Система сессионного контроля доступа к файловым объектам



Система сессионного контроля доступа к файловым объектам
Система сессионного контроля доступа к файловым объектам

 


Владельцы патента RU 2562410:

Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" (RU)

Изобретение относится к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах. Техническим результатом является расширение функциональных возможностей системы контроля доступа к файловым объектам за счет реализации сессионного контроля доступа. Система сессионного контроля доступа к файловым объектам содержит блок идентификации субъекта из запроса доступа, блок идентификации объекта из запроса доступа, блок выбора сессии пользователем, блок хранения правил переформирования запроса доступа, блок переформирования запроса доступа, решающий блок, блок хранения прав доступа к файловым объектам. 2 ил.

 

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС).

Одной из ключевых задач защиты информации, обрабатываемой в КС, является реализация контроля доступа (разграничительной политики доступа) к файловым объектам.

Универсальным решением в части защиты информации от хищения, причем, как санкционированными пользователями (инсайдерами), так и в результате осуществления внешних атак, в том числе сетевых, является введение на компьютере режимов обработки информации (сессий), в частности определяемых по уровню конфиденциальности обрабатываемой информации (открытая, конфиденциальная и т.д.), хотя могут быть и иные принципы назначения сессий. Идея реализации защиты состоит в изолированности (в том числе полной) обработки информации в различных сессиях, обеспечиваемой предотвращением любой возможности передачи информации между сессиями.

Эффект повышения уровня защищенности обработки критически важной (конфиденциальной) информации на компьютере, где также обрабатывается и открытая информация, достигается за счет того, что вероятность получения НСД к информации в открытой сессии на порядок выше, чем в конфиденциальной сессии, характеризуемой иными правами доступа к ресурсам компьютера и корпоративной сети и иными режимами обработки информации различных уровней конфиденциальности. Обоснование данного подхода к защите информации представлено в работах [Щеглов К.А., Щеглов А.Ю. Защита от атак со стороны приложений, наделяемых вредоносными функциями. Модели контроля доступа // Вопросы защиты информации. - Москва: ВИМИ, 2012. - Вып.99. - №4. - С.31-36; Щеглов К.А., Щеглов А.Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. - Москва: ВИМИ, 2013. - Вып.101. - №2. - С.36-43].

При реализации сессионного контроля доступа основным субъектом доступа в разграничительной политике субъектов к объектам выступает сущность “сессия” (режим обработки информации), кроме того, в качестве субъектов доступа должны выступать сущности “пользователь” и “процесс” (для процессов в общем случае могут назначаться собственные права доступа к объектам) [Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - СПб.: Наука и техника, 2004. - 384 с.]. Таким образом, субъект доступа при сессионном контроле должен задаваться тремя сущностями “сессия, пользователь, процесс”.

При этом один и тот же пользователь (характеризуемый одним и тем же SID) на одном компьютере в общем случае должен иметь возможность работы в различных сессиях (например, обрабатывать как открытую, так и конфиденциальную информацию, что имеет место на практике).

Проблема реализации защиты информации при сессионном контроле доступа состоит в том, что современными ОС и приложениями реализуется разграничительная политика доступа между пользователями (SID), как следствие, не представляется возможным реализовать корректную (полную изолированность обработки) разграничительную политику доступа для сессионного контроля доступа без реализации разделения между сессиями файловых объектов, разделяемых системой только между пользователями. Проиллюстрируем сказанное примером.

Например, это идентификационные данные критичных доменов, хранящиеся в файле cookies. Доступ к данному файлу существующими средствами можно разграничить только между пользователями. В различных сессиях (открытая и конфиденциальная) одним и тем же пользователем интернет-браузером будет использоваться один и тот же файл cookies (необходимо разрешить доступ к этому файлу во всех сессиях, поскольку для пользователя подобный файл только один). В результате получаем невозможность корректной реализации сессионного контроля доступа (в системе присутствуют файлы, которые невозможно разделить между сессиями, как следствие, данные файлы могут быть использованы для обмена информацией между различными сессиями, что представляет собою “канал” утечки информации), кроме того, на порядок увеличивается вероятность хищения критически важной информации из файла cookies, формируемого, в том числе в конфиденциальной сессии, при работе пользователя в открытой сессии.

