Способ построения системы защиты от компьютерных атак для автоматизированных систем управления

Авторы патента:

Дроботун Евгений Борисович (RU)

G06F21/57 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2642374:

Дроботун Евгений Борисович (RU)

Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от информационно-технических воздействий и может быть использовано для построения систем защиты автоматизированных систем управления (АСУ) от одного из основных видов информационно-технических воздействий - компьютерных атак. Технический результат, заключающийся в получении наиболее эффективного варианта построения системы защиты АСУ от компьютерных атак с наименьшим воздействием на производительность защищаемой АСУ, достигается за счет использования способа построения системы защиты АСУ от компьютерных атак, включающего в себя этап формирования множества всех возможных вариантов построения подсистем системы защиты АСУ от компьютерных атак, этап формирования множества всех возможных вариантов построения системы защиты АСУ от компьютерных атак, этап оценки стоимости и требуемых ресурсов вариантов построения системы защиты АСУ от компьютерных атак, этап оценки эффективности вариантов построения системы защиты АСУ от компьютерных атак и этап оценки степени влияния вариантов построения системы защиты на производительность защищаемой АСУ. 3 ил.

Для обеспечения защищенности АСУ от компьютерных атак применяются различные меры технического характера, которые реализуются в виде систем защиты.

Согласно [1] технические меры защиты информации (с точки зрения защиты от компьютерных атак), реализуемые в АСУ в рамках ее системы защиты, должны обеспечивать:

• идентификацию и аутентификацию субъектов доступа и объектов доступа;

• управление доступом субъектов доступа к объектам доступа;

• ограничение программной среды;

• защиту машинных носителей информации;

• регистрацию событий безопасности;

• антивирусную защиту;

• обнаружение (предотвращение) вторжений;

• контроль (анализ) защищенности информации;

• целостность автоматизированной системы управления и информации;

• доступность технических средств и информации.

При этом реализация указанных технических мер в рамках системы защиты АСУ от компьютерных атак не должна оказывать отрицательного влияния на штатный режим функционирования АСУ (т.е. не должна снижать производительность АСУ).

Исходя из данных требований задача построения системы защиты АСУ от компьютерных атак сводится к задаче выбора таких структуры и параметров системы защиты АСУ от компьютерных атак, чтобы система защиты, отвечающая выбранным структуре и параметрам, позволяла обеспечить минимальное воздействие на производительность защищаемой АСУ при сохранении требуемого уровня защиты от компьютерных атак и удовлетворяла требованиям по стоимости и потребляемым ресурсам.

Из уровня техники известны способ автоматизированного управления процессом проектирования структуры системы управления техническими системами и устройство для его осуществления [2], которые могут применяться для проектирования многопараметрических объектов.

Недостатком указанных способа и устройства является их узкая специализация - проектирование систем управления техническими системами различного класса, что не позволяет осуществлять построение системы защиты АСУ от компьютерных атак.

Известны также способ и устройство выбора предпочтительного средства защиты информации [3], основанные на использовании оцениваемой выборки, состоящей из нормированных единичных показателей качества, позволяющих создать два эталона Э_с - со среднестатистическим уровнем качества и Э_л - уровнем лучшего качества. На основе использования этих эталонов из всей совокупности оцениваемых средств выбирается предпочтительный объект, обладающий наибольшим комплексным показателем качества.

Недостатком указанных способа и устройства является невозможность их применения при построении системы защиты АСУ от компьютерных атак, состоящей из нескольких взаимосвязанных элементов с учетом их влияния на производительность защищаемой АСУ.

Целью изобретения является получение наиболее эффективного варианта построения системы защиты АСУ от компьютерных атак с наименьшим воздействием на производительность защищаемой АСУ.

Для достижения цели изобретения предлагается использовать способ построения системы защиты от компьютерных атак для автоматизированных систем, основанный на декомпозиции задачи выбора рациональных структуры и параметров системы защиты АСУ от компьютерных атак по последовательности процедур формирования вариантов построения системы защиты и по подсистемам системы защиты (функциональная декомпозиция).

Декомпозиция по подсистемам основывается на том, что систему защиты АСУ от компьютерных атак можно представить в виде множества подсистем, решающих определенные задачи и реализующие определенный перечень функций. Исходя из этого в качестве подсистем, обеспечивающих защищенность АСУ от компьютерных атак в составе системы защиты, можно выделить:

• подсистему обнаружения компьютерных атак;

• подсистему противодействия компьютерным атакам;

• подсистему устранения последствий применения компьютерных атак.

На фиг. 1 показаны декомпозиция системы защиты на подсистемы в соответствии с целями и задачами системы защиты, а также показаны способы решения задач каждой подсистемой.

