Система и способ применения политик безопасности к накопителю в сети

Изобретение относится к системам и способам управления доступом к накопителю в сети. Технический результат заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя. Технический результат достигается с помощью системы и способа применения политик безопасности к накопителю в сети, в котором сохраняют в историю использования накопителя события, происходящие с накопителем, на основании произошедших событий определяют политики безопасности, применимые к накопителю и применяют определенные политики безопасности к накопителю. 2 н. и 2 з.п. ф-лы, 3 ил.

 

Область техники

Изобретение относится к решениям для обеспечения безопасности конфиденциальных данных, а более конкретно к системам и способам применения политик безопасности к накопителю в сети.

Уровень техники

В настоящее время число устройств, используемых в корпоративной локальной сети, стремительно растет. Наряду с компьютерами и ноутбуками используются смартфоны, планшеты, коммуникаторы. Каждое устройство имеет встроенный носитель информации, а также есть и отдельные устройства - носители информации. Носители информации обычно называют накопителями. Накопители могут быть подключены к разным компьютерам и использованы для хранения и переноса информации. Почти на каждом накопителе, используемом внутри корпоративной сети, присутствуют конфиденциальные данные, которые не должны попадать за пределы сети.

Обеспечение защиты данных при использовании накопителей достаточно обширная задача. Необходимо определять политики безопасности для накопителя в отдельности или для группы накопителей, проводить мониторинг использования, сохранять историю владения, иметь возможность назначать политики безопасности для устройства. Политики безопасности могут содержать как политики доступа к устройству, так и политики шифрования. Политики безопасности могут назначаться в зависимости от различных критериев использования накопителя, например, в зависимости от того, кто владелец (кому был выдан накопитель), в каком сегменте сети используется накопитель, на каких компьютерах используется накопитель, какой тип накопителя.

Сама идея ограничения доступа к данным не нова. Так, публикация US 8341717 B1 описывает динамическое назначение сетевых политик устройствам на основании классификации. Устройства опознаются на основании цифровых сертификатов, и в зависимости от классификации сертификата устройству предоставляется доступ к различным услугам.

Заявка US 7606801 B2 описывает методы управления политиками безопасности в сетях с разными уровнями доступа к файлам, сбора данных о действиях пользователей и предупреждения о подозрительной активности пользователей.

Описываемые способы позволяют обеспечить безопасность данных в корпоративной сети, в которой используются данные устройства, но не обеспечивают безопасность хранящейся на устройствах информации и не предотвращают возможные утечки информации в случае выноса устройств за пределы корпоративной сети.

Предлагаемая система и способ позволяют управлять доступом к накопителю, а именно: применять политики шифрования, применять политики использования в зависимости от критериев использования и сохранять историю использования накопителя в течение всего жизненного цикла накопителя.

Сущность изобретения

Технический результат настоящего изобретения заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя.

Согласно одному из вариантов реализации, предоставляется система применения политик безопасности к накопителю в сети, которая включает в себя: средство наблюдения за накопителем, которое при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняет данное событие в историю использования накопителя, при этом событие содержит, по меньшей мере, тип операции над накопителем; средство определения политик безопасности накопителя, которое, на основании истории использования, по меньшей мере, одного накопителя, полученной от средства наблюдения за накопителем, определяет политики безопасности, применимые к накопителю; средство применения политик безопасности, которое на основании данных от средства определения политик безопасности накопителя применяет политики безопасности к накопителю.

Согласно одному из частных вариантов реализации средство определения политик безопасности накопителя определяет политику, содержащую, по меньшей мере, одну разрешенную операцию доступа к данным на накопителе, по меньшей мере, в одном сегменте сети.

Согласно другому частному варианту реализации средство определения политик безопасности накопителя определяет политику, содержащую ограничения использования, по меньшей мере, одного приложения, находящегося на накопителе, по меньшей мере, в одном сегменте сети.

Согласно еще одному частному варианту реализации средство определения политик безопасности накопителя определяет политику, стирающую данные с накопителя.

Согласно еще одному частному варианту реализации определения политик безопасности накопителя определяет политику шифрования данных на накопителе.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, содержащую, по меньшей мере, одну разрешенную операцию доступа к данным на накопителе, по меньшей мере, в одном сегменте сети.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, содержащую ограничения использования, по меньшей мере, одного приложения, находящегося на накопителе, по меньшей мере, в одном сегменте сети.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, стирающую данные с накопителя.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику шифрования данных на накопителе.

Согласно еще одному частному варианту реализации предоставляется способ применения политик безопасности к накопителю в сети, в котором:

при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняют с помощью средства наблюдения за накопителем данное событие в историю использования накопителя, при этом событие содержит, по меньшей мере, тип операции над накопителем; определяют политики безопасности, применимые, по меньшей мере, к одному накопителю, с помощью средства определения политик безопасности накопителя на основании истории использования данного накопителя, полученной от средства наблюдения за накопителем; применяют политики безопасности к накопителю с помощью средства применения политик безопасности на основании данных, полученных от средства определения политик безопасности накопителя.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 изображает структуру системы управления доступом к накопителю в сети.

Фиг. 2 изображает общий случай определения политик безопасности для накопителя.

Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Фиг. 1 отображает структуру системы управления доступом к накопителю в сети.