Как следствие, корректно сессионный контроль доступа в средстве защиты информации будет реализован только в том случае, когда доступ к любому файловому объекту сможет быть разграничен между сессиями, при условии, что один и тот же пользователь может работать в различных сессиях.

Анализ литературных источников и описаний работы современных ОС и приложений позволяет отметить следующее. Несмотря на очевидность эффективности сессионного контроля доступа при условии выполнения для него сформулированного требования к корректности реализации, должна присутствовать возможность разделения между различными сессиями любого файлового объекта, в современных ОС и приложениях подобные принципы контроля доступа не реализованы.

В настоящее время известны различные системы контроля доступа к файловым объектам.

Так, например, в системе разграничения доступа к ресурсам, Патент №2207619 (G06F 13/00), реализована возможность задавать разграничения доступа как для пользователей, так и для процессов. Однако это не позволяет реализовать сессионный контроль доступа.

В системе разграничения прав доступа к файловым объектам, Патент №2234123 (G06F 13/00), реализована возможность разделения не разделяемых ОС и приложениями файловых объектов между субъектами доступа “пользователь”, в то время как сессионный контроль доступа предполагает подобное разделение для одного и того же пользователя (SID) для различных сессий.

Наиболее близкой по техническому решению и выбранной авторами за прототип является система контроля доступа к файловым объектам, реализуемая в ОС Microsoft Windows [M. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows. - СПб.: Питер, 2005. - 992 с. (глава 8, рис.8.5. Пример проверки прав доступа)].

Система представлена на Фиг.1. Система контроля доступа к файловым объектам содержит решающий блок 1, блок хранения прав доступа к файловым объектам 2, причем первый вход решающего блока соединен с первым входом системы 3, второй вход - с выходом блока хранения прав доступа к файловым объектам 2, первый выход - с первым входом блока хранения прав доступа к файловым объектам 2, второй выход - с выходом системы 4, второй вход блока хранения прав доступа к файловым объектам 2 соединен со вторым входом системы 5.

Работает система следующим образом. Администратором со второго входа системы 5 (со входа задания прав доступа к файловым объектам) в блок хранения прав доступа к файловым объектам 2 устанавливаются права доступа к файловым объектам субъектов (например, атрибуты в NTFS), в которых для файлового объекта указывается, какие субъекты имеют право доступа к нему и какие ему разрешены права доступа (чтение, запись, исполнение, переименование, удаление и т.д.). При запросе доступа, содержащем в своем составе имя субъекта (имя пользователя (учетной записи) и имя процесса, запрашивающих доступ, а также запрашиваемые права доступа - чтение, запись и т.д.) к файловому объекту, запрос доступа с первого входа системы 3 (со входа запроса доступа) поступает на решающий блок 1. Для обработки запроса доступа решающий блок с первого выхода запрашивает у блока хранения прав доступа к файловым объектам 2 атрибуты объекта, к которому запрошен доступ, получает их на второй вход и сравнивает запрошенные права доступа к файловому объекту с разрешенными (запрещенными) правами доступа к этому объекту, указанными в атрибутах файла. В результате сравнения решающий блок выдает на выход системы 4 (на управляющий выход разрешения/запрета доступа) управляющий сигнал, разрешающий (если запрос не противоречит разрешениям) или отклоняющий запрошенный у системы с первого входа системы 3 доступ.

Прототип, реализующий контроль доступа к файловым объектам, не позволяет реализовать сессионный контроль доступа.

В предлагаемом изобретении решается задача расширения функциональных возможностей системы контроля доступа к файловым объектам за счет корректной реализации сессионного контроля доступа.

Для достижения технического результата в систему контроля доступа к файловым объектам, содержащую решающий блок, блок хранения прав доступа к файловым объектам, причем второй вход решающего блока соединен с выходом блока хранения прав доступа к файловым объектам, первый выход - с первым входом блока хранения прав доступа к файловым объектам, второй выход - с выходом системы, второй вход блока хранения прав доступа к файловым объектам соединен со вторым входом системы, дополнительно введены блок идентификации субъекта из запроса доступа, блок идентификации объекта из запроса доступа, блок выбора сессии пользователем, блок хранения правил переформирования запроса доступа, блок переформирования запроса доступа, причем первый вход системы соединен со входом блока идентификации субъекта из запроса доступа, со входом блока идентификации объекта из запроса доступа, с первым входом блока переформирования запроса доступа, второй вход которого - с выходом блока хранения правил переформирования запроса доступа, первый вход которого - с выходом блока идентификации субъекта из запроса доступа, второй вход - с выходом блока идентификации объекта из запроса доступа, третий вход - с третьим входом системы, четвертый вход - с третьим входом решающего блока, с выходом блока выбора сессии пользователем, вход/выход которого - со входом/выходом системы, вход - с четвертым входом системы, выход бока переформирования запроса доступа соединен с первым входом решающего блока.

