Способ проектирования и построения системы защиты автоматизированных систем управления критически важными объектами от разрушающих программных воздействий

Авторы патента:

Дроботун Евгений Борисович (RU)

G06F21/00 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2623721:

Дроботун Евгений Борисович (RU)

Изобретение относится к способу построения системы защиты автоматизированных систем управления критически важными объектами от разрушающих программных воздействий. Технический результат заключается в повышении эффективности построения системы защиты автоматизированной системы управления критически важными объектами с наименьшим воздействием на производительность защищаемой автоматизированной системы управления критически важными объектами. Способ содержит этап формирования множества всех возможных вариантов построения подсистем системы защиты от разрушающих программных воздействий, этап формирования множества всех возможных вариантов построения системы защиты от разрушающих программных воздействий, этап оценки стоимости и требуемых ресурсов вариантов построения системы защиты от разрушающих программных воздействий, этап оценки эффективности вариантов построения системы защиты от разрушающих программных воздействий, этап оценки степени влияния вариантов построения системы защиты на защищаемую автоматизированную систему управления критически важным объектом. 3 ил.

Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от информационно-технических воздействий и может быть использовано для проектирования и построения систем защиты автоматизированных систем управления критически важными объектами (АСУ КВО) от одного из основных видов информационно-технических воздействий - разрушающих программных воздействий.

Для обеспечения защищенности АСУ КВО применяются различные меры технического характера, которые реализуются в виде систем защиты.

Согласно [1] технические меры защиты информации (с точки зрения защиты от разрушающих программных воздействий), реализуемые в АСУ КВО в рамках ее системы защиты должны обеспечивать:

- идентификацию и аутентификацию субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защиту машинных носителей информации;

- регистрацию событий безопасности;

- антивирусную защиту;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности информации;

- целостность автоматизированной системы управления и информации;

- доступность технических средств и информации.

При этом реализация указанных технических мер в рамках системы защиты АСУ КВО от разрушающих программных воздействий не должна оказывать отрицательного влияния на штатный режим функционирования АСУ КВО (т.е. не должна снижать производительность АСУ КВО).

Исходя из данных требований, задача проектирования системы защиты АСУ КВО от разрушающих программных воздействий сводится к задаче выбора таких структуры и параметров системы защиты АСУ КВО от разрушающих программных воздействий, чтобы система защиты, отвечающая выбранным структуре и параметрам, позволяла обеспечить минимальное воздействие на производительность защищаемой АСУ КВО при сохранении требуемого уровня защиты от разрушающих программных воздействий и удовлетворяла требованиям по стоимости и потребляемым ресурсам.

Из уровня техники известны способ автоматизированного управления процессом проектирования структуры системы управления техническими системами и устройство для его осуществления [2], которые могут применяться для проектирования многопараметрических объектов.

Недостатком указанных способа и устройства является их узкая специализация - проектирование систем управления техническими системами различного класса, что не позволяет осуществлять проектирование и построение системы защиты АСУ КВО от разрушающих программных воздействий.

Известны также способ и устройство выбора предпочтительного средства защиты информации [3], основанный на использовании оцениваемой выборки, состоящей из нормированных единичных показателей качества, позволяющих создать два эталона Э_с - со среднестатистическим уровнем качества и Э_л - уровнем лучшего качества. На основе использования этих эталонов из всей совокупности оцениваемых средств выбирается предпочтительный объект, обладающий наибольшим комплексным показателем качества.

Недостатком указанных способа и устройства является невозможность их применения при проектировании системы защиты АСУ КВО от разрушающих программных воздействий, состоящей из нескольких взаимосвязанных элементов с учетом их влияния на производительность защищаемой АСУ КВО.

Целью изобретения является получение наиболее эффективного варианта построения системы защиты АСУ КВО от разрушающих программных воздействий с наименьшим воздействием на производительность защищаемой АСУ КВО.

Для достижения цели изобретения предлагается использовать способ проектирования и построения систем защиты АСУ КВО от разрушающих программных воздействий, основанный на декомпозиции задачи выбора рациональных структуры и параметров системы защиты АСУ КВО от разрушающих программных воздействий по последовательности процедур формирования вариантов построения системы защиты и по подсистемам системы защиты (функциональная декомпозиция).

Декомпозиция по подсистемам основывается на том, что систему защиты АСУ КВО от разрушающих программных воздействий можно представить в виде множества подсистем, решающие определенные задачи и реализующие определенный перечень функций. Исходя из этого, в качестве подсистем, обеспечивающих защищенность АСУ КВО от разрушающих программных воздействий в составе системы защиты, можно выделить:

- подсистему обнаружения разрушающих программных воздействий;

- подсистему противодействия разрушающим программным воздействиям;

- подсистему устранения последствий применения разрушающих программных воздействий.