Средство регистрации накопителя 110 сохраняет данные о накопителях, содержащие его уникальный идентификатор и идентификатор владельца накопителя. Идентификатором накопителя может выступать любая уникальная информация о накопителе, например, его серийный номер, международный идентификатор мобильного оборудования (IMEI, англ. International Mobile Equipment Identity). Идентификатором владельца может являться, например, его логин в локальной сети, адрес электронной почты, комбинация имени и фамилии и прочие данные. Кроме этого средство регистрации может содержать и другие данные о накопителе, такие, как данные о типе накопителя, данные о сегментах сети, в которых разрешено использовать накопитель, заранее определенные политики безопасности для накопителя. Политики безопасности могут содержать политики шифрования, политики управления доступом к устройству, политики контроля приложений. Политики шифрования определяют, нужно ли, например, выполнять полнодисковое шифрование накопителя, выполнять шифрование файлов определенного типа и другие. Политики управления доступом к устройству содержат разрешения на доступ к устройству, а именно, когда можно выполнять чтение с устройства, когда запись, а также когда запрещены оба действия. Политики контроля приложений определяют правила для приложений, находящихся на накопителе, например, запретить запуск всех приложений или запретить сетевую активность запускаемых приложений.

Средство наблюдения за накопителем 120 выделяет события использования накопителя, включающие в себя такие критерии, как: тип операции над накопителем; результат операции над накопителем (например, была ли выполнена запись на накопитель); идентификатор пользователя, выполняющего действия с накопителем; компьютер, на котором выполняются действия с накопителем; сегмент сети, в котором выполняются действия с накопителем; соблюдение политик безопасности для накопителя (если накопитель был зашифрован с использованием полнодискового шифрования, на нем должен присутствовать контейнер шифрования, содержащий зашифрованную информацию). Средство наблюдения за накопителем 120 сохраняет выделенные события использования накопителя и пополняет историю использования накопителя, передает накопленные данные средству определения политик безопасности накопителя 130. В одном из вариантов реализации средство наблюдения за накопителем 120 использует базу данных для сохранения накопленной истории, включающую различные данные о защищаемых компьютерах сети. Когда накопитель подключается к компьютеру в первый и в последующие разы, можно также выделить события, связанные с компьютером (например, операционная система, актуальность обновлений операционной системы, наличие антивируса и актуальность антивирусных баз).

Средство определения политик безопасности накопителя 130 на основании данных от средства регистрации накопителя и истории использования накопителя, полученной от средства наблюдения за накопителем, определяет политики безопасности, применимые к накопителю, которые содержат правила контроля приложений, правила контроля доступа к накопителю и правила шифрования накопителя.

Задача по определению политик заключается в назначении политик накопителям, соответствующих потребностям пользователей и обеспечивающих безопасность хранимых данных. Для получения наиболее полного представления о накопителе в сети используется максимально широкий набор критериев, это позволяет более гибко выбирать политики безопасности. Для характеристики устройств учитываются, например, пользователи устройств, программное обеспечение, установленное на устройствах, аппаратная часть устройств, файлы, хранящиеся на устройстве, а также местоположение устройства в корпоративной локальной сети.

Местоположение накопителя - группа критериев, которая определяет мобильность накопителя. На основании этой группы делают вывод о том, покидает ли накопитель границы корпоративной локальной сети, в каких участках корпоративной сети находится накопитель и т.д. Статистику по местоположению получают, например, проанализировав компьютеры и точки доступа, к которым подключается накопитель, по маске подсети или используют данные с модуля геолокации накопителя. Если установлено, что накопитель перемещается, то накопитель по критерию мобильности признается мобильным, в противном случае устройство признается немобильным. Также определить данный критерий возможно, проанализировав данные об аппаратном обеспечении накопителя, если аппаратура соответствует фотоаппарату или телефону, то логично предположить, что устройство является мобильным. Критерии этой группы в частном случае могут определять следующий тип местоположения: накопитель не перемещается, накопитель перемещается внутри корпоративной сети, накопитель покидает пределы корпоративной сети.

Пользователи накопителя - группа критериев, которая определяет владельцев накопителя или лиц, которые временно используют данный накопитель для работы. Эти критерии могут указывать как на конкретное лицо, так и на некоторую группу пользователей, например администраторы, топ-менеджеры, разработчики и т.д.

Программное обеспечение, установленное на накопителе, - группа критериев, которая характеризует программное обеспечение, под управлением которого находится накопитель (операционную систему и компоненты, приложения, микропрограммы и т.д.). Также критерии определяют принадлежность программного обеспечения к некоторой группе, например, игровое программное обеспечение, офисные программы, браузеры, специальное программное обеспечение и т.д. Под специальным программным обеспечением понимается совокупность программ, используемых для решения определенного класса задач, например, программное обеспечение автоматизированной системы управления технологическими процессами. Также критерий может характеризовать уязвимость программного обеспечения, показывая, насколько данное программное обеспечение угрожает безопасности накопителя. В частном случае используется критерий устаревания программного обеспечения, который показывает, насколько программное обеспечение устарело.