Новым в предлагаемом изобретении является снабжение системы контроля доступа к файловым объектам блоком идентификации субъекта из запроса доступа, блоком идентификации объекта из запроса доступа, блоком выбора сессии пользователем, блоком хранения правил переформирования запроса доступа, блоком переформирования запроса доступа и их связей.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной системы сессионного контроля доступа к файловым объектам. Следовательно, заявленное техническое решение соответствует критерию «новизна».

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы сессионного контроля доступа к файловым объектам. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».

Совокупность существенных признаков в предлагаемом изобретении позволила обеспечить расширение функциональных возможностей системы контроля доступа к файловым объектам за счет корректной реализации сессионного контроля.

В результате можно сделать вывод о том, что:

- предлагаемое техническое решение обладает изобретательским уровнем, т.к. оно явным образом не следует из уровня техники;

- изобретение является новым, так как из уровня техники по доступным источникам информации не выявлено аналогов с подобной совокупностью признаков;

- изобретение является промышленно применимым, так как может быть использовано во всех областях, где требуется реализация контроля доступа (разграничений прав доступа) к файловым объектам.

Предлагаемое изобретение поясняется чертежом, представленным на Фиг.2.

Заявляемая система сессионного контроля доступа к файловым объектам содержит блок идентификации субъекта из запроса доступа 1, блок идентификации объекта из запроса доступа 2, блок выбора сессии пользователем 3, блок хранения правил переформирования запроса доступа 4, блок переформирования запроса доступа 5, решающий блок 6, блок хранения прав доступа к файловым объектам 7, причем первый вход системы 8 соединен со входом блока идентификации субъекта из запроса доступа 1, со входом блока идентификации объекта из запроса доступа 2, с первым входом блока переформирования запроса доступа 5, второй вход которого - с выходом блока хранения правил переформирования запроса доступа 4, первый вход которого - с выходом блока идентификации субъекта из запроса доступа 1, второй вход - с выходом блока идентификации объекта из запроса доступа 2, третий вход - с третьим входом системы 10, четвертый вход - с третьим входом решающего блока 6, с выходом блока выбора сессии пользователем 3, вход/выход которого - со входом/выходом системы 12, вход - с четвертым входом системы 11, выход бока переформирования запроса доступа 5 соединен с первым входом решающего блока 6, второй вход которого соединен с выходом блока хранения прав доступа к файловым объектам 7, первый выход - с первым входом блока хранения прав доступа к файловым объектам 7, второй выход - с выходом системы 13, второй вход блока хранения прав доступа к файловым объектам 7 соединен со вторым входом системы 9.

Рассмотрим работу системы сессионного контроля доступа к файловым объектам.

Субъект доступа в разграничительной политике задается следующим образом: сессия, имя пользователя (SID), имя процесса (полнопутевое имя исполняемого файла процесса), т.е. в разграничительной политике доступа задается, в какой сессии, какой пользователь, каким процессом к какому файловому объекту, какие права доступа (чтение, исполнение, запись, переименование и т.д.) имеет. Правила доступа субъектов, определяемых подобным образом, к объектам (либо, наоборот, к объектам субъектов, в зависимости от реализации блока 7) задаются администратором со входа системы 9 в блоке 7. Блок 7 может представлять собою как отдельный файл, в котором хранится матрица доступа (реализуются разграничения доступа субъектов к объектам), так и атрибуты файловых объектов (в этом случае для файлового объекта задается, какие к нему субъекты и какой имеют доступ).

При задании субъектов доступа в правилах могут использоваться маски и переменные среды окружения, например маска (все) может использоваться для задания правил для любой (всех) сессии, любого пользователя, любого процесса, что позволяет реализовывать разграничительную политику доступа как отдельных сущностей, задающих субъект доступа, так и для различных их комбинаций (только между сессиями, между сущностью “сессия, пользователь” либо “сессия, процесс” и т.д.).

