Система защиты компьютерных сетей от несанкционированного доступа

Авторы патента:

Стародымов Георгий Александрович (RU)

G06F15/163 - межпроцессорная коммуникация

Владельцы патента RU 2607997:

Общество с ограниченной ответственностью "Научно-Техническая Компания "Эспадон" (RU)

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности. Техническим результатом является защита узлов сети на основе анализа заголовка и информационной части сообщения. Система защиты компьютерных сетей от несанкционированного доступа представляет собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, при этом она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра. 1 з.п. ф-лы, 1 ил.

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности и может быть использовано для управления взаимодействием двух автоматизированных систем.

Известны средства защиты периметра локальной (корпоративной) вычислительной сети, именуемые как межсетевой экран, сетевой экран, файервол, брандмауэр - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Известна система защиты сетей, содержащая две сетевые материнские платы, каждая из которых имеет сетевой интерфейсный адаптер для обмена данными с указанными сетями (RU 96118130 А).

В качестве ближайшего аналога может быть рассмотрена система защиты компьютерных сетей от несанкционированного доступа, в которой межсетевой экран содержит по меньшей мере два сетевых интерфейса для пакетной коммутации данных между сегментами вычислительной сети, выполняемой в соответствии с программой фильтрации пакетов (RU 2214623 C2).

К недостаткам известных систем можно отнести то, что они не защищают узлы сети от проникновения через разные уязвимости, не защищают от загрузки пользователями вредоносных программ, в том числе вирусов, а также не обеспечивают полную защиту от внутренних угроз, в первую очередь - утечки данных.

Задачей изобретения является создание системы защиты, основанной на анализе заголовка и информационной части сообщения. Заявленная система защиты, обладая сетевыми интерфейсами, рассматривается как адресуемый сетевой узел, то есть не использует при своем функционировании при обращении со стороны первой компьютерной сети (КС1) сетевой адрес ни одного из клиентов второй компьютерной сети (КС2).

При обращении клиента сети КС2 в сеть КС1 адрес клиента сети КС1 указывается.

Поставленная задача решается тем, что система защиты компьютерных сетей от несанкционированного доступа, представляющая собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными компьютерными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, отличается тем, что она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации.

Указанные правила фильтрации могут запрещать транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра, а интерфейс устройства управления узла обработки трафика защищен от несанкционированного доступа программно-аппаратными средствами.

Межсетевой фильтр (МСФ) представляет собой специализированное сетевое устройство, которое включается между двумя компьютерными сетями таким образом, что весь обмен информацией между ними ограничивается с помощью специальных правил фильтрации.

Согласно изобретению для управления процессами фильтрации трафика МСФ содержит специальный узел обработки трафика (УОТ), устройство управления которого информационно изолировано от сетевых интерфейсов, а взаимодействие с ним осуществляется через отдельный интерфейс управления.

Все изменения программы фильтрации трафика, а также управление соединениями могут быть выполнены исключительно через интерфейс устройства управления УОТ, что полностью устраняет возможность несанкционированного доступа с МСФ со стороны сетей КС1 и КС2.

Для формирования любого обращения к клиенту КС2 клиент КС1 должен обратиться по сетевому адресу МСФ с запросом, форма которого определена протоколом обмена. При поступлении запроса УОТ определяет, от какого клиента он поступил. Если приславший запрос клиент уполномочен иметь доступ к сети КС2, проверяется форма запроса и значения параметров. Если полномочия клиента, форма запроса, значения параметров не соответствуют допустимым, зафиксированным в файле конфигурации МСФ, запрос отклоняется, событие фиксируется в памяти МСФ.

При соответствии полномочий клиента КС1, формы запроса, значений параметров допустимым, УОТ на основе запроса клиента КС1 формирует запрос в формате, присущем КС2, и отправляет его на сетевой интерфейс второй сети.

Запрос поступает в КС2, подключенную ко второму интерфейсу МСФ, далее к запрашиваемому клиенту, который откликается на запрос.

Устройство УОТ принимает ответ, обрабатывает его, формирует в соответствии с установленными протоколами, ответ с адресом клиента, приславшего запрос, и направляет его на сетевой интерфейс КС1.

Схема информационного взаимодействия МСФ и КС показана на фиг. 1.

При функционировании МСФ реализуется принцип «разрешено только то, что разрешено в явном виде», относящийся к адресам клиентов, их полномочиям, формам и параметрам запросов, формам и параметрам ответов.