Следует выделить и группу критериев, которая включает в себя критерии, характеризующие файлы, хранящиеся на накопителе. Эти критерии учитывают тип хранящихся документов, их количество, гриф секретности документов (специальная отметка, свидетельствующая о степени секретности сведений, содержащихся в их носителе) или их конфиденциальность (информация, хранящаяся в документе, общедоступна, или к ней имеет доступ ограниченный круг лиц). Применение этих критериев к накопителю позволяет составить представление о назначении и целях использования накопителя. Для определения конфиденциальности документов, хранящихся на накопителе, в частном случае могут применяться методы поиска по словарю, синтаксический разбор фрагментов документа по шаблону, технологии цифровых отпечатков. Для определения грифа секретности применяются в частном случае те же методы и технологии, что и для определения конфиденциальности.

Средство определения политик безопасности накопителя 130 использует вышеописанные критерии. Например, в одном из вариантов реализации накопитель подключается к компьютеру, на котором обрабатываются данные конфиденциального характера (например, сервер). Этот вывод делается за счет того, что компьютер находится в определенной группе. Следовательно, можно предположить, что на накопитель может быть записана защищаемая информация, что приведет в итоге к ее утечке. В свою очередь можно автоматически применить политики шифрования накопителя. Более того, можно сразу сузить область доступности накопителя политиками, определяющими ограничения доступа к накопителю, до тех компьютеров, которые аналогичны тому, к которому произведено подключение (находятся в той же группе или выполняют те же функции, например, серверные). В более сложном случае можно формировать политики меры не в момент подключения накопителя к компьютеру, а в момент попытки копирования на накопитель неких данных. Включение компьютеров в группу может производиться администратором сети.

В другом варианте реализации, например, компьютеры с конфиденциальными данными явно не выделены в отдельную группу. Но при этом средство наблюдения за накопителем 120 определяет, что на компьютере, к которому подключен накопитель, используется приложение определенного типа. Например, клиент для работы с банком, приложение документооборота, HR - приложение. В этом случае можно автоматически на основании сведений о том, какие приложения запускались на данном компьютере в течение заданного интервала времени, сделать достаточно обоснованный вывод о том, нужно ли средству определения политик безопасности накопителя 130 создавать дополнительные политики безопасности для накопителя или нет.

В еще одном варианте реализации, наблюдая за историей перемещения накопителя, определяется, что он подключается к компьютерам определенной группы. Таким образом, можно создать политику безопасности, блокирующую использование накопителя за пределами этой группы, а на основании сведений об используемом в пределах этой группы программном обеспечении назначить политики шифрования.

В еще одном варианте реализации, используя историю накопителей пользователя, можно выделить политики безопасности, отражающие аккуратность и потенциальную опасность его пользователя. Например, по данным истории пользователь терял накопители. Вероятно, текущий накопитель тоже будет утерян, поэтому имеет смысл сразу назначать упреждающие политики безопасности, например, использовать шифрование. Если в истории есть данные о занесении вирусов на накопитель, можно определить политики безопасности для контроля приложений, например, запретить для этого накопителя запуск любого исполняемого кода.

Следует отметить, что связанные с накопителем события могут включать не только события о явном использовании накопителя, но и данные о том, какие приложения установлены и используются на компьютерах, к которым подключается накопитель, установлены ли на компьютерах обновления операционной системы, как часто компьютер заражается вирусами и т.п. Например, если накопитель регулярно подключается к компьютерам без последних обновлений безопасности (отсутствуют обновления для операционной системы, или базы антивирусного приложения устарели), можно сделать вывод о повышенной вероятности заражения этого накопителя и изменить политики по данному накопителю в сторону ужесточения.

Средство определения политик безопасности накопителя 130 не только анализирует историю, но и обладает данными о ранее принятых и реализованных политиках безопасности. Основываясь на этих данных, средство определения политик безопасности накопителя 130 может определять новые политики безопасности, основываясь на ранее определенных политиках. Например, с накопителем произошли некоторые события, которые были зафиксированы средством наблюдения за накопителем 120 и сохранены в базе произошедших событий. Основываясь на событиях, были сформированы политики ограничения безопасности. Через некоторое время (например, через неделю), изучая журнал событий, средство определения политик безопасности накопителя 130 может определить, дали ли ранее определенные политики положительный эффект или нет. Например, пользователь постоянно «заражает» накопитель вирусами. Средство определения политик безопасности накопителя 130 определяет политики: запретить выполнение находящихся на накопителе приложений, подключение накопителя ко всем компьютерам за исключением компьютера владельца, выполнить полнодисковое шифрование накопителя. Если с течением времени на накопителе не обнаружены вирусы, то средство определения политик безопасности накопителя 130 определяет, что после применения политик «заражение» накопителя прекратилось, следовательно, изменение политик было эффективно, и его стоит применять в подобных ситуациях. В другом варианте реализации, используя ранее принятые и реализованные политики безопасности, средство определения политик безопасности накопителя 130 будет определять политики безопасности постепенно. Например, в случае возникновения вышеописанной ситуации (накопитель «заражен») сначала ограничивается выполнение приложений, затем подключение к другим компьютерам, затем производится шифрование накопителя. Таким образом, можно определить более эффективный набор политик для каждого отдельного случая.

В одном из вариантов реализации средство определения политик безопасности накопителя 130 информирует офицера безопасности. Например, если средство определения политик безопасности накопителя 130 исчерпало все доступные ему меры модификации политики, а положительный эффект так и не наступил. В такой ситуации необходимо информировать офицера безопасности, выдав ему отчет о том, в чем заключается проблема с конкретным накопителем, и какие ограничения политик уже предпринимались автоматически.