На фиг. 2 показано соотношение способов решения задач подсистемами системы защиты с техническими мерами защиты от компьютерных атак.

Декомпозиция по последовательности выполнения процедур формирования вариантов построения системы защиты будет иметь следующий вид:

• формирование множеств V_обн, V_пр, V_устр всех возможных вариантов А_обн, А_пр, А_устр построения каждой подсистемы:

где V_обн - множество всех возможных вариантов построения подсистемы обнаружения компьютерных атак;

V_пр - множество всех возможных вариантов построения подсистемы противодействия компьютерным атакам;

V_устр - множество всех возможных вариантов построения подсистемы устранения последствий применения компьютерных атак;

N, М и K - количество всех возможных вариантов построения подсистем обнаружения компьютерных атак, противодействия компьютерным атакам и устранения последствий применения компьютерных атак соответственно;

• формирование множества V всех возможных вариантов А построения системы защиты на основе множеств V_обн, V_пр, V_устр множества вариантов системы защиты:

где S - количество всех возможных вариантов построения системы защиты;

• оценка сформированного множества V вариантов А построения системы защиты и выделение из него подмножества V* вариантов А*, удовлетворяющих требованиям по стоимости и потребляемым ресурсам;

• оценка сформированного множества V* вариантов А* построения системы защиты, удовлетворяющих по стоимости и потребляемым ресурсам и выделение из него подмножества V** вариантов А** построения системы защиты, удовлетворяющих требованиям по защищенности;

• оценка сформированного множества V** вариантов А** построения системы защиты, удовлетворяющих требованиям по защищенности, и выбор из рационального варианта А' построения системы защиты, оказывающего минимальное воздействие на производительность защищаемой АСУ.

Общая схема процесса выбора рационального варианта построения системы защиты АСУ от компьютерных атак представлена на фиг. 3.

Исходными данными для построения системы защиты АСУ от компьютерных атак являются:

• требуемая эффективность системы защиты АСУ от компьютерных атак Q* выражаемая совокупностью показателей, характеризующих способность системы защиты обеспечить минимальный риск от компьютерных атак и восстанавливаемость АСУ после применения компьютерных атак;

• максимально допустимая стоимость C_доп создания системы защиты от компьютерных атак;

• максимально допустимые требуемые для функционирования системы защиты ресурсы R_доп.

На этапе формирования множеств всех возможных вариантов построения подсистем производится формирование множества всех возможных вариантов построения подсистемы обнаружения компьютерных атак, множества всех возможных вариантов построения подсистемы противодействия компьютерным атакам и множества всех возможных вариантов построения подсистемы устранения последствий применения компьютерных атак.

Для формирования этих множеств использован метод морфологического анализа [4], преимуществом которого является возможность простой алгоритмизации и компьютерной реализации.

Вариант каждой подсистемы формируется на основе структуры подсистемы, которая представляет собой совокупность элементов L подсистемы, реализующих способы решения задач подсистемы и совокупности параметров F подсистемы, а множество этих вариантов формируется путем перебора всех возможных комбинаций сочетаний элементов подсистемы и их параметров

Для подсистемы обнаружения компьютерных атак все возможные варианты формируются исходя из совокупности множеств {L_обн, F_обн}, где L_обн - множество всех существующих средств обнаружения компьютерных атак, a F_обн - множество совокупностей параметров для каждого средства обнаружения компьютерных атак.

Для подсистемы противодействия компьютерным атакам все возможные варианты формируются исходя из совокупности множеств {L_пр, F_пр}, где L_пр - множество всех существующих средств противодействия компьютерным атакам, a F_пр - множество совокупностей параметров для каждого средства противодействия компьютерным атакам.

Для подсистемы устранения последствий применения компьютерных атак все возможные варианты формируются исходя из совокупности множеств {L_устр, F_устр}, где L_устр - множество всех существующих средств резервного копирования и восстановления системы и данных, a F_устр - множество совокупностей параметров для каждого средства резервного копирования и восстановления системы и данных.

Для снижения количества всех возможных вариантов построения каждой подсистемы (с целью уменьшения временных затрат), для параметров с плавно изменяющимися значениями принимаются три возможных значения: минимальное значение параметра, среднее значение параметра и максимальное значение параметра.

Далее, на этапе формирования множества всех возможных вариантов построения системы защиты АСУ от компьютерных атак исходя из множеств V_обн, V_пр и V_устр, полученных на предыдущем этапе, с помощью метода морфологического анализа формируется множество V всех возможных вариантов построения системы защиты путем перебора всех возможных комбинаций сочетаний вариантов построения подсистем.