Замечание. Если блок 7 представляет собою отдельный файл, в котором хранится матрица доступа (реализуются разграничения доступа субъектов к объектам), то маски и переменные среды окружения также могут использоваться и для задания в разграничительной политике объектов доступа.

Сессии администратором могут назначаться различным образом, исходя из решаемой задачи защиты, например, по уровню конфиденциальности (открытая, конфиденциальная и т.д.), на основе ролей пользователей в информационной системе и т.д. Кроме того, администратором задается разграничительная политика доступа к файловым объектам для режима “невыбранной пользователем сессии” - правила работы системы на тот момент времени, пока сессия пользователем еще не выбрана.

При назначении как сессий, так и пользователей могут использоваться метки безопасности (мандаты) - в этом случае реализуется мандатный принцип контроля доступа (вместо имени пользователя в субъекте доступа либо дополнительно к имени в этом случае задается метка безопасности - мандат), основанный на арифметическом сравнении решающим блоком 6 значений меток субъекта и объекта (объектам в этом случае администратором также присваиваются метки безопасности) на больше, меньше, равно. Метки могут быть как иерархическими (например, определять уровень конфиденциальности), так и неиерархическими. В этом случае сессия представляет собою набор меток, с которыми может работать пользователь, либо предельное значение метки при иерархическом задании меток.

Со входа 11 системы в блок 3 администратором задаются правила выбора пользователями сессии (либо возможный набор сессий, в которых каждый пользователь может работать, либо максимальный уровень сессии для пользователя, если сессии иерархически упорядочены, например, по уровню конфиденциальности, в том числе для задания предельного уровня сессии может использоваться соответствующая метка безопасности, если реализуется мандатный контроль доступа), а также идентификационные и аутентификационные (пароль) данные пользователя в системе.

Со входа/выхода 12 системы пользователь, пройдя в блоке 3 процедуру идентификации и аутентификации в системе, выбирает одну из разрешенных ему сессий (пока сессия пользователем не выбрана, в системе реализуются заданные администратором правила доступа к файловым объектам для режима “невыбранной пользователем сессии”).

При выборе пользователем сессии идентификационный признак выбранной сессии блоком 3 и идентификационный признак пользователя передаются в блоки 4 и 6 (конкретный пользователь однозначно сопоставляется системой с выбранной им текущей сессией), вступают в силу разграничения прав доступа к файловым объектам для пользователя, заданные для выбранной пользователем сессии.

Одновременно в системе может работать (после идентификации и аутентификации и выбора сессии, которые могут осуществляться как локально, так и удаленно) несколько пользователей как в различных, так и в одинаковых сессиях, что позволяет задание в системе субъекта доступа одновременно тремя сущностями: сессия, имя пользователя (SID), имя процесса (полнопутевое имя исполняемого файла процесса). При этом один пользователь может выбрать только одну текущую сессию.

В любой момент времени со входа/выхода 12 системы пользователь, пройдя в блоке 3 процедуру идентификации и аутентификации в системе, может сменить выбранную ранее сессию на иную разрешенную ему сессию, для этого пользователя вступят в силу разграничения прав доступа к файловым объектам, заданные для вновь выбранной им сессии.

Со входа 8 системы запрос доступа, содержащий имя пользователя, имя процесса, которым пользователь обращается к файловому объекту, идентификатор файлового объекта и запрашиваемый тип доступа (запись, чтение и т.д.), через блок 5 (которым данный запрос может быть преобразован, об этом далее) поступает в блок 6. Блок 6, с целью проведения анализа корректности (непротиворечивости заданной администратором разграничительной политики доступа к файловым объектам) запрашивает с первого выхода и получает на второй вход из блока 7 правила доступа, соответствующие анализируемому им запросу. Идентификатор текущей сессии для пользователя (и соответственно идентификатор пользователя), осуществившего запрос доступа, им был получен с третьего входа из блока 3. После чего блок 6, обладая всей необходимой информацией, анализирует санкционированность (непротиворечивость заданным администратором правилам доступа к файловым объектам) запроса, в результате чего выдает на выход 13 системы управляющий сигнал разрешения или запрета запрошенного доступа.