На фиг. 1 показаны декомпозиция системы защиты на подсистемы в соответствии с целями и задачами системы защиты, а также показаны способы решения задач каждой подсистемой.

На фиг. 2 показано соотношение способов решения задач подсистемами системы защиты с техническими мерами защиты от разрушающих программных воздействий.

Декомпозиция по последовательности выполнения процедур формирования вариантов построения системы защиты будет иметь следующий вид:

формирование множеств V_обн, V_пр, V_устр всех возможных вариантов А_обн, А_пр, А_устр построения каждой подсистемы:

V_обн={A_{обн i}, i∈{1…N}},

V_пр={A_{пр i}, i∈{1…M}},

V_устр={A_{устр i}, i∈{1…K}},

где V_обн - множество всех возможных вариантов построения подсистемы обнаружения разрушающих программных воздействий;

V_пр - множество всех возможных вариантов построения подсистемы противодействия разрушающим программным воздействиям;

V_устр - множество всех возможных вариантов построения подсистемы устранения последствий применения разрушающих программных воздействий;

N, М и K - количество всех возможных вариантов построения подсистем обнаружения разрушающих программных воздействий, противодействия разрушающим программным воздействиям и устранения последствий применения разрушающих программных воздействий соответственно;

формирование множества V всех возможных вариантов А построения системы защиты на основе множеств V_обн, V_пр, V_устр множества вариантов системы защиты:

V={A_i, i∈{1…S}},

где S - количество всех возможных вариантов построения системы защиты;

- оценка сформированного множества V вариантов А построения системы защиты и выделение из него подмножества V* вариантов А*, удовлетворяющих требованиям по стоимости и потребляемым ресурсам;

- оценка сформированного множества V* вариантов А* построения системы защиты, удовлетворяющих по стоимости и потребляемым ресурсам и выделение из него подмножества V** вариантов А** построения системы защиты, удовлетворяющих требованиям по защищенности;

- оценка сформированного множества V** вариантов А** построения системы защиты, удовлетворяющих требованиям по защищенности, и выбор из рационального варианта А' построения системы защиты, оказывающего минимальное воздействие на производительность защищаемой АСУ КВО.

Общая схема процесса выбора рационального варианта построения системы защиты АСУ КВО от разрушающих программных воздействий представлена на фиг. 3.

Исходными данными для проектирования и построения системы защиты АСУ КВО от разрушающих программных воздействий являются:

- требуемая эффективность системы защиты АСУ КВО от разрушающих программных воздействий Q*, выражаемая совокупностью показателей, характеризующих способность системы защиты обеспечить минимальный риск от разрушающих программных воздействий и восстанавливаемость АСУ КВО после применения разрушающих программных воздействий;

- максимально допустимая стоимость С_доп создания системы защиты от разрушающих программных воздействий;

- максимально допустимые требуемые для функционирования системы защиты ресурсы R_доп.

На этапе формирования множеств всех возможных вариантов построения подсистем производится формирование множества всех возможных вариантов построения подсистемы обнаружения разрушающих программных воздействий, множества всех возможных вариантов построения подсистемы противодействия разрушающим программным воздействиям и множества всех возможных вариантов построения подсистемы устранения последствий применения разрушающих программных воздействий.

Для формирования этих множеств использован метод морфологического анализа [4], преимуществом которого является возможность простой алгоритмизации и компьютерной реализации.

Вариант каждой подсистемы формируется на основе структуры подсистемы, которая представляет собой совокупность элементов L подсистемы, реализующих способы решения задач подсистемы и совокупности параметров F подсистемы, а множество этих вариантов формируется путем перебора всех возможных комбинаций сочетаний элементов подсистемы и их параметров.

Для подсистемы обнаружения разрушающих программных воздействий все возможные варианты формируются исходя из совокупности множеств {L_обн, F_обн}, где L_обн - множество всех существующих средств обнаружения разрушающих программных воздействий, a F_обн - множество совокупностей параметров для каждого средства обнаружения разрушающих программных воздействий.

Для подсистемы противодействия разрушающим программным воздействиям все возможные варианты формируются исходя из совокупности множеств {L_пр, F_пр}, где L_пр - множество всех существующих средств противодействия разрушающим программным воздействиям, a F_пр - множество совокупностей параметров для каждого средства противодействия разрушающим программным воздействиям.