Средство применения политик безопасности накопителя 140 на основании правил от средства определения политик безопасности накопителя 130 применяет ограничения по использованию накопителя. Правила контроля доступа к накопителю регулируют возможные операции чтения и записи на накопителе в целом или для определенных файлов, например, на накопителе типа «фотоаппарат», запрещена запись файлов определенных форматов в любом сегменте сети. Другой пример состоит в том, что накопитель блокируется в системе или на отдельном компьютере, если компьютер расположен в сегменте сети, не разрешенном для использования накопителя. Кроме того, средство применения политик безопасности к накопителю 140 может выполнять очистку накопителя от данных, например, производить полное или быстрое форматирование устройства.

Кроме того, средство применения политик безопасности накопителя 140 на основании правил контроля приложений от средства определения политик безопасности накопителя 130 применяет ограничения по использованию накопителя. Например, запрещен запуск исполняемых файлов с накопителя в заданных или во всех сегментах сети.

Также средство применения политик безопасности накопителя 140 на основании политик шифрования от средства определения политик безопасности накопителя 130 выполняет шифрование на устройстве. Может применяться как полнодисковое шифрование, так и шифрование отдельных файлов или файлов определенных форматов.

Фиг. 2 изображает общий случай определения политик безопасности для накопителя.

На начальном этапе происходит регистрация 220 накопителя в системе. Накопитель может появиться в системе, например, после закупки. Изначально накопитель не выдан никому из сотрудников, поэтому регистрируются в системе, например, со статусом «Новый накопитель». Владельцем такого накопителя, например, может являться системная учетная запись. Для такого накопителя автоматически формируются правила, предписывающие средству применения политик безопасности к накопителю, блокировать работу с накопителем. Новый накопитель опционально должен очищаться от данных, например, с использованием быстрого форматирования. Далее уточняют данные о накопителе. Это позволяет расширить функциональность средства определения политик безопасности накопителя в предлагаемой системе. Например, в свойствах накопителя указывается, что это фотоаппарат, видеокамера или диктофон. Это можно распознать автоматически по свойствам накопителя (например, классификация драйвера накопителя, тип накопителя, уникальный идентификатор накопителя, производитель накопителя, версия аппаратного обеспечения накопителя, версия программного обеспечения накопителя), а также задать вручную, например, администратор сети может изменить автоматически определенный тип накопителя или указать тип, если он не был определен автоматически. Средство определения политик безопасности учтет это при создании политик средства шифрования для этого устройства. При применении полнодискового или файлового шифрования устройство перестанет функционировать, так как не опознает, например, файловую систему или отдельные файлы на используемом накопителе. Это важно и в случае, если для средства определения политик безопасности задана глобальная политика «шифровать все», так как для указанных устройств автоматически будет создано исключение. С другой стороны известно, что, например, с фотоаппарата можно копировать фотографии и видеофайлы на ПК (в общем случае заданный набор расширений файлов) и удалять их. Записывать данные на фотоаппарат нельзя, равно как нельзя запускать исполняемые файлы. На основании этого можно создать правила для контроля доступа к накопителю и для контроля приложений. В результате кто бы не получил новое устройство, политики для конкретного устройства будут иметь приоритет и учтут его специфику. Аналогично политики можно задавать и для других типов устройств (например, для диктофонов, видеокамер, видеорегистраторов), которые нельзя шифровать, но необходимо ограничивать возможности работы с ними, тем самым исключив утечки данных. В общем случае при регистрации накопителя эти данные могут заполняться автоматически при условии, что средство регистрации накопителя будет иметь базу данных для опознания типа и функционального назначения устройства.

Далее пользователи начинают работать с накопителем 240. Возможны две типовые ситуации - владельцем накопителя становится конкретный человек или отдел. В момент определения владельца для накопителя будет автоматически создан набор правил для средства определения политик безопасности накопителя, осуществляющих контроль доступа к накопителю (необходимо разрешить работу с накопителем конкретному сотруднику или всему персоналу заданной группы) а также набор правил для контроля приложений и шифрования.

С точки зрения безопасности можно выделить ряд характерных ситуаций и сценариев, которые может обработать предлагаемая система.

Подключение накопителя к различным ПК в фирме 241. Средство наблюдения сохраняет историю событий, связанных с накопителем. История событий важна, например, в случае служебных расследований (можно понять, как примерно перемещался накопитель по сети, сформировать круг потенциальных нарушителей безопасности при возникновении инцидентов).