Блоком 5 реализуется переформирование исходного, поступающего на вход 8 системы, запроса доступа в соответствии с правилами, заданными администратором со входа 10 в блоке 4. Суть переформирования запроса доступа состоит в следующем. Предварительно администратором для неразделяемых ОС и приложениями между субъектами объектов (например, это файл cookies, который разделяется между пользователями и не может быть разделен между сессиями, существуют и объекты, не разделяемые между пользователями, например это временные файлы - Temp), создает в системе соответствующие файлы (или папки) для последующего их принудительного разделения системой между субъектами. В данные созданные объекты, при необходимости, администратором копируется информация из исходного объекта. Например, при наличии двух сессий “открыто” и “конфиденциально” администратором создается файл cookies.k. После создания файловых объектов, для последующего разделения к ним доступа субъектов, администратор со входа 10 в блоке 4 задает правила переформирования запроса доступа, состоящие в том, что при обращении соответствующего субъекта к разделенному системой между субъектами объекту, при необходимости в исходный в запрос доступа в качестве объекта будет подставляться идентификатор требуемого созданного администратором объекта. Для рассмотренного примера, в случае, если к файлу cookies пользователь запрашивает доступ в сессии “открыто”, то переформирование исходного запроса доступа не производится, если же в сессии “конфиденциально”, то исходный запрос доступа переформируется - вместо объекта - имя (полнопутевое) файла cookies в запрос доступа системой подставляется имя (полнопутевое) файла файл cookies.k. При этом первоначальный запрос доступа к файлу файл cookies будет перенаправлен системой к файлу cookies.k. Аналогичное перенаправление запроса, в соответствии с заданными правилами, осуществляется и к объектам, не разделяемым ОС и приложениями между пользователями.

Решается системой эта задача следующим образом. Запрос доступа к файловому объекту, поступающий со входа 8 системы, анализируется блоком 4, хранящим заданные администратором со входа 10 правила переформирования запроса доступа. Из блока 1 блок 4 получает идентификатор субъекта из запроса доступа (имя пользователя и процесса), из блока 2 идентификатор объекта из запроса доступа, из блока 3 - идентификатор текущей сессии пользователя, запросившего доступ. На основании этой информации блок 4 выбирает подходящее правило переформирования запроса доступа, либо определяет, что преобразования не требуется. В соответствии с проведенным анализом блок 4 выдает либо не выдает (сообщает об отсутствии необходимости в преобразовании) соответствующую команду в блок 5 для переформирования исходного запроса доступа и выбранное им правило для подобного переформирования. В случае необходимости блоком 5 переформируется исходный запрос доступа, поступающий в него со входа 8 системы в соответствии с полученным из блока 5, посредством постановки в запрос имени (полнопутевого) файлового объекта, к которому переадресуется доступ. Если подобной необходимости нет, о чем в блок 5 блоком 4, блок 5 не изменяет исходный запрос доступа. Запрос доступа (исходный либо переформированный) из блока 5 поступает в блок 6 для последующей его обработки.

Важным в работе системы является то, что перенаправление запроса доступа блоком 5 осуществляется до анализа санкционированности запроса (на соответствие заданной разграничительной политики) блоком 6. Это позволяет реализовать разграничительную политику в отношении неразделяемых ОС и приложениями и разделенных системой файловых объектов. Так для рассматриваемого ранее примера в сессии “открыто” пользователя следует запретить со входа 9 системы доступ к файлу cookies.k, а в сессии “конфиденциально” - к файлу cookies, в результате получаем полное разделение между субъектами не разделяемых ОС и приложениями файловых объектов, причем как между сессиями, так и между пользователями и процессами.

Оценим достижение поставленной цели - решение задачи расширения функциональных возможностей системы контроля доступа к файловым объектам за счет корректной реализации сессионного контроля доступа.

1. Система позволяет реализовать сессионный контроль доступа к файловым объектам. При этом система может применяться в многопользовательских ОС, т.к. позволяет контролировать доступ к файловым объектам одновременно от нескольких пользователей, работающих как в одной, так и в различных сессиях.

2. Система обеспечивает корректную реализацию сессионного контроля доступа к файловым объектам в общем случае за счет того, что может разделять любые объекты (каталоги и файлы), между сессиями, между пользователями между процессами и между любыми комбинациями данных сущностей: “сессия, пользователь”, “сессия, процесс”, “пользователь, процесс” и т.д.

Изобретение является промышленно применимым в части возможности технической реализации включенных в систему блоков.