Для подсистемы устранения последствий применения разрушающих программных воздействий все возможные варианты формируются исходя из совокупности множеств {L_устр, F_устр}, где L_устр - множество всех существующих средств резервного копирования и восстановления системы и данных, a F_устр - множество совокупностей параметров для каждого средства резервного копирования и восстановления системы и данных.

Для снижения количества всех возможных вариантов построения каждой подсистемы (с целью уменьшения временных затрат при проектировании системы защиты), для параметров с плавно изменяющимися значениями принимаются три возможных значения: минимальное значение параметра, среднее значение параметра и максимальное значение параметра.

Далее, на этапе формирования множества всех возможных вариантов построения системы защиты АСУ КВО от разрушающих программных воздействий исходя из множеств V_обн, V_пр и V_устр, полученных на предыдущем этапе, с помощью метода морфологического анализа формируется множество V всех возможных вариантов построения системы защиты путем перебора всех возможных комбинаций сочетаний вариантов построения подсистем.

Далее, на этапе оценки стоимости и требуемых ресурсов, производится формирование множества V* - вариантов построения системы защиты АСУ КВО от разрушающих программных воздействий, удовлетворяющих требованиям по стоимости и требуемым для функционирования системы защиты ресурсам:

V*={A_i|(C(A_i)≤C_доп)^∧(R(A_i)≤R_доп)},

где С и R - стоимость системы защиты и требуемые для функционирования системы защиты ресурсы;

С_доп и R_доп - максимально допустимые стоимость и требуемые ресурсы.

Стоимость С системы защиты складывается из стоимости подсистем, входящих в ее состав:

C=C_обн+С_пр+С_устр,

где С_обн, С_пр, С_устр - стоимость подсистемы обнаружения разрушающих программных воздействий, стоимость подсистемы противодействия разрушающим программным воздействиям и стоимость подсистемы устранения последствий применения разрушающих программных воздействий соответственно.

Ресурсы R, требуемые для функционирования системы защиты, определяются двумя показателями: R_выч - вычислительные ресурсы (требуемый объем памяти, характеристики процессоров и т.п.) и R_люд - людские (требуемое количество обслуживающего персонала, необходимого для эксплуатации системы защиты):

R={R_выч, R_люд}.

В формируемое на данном этапе множество V* отбираются варианты построения системы защиты, стоимость и требуемые для функционирования ресурсы которых не превышают максимально допустимые С_доп и R_доп.

На этапе оценки эффективности вариантов построения системы защиты из множества V* отбираются варианты построения системы защиты, удовлетворяющие требуемому уровню защищенности, обеспечиваемому системой защиты, и из отобранных вариантов формируется множество V**:

V**={A_i(Q(A_i)≤Q_треб)},

где Q - совокупность показателей, характеризующих уровень защищенности АСУ КВО, реализуемый системой защиты;

Q_треб - требуемый уровень защищенности АСУ КВО.

В качестве показателей, характеризующих уровень защищенности АСУ КВО от разрушающих программных воздействий, используются коэффициент защищенности АСУ КВО Z [5] и время восстановления работоспособности АСУ КВО после применения разрушающего программного воздействия Т_восст:

Q={Z, T_восст}.

Методика определения коэффициента защищенности АСУ КВО Z изложена в [5]. Сущность методики заключается в проведении тестирования АСУ КВО по двум направлениям: локального тестирования и сетевого. Локальное тестирование заключается в проверке состояния защищенности отдельных элементов АСУ КВО от внутреннего нарушителя. Сетевое тестирование заключается в моделировании действий внешнего нарушителя и направлено на проверку защищенности АСУ КВО в целом.

По итогам локального тестирования определяется локальный коэффициент уязвимости L, который определяется следующим образом:

где P_i - количество открытых портов на i-м элементе АСУ КВО;

Y_i - количество портов i-х элементов АСУ КВО, на которых были найдены уязвимости.

По итогам сетевого тестирования определяется коэффициент уязвимости S вычислительной сети, объединяющей составные элементы АСУ КВО:

где R_i - количество реализованных разрушающих программных воздействий на i-м элементе АСУ КВО;

Е_o - количество основных сценариев моделирования разрушающих программных воздействий;

А_o - количество дополнительных сценариев моделирования разрушающих программных воздействий.

Далее находится коэффициент общей уязвимости системы W, который определяется следующим образом:

W=L⋅S.

Исходя из того что уровень защиты АСУ КВО и уровень общей уязвимости АСУ КВО дополняют друг друга до единицы, коэффициент защищенности системы Z можно определить как:

Z=1-W.

Время восстановления работоспособности АСУ КВО после разрушающего программного воздействия Т_восст определяется как сумма общего времени восстановления данных из резервных копий Т_восст _дан и времени восстановления операционной системы из точек восстановления Т_{восст ос}:

T_восст=Т_{восст данн}+Т_{восст ос}.

