фильтрации трафика, поступающего по ВОЛС 42 из внешней сети связи общего пользования и/или передающегося во внешнюю сеть в соответствии с выбранными ограничениями по доступу к информации, в том числе адреса абонентов, протоколы информационного обмена, время приема (передачи), объем и содержимое пакета информации.
Автоматизированное рабочее место 18 ДЛ подвижного объекта 14 связи и управления выполнено также с использованием персональной вычислительной машины (ПЭВМ) типа ЕС-1866, которая представляет собой многофункциональный терминал, дополненный аппаратными и программными средствами навигации, связи и передачи данных. Конструктивно ПЭВМ типа ЕС-1866 представляет собой переносной защищенный компьютер типа «Notebook», установленный на амортизационную раму с целью исключения его перемещения при нахождении подвижного объекта в движении. При этом в системный блок компьютера интегрировано средство защиты информации №2 (СЗИ №2) от несанкционированного доступа (НСД), которое реализует функцию аутентификации должностных лиц и разграничение доступа к информации, а также средство защиты информации №4.
Сервер 19 связи с интегрированными в него СЗИ №3 и №4, установленный в подвижном объекте 14 связи и управления, предназначен для обеспечения взаимодействия должностных лиц между собой. Интегрированное в сервер 19 связи средство защиты является средством обнаружения компьютерных атак на уровне программного обеспечения, которое осуществляет мониторинг функционирования программного обеспечения, реализующего службы связи.
Сервер 19 связи представляет собой персональную ЭВМ, выполняющую функции распределения услуг связи по рабочим местам должностных лиц в части обмена информацией. Он предназначен для регистрации и определения соответствия между адресами различных устройств сети, управления механизмом разрешения адресов, обработки и передачи трафика, создаваемого клиентами сети и формируемого запросами протокола.
Телефонная станция 20 оперативной связи представляет собой телефонную станцию малой емкости, которая содержит блок комплектов четырехпроводных и двухпроводных абонентских линий (АЛ), блок комплектов четырехпроводных соединительных линий (СЛ), блок коммутационного поля, включающий в себя канальное и абонентское коммутационное поле, управляющее устройство, блок канальных комплектов, IP-сервер и коммутатор ЛВС. Она предназначена для создания автоматизированной сети связи с коммутацией каналов и пакетов и обеспечивает развертывание абонентской сети телефонной связи с использованием четырехпроводных или двухпроводных телефонных аппаратов, обмен информацией между должностными лицами диспетчерского пункта 1 и подвижных объектов связи при автоматическом и полуавтоматическом обслуживании абонентов в соответствии с алгоритмами и принципами работы, изложенными в [1].
Широкодиапазонная радиостанция 22 совместно с антенной 23, радиостанция 31 совместно с антенной 32 и радиостанция 40 совместно с антенной 41 предназначены для построения для должностных лиц подвижных объектов самоорганизующейся самовосстанавливающейся сети радиодоступа по стандарту IEEE 802.11b со скоростью передачи до 2 Мбит/с. Они обеспечивают создание в автоматизированном режиме сети УКВ радиосвязи между стационарными и подвижными объектами, включая отдельных абонентов, одновременную передачу и прием речевой информации и данных в адресном, многоадресном и циркулярном режимах, передачу и прием текстовых формализованных сообщений с автоматическим дублированием передачи сообщения, аутентификацию абонентов. Они обеспечивают также доступ в существующие радиосети в диапазоне УКВ частот.
В качестве таких радиостанций могут быть использованы радиостанции типа Р-168МРА [2]. Эта радиостанция предназначена для построения высокоскоростных радиосетей и пакетной радиосвязи с использованием принципа временного разделения приема, передачи, уплотнения информации и обеспечения радиодоступа в диапазоне частот 1500-1750 МГц при различной скорости передачи информации. В состав рабочего комплекта радиостанции входят блок приемопередатчика, блок усилителя мощности и ненаправленная антенна АБ (антенна бортовая).
Указанная радиостанция Р-168МРА имеет порты с интерфейсами ИК порт, С1-ТЧ, С1-ФЛ, RS-232C, RS-485 и обеспечивает следующие режимы работы:
прием и передачу цифровой информации по стыку С1-ФЛ со скоростями 1,2; 2,4; 4,8; 9,6 и 16 кбит/с; по стыку RS-232C, RS-485 со скоростью до 115 кбит/с и по стыку Ethernet со скоростью не менее 5,5 Мбит/с;
адаптивную перестройку на запасную частоту при возникновении помехи в полосе приема;
криптографическую защиту передаваемой информации;
автоматический контроль работоспособности станции;
дистанционное управление по стыку Ethernet.