Неиспользование накопителя длительное время 242. Это говорит о том, что накопитель или потеряли, или не используют. В первом случае его можно блокировать, во втором - сигнализировать об этом владельцу накопителя, который может принять решение о возврате накопителя. Если средство наблюдения за накопителем будет фиксировать дату последнего подключения и использовать общий счетчик частоты использования, то неиспользование накопителя можно легко зафиксировать и автоматизировать реагирование. Например, если накопитель не используется 3 месяца, или пользователь сообщает, что не может найти выданный накопитель, но не уверен, что накопитель утерян, в системе для средства определения политик безопасности накопителя вносится политика «условно потерян», автоматически генерируются правила для средства контроля доступа к накопителю для блокировки, с отметкой даты и времени, и причины «Предположительно потерянный накопитель». Если пользователь найдет накопитель, то при его подключении к компьютеру пользователя, которому накопитель выдавался, средство наблюдения за накопителем опознает это действие, и средство определения политик безопасности автоматически отменит политики, связанные с блокировкой. При подключении к неавторизованному компьютеру (компьютеру, пользователь которого не является владельцем накопителя), средства определения политик безопасности блокируют использование накопителя, после чего может быть выдано предупреждение службе безопасности. Если накопитель не используется 6 месяцев, то в этом случае, например, для средства определения политик безопасности накопителя вносится статус «накопитель утерян», и генерируются правила для блокировки утерянного накопителя. В тот же статус накопитель переводится вручную, если пользователь сообщает о его хищении или потере. Любая попытка работы с таким накопителем должна пресекаться. Кроме того, например, при блокировке можно задать дополнительную политику «Стереть данные при первом подключении». Такая политика может создаваться в автоматическом или в ручном режиме (опционально), так как если накопитель был украден, а затем опять появился в сети, важно знать, какие данные находятся на накопителе. В случае обнаружения накопителя (он был утерян долгое время, но затем найден) его можно разблокировать. В случае подключения к любому компьютеру в сети (к компьютеру владельца или другого пользователя) средство наблюдения за накопителем генерирует предупреждение для службы безопасности.

Нарушение политики шифрования 243. Например, средство наблюдения за накопителем обнаружило, что контейнер шифрования удален. В одном из вариантов реализации в такой ситуации система автоматически создает для средства определения политик безопасности политику «Нарушение политики шифрования», выдается предупреждение службе безопасности, для средства контроля доступа к накопителю автоматически создается правило блокировки со статусом «Блокировка ввиду нарушения политик шифрования». В другом варианте реализации система автоматически создает для средства определения политик безопасности политику «Восстановление политики шифрования», устройство очищается от данных (форматируется), к нему применяется полнодисковое шифрование.

Увольнение пользователя 244. При этом обычно все накопители, выданные пользователю, сдаются. При этом, например, средство регистрации накопителя переводит их статус «Новый» с очисткой данных или сразу фиксируется выдача на другого пользователя без удаления данных. Если, например, накопитель уволенного пользователя не предъявляется системе, то он автоматически переходит в статус «Накопитель утерян».

Перевод пользователя на другую должность 245. В такой ситуации политики безопасности накопителя будут другими, и та информация, которую пользователь ранее хранил на накопителе, не может быть использована. В таком случае, например, при фиксации смены должности система автоматически корректирует политики для накопителей пользователя, например, инициирует их принудительную очистку. В другом случае при переводе пользователь сдает накопители по аналогии с увольнением.

Поломка накопителя 246. В такой ситуации, например, накопителю с помощью средства определения политик безопасности накопителя вносится статус «Блокировка вышедшего из строя накопителя», но без удаления из базы данных средства регистрации накопителя для того, чтобы сохранилась история использования накопителя.

Обнаружение вируса на накопителе 247. В этом случае, например, можно опционально блокировать накопитель с особым статусом «Блокировка зараженного накопителя» и выдачей предупреждения. Это важно, например, если по политикам такой накопитель запрещено выносить за пределы корпоративной сети.

Блокировка накопителя службой безопасности 248. Например, накопитель блокируется со статусом «Заблокирован службой безопасности», кроме того, необходимо иметь возможность блокировать все накопители заданного пользователя или указанного отдела.

Накопитель списан вне зависимости от исправности 249. В такой ситуации уничтожение данных важно и может быть обязательным с сохранением информации средством наблюдения за накопителем, выполнено оно или нет. После этого накопитель получает статус "Блокирован как списанный" с формированием правила для средства контроля доступа к накопителю на запрет его использования.

Стоит отметить, что система может создавать отчеты помощью генератора отчетов при смене статуса. Например, если накопитель выдается пользователю, то автоматически распечатывается документ, на котором есть данные накопителя, дата, место для подписи получившего накопитель пользователя. Такой документ (его электронный вариант или изображение) может вноситься в систему средством регистрации накопителя и привязываться к накопителю. Пока нет документа в системе, не формируются правила на разрешение использования накопителя. В случае инцидента специалист безопасности сразу получит все документы, позволяющие привлечь пользователя к расследованию инцидента.

Еще одна функция, которая возможна в системе, - проведение принудительной инвентаризации. Для заданных накопителей (по накопителю, пользователю, группе пользователей, отделу) средством определения политик безопасности для накопителя включается статус «Требуется подтверждение наличия». Пользователи получают запрос на подтверждение того факта, что накопитель у них. Подтверждение выполняется, например, посредством подключения накопителя к любому компьютеру, на котором разрешено его использование. Если подтверждение выполнено в заданный период времени (например, 10 дней), то статус «Требуется подтверждение наличия» снимается с фиксацией даты подтверждения и компьютер, с которого оно выполнено. Иначе накопитель автоматически переводится в статус «условно потерян».