На заключительном этапе выбора рационального варианта построения системы защиты АСУ КВО от разрушающих программных воздействий из множества V**, полученного на предыдущем этапе, выбирается рациональный вариант А' построения системы защиты АСУ КВО от разрушающих программных воздействий, который обеспечивает минимальное воздействие на производительность защищаемой АСУ КВО:

A'=argmin_Ai∈V**K(A_i),

где K - совокупность показателей снижения производительности АСУ КВО при введении в ее состав системы защиты от разрушающих программных воздействий.

Совокупность показателей снижения производительности АСУ КВО представляет собой два комплексных показателя K_С - комплексный показатель снижения производительности технической компоненты АСУ КВО (совокупности аппаратных, программных и программно-аппаратных средств АСУ КВО) и K_П - комплексный показатель снижения производительности обслуживающего персонала:

K={K_С, K_П}.

При этом снижение производительности технической компоненты АСУ КВО оценивается как:

KС={K_ПС; K_ПАР; K_РЕС; K_Тоткл; K_ОШ},

где: K_ПС - коэффициент снижения пропускной способности (количества операций, выполняемой системой за определенный период времени);

K_ПАР - коэффициент снижения параллелизма (количества операций, выполняемых системой одновременно);

K_РЕС - коэффициент увеличения запаса ресурса (количества ресурсов, необходимых для обеспечения роста нагрузки);

K_Тоткл - коэффициент увеличения времени отклика (времени выполнения одной операции);

K_ОШ - коэффициент увеличения частоты ошибок (частоты генерации системой исключений типа «отказ в обслуживании»).

Снижение производительности обслуживающего персонала в свою очередь оценивается как:

K_П={K_Твып; K_Д},

где: K_Твып - коэффициент увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей;

K_Д - коэффициент повышения дискомфорта при выполнении функциональных обязанностей.

Коэффициент снижения пропускной способности K_ПС определяется следующим образом:

где k_ПС - количество операций, выполняемых АСУ КВО за время Т_исп до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;

k'_ПС - количество операций, выполняемых АСУ КВО за время Т_исп после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий, при этом время Т_исп определяется исходя из предназначения и выполняемых функций защищаемой АСУ КВО.

Коэффициент снижения параллелизма K_ПАР определяется по формуле:

где k_ПАР - количество операций, выполняемых АСУ КВО одновременно до введения в состав АСУ КВО системы защиты разрушающих программных воздействий;

k'_ПАР - количество операций, выполняемых АСУ КВО одновременно после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.

Коэффициент увеличения запаса ресурса K_РЕС определяется по следующей формуле:

где k_РЕС - вычислительные ресурсы, доступные для обеспечения функциональности АСУ КВО до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;

k'_РЕС - вычислительные ресурсы, доступные для обеспечения функциональности АСУ КВО после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.

Коэффициент увеличения времени отклика K_Тоткл определяется следующим образом:

где t'_откл - время выполнения одной операции в АСУ КВО после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;

t_откл - время выполнения одной операции в АСУ КВО до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.

Коэффициент увеличения частоты ошибок K_ОШ определяется по формуле:

где k'_ОШ - число случаев генерации АСУ КВО исключений типа «отказ в обслуживании» после введения в состав АСУ КВО системы защиты от разрушающих программных воздействий;

k_ОШ - число случаев генерации АСУ КВО исключений типа «отказ в обслуживании» до введения в состав АСУ КВО системы защиты от разрушающих программных воздействий.

Исходные данные для расчета вышеприведенных коэффициентов снижения производительности технической компоненты АСУ КВО определяются в ходе пробного тестирования систем защиты, построенных исходя из возможных вариантов построения этой системы с использованием штатных средств оценки производительности, входящих в состав большинства операционных систем.

Коэффициент увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей K_Твып определяется по формуле:

где t'_вып - время выполнения операции персоналом АСУ КВО после введения в ее состав системы защиты от разрушающих программных воздействий;

t_вып - время выполнения операции персоналом АСУ КВО до введения в ее состав системы защиты от разрушающих программных воздействий.

Исходные данные для определения коэффициента увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей определяются в ходе пробного тестирования системы, путем замера соответствующих отрезков времени.

Коэффициент повышения дискомфорта при выполнении функциональных обязанностей K_Д определяется путем опроса пользователей в процессе пробного тестировании по заранее сформированным опросным листам. Опросные листы формируются группой экспертов на основании информации о структуре и решаемых задачах защищаемой АСУ КВО.