Техническая реализация всех блоков системы основана на типовых решениях по хранению и обработке данных (включая их выборку и анализ), хранящихся в таблицах и в атрибутах файловых объектов. Все используемые блоки технически реализуемы, и их реализация достигается стандартными средствами.

Данное решение апробировано заявителем при построении опытного образца средства защиты компьютерной информации.

Таким образом, в предлагаемом изобретении решены задачи расширения функциональных возможностей системы контроля доступа к файловым объектам за счет корректной реализации сессионного контроля доступа.

С учетом современного уровня развития вычислительной техники оно технически реализуемо.

Система сессионного контроля доступа к файловым объектам, содержащая решающий блок, осуществляющий анализ запроса доступа на соответствие (непротиворечивость) заданным правилам доступа, блок хранения прав доступа к файловым объектам, причем второй вход решающего блока, осуществляющего анализ запроса доступа на соответствие (непротиворечивость) заданным правилам доступа, соединен с выходом блока хранения прав доступа к файловым объектам, первый выход - с первым входом блока хранения прав доступа к файловым объектам, второй выход - с выходом системы, второй вход блока хранения прав доступа к файловым объектам соединен со вторым входом системы, отличающаяся тем, что в нее дополнительно введены: блок идентификации субъекта из запроса доступа, блок идентификации объекта из запроса доступа, блок выбора сессии пользователем, блок хранения правил переформирования запроса доступа, блок переформирования запроса доступа, причем первый вход системы соединен со входом блока идентификации субъекта из запроса доступа, со входом блока идентификации объекта из запроса доступа, с первым входом блока переформирования запроса доступа, второй вход которого - с выходом блока хранения правил переформирования запроса доступа, первый вход которого - с выходом блока идентификации субъекта из запроса доступа, второй вход - с выходом блока идентификации объекта из запроса доступа, третий вход - с третьим входом системы, четвертый вход - с третьим входом решающего блока, осуществляющего анализ запроса доступа на соответствие (непротиворечивость) заданным правилам доступа, с выходом блока выбора сессии пользователем, вход/выход которого - со входом/выходом системы, вход - с четвертым входом системы, выход бока переформирования запроса доступа соединен с первым входом решающего блока, осуществляющего анализ запроса доступа на соответствие (непротиворечивость) заданным правилам доступа.



 

Похожие патенты:

Изобретение относится к вычислительной технике. Технический результат заключается в повышении степени защищенности информации, хранящейся на внешнем носителе.

Изобретение относится к защите информации от несанкционированного использования. Технический результат - повышение уровня безопасности при аутентификации пользователя.

Изобретение относится к области управления лицензиями на использование программного продукта. Техническим результатом является улучшение защиты от компьютерного пиратства.

Изобретение относится к области защиты компьютерных устройств, данных и программ конечных пользователей от несанкционированного доступа. Техническим результатом является повышение уровня защиты информации от неавторизованного доступа путем применения политик шифрования при копировании файлов.

Изобретение относится к радиотехнике, системам подвижной связи. Техническим результатом является повышение безопасности радиосвязи.

Изобретение относится к области защиты информации. Технический результат - повышение коэффициента перекрытия спектров информативного и неинформативного (маскирующего) сигналов, излучаемых средствами вычислительной техники.

Изобретения относятся к устройству, способу и системе для управления файлами с защищенными личными данными. Техническим результатом является обеспечение безопасного и защищенного доступа к личным данным, их хранения и управления ими.

Изобретение относится к средствам разблокирования и обеспечения доступа к устройству. Технический результат заключается в повышении безопасности устройства.

Изобретение относится к средствам защиты информационных систем. Технический результат заключается в повышении защищенности активного сетевого оборудования.
Изобретение относится к вычислительной технике. Технический результат заключается в повышении надежности комплекса и обеспечении быстрого ввода в эксплуатацию утраченных из-за неисправности оборудования ресурсов.

Изобретение относится к области управления прикладной программой оплаты, установленной на мобильном устройстве, таком как мобильный телефон. Техническим результатом является обеспечение защиты от мошеннического использования прикладной программы оплаты в ситуациях, в которых мобильное устройство потеряно или украдено. Эмитент устройства оплаты может удаленно управлять прикладной программой оплаты, давая команду оператору беспроводной сети передать сообщение на мобильный телефон, причем сообщение содержит команду для выполнения операции, связанной с прикладной программой оплаты. Эмитент может удаленно сбросить счетчик или пароль, ассоциированный с прикладной программой оплаты, блокировать или разблокировать прикладную программу оплаты и установить данные управления доступом равными предварительно определенному значению, предотвратить неавторизованное использование прикладной программы оплаты в ситуации, в которой мобильный телефон потерян или украден или эмитент желает ограничить доступ к прикладной программе оплаты по другим причинам, таким как ограничение его подверженности к неавторизованному использованию устройства оплаты. 6 н. и 9 з.п. ф-лы, 13 ил.