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Система применения политик безопасности к накопителю, являющемуся устройством для хранения информации, в сети, которая включает в себя:
- средство регистрации накопителя, предназначенное для сохранения в базе данных в момент появления накопителя в сети идентификатора по меньшей мере одного накопителя и идентификатора по меньшей мере одного владельца накопителя, при этом идентификатором накопителя является серийный номер;
- средство наблюдения за накопителем, предназначенное для сохранения возникающего события, связанного по меньшей мере с одним накопителем, в историю использования накопителя, при этом событие содержит по меньшей мере: тип операции над накопителем, результат операции над накопителем, идентификатор пользователя, выполняющего операцию над накопителем;
- средство определения политик безопасности накопителя, предназначенное для определения с учетом критериев на основании истории использования по меньшей мере одного накопителя, полученной от средства наблюдения за накопителем, и информации, сохраненной средством регистрации накопителя, политики безопасности, применимые к накопителю, при этом критериями являются критерий, характеризующий уязвимости программного обеспечения, хранящегося на накопителе, и по меньшей мере один из:
критерий, определяющий мобильность накопителя;
критерий, определяющий пользователя накопителя;
критерий, характеризующий конфиденциальность файлов, хранящихся на накопителе;
- средство применения политик безопасности, предназначенное для применения политик безопасности к накопителю на основании данных от средства определения политик безопасности накопителя путем ограничения операции чтения и записи на накопителе в целом или для отдельных файлов.

2. Система по п. 1, в которой критерий мобильности накопителя определяется на основании статистики местоположения накопителя.

3. Способ применения политик безопасности к накопителю, являющемуся устройством для хранения информации, в сети, в котором:
- регистрируют накопитель в момент появления в сети с помощью средства регистрации накопителя, сохраняя в базе данных идентификатор по меньшей мере одного накопителя и идентификатор по меньшей мере одного владельца накопителя, при этом идентификатором накопителя является серийный номер;
- при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняют с помощью средства наблюдения за накопителем данное событие в историю использования накопителя, при этом событие содержит по меньшей мере: тип операции над накопителем, результат операции над накопителем, идентификатор пользователя, выполняющего операцию над накопителем;
- определяют с учетом критериев политики безопасности, применимые, по меньшей мере, к одному накопителю, с помощью средства определения политик безопасности накопителя на основании истории использования данного накопителя, полученной от средства наблюдения за накопителем, при этом критериями являются критерий, характеризующий уязвимости программного обеспечения, хранящегося на накопителе, и по меньшей мере один из:
критерий, определяющий мобильность накопителя;
критерий, определяющий пользователя накопителя;
критерий, характеризующий конфиденциальность файлов, хранящихся на накопителе;
- применяют политики безопасности к накопителю с помощью средства применения политик безопасности на основании данных, полученных от средства определения политик безопасности накопителя, ограничивая операции чтения и записи на накопителе в целом или для отдельных файлов.

4. Способ по п. 3, в котором критерий мобильности накопителя определяется на основании статистики местоположения накопителя.



 

Похожие патенты:

Изобретение относится к способам предоставления доступа к ресурсам виртуализированной среды. Технический результат заключается в повышении защищенности виртуализированных сред от несанкционированного доступа за счет обеспечения доверенной загрузки виртуальных машин в виртуализированных средах.

Изобретение относится к информационной безопасности. Технический результат заключается в повышении защищенности активного сетевого оборудования.

Изобретение относится к контролю информационной безопасности. Технический результат - обеспечение безопасности сети транспортного средства.

Изобретение относится к средствам обработки запроса от потенциально несанкционированного пользователя на доступ к ресурсу. Технический результат заключается в уменьшении вероятности взлома учетных записей пользователя.

Изобретение относится к области аутентификации пользователей. Технический результат - прощение процесса аутентификации пользователя в периферийном устройстве.

Изобретение относится к информационной безопасности. Технический результат заключается в сокращении количества приложений, статус опасности которых неизвестен, путем определения статуса таких приложений.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении безопасности компьютера.

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении определения категории доверия приложения, осуществившего перекрытие защищенного приложения.

Изобретение относится к информационной безопасности. Технический результат заключается в балансировке нагрузки на виртуальных машинах во время антивирусной проверки.

Изобретение относится к информационной безопасности. Технический результат заключается в повышении надежности обнаружения фишинга в полученных пользователем данных.

Изобретение относится к области технологий обработки данных. Технический результат заключается в повышении эффективности сканирования подозрительных файлов. Такой результат достигается тем, что способ сканирования файлов включает в себя: нумерацию несканированных файлов; поочередное получение атрибутов несканированных файлов из нумерованных файлов и передачу атрибутов на сервер; сравнение атрибутов с признаками, хранящимися на сервере, получение признаков, согласующихся с атрибутами и типами, к которым относятся признаки; генерация схемы данных, представленных в виде карты, связывающие несканированные файлы, атрибуты и типы в соответствии с признаками, согласующимися с атрибутами и типами признаков, запись схемы данных, представленных в виде карты, в первый результат сканирования. Выполняется загрузка файлов на сервер и производится анализ степени риска и безопасности файла посредством сравнения с признаками и соответствующими типами. 4 н. и 21 з.п. ф-лы, 11 ил.