Для обеспечения возможности сравнения вариантов построения по одному обобщенному показателю производится свертка полученных показателей снижения уровня производительности АСУ КВО. Свертка производится с помощью весовых показателей следующим образом:

K=r_cK_C+r_пK_П,

K_С=r_псK_ПС+r_парK_ПАР+r_ресK_РЕС+r_ТотклK_Тоткл+r_ошK_ОШ,

K_П=r_ТвыпK_Твып+r_дK_Д,

где r_с, r_п, r_пс, r_пар, r_рес, r_Тоткл, r_ош, r_Твып, r_д - весовые коэффициенты значимости при соответствующих коэффициентах снижения производительности, которые определяются группой экспертов, исходя из структуры защищаемой АСУ КВО и решаемых ею задач.

Таким образом, предлагаемый способ позволит спроектировать и построить систему защиты АСУ КВО от разрушающих программных воздействий, удовлетворяющую требованиям по стоимости, потребляемым ресурсам, эффективности защиты и оказывающей минимальное воздействие на производительность защищаемой АСУ КВО.

Источники информации

1. Методический документ. Меры защиты информации в государственных информационных системах: утв. Директором ФСТЭК 11 февраля 2014 г. // ФСТЭК России. 2014.

2. Пат. 2331097 Российская Федерация, МПК G05B 17/00, G06F 17/50, G06Q 90/00. Способ автоматизированного управления процессом проектирования структуры системы управления техническими системами и устройство для его осуществления / Селифанов В.А., Селифанов В.В., опубл. 10.08.2008.

3. Пат. 2558238 Российская Федерация, МПК G06F 15/16, G06F 17/00. Способ и устройство выбора предпочтительного средства защиты информации / Шемигон Н.Н., Черноскутов А.И., Кукушкин С.С, опубл. 27.07.2015.

4. Одрин В.М. Метод морфологического анализа технических систем. М.: ВНИИПИ, 1989.

5. Мукминов В.А., Хуцишвили В.М., Лобузько А.В. Методика оценки реального уровня защищенности автоматизированных систем. // Программные продукты и системы. 2012. №1(97). С. 39-42.

Способ построения системы защиты автоматизированных систем управления критически важными объектами от разрушающих программных воздействий, включающий в себя этап формирования множества всех возможных вариантов построения подсистем системы защиты от разрушающих программных воздействий, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, формируют множество возможных вариантов построения подсистемы обнаружения разрушающих программных воздействий, множество возможных вариантов построения подсистемы противодействия разрушающим программным воздействиям и множество возможных вариантов построения подсистемы устранения последствий применения разрушающих программных воздействий, при этом для уменьшения количества возможных вариантов построения подсистем для параметров элементов подсистем с плавно изменяющимися значениями принимают минимальное, среднее и максимальное значение; этап формирования множества всех возможных вариантов построения системы защиты от разрушающих программных воздействий, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, на основе множеств возможных вариантов построения подсистем, полученных на предыдущем этапе, формируют множество всех возможных вариантов построения системы защиты от разрушающих программных воздействий; этап оценки стоимости и требуемых ресурсов вариантов построения системы защиты от разрушающих программных воздействий, в ходе которого с помощью компьютера определяют стоимость и требуемые для функционирования ресурсы всех вариантов построения системы из множества вариантов, сформированного на предыдущем этапе, с помощью компьютера, выбирают варианты, стоимость и потребляемые ресурсы которых не превышают заданных, и далее из этих отобранных вариантов формируют множество вариантов построения системы защиты от разрушающих программных воздействий, удовлетворяющих требованиям по стоимости и потребляемым ресурсам; этап оценки эффективности вариантов построения системы защиты от разрушающих программных воздействий, в ходе которого определяют эффективность вариантов построения системы защиты из множества, сформированного на предыдущем этапе, выбирают варианты, эффективность которых равна или превышает требуемую, и далее из этих отобранных вариантов формируют множество вариантов построения системы защиты от разрушающих программных воздействий, удовлетворяющих требованиям по эффективности, при этом в качестве показателей эффективности используют коэффициент защищенности автоматизированной системы управления критически важным объектом и время восстановления работоспособности автоматизированной системы управления критически важным объектом после применения разрушающих программных воздействий; этап оценки степени влияния вариантов построения системы защиты на защищаемую автоматизированную систему управления критически важным объектом, в ходе которого оценивают уровень снижения производительности защищаемой автоматизированной системы управления критически важным объектом при введении в ее состав вариантов системы защиты от разрушающих программных воздействий, удовлетворяющих требованиям по эффективности из множества, сформированного на предыдущем этапе, и выбирают рациональный вариант построения системы защиты от разрушающих программных воздействий с минимальным уровнем снижения производительности защищаемой автоматизированной системы управления критически важным объектом, при этом в качестве показателя уровня снижения производительности используют комплексный коэффициент снижения производительности, включающий в себя коэффициент снижения производительности технической компоненты защищаемой системы и коэффициент снижения производительности обслуживающего защищаемую систему персонала.