Применение МСФ полностью исключает несанкционированный доступ к защищенной КС2 со стороны клиентов, не имеющих соответствующих полномочий, а также проникновения через уязвимости ПО, обеспечивает полную защиту от внутренних угроз, в том числе утечки данных, защищает от загрузки клиентами КС1 вредоносных программ, в том числе вирусов, при отсутствии у клиентов информации о протоколах обмена, формах и параметрах запросов.

Средства программирования параметров фильтрации трафика обеспечивают возможность настройки МСФ для решения различных задач.

1. Система защиты компьютерных сетей от несанкционированного доступа, представляющая собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, отличающаяся тем, что она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра.

2. Система по п. 1, отличающаяся тем, что интерфейс устройства управления узла обработки трафика защищен от несанкционированного доступа программно-аппаратными средствами.

Изобретение относится к технике обработки цифровых данных с помощью программируемых специализированных вычислительных устройств и может быть использовано при разработке специализированных вычислительных устройств обработки цифровых данных на борту боевых летательных аппаратов.

Устройство для оценки эффективности войск противовоздушной обороны оперативного уровня // 2585724

Изобретение относится к лабораторному оборудованию и может быть использовано в учебном процессе при получении курсантами военных академий знаний по управлению войсками.

Устройство обработки информации, система обработки информации, способ ее управления и носитель хранения данных // 2583748

Изобретение относится к системам аутентификации с использованием аутентификационной информации из веб-обозревателя. Технический результат заключается в обеспечении устройством обработки информации уведомления сервера относительно завершения операции управления без дополнительной обработки по аутентификации.

Многопроцессорная корабельная вычислительная система // 2583741

Изобретение относится к вычислительной технике и предназначено для сбора информации от внешних источников, последующей ее обработки и выработки сигналов управления различным корабельным оружием.

Улучшенная потоковая передача по запросу блоков с использованием масштабируемого кодирования // 2523918

Изобретение относится к системам мультимедийной потоковой передачи. Технический результат заключается в обеспечении возможности приспособиться для получения преимуществ от процесса захвата приема контента и подготовки файлов с повышением качества потоковой передачи по запросу блоков при взаимодействии с пользователем, а также повышения эффективности полосы пропускания.

Спецпроцессор для поиска гамильтоновых циклов в графах // 2515211

Изобретение относится к вычислительной технике и направлено на построение эффективного спецпроцессора, осуществляющего поиск Гамильтонова цикла в графе, заданном матрицей смежностей, хранящейся в памяти.

Программно-определенное когнитивное радиоустройство // 2478229

Изобретение относится к вычислительным устройствам с программно-определенным радиоустройством. .

Комплекс средств видеонаблюдения и связи мобильного пункта управления // 2468522

Изобретение относится к области вычислительной техники, а именно к автоматизированным системам видеомониторинга и передачи данных. .

Кластерная система с прямой коммутацией каналов // 2461055

Изобретение относится к вычислительной технике и касается коммуникационной среды. .

Устройство коммуникационного интерфейса // 2460124

Изобретение относится к цифровой вычислительной технике, а именно к высокоскоростным коммуникационным системам для высокопроизводительных многопроцессорных вычислительных систем.

Комплекс оперативно-командной связи // 2612580

Изобретение относится к комплексу оперативно-командной связи. Технический результат – уменьшение габаритов и массы изделия. Для этого комплекс содержит локальную сеть, блок коммутации цифровых сигналов, блоки связи, пульты управления (ПУ), концентратор Ethernet. Блок тревожной сигнализации с концентратором Ethernet связан единой локальной сетью с блоком коммутации цифровых сигналов и блоками связи, каждый из которых связан с ПУ посредством интерфейса RS485 и оконечными переговорными устройствами. Блок тревожной сигнализации выполнен в виде соединенных между собой платы оповестительного циркуляра, концентратора Ethernet, платы клавиатуры и индикации, модуля прослушивания радиостанций и модуля прослушивания дежурных радиосетей; блок коммутации цифровых сигналов – в виде соединенных между собой ячейки концентратора Ethernet, по меньшей мере девяти ячеек каналов связи и ячейки электропитания; блоки связи – в виде соединенных между собой процессорной платы, платы коммутации и усиления, платы клавиатуры и индикации; ПУ – в виде соединенных между собой процессорной платы и платы клавиатуры и индикации, а оконечные переговорные устройства – в виде микрофона, микротелефонной гарнитуры и микротелефонной трубки. 5 з.п. ф-лы, 1 ил.