Изобретение относится к способу динамического поиска блока информации. Технический результат заключается в повышении уровня защищенности хранимой информации при динамическом поиске информационных блоков. Осуществляют однонаправленное преобразование входных данных, результат преобразования которых сравнивают с признаком поиска, который представляет набор адресов, каждый из которых соответствует позиции блока информации, по совпадению одного из адресов признака поиска входной информации и результата преобразования входных данных определяют позицию блока информации. Вводят контрольное значение о количестве входных данных, возрастающее при каждом поступлении входных данных, и фиксированную последовательность. При этом признак поиска представляет набор неявных адресов, полученный путем преобразования блока информации и соответствующих ему входных данных. Позицию каждого из неявных адресов определяют по преобразованному в факториальной системе счисления контрольному значению. Для контроля правильности определения позиции блока информации осуществляют преобразование входных данных с использованием найденного блока информации. Результат преобразования сравнивают с фиксированной последовательностью, в случае их совпадения блок информации соответствует входным данным. 1 ил.

Изобретение относится к области автоматического назначения политик шифрования устройствам. Технический результат - ускорение назначения политик шифрования устройствам в локальной сети путем автоматического назначения политик шифрования устройств в этой сети на основании определенного коэффициента устройства. Способ назначения политики шифрования устройства, в котором: а) выбирают средством анализа критерии для устройств, которые, по меньшей мере, характеризуют пользователей устройства, местоположение устройства, программное обеспечение устройства; б) получают средством управления значения критериев, по меньшей мере, для одного устройства, где значениями критериев являются как булевы, так и дискретные значения, которые характеризуют, по меньшей мере, пользователей устройства, местоположение устройства, программное обеспечение устройства; в) определяют средством управления коэффициент устройства на основании полученных значений критериев, где коэффициент устройства - числовое значение, вычисленное из полученных значений критериев; г) назначают средством анализа политику шифрования на основании определенного коэффициента устройства. 2 н. и 5 з.п. ф-лы, 3 ил.

Изобретение относится к области систем аутентификации объектов, предназначено для управления доступом к защищаемым ресурсам или объектам и может быть использовано при построении систем связи с аутентификацией респондентов. Технический результат - высокий уровень защиты от несанкционированного доступа к охраняемому объекту. Способ санкционированного доступа к охраняемому объекту, заключающийся в том, что запоминают на ключе доступа (КД), находящемся у пользователя, и на базе доступа (БД), находящейся на охраняемом объекте, идентичные последовательности значений сигналов, передают от КД к БД инициализирующий сигнал, где его обрабатывают, затем на БД формируют сигнал запроса и передают его на КД, где его обрабатывают, затем на КД формируют сигнал ответа и передают его на БД, где его идентифицируют и по результатам идентификации принимают решение о предоставлении доступа пользователю к охраняемому объекту. Способ отличается тем, что запомненные последовательности значений сигналов представляют в виде N≥1 блоков, каждый из которых содержит значения инициализирующего сигнала, сигнала запроса и сигнала ответа, причем при n-й процедуре доступа (где n=1, 2…, N) на БД и на КД используют последовательности значений сигналов m-го актуального блока, где m∈[1, N] и номер m-го актуального блока определяют с помощью заданной функции f(n). 3 з.п. ф-лы, 5 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении высокоскоростного считывания фискальной информации из памяти при соблюдении финансового регламента. Способ управления фискальной памятью для фискального принтера, который имеет фискальную память, которая хранит фискальную информацию, первый блок управления, который управляет, по меньшей мере, связью с хост-компьютером и работает на первой скорости обработки, и второй блок управления, который управляет работой, по меньшей мере, фискальной памяти и работает на второй скорости обработки, которая медленнее первой скорости обработки, в котором сохраняют фискальную информацию в фискальной памяти посредством первого блока управления, принимающего фискальную информацию из хост-компьютера и передающего фискальную информацию во второй блок управления, и второго блока управления, исполняющего процесс записи, который записывает фискальную информацию, переданную из первого блока управления, в фискальную память; и причем первый блок управления исполняет процесс считывания, считывающий фискальную информацию, сохраненную в фискальной памяти, из фискальной памяти, без вовлечения обработки вторым блоком управления. 3 н. и 13 з.п. ф-лы, 6 ил.