Далее, на этапе оценки стоимости и требуемых ресурсов, производится формирование множества V* - вариантов построения системы защиты АСУ от компьютерных атак, удовлетворяющих требованиям по стоимости и требуемым для функционирования системы защиты ресурсам:

где С и R - стоимость системы защиты и требуемые для функционирования системы защиты ресурсы;

С_доп и R_доп - максимально допустимые стоимость и требуемые ресурсы.

Стоимость С системы защиты складывается из стоимости подсистем, входящих в ее состав:

C=C_обн+C_пр+C_устр,

где С_обн, С_пр, С_устр стоимость подсистемы обнаружения компьютерных атак, стоимость подсистемы противодействия компьютерным атакам и стоимость подсистемы устранения последствий применения компьютерных атак соответственно.

Ресурсы R, требуемые для функционирования системы защиты, определяются двумя показателями: R_выч - вычислительные ресурсы (требуемый объем памяти, характеристики процессоров и т.п.) и R_люд - людские (требуемое количество обслуживающего персонала, необходимого для эксплуатации системы защиты):

В формируемое на данном этапе множество V* отбираются варианты построения системы защиты, стоимость и требуемые для функционирования ресурсы которых не превышают максимально допустимые С_доп и R_доп.

На этапе оценки эффективности вариантов построения системы защиты из множества V* отбираются варианты построения системы защиты, удовлетворяющие требуемому уровню защищенности, обеспечиваемому системой защиты, и из отобранных вариантов формируется множество V**:

где Q - совокупность показателей, характеризующих уровень защищенности АСУ, реализуемый системой защиты;

Q_треб - требуемый уровень защищенности АСУ.

В качестве показателей, характеризующих уровень защищенности АСУ от компьютерных атак, используются коэффициент защищенности АСУ Z [5] и время восстановления работоспособности АСУ после применения компьютерной атаки Т_восст:

Методика определения коэффициента защищенности АСУ Z изложена в [5]. Сущность методики заключается в проведении тестирования АСУ по двум направлениям: локального тестирования и сетевого. Локальное тестирование заключается в проверке состояния защищенности отдельных элементов АСУ от внутреннего нарушителя. Сетевое тестирование заключается в моделировании действий внешнего нарушителя и направлено на проверку защищенности АСУ в целом.

По итогам локального тестирования определяется локальный коэффициент уязвимости L, который определяется следующим образом:

где P_i - количество открытых портов на i-м элементе АСУ;

Y_i - количество портов i-x элементов АСУ, на которых были найдены уязвимости.

По итогам сетевого тестирования определяется коэффициент уязвимости S вычислительной сети, объединяющей составные элементы АСУ:

где R_i - количество реализованных сценариев компьютерных атак на i-м элементе АСУ;

Е_o - количество основных сценариев моделирования компьютерных атак;

А_o - количество дополнительных сценариев моделирования компьютерных атак.

Далее находится коэффициент общей уязвимости системы W, который определяется следующим образом:

W=L⋅S.

Исходя из того, что уровень защиты АСУ и уровень общей уязвимости АСУ дополняют друг друга до единицы, коэффициент защищенности системы Z можно определить как:

Z=1-W.

Время восстановления работоспособности АСУ после компьютерной атаки Т_восст определяется как сумма общего времени восстановления данных из резервных копий Т_восст _дан и времени восстановления операционной системы из точек восстановления Т_{восст. ос}:

T_восст = T_{восст. данн} + T_{восст. ос}.

На заключительном этапе выбора рационального варианта построения системы защиты АСУ от компьютерных атак из множества V**, полученного на предыдущем этапе, выбирается рациональный вариант А' построения системы защиты АСУ от компьютерных атак, который обеспечивает минимальное воздействие на производительность защищаемой АСУ:

где K - совокупность показателей снижения производительности АСУ при введении в ее состав системы защиты от компьютерных атак.

Совокупность показателей снижения производительности АСУ представляет собой два комплексных показателя K_C - комплексный показатель снижения производительности технической компоненты АСУ (совокупности аппаратных, программных и программно-аппаратных средств АСУ) и K_П - комплексный показатель снижения производительности обслуживающего персонала:

При этом, снижение производительности технической компоненты АСУ оценивается как:

где K_ПС - коэффициент снижения пропускной способности (количества операций, выполняемой системой за определенный период времени);

K_ПАР - коэффициент снижения параллелизма (количества операций, выполняемых системой одновременно);

K_РЕС - коэффициент увеличения запаса ресурса (количества ресурсов, необходимых для обеспечения роста нагрузки);

K_Тоткл - коэффициент увеличения времени отклика (времени выполнения одной операции);

K_ОШ - коэффициент увеличения частоты ошибок (частоты генерации системой исключений типа «отказ в обслуживании»).