В качестве антенн 23, 32 и 41 могут быть использованы штыревые ненаправленные бортовые антенны (АБ), размещенные на крыше кузова подвижного объекта.
Автоматизированные рабочие места 28, 29 и 30 должностных лиц первого подвижного объекта 25 связи и АРМ 37, 38 и 39 второго подвижного объекта 34 связи также выполнены с использованием персональной вычислительной машины (ПЭВМ) типа ЕС-1866, которая представляет собой многофункциональный терминал, дополненный аппаратными и программными средствами навигации, связи и передачи данных. Конструктивно ПЭВМ типа ЕС-1866 представляет собой переносной защищенный компьютер типа «Notebook», установленный на амортизационную раму с целью исключения его перемещения при нахождении подвижного объекта в движении. При этом в системный блок компьютера каждого из упомянутых АРМ встроено средство защиты информации №4, являющееся средством антивирусной защиты, осуществляющим мониторинг АРМ ДЛ и обрабатываемых ими данных с целью выявления и обезвреживания вредоносных программ.
ВОЛС 42 для подключения внешней сети связи общего пользования выполнена с использованием волоконно-оптического кабеля типа ОК-В-М.
Алгоритм работы предлагаемой системы защиты средств передачи информации узла связи от компьютерных атак приведен на фиг.2.
Система защиты СПИ УС от КА работает следующим образом.
Оператор диспетчерского пункта 1 с помощью компьютера АРМ ДЛ 2 формирует команду запуска устройства управления средствами защиты. После этого оператор осуществляет ввод (корректировку) исходных данных, включающих данные:
состава имеющихся средств защиты информации от КА;
мест установки для каждого СЗИ от КА;
возможных режимов функционирования для каждого СЗИ от КА;
коэффициентов эффективности противодействия КА.
Затем оператор с помощью устройства 3 управления СЗИ последовательно формирует команды поиска оптимальных режимов функционирования средств защиты и передачи в них полученных настроечных данных.
В процессе работы средств передачи информации через заданные временные интервалы автоматически производятся следующие мероприятия.
Средства защиты информации от КА передают информацию о своем состоянии в АРМ ДЛ 2 диспетчерского пункта 1, где она обобщается и, при необходимости, производится корректировка базы данных весовых коэффициентов эффективности противодействия КА. При этом информация от СЗИ №1, СЗИ №2 и СЗИ №3, установленных в подвижном объекте 14 связи и управления, через маршрутизатор 16, блок 15 кабельного ввода, первую 12 проводную линию Ethernet, блок 10 кабельного ввода и коммутатор 9 ЛВС поступает в компьютер АРМ ДЛ 2.
Информация от СЗИ №4 от КА, установленных в АРМ ДЛ первого подвижного объекта 25 связи, поступает в АРМ ДЛ 2 диспетчерского пункта по тракту, включающему АРМ ДЛ 28, 29 и 30, коммутатор 27 ЛВС, блок 26 кабельного ввода, вторую 24 проводную линию Ethernet, блок 15 кабельного ввода подвижного объекта 14 связи и управления, первую 12 проводную линию Ethernet, блок 10 кабельного ввода, коммутатор 9 ЛВС и АРМ ДЛ 2 диспетчерского пункта 1. Информация от СЗИ №4 от КА, установленных в АРМ ДЛ второго подвижного объекта 34 связи, передается в АРМ ДЛ 2 по тракту, включающему АРМ ДЛ 37, 38 и 39, коммутатор 36 ЛВС, блок 35 кабельного ввода, вторую 33 проводную линию Ethernet и далее по тракту в АРМ ДЛ 2, описанному выше.
АРМ ДЛ 2 принимает и обобщает информацию о состоянии и функционировании СЗИ от КА, включающую данные:
а) об интенсивности трафика СЗИ от КА;
б) о загрузке вычислительных систем;
в) о местах функционирования СЗИ от КА;
г) о проценте предотвращенных ими угроз.
Оператор АРМ ДЛ 2, на основании полученных данных, производит корректировку базы данных весовых коэффициентов противодействия КА, находит оптимальные режимы функционирования средств защиты информации узла связи и передает их в форме настроечных данных в СЗИ от КА по проводному каналу (проводные линии Ethernet) связи или радиоканалу.