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении автоматизированного управления персональными данными пользователя путем изменения параметров доступа к персональным данным в зависимости от выявленных рисков.

Система и способ задания уровня безопасности подключения // 2622882

Изобретение относится к безопасному подключению мобильных устройств к компьютерам. Технический результат - защита данных пользователя при подключении мобильного устройства к компьютеру.

Способ, устройство и электронное устройство для управления соединениями // 2622876

Изобретение относится к области техники связи, в частности к управлению соединениями. Технический результат заключается в повышении уровня безопасности доступа к сетям беспроводной связи.

Способ, устройство и сервер распознавания конфиденциальной фотографии // 2622874

Изобретение относится к области распознавания конфиденциальной фотографии. Технический результат – расширение арсенала технических средств для распознавания конфиденциальной фотографии.

Система и способ оценки опасности веб-сайтов // 2622870

Изобретение относится к средствам обеспечения безопасности веб-сайтов. Технический результат заключается в оперативном обнаружении заражения вредоносными программами веб-сайта.

Способ обнаружения самовольного нарушения настройки // 2622777

Изобретение относится к области компьютерной техники, предназначенной для контроля программного обеспечения. Технический результат заключается в обеспечении обнаружения использования несанкционированно установленного программного обеспечения в устройстве электронного управления.

Система и способ восстановления модифицированных данных // 2622630

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности хранения данных.

Способ поиска пути по дереву // 2622629

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении блокировки приложением безопасности доступа к запрещенным путям, содержащимся в дереве поиска.

Способ обнаружения вредоносных исполняемых файлов, содержащих интерпретатор, посредством комбинирования эмуляторов // 2622627

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем.

Система и способ обнаружения фишинговых сценариев // 2622626

Изобретение относится к области компьютерной безопасности. Технический результат заключается в обнаружении фишинговых сценариев.

Способ применения политик безопасности для обеспечения безопасности вычислительного устройства // 2623808

Изобретение относится к способу обеспечения безопасности вычислительного устройства. Технический результат заключается в обеспечении безопасности вычислительного устройства, которое достигается путем применения политик безопасности на указанном устройстве в зависимости от текущего уровня знаний пользователя. Предложен способ, в котором выбирают из базы данных текущий уровень знаний пользователя, при этом уровень знаний пользователя представляет собой числовое значение, отражающее эрудированность пользователя в области знаний, касающейся обеспечения безопасности вычислительного устройства; выбирают из базы данных информацию об обеспечении безопасности вычислительного устройства на основании текущего уровня знаний пользователя; предоставляют выбранную информацию пользователю; получают обратную связь от пользователя на предоставленную информацию; вычисляют на основании обратной связи новый уровень знаний пользователя, который становится текущим, и сохраняют его в базе данных; применяют политики безопасности, которые необходимо применить к вычислительному устройству для обеспечения безопасности вычислительного устройства, в зависимости от текущего уровня знаний пользователя. 2 з.п. ф-лы, 3 ил.

Способ установки обновления модуля полнодискового шифрования // 2623887

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении совместимости загрузочного диска с новой версией модуля полнодискового шифрования. Предложен способ, в котором получают обновление, содержащее новую версию модуля полнодискового шифрования; перед установкой обновления блокируют выполнение операций, выполняемых модулем полнодискового шифрования; заменяют модуль полнодискового шифрования на новую версию модуля, полученную из обновления; изменяют процесс загрузки компьютера для обеспечения запуска новой версии средства предзагрузочной проверки совместимости загрузочного диска с новой версией модуля полнодискового шифрования после инициализации базовой системы ввода-вывода и до запуска операционной системы; преобразовывают данные аутентификации пользователей, которые используются для последующей расшифровки данных на диске и загрузки операционной системы; выполняют предзагрузочную проверку совместимости загрузочного диска с новой версией модуля полнодискового шифрования; выполняют загрузку операционной системы, используя преобразованные данные аутентификации пользователей; завершают установку обновления модуля полнодискового шифрования, отменяя блокировку всех операций, выполняемых модулем полнодискового шифрования. 4 з.п. ф-лы, 5 ил.