Изобретение относится к средствам автоматизированного анализа текстовых документов. Технический результат заключается в повышении точности определения наличия в документах конфиденциальной информации. Преобразуют в заранее заданный формат все информационно-значимые поля эталонных форм документа с указанием их позиций в каждой форме. Выявляют поля эталонных форм документа в электронном файле анализируемого документа. Выявляют количество полей эталонных форм документа в анализируемом документе. Осуществляют поиск эталонных форм в анализируемом документе. Формируют список найденных эталонных форм документа в анализируемом документе. Проверяют порядок следования полей из каждой найденной эталонной формы документа в анализируемом документе, если в конкретной эталонной форме порядок не совпадает, ее удаляют из списка найденных. Определяют позицию полей эталонных форм документа из отобранного списка в анализируемом документе. Выявляют текст в анализируемом документе, находящийся между найденными полями. Определяют наличие данной эталонной формы документа в заполненном виде в анализируемом тексте, если между любыми соседними полями выявлен текст. Помещают имя текущей формы в список эталонных форм документа, найденных в анализируемом тексте. 2 з.п. ф-лы, 1 ил.

Изобретение относится к области обеспечения безопасности для внешнего кода, предоставляемого веб-сервером приложений. Техническим результатом является эффективное получение ключа начальной загрузки для внешнего кода. Способ реализации механизма обеспечения безопасности для внешнего кода содержит прием внешнего кода, содержащего запрос специфического для сервера ключа начальной загрузки (Ks_NAF); определение идентификатора сервера (NAF-Id) и генерацию специфического для сервера ключа начальной загрузки (Ks_NAF) на основе идентификатора сервера (NAF-Id); определение маркера доступа; генерацию специфического для внешнего кода ключа начальной загрузки (Ks_js_NAF) с использованием специфического для сервера ключа начальной загрузки (Ks_NAF) и маркера доступа и использование специфического для внешнего кода ключа начальной загрузки (Ks_js_NAF) для механизма обеспечения безопасности внешнего кода. 6 н. и 14 з.п. ф-лы, 7 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении безопасности виртуальной машины (ВМ). Способ устранения последствий заражения виртуальных машин, в котором формируют при помощи средства обеспечения безопасности второй ВМ набор инструкций для устранения последствий заражения объектом интереса первой ВМ; для формирования набора инструкций используют информацию из базы данных, содержащей данные о соответствии признаков вредоносных объектов действиям, которые необходимо выполнить, чтобы устранить последствия заражения; анализируют при помощи средства обеспечения безопасности функциональные возможности средства защиты первой ВМ с целью определения набора недостающих компонентов, необходимых средству защиты для выполнения ранее сформированного набора инструкций для устранения последствий заражения первой ВМ; набор недостающих компонентов включает исполняемые файлы, при помощи которых средство выполнения инструкций, входящее в состав средства защиты, устраняет последствия заражения первой ВМ; передают средству защиты первой ВМ при помощи средства обеспечения безопасности копии файлов операционной системы, необходимые для устранения последствий заражения. 2 н. и 6 з.п. ф-лы, 5 ил.

Изобретение относится к системам и способам обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства. Техническим результатом является повышение защищенности конфиденциальности информации, передаваемой для целей контроля операций. Согласно одному из вариантов реализации предлагается способ обеспечения конфиденциальности информации, передаваемой для выполнения процедуры контроля операций, используя доверенное устройство, который включает этапы на которых: идентифицируют пользователя сервиса; выбирают доверенное устройство, ассоциированное с идентифицированным пользователем сервиса; передают запрос конфиденциальной информации, необходимой для выполнения процедуры контроля операции, на ассоциированное с пользователем сервиса доверенное устройство; получают конфиденциальную информацию, необходимую для выполнения процедуры контроля операции, введенную пользователем сервиса на доверенном устройстве; выполняют процедуру контроля операции, используя полученную конфиденциальную информацию. 2 н. и 18 з.п. ф-лы, 3 ил.

Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам отложенного устранения вредоносного кода. Технический результат настоящего изобретения заключается в обеспечении лечения вредоносных программ, которые препятствуют лечению. Настоящий технический результат достигается путем использования способа лечения обнаруженных вредоносных объектов, при котором обнаруживают вредоносные объекты на компьютере, формируют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом задача формируется с использованием языка сценариев. Сформированную задачу лечения обнаруженных вредоносных объектов записывают в заданную ветку реестра перед перезагрузкой компьютера, проверяют целостность задачи лечения обнаруженных вредоносных объектов, перезагружают компьютер. Загружают драйвер для выполнения, по меньшей мере, одной задачи лечения обнаруженных вредоносных объектов, и драйвер операционной системы, позволяющий выполнить задачу лечения обнаруженных вредоносных объектов, выполняют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом используют системные нотификации для начала выполнения задачи лечения обнаруженных вредоносных объектов. 3 з.п. ф-лы, 4 ил.

Изобретение относится к антивирусным технологиям, а более конкретно к системам обнаружения вредоносных файлов определенного типа. Технический результат заключается в обеспечении возможности обнаружения вредоносного кода в файлах определенного типа с помощью соответствующих сигнатур. Настоящий результат достигается за счет использования способа создания сигнатуры для обнаружения вредоносных файлов определенного формата, который содержит этапы, на которых обнаруживают подозрительный файл и распознают его формат, с учетом которого проверяют упомянутый файл с помощью антивируса и коллекции безопасных файлов. При этом проверяют подозрительный файл с помощью виртуальной машины в том случае, если подозрительный файл не является безопасным на основании сравнения с коллекцией безопасных файлов или вредоносным после его проверки антивирусом. После анализа результатов проверки подозрительного файла с помощью виртуальной машины создают древовидную структуру сигнатур для обнаруженных вредоносных файлов, которая используется для хранения сигнатур. Создают сигнатуру для обнаруженного подозрительного файла, если анализ результатов показал, что подозрительный файл является вредоносным и сохраняют сигнатуру в упомянутой древовидной структуре сигнатур. 2 н.п. ф-лы, 5 ил.