Тракт передачи информации от АРМ ДЛ 2 потребителям (АРМ ДЛ подвижных объектов связи) включает: АРМ ДЛ 2 диспетчерского пункта 1, коммутатор 9 ЛВС, блок 10 кабельного ввода, проводную линию 12 Ethernet, блок 15 кабельного ввода подвижного объекта 14 связи и управления, маршрутизатор 16 и через него на межсетевой экран 17, АРМ ДЛ 18, сервер 19 связи, далее через широкодиапазонную радиостанцию 22 и приемопередающую антенну 23 информация излучается в эфир. По эфиру переданная информация принимается антенной 32 радиостанции 31 первого подвижного объекта 25 и антенной 41 радиостанции 40 второго подвижного объекта 34. С выхода канала радиостанции 31 информация через коммутатор 27 ЛВС поступает в АРМ ДЛ 28, 29 и 30 первого подвижного объекта 25 связи, а с выхода канала радиостанции 40 через коммутатор 36 ЛВС поступает в АРМ ДЛ 37, 38 и 39 второго подвижного объекта 34 связи.
Обобщенные данные о результатах работы средств защиты информации узла связи оператор АРМ ДЛ 2 диспетчерского пункта 1 докладывает вышестоящему руководству по сети телефонной связи с помощью телефонного аппарата 11 системы АТС через телефонную станцию 20 оперативной связи. При этом передача (прием) телефонных сообщений осуществляется по тракту, включающему ТА 11 системы АТС диспетчерского пункта 1, блок 10 кабельного ввода, АЛ 13 телефонной связи, блок 15 кабельного ввода подвижного объекта 14 связи и управления, телефонная станция 20 оперативной связи и далее по соединительной линии осуществляется выход на телефонную станцию узла связи, в которую включена абонентская линия вышестоящего руководства по связи (на схеме эти линии не показаны).
Технический эффект от предлагаемой системы защиты средств передачи информации узла связи от компьютерных атак заключается в повышении эффективности защиты передаваемой по каналам и линиям связи информации и устойчивости работы средств передачи информации, используемых в подвижных объектах узла связи, достигаемых за счет интеграции в средства передачи информации средств защиты, организации контроля с целью выявления и обезвреживания вредоносных программ, управления средствами защиты в подвижных объектах связи, оценки состояния СЗИ от КА, постоянного обновления данных и своевременного доведения их потребителям.
Источники информации
1. Т.И.Иванова. Абонентские терминалы и компьютерная телефония. - М.: Эко-Трендз, 1999, с.186-201.
2. Технические условия радиостанции Р-168МРА ИТНЯ.464425.033 ТУ.
1. Система защиты средств передачи информации узла связи от компьютерных атак, состоящая из диспетчерского пункта, содержащего автоматизированное рабочее место должностного лица (АРМ ДЛ), в которое интегрировано устройство управления средствами защиты (УСЗ) от компьютерных атак (КА), включающее в себя блок ввода данных, блок базы данных весовых коэффициентов эффективности противодействия (ВКЭП) компьютерным атакам, блок оценки эффективности противодействия КА, блок определения оптимальных режимов функционирования (ОРФ) средств защиты (СЗ) от КА и блок сопряжения со средствами защиты от КА, коммутатор локальной вычислительной сети (ЛВС), блок кабельного ввода и телефонный аппарат (ТА) системы АТС; абонентской линии (АЛ) телефонной связи, первой, второй и третьей проводных линий Ethernet; подвижного объекта связи и управления, содержащего блок кабельного ввода, маршрутизатор, межсетевой экран, представляющий собой средство защиты информации №1 (СЗИ №1), АРМ ДЛ, в которое интегрировано средство защиты информации №2 (СЗИ №2), выполненное в виде средства защиты от несанкционированного доступа (НСД), сервер связи, в который интегрировано средство защиты информации №3 (СЗИ №3), выполненное в виде средства обнаружения атак на уровне программного обеспечения, телефонную станцию оперативной связи, ТА системы АТС, широкодиапазонную (ШРД) радиостанцию и приемопередающую антенну ШРД радиостанции; первого подвижного объекта связи (ПОС), содержащего блок кабельного ввода, коммутатор ЛВС, первое, второе и третье АРМ ДЛ, в каждое из которых интегрировано средство защиты информации №4 (СЗИ №4), выполненное в виде средства антивирусной защиты, широкодиапазонную (ШРД) радиостанцию и приемопередающую антенну ШРД радиостанции; второго подвижного объекта связи, содержащего блок кабельного ввода, коммутатор ЛВС, первое, второе и третье АРМ ДЛ, в каждое из которых интегрировано средство защиты информации №4 (СЗИ №4), выполненное в виде средства антивирусной защиты, широкодиапазонную радиостанцию и приемопередающую антенну ШРД радиостанции; волоконно-оптической линии связи (ВОЛС) для подключения внешней сети связи общего пользования, при этом первые входы-выходы АРМ ДЛ диспетчерского пункта соединены с входами-выходами блока ввода данных устройства УСЗ от КА узла связи, первый выход которого соединен со входом блока базы данных ВКЭП компьютерным атакам, выход которого соединен со входом блока оценки эффективности