Изобретение относится к техническим средствам аутентификации физических лиц с использованием биометрической информации. Техническим результатом является обеспечение простой аутентификации физического лица с высокой точностью посредством извлечения признака узора кровеносных сосудов и признака формы отпечатка ладони человека, подлежащего аутентификации, из данных одного первоначального изображения, сфотографированного с использованием блока получения изображения в видимом свете. Аутентификационный источник 11 света испускает свет, который содержит по меньшей мере красный свет в диапазоне видимого света, по направлению к ладони тела человека. Блок 12 получения аутентификационных изображений получает по меньшей мере одно отраженное изображение, образованное посредством света, испускаемого из аутентификационного источника 11 света и отражаемого на указанной ладони тела человека. Блок 13 обработки аутентификационных изображений осуществляет обработку отраженного изображения и извлекает форму отпечатка ладони и форму кровеносных сосудов в ладони соответственно из одного листа отраженного изображения для аутентификации, чтобы создать аутентификационные данные. 4 н. и 9 з.п. ф-лы, 9 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении надежной модели безопасности элементов данных за счет повышения производительности и обеспечения стабильности системы. Способ обеспечения безопасности элемента данных, в котором определяют по меньшей мере одну политику безопасности для иерархической структуры данных; определяют по меньшей мере одну область безопасности для иерархической структуры данных; устанавливают, является ли структура иерархических данных структурой дерева или направленным ациклическим графом (DAG); устанавливают, как по меньшей мере одна политика безопасности должна быть применена к элементу в области безопасности, когда элемент наследует более чем один список управления доступом (ACL). 2 н. и 6 з.п. ф-лы, 9 ил., 3 табл.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении надежности операционной системы (ОС) за счет предотвращения несанкционированного доступа к объектам в ОС. Способ обеспечения доступа к объектам в ОС, в котором формируют сигнал запроса на обслуживание, который передают на обслуживание в ядро ОС. После готовности обслуживающего соответствующий объект сервера ресурсов к обработке сигнала запроса, формируют от ядра для сервера безопасности сигнал проверки запроса. По сигналу проверки запроса от ядра запрашивают сигнал образа пользователя от сервера базы данных пользователей и сигнал метки объекта от сервера атрибутов безопасности. На сервере безопасности сравнивают сигналы проверки запроса, сигнал образа пользователя и сигнал метки объекта и принимают решение о разрешении или запрете запрошенных действий пользователя над объектом. 2 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении информационной безопасности при размещении оборудования сети в неэкранированных помещениях. Изолированная компьютерная сеть состоит из компьютера администратора, компьютеров пользователей с корпусами, экранирующими электромагнитное излучение (ЭМИ), клавиатур с экранированием ЭМИ, средств идентификации пользователей, подсоединенных к каждому компьютеру, коммутатора, включающего концентратор, размещенного в корпусе, экранирующем ЭМИ, релейного переключателя питания, сетевых соединений компьютеров и сетевого оборудования, ручного переключателя сетевых соединений и содержит подключенное к концентратору как минимум одно внешнее периферийное устройство, расположенное в контейнере, экранирующем ЭМИ, и сетевые соединения компьютеров сетевого оборудования и периферийных устройств выполнены оптоволоконными кабелями. 1 з.п. ф-лы, 2 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности компьютерной системы за счет «симуляции» тех характеристик, которые указывают на то, что программа выполняется в виртуальной среде. Способ защиты неэмулируемой компьютерной системы от вредоносного программного обеспечения, которое пытается предотвратить обнаружение или анализ при его исполнении в эмулируемой компьютерной системе, включающий следующие шаги: определяют, следует ли идентифицировать исполняемый файл в качестве легитимного; и если нет, выполняют исполняемый файл в неэмулируемой компьютерной системе с одновременным предоставлением исполняемому файлу указаний на то, что он выполняется в эмулируемой компьютерной системе. 6 н. и 13 з.п. ф-лы, 6 ил.
Наверх