Способ и устройство для разделения нагрузки // 2613528

Изобретение относится к технологии разделения нагрузки при передаче данных по сети. Технический результат – эффективное балансирование разделения нагрузки при реализации NAT на множестве CRU. Способ разделения нагрузки, включающий конфигурирование публичных сетевых адресов в форме адресных пулов, после приема трафика, переданного пользовательскими устройствами, группирование пользовательских устройств согласно моделям трафика, передаваемого пользовательскими устройствами, назначение, центральными процессорными блоками (CPU), публичных сетевых адресов для пользовательских устройств и трансляцию частных сетевых адресов пользовательских устройств в публичные сетевые адреса, при этом каждый из упомянутых адресных пулов включает множество адресных блоков, и каждый из множества адресных блоков соответствует одному CPU, каждая группа пользователей включает множество блоков пользователей, и каждый из множества блоков пользователей соответствует одному CPU. 2 н. и 8 з.п. ф-лы, 5 ил.

Высокопроизводительная вычислительная платформа на базе процессоров с разнородной архитектурой // 2635896

Изобретение относится к вычислительным комплексам и может быть использовано для параллельной обработки больших объемов информации от специальных систем в режиме реального времени. Технический результат заключается в повышении надежности системы при формировании вычислительных задач и повышении эффективности при их выполнении на центральном компьютере. Указанный результат достигается за счет применения вычислительной платформы на базе процессоров с разнородной архитектурой, содержащей установочный блок высотой 4U, предназначенный для установки в телекоммуникационную стойку и выполненный в виде корпуса, разделенного на две секции. В одной из секций смонтирована система питания, а во второй - размещена объединительная плата со слотами, для размещения в них помещаемых через указанный проем модуля коммутации и вычислительных модулей на базе разнородных процессоров, объединенными через высокоскоростную шину стандарта CompactPCI Serial для образования многопроцессорной конфигурации. Система охлаждения корпуса в зоне каждого слота содержит теплосъемные кассеты для отвода тепла от модуля коммутации и вычислительных модулей на корпус установочного блока, который выполнен с дополнительным корпусом или кожухом, охватывающим разделенный на две секции корпус. 7 з.п. ф-лы, 5 ил.

Способ и устройство для автоматического обмена сигналами между встроенными мультиплатами центрального процессора // 2641251

Изобретение относится к средствам автоматического обмена сигналами. Технический результат заключается в расширении арсенала технических средств за счет реализации средств автоматического обмена сигналами. Результат достигается при реализации способа автоматического обмена сигналами между несколькими встроенными процессорными платами. Способ предусматривает этапы: разделение процессорных плат в распределенной системе, где плата ЦП с функцией сигнала управления используется в качестве ведущей платы, а остальные процессорные платы используются в качестве ведомых плат; и при инициализации каждая ведомая плата посылает сигнал регистрации информации на ведущую плату; которая представлена соединяющей линией между именами сигналов, расчет и назначение адреса шины передачи данных, к которым привязываются выходной и входной сигналы, и отправка записанных адресов, типов данных и адресов шины сигналов на каждую ведомую плату; сохраняют те же данные как таблицы выходных и входных сигналов, записывание значения выходного сигнала в соответствующей выделенной адресной шине в соответствии с таблицами выходных сигналов и считывание получателем значения входного сигнала из соответствующей адресной шины в соответствии с таблицами входных сигналов. 2 н. и 10 з.п. ф-лы, 6 ил.

Вычислительный модуль // 2643622

Изобретение относится к области вычислительной техники, в частности к высокопроизводительным вычислительным устройствам для решения трудоемких задач с использованием распараллеливания по данным на множество независимых подзадач. Технический результат заключается в повышении производительности вычислительного модуля. Технический результат достигается за счет устройства, которое содержит интерфейсный блок, блок разделения заданий, блок памяти заголовков заданий, блок памяти данных заданий, арбитр заданий, вычислительное поле из группы из N вычислительных ядер 61, …, 6N, группу из N блоков памяти номеров заданий вычислительных ядер 71, …, 7N, блок мультиплексоров результатов, арбитр результатов, блок памяти заголовков результатов, блок памяти данных результатов, внешний интерфейс, при этом каждое вычислительное ядро 61, …, 6N состоит из входной буферной памяти 6-1, операционного блока 6-2, выходной буферной памяти 6-3 и блока управления 6-4. 1 ил.