Способ и устройство для дешифрования // 2623895

Изобретение относится к мобильным терминалам. Технический результат заключается в повышении защищенности терминала от несанкционированной разблокировки. Способ включает обнаружение сигнала касания, перемещающегося по экрану в первом направлении перемещения; и инициирование дешифрования, если первое направление перемещения является таким же, как заранее заданное контрольное направление, и число петель, образованных при перемещении сигнала касания, является таким же, как заранее заданное контрольное число петель, причем заранее заданное контрольное направление может быть направлением по часовой стрелке или против часовой стрелки. 3 н. и 12 з.п. ф-лы, 20 ил.

Система защищенного электронного документооборота // 2623899

Изобретение относится к области защиты информации в автоматизированных системах, а именно к защите информации в системах электронного документооборота, и может найти применение при организации защищенного юридически значимого информационного обмена документированной информацией. Технический результат заключается в расширении функциональных возможностей системы защищенного электронного документооборота за счет обеспечения возможности контроля как внутреннего, так и внешнего представления электронных документов. Технический результат достигается тем, что в известном техническом решении, содержащем: блок хранения электронных сообщений, первый и второй блок формирования хэш-кодов электронных сообщений, блок хранения ключей подписи, блок зашифрования, канал связи, блок расшифрования, блок хранения ключей проверки подписи, блок сравнения значений хэш-кодов электронных сообщений, дополнительно введены: первый и второй блок выделения графических объектов, первый и второй блок выделения алфавитно-цифровых объектов, первый и второй блок выделения устойчивых признаков графических объектов, первый и второй блок выделения устойчивых признаков алфавитно-цифровых объектов, первый и второй блок формирования хэш-кодов внешнего представления электронных сообщений, блок выделения эталонного значения хэш-кода внутреннего представления электронных сообщений, блок выделения эталонных значений хэш-кодов внешнего представления электронных сообщений, блок сравнения значений хэш-кодов внешнего представления электронных сообщений. 2 ил.

Средство вычислительной техники для одновременной обработки информации разной конфиденциальности // 2623903

Изобретение относится к защите от несанкционированного доступа к информации. Технический результат - обеспечение одновременной обработки информации с разными уровнями конфиденциальности в двух соответствующих ЭВМ с использованием одного набора устройств для взаимодействия с пользователем и для доступа к разделяемым внешним носителям. Средство вычислительной техники для одновременной обработки информации разной конфиденциальности, содержащее содержащие в своем составе соответствующие блоки преобразования данных ЭВМ для обработки информации с низким уровнем конфиденциальности и ЭВМ для обработки информации с высоким уровнем конфиденциальности, устройства для взаимодействия с оператором, устройство для доступа к разделяемым внешним носителям, блок аутентификации пользователя и блок управления коммутацией, который соединен посредством соответствующих интерфейсов управления электропитанием с ЭВМ для обработки информации с низким уровнем конфиденциальности и с ЭВМ для обработки информации с высоким уровнем конфиденциальности, блоки преобразования данных подключены через соответствующие интерфейсы с гальванической развязкой к блоку управления коммутацией, который соединен с устройством для взаимодействия с оператором посредством интерфейса к устройствам для взаимодействия с оператором, к устройству для доступа к разделяемым внешним носителям - посредством интерфейса к устройству для доступа к разделяемым внешним носителям, к блоку аутентификации пользователя - посредством интерфейса блока аутентификации пользователя, к средствам пассивной защиты информации от утечки по техническим каналам и к средствам активной защиты информации от утечки по техническим каналам - посредством соответствующих интерфейсов управления электропитанием. 6 з.п. ф-лы, 1 ил.

Способ обнаружения вредоносных программ для эвм заархивированных по неизвестному алгоритму // 2624540

Изобретение относится к области обнаружения вредоносных программ для ЭВМ на электронных устройствах. Техническим результатом является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ. Способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержит этапы, на которых: I) производят анализ алгоритма, по которому заархивированы файлы в архиве; II) производят анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен; III) выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе I признаков неизвестного алгоритма архивации; IV) приостанавливают действия и процессы, инициируемые архивом как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ; V) производят снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкцию исполняемых файлов из дампа памяти архива; VI) после реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.

Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины // 2624552

Изобретение предназначено для обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины. Технический результат настоящего изобретения заключается в обнаружении вредоносных файлов, исполняемых с помощью стековой виртуальной машины, работающей на компьютерной системе, за счет создания и использования кластеров данных анализируемых файлов с использованием данных из кластеров, найденных в базе кластеров безопасных файлов, для обеспечения безопасности компьютерной системы. Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины, в которой все операнды выполняемых функций размещаются лишь в одной структуре данных, в качестве которой выступает стек виртуальной машины, в котором: а) выделяют данные по меньшей мере из одного файла, исполняемого с помощью стековой виртуальной машины, при этом в качестве данных, выделяемых из файла, исполняемого с помощью стековой виртуальной машины, выступают по меньшей мере: параметры секции файла, в качестве которых выступают по меньшей мере: код секции, название секции, тип заголовка секции, смещение на данные в секции, размер данных секции; параметры функции, выполняемой с помощью стековой виртуальной машины, в качестве которых выступают по меньшей мере: индекс тела функции, позиция и длина кода функции в секции, индекс описателя функции, максимальная глубина стека при исполнении функции, количество используемых функцией локальных переменных, название функции, количество операндов, возвращаемый тип данных; б) осуществляют поиск в базе кластеров безопасных файлов по данным, выделенным на этапе а), по меньшей мере одного кластера, который содержит: значение одного из параметров секций файла, превышающее заданный порог; значение одного из параметров функций, выполняемых с помощью стековой виртуальной машины, превышающее заданный порог; в) у каждого найденного на этапе б) кластера выделяют данные, при этом в качестве данных выступают по меньшей мере: параметры секции файла, такие как: код секции, название секции, тип заголовка секции, смещение на данные в секции, размер данных секции; параметры функции, выполняемой с помощью стековой виртуальной машины, такие как: индекс тела функции, позиция и длина кода функции в секции, индекс описателя функции, максимальная глубина стека при исполнении функции, количество используемых функцией локальных переменных, название функции, количество операндов, возвращаемый тип данных; г) создают при помощи правил кластеризации по меньшей мере один кластер из выделенных на этапе а) данных за исключением данных, которые соответствуют данным, выделенным на этапе в); д) вычисляют контрольную сумму по меньшей мере одного созданного кластера; е) осуществляют поиск вычисленной контрольной суммы в базе контрольных сумм кластеров вредоносных файлов; ж) выносят вердикт об обнаружении по меньшей мере одного вредоносного файла в случае обнаружения в результате поиска, осуществленного на этапе е), в базе контрольных сумм кластеров вредоносных файлов вычисленной контрольной суммы. 2 з.п. ф-лы, 3 ил.

Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением posix-совместимой операционной системы // 2624554

Изобретение относится к области обнаружения скрытого программного обеспечения в вычислительных системах, работающих под управлением POSIX-совместимых операционных систем, например Solaris, Android и др. Техническим результатом является повышение защищенности вычислительной системы. Раскрыт способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства: 1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе, 2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе, 3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state, 4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств; при этом способ заключается в том, что получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе; получают с помощью 2-го средства количество запущенных процессов в вычислительной системе; получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса; выполняют с помощью 4-го средства для каждого процесса, список которых получен с помощью 3-го средства, следующие действия: сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов; предоставляют отчет о наличии скрытых приложений и процессов; удаляют из вычислительной системы выявленные скрытые приложения.

Способ многопоточной защиты сетевого трафика и система для его осуществления // 2625046

Изобретение относится к защите от несанкционированного доступа к информации при ее передаче по каналам связи. Технический результат – повышение пропускной способности средств защиты информации. Для этого в способе многопоточной защиты сетевого трафика дополнительно выполняется в зависимости от параметров, указанных в заголовках сетевых пакетов, распределение поступающих сетевых пакетов между блоками-вычислителями, выполняющими кодирование информационной части в сетевых пакетах, и адаптивное управление множеством блоков-вычислителей, количество которых динамически изменяется в зависимости от текущей загрузки вычислительных ресурсов (процессора и памяти) компьютерной системы. 2 н.п. ф-лы, 1 ил.

Система и способ признания транзакций доверенными // 2625050

Изобретение относится к способу признания транзакций доверенными. Технический результат заключается в уменьшении вероятности совершения ошибки первого рода при проверке транзакции на доверенность, а также в упрощении процедуры проверки безопасности транзакций. Предложен способ, в котором получают с помощью средства анализа по компьютерной сети от банка-эмитента параметры по меньшей мере одной транзакции пользователя; получают с помощью средства анализа от банка-эмитента атрибуты пользователя; сохраняют с помощью средства анализа полученные параметры по меньшей мере одной транзакции пользователя и атрибуты пользователя в базу данных транзакций; проверяют с помощью средства проверки выполнение по меньшей мере одного условия доверия из базы данных условий доверия; повторяют этапы до момента, пока не наступит по меньшей мере следующее условие проверки: в базе данных транзакций пользователя подряд сохранено заданное количество доверенных транзакций пользователя, для которых в базе данных транзакций определен флаг доверия; признают последующую транзакцию пользователя доверенной. 2 н. и 12 з.п. ф-лы, 3 ил.