Изобретение относится к системам и способам исключения шинглов от частей сообщения, которые встречались только в сообщениях, не содержащих спам, при фильтрации спама. Технический результат настоящего изобретения заключается в сокращении размера сообщения при фильтрации спама. Система исключения шинглов, которые встречались только в сообщениях, не содержащих спам, содержит: а) средство обработки текста, предназначенное для: получения сообщения, по крайней мере одна часть текста которого является незначимой, при этом незначимой является часть текста сообщения, которая не имеет значения при определении спама и содержит слова, символы, по которым выделяют по меньшей мере почтовый адрес, телефон, постскриптум, автоподпись, и которая встречается в сообщениях, не содержащих спам, поиска в упомянутом сообщении тех частей текста, которые совпадают с известными частями текста из базы данных образцов текста, сокращения текста упомянутого сообщения путем исключения из текста упомянутого сообщения найденных частей текста, которые совпадают с известными частями текста из базы данных образцов текста, передачи сокращенного текста упомянутого сообщения средству обработки шинглов; б) базу данных образцов текста, предназначенную для хранения известных частей текста сообщения, которые встречались только в сообщениях, не содержащих спам, и характерны для незначимых частей сообщения; в) средство обработки шинглов, предназначенное для: вычисления набора шинглов на основе сокращенного текста упомянутого сообщения, сравнения вычисленного набора шинглов с известными шинглами из базы данных шинглов, сокращения вычисленного набора шинглов путем исключения шинглов, которые совпадают с известными шинглами из базы данных шинглов; г) базу данных шинглов, предназначенную для хранения известных шинглов, которые встречались только в сообщениях, не содержащих спам. 2 н. и 11 з.п. ф-лы, 4 ил., 2 табл.

Настоящее изобретение относится к системам и способам обеспечения безопасности и, более конкретно, к системам и способам обеспечения безопасности, работающим независимо от операционной системы, но выполненным с поддержкой приложения безопасности, работающего на уровне операционной системы. Технический результат настоящего изобретения заключается в повышении уровня безопасности компьютерной системы путем обеспечения безопасности компьютерной системы на этапе до запуска операционной системы. Способ обеспечения безопасности компьютерной системы на этапе до запуска операционной системы включает: а) осуществление запуска UEFI из постоянного запоминающего устройства перед запуском операционной системы; б) запуск из UEFI агента безопасности, работающего независимо от операционной системы; в) осуществление посредством агента безопасности сканирования и последующего удаления или помещения на карантин вредоносного программного обеспечения; где сканирование на наличие вредоносного программного обеспечения проводится лишь среди объектов, относящихся к запуску операционной системы и связанных с приложением безопасности, установленным в операционной системе; и где для осуществления сканирования агентом безопасности используется регулярно обновляемая база данных определений вредоносного программного обеспечения, хранящаяся на уровне упомянутого UEFI; г) выявление посредством агента безопасности состояний, связанных с событиями, имевшими место до последнего завершения работы операционной системы, по меньшей мере, одного из следующих типов: определение неспособности приложением безопасности, установленным в операционной системе, выполнять свои функции; выявление изменения в компьютерной системе, влияющего на процесс запуска операционной системы; д) определение агентом безопасности, по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов, где действия включают в себя, по меньшей мере, одно из: управление объектами, сохраненными в файловой системе компьютерной системы; осуществление взаимодействия с удаленными серверами; откат до более ранних версий приложений, установленных в операционную систему; отправка посредством агента безопасности запроса на выполнение после запуска операционной системы действия со стороны приложения безопасности, установленного в операционную систему; е) выполнение посредством агента безопасности упомянутого определенного в пункте д), по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов. 8 з.п. ф-лы, 10 ил.

Изобретение относится к системам аутентификации с использованием аутентификационной информации из веб-обозревателя. Технический результат заключается в обеспечении устройством обработки информации уведомления сервера относительно завершения операции управления без дополнительной обработки по аутентификации. Указанный резудьтат достигается за счет формирования сервером идентификатора сеанса и передачи в веб-обозреватель экранной информации, дополненной идентификатором сеанса. Веб-обозреватель принимает операцию через функциональный экран, отображаемый на основе экранной информации, принимаемой из сервера, и передает содержимое операции на сервер. Сервер передает поставщику услуг MFP запрос на выполнение задания, соответствующего содержимому операции, в котором указывается идентификатор сеанса. При завершении выполнения задания поставщик услуг передает, на сервер без участия веб-обозревателя, информацию завершения, указывающую результат выполнения и дополненную идентификатором сеанса. 5 н. и 4 з.п. ф-лы, 15 ил.

Изобретение относится к системам и способам управления доступом к накопителю в сети. Технический результат заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя. Технический результат достигается с помощью системы и способа применения политик безопасности к накопителю в сети, в котором сохраняют в историю использования накопителя события, происходящие с накопителем, на основании произошедших событий определяют политики безопасности, применимые к накопителю и применяют определенные политики безопасности к накопителю. 2 н. и 2 з.п. ф-лы, 3 ил.

Наверх