противодействия КА, выход которого соединен со вторым входом блока определения ОРФ СЗ от КА, первый вход которого соединен со вторым выходом блока ввода данных, выход блока определения ОРФ СЗ от КА соединен со входом блока сопряжения со СЗ от КА, вход-выход которого соединен с первым входом-выходом коммутатора ЛВС, второй вход-выход которого соединен со вторым входом-выходом АРМ ДЛ, третий вход-выход коммутатора ЛВС соединен с первым станционным входом-выходом блока кабельного ввода, второй станционный вход-выход которого соединен с линейным входом-выходом ТА системы АТС, первый линейный вход-выход блока кабельного ввода посредством первой проводной линии Ethernet по стыку Ethernet подключен к первому линейному входу-выходу блока кабельного ввода подвижного объекта связи и управления, второй линейный вход-выход которого посредством АЛ телефонной связи соединен со вторым линейным входом-выходом блока кабельного ввода диспетчерского пункта; первый и второй станционные входы-выходы блока кабельного ввода подвижного пункта связи и управления подключены соответственно к первому и второму входам-выходам маршрутизатора, третий, четвертый, пятый и шестой входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно межсетевого экрана, АРМ ДЛ, сервера связи и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции, высокочастотный вход-выход которой соединен с входом-выходом приемопередающей антенны, третий и четвертый линейные входы-выходы блока кабельного ввода подвижного объекта связи и управления посредством второй и третьей проводных линий Ethernet подключены к линейным входам-выходам соответственно блока кабельного ввода первого подвижного объекта связи и блока кабельного ввода второго подвижного объекта связи, второй вход-выход межсетевого экрана соединен с третьим станционным входом-выходом блока кабельного ввода подвижного объекта связи и управления, четвертый станционный вход-выход которого соединен с канальным входом-выходом телефонной станции, абонентский вход-выход которой соединен с линейным входом-выходом ТА системы АТС; станционный вход-выход блока кабельного ввода первого ПОС соединен с первым входом-выходом коммутатора ЛВС, второй, третий, четвертый и пятый входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно первого, второго и третьего АРМ ДЛ и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции, высокочастотный вход-выход которой соединен с высокочастотным входом-выходом приемопередающей антенны; станционный вход-выход блока кабельного ввода второго ПОС соединен с первым входом-выходом коммутатора ЛВС, второй, третий, четвертый и пятый входы-выходы которого по стыку Ethernet подключены к входам-выходам соответственно первого, второго и третьего АРМ ДЛ и к канальному входу-выходу широкодиапазонной (ШРД) радиостанции, высокочастотный вход-выход которой соединен с высокочастотным входом-выходом приемопередающей антенны; пятый линейный вход-выход блока кабельного ввода подвижного объекта связи и управления соединен с ВОЛС для подключения внешней сети связи общего пользования, при этом приемопередающая антенна ШРД радиостанции подвижного объекта связи и управления по эфиру соединена с приемопередающими антеннами ШРД радиостанций первого и второго подвижных объектов связи.
2. Система защиты по п.1, отличающаяся тем, что межсетевой экран осуществляет фильтрацию трафика, поступающего из внешней сети связи и/или передающегося во внешнюю сеть в соответствии с выбранными ограничениями по доступу к информации.
3. Система защиты по п.1, отличающаяся тем, что в АРМ ДЛ подвижного объекта связи и управления, в которое интегрировано средство защиты информации №2 (СЗИ №2), выполненное в виде средства защиты от несанкционированного доступа (НСД) и реализующее функцию аутентификации должностных лиц и разграничение доступа к информации, дополнительно введено средство защиты №4 в виде средства антивирусной защиты, которое осуществляет мониторинг обрабатываемых им данных с целью выявления и обезвреживания в них вредоносных программ.
4. Система защиты по п.1, отличающаяся тем, что в сервер связи, в который интегрировано средство защиты информации №3, выполненное в виде средства обнаружения атак на уровне программного обеспечения и осуществляющее мониторинг программного обеспечения, реализующего службы связи, дополнительно введено средство защиты №4 в виде средства антивирусной защиты, которое осуществляет мониторинг обрабатываемых им данных с целью выявления и обезвреживания в них вредоносных программ.
5. Система защиты по п.1, отличающаяся тем, что интегрированное в АРМ ДЛ диспетчерского пункта и АРМ ДЛ подвижного объекта связи и управления, в каждое АРМ ДЛ первого и второго подвижных объектов связи средство защиты информации №4 в виде средства антивирусной защиты осуществляет мониторинг АРМ ДЛ и обрабатываемых ими данных с целью выявления и обезвреживания в них вредоносных программ.