Снижение производительности обслуживающего персонала, в свою очередь оценивается как:

где: K_Твып - коэффициент увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей;

K_Д - коэффициент повышения дискомфорта при выполнении функциональных обязанностей.

Коэффициент снижения пропускной способности K_ПС определяется следующим образом:

где k_ПС - количество операций, выполняемых АСУ за время Т_исп до введения в состав АСУ системы защиты от компьютерных атак;

k'_ПС - количество операций, выполняемых АСУ за время Т_исп после введения в состав АСУ системы защиты от компьютерных атак, при этом время Т_исп определяется исходя из предназначения и выполняемых функций защищаемой АСУ.

Коэффициент снижения параллелизма K_ПАР определяется по формуле:

где k_ПАР - количество операций, выполняемых АСУ одновременно до введения в состав АСУ системы защиты компьютерных атак;

k'_ПАР - количество операций, выполняемых АСУ одновременно после введения в состав АСУ системы защиты от компьютерных атак.

Коэффициент увеличения запаса ресурса K_РЕС определяется по следующей формуле:

где k_PEC - вычислительные ресурсы, доступные для обеспечения функциональности АСУ до введения в состав АСУ системы защиты от компьютерных атак;

k'_PEC - вычислительные ресурсы, доступные для обеспечения функциональности АСУ после введения в состав АСУ системы защиты от компьютерных атак.

Коэффициент увеличения времени отклика K_Тоткл определяется следующим образом:

где t'_откл - время выполнения одной операции в АСУ после введения в состав АСУ системы защиты от компьютерных атак;

t_откл - время выполнения одной операции в АСУ до введения в состав АСУ системы защиты от компьютерных атак.

Коэффициент увеличения частоты ошибок K_ОШ определяется по формуле:

где k'_ОШ ^_ число случаев генерации АСУ исключений типа «отказ в обслуживании» после введения в состав АСУ системы защиты от компьютерных атак;

k_ОШ ^_ число случаев генерации АСУ исключений типа «отказ в обслуживании» до введения в состав АСУ системы защиты от компьютерных атак.

Исходные данные для расчета вышеприведенных коэффициентов снижения производительности технической компоненты АСУ определяются в ходе пробного тестирования систем защиты, построенных исходя из возможных вариантов построения этой системы с использованием штатных средств оценки производительности, входящих в состав большинства операционных систем.

Коэффициент увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей K_Твып определяется по формуле:

где t'_вып - время выполнения операции персоналом АСУ после введения в ее состав системы защиты от компьютерных атак;

t_вып - время выполнения операции персоналом АСУ до введения в ее состав системы защиты от компьютерных атак.

Исходные данные для определения коэффициента увеличения времени выполнения операций лицами обслуживающего персонала при выполнении ими функциональных обязанностей определяются в ходе пробного тестирования системы путем замера соответствующих отрезков времени.

Коэффициент повышения дискомфорта при выполнении функциональных обязанностей K_Д определяется путем опроса пользователей в процессе пробного тестировании по заранее сформированным опросным листам. Опросные листы формируются группой экспертов на основании информации о структуре и решаемых задачах защищаемой АСУ.

Для обеспечения возможности сравнения вариантов построения по одному обобщенному показателю производится свертка полученных показателей снижения уровня производительности АСУ. Свертка производится с помощью весовых показателей следующим образом:

где r_c, r_п, r_пс, r_пар, r_рес, r_Тоткл, r_ош, r_Твып, r_д - весовые коэффициенты значимости при соответствующих коэффициентах снижения производительности, которые определяются группой экспертов исходя из структуры защищаемой АСУ и решаемых ею задач.

Таким образом, предлагаемый способ позволит построить систему защиты АСУ от компьютерных атак, удовлетворяющую требованиям по стоимости, потребляемым ресурсам, эффективности защиты и оказывающей минимальное воздействие на производительность защищаемой АСУ.

Источники информации

1. Методический документ. Меры защиты информации в государственных информационных системах: утв. Директором ФСТЭК 11 февраля 2014 г. // ФСТЭК России. 2014.

2. Пат. 2331097, Российская Федерация, МПК G05B 17/00, G06F 17/50, G06Q 90/00. Способ автоматизированного управления процессом проектирования структуры системы управления техническими системами и устройство для его осуществления / Селифанов В.А., Селифанов В.В., опубл. 10.08.2008.

3. Пат. 2558238, Российская Федерация, МПК G06F 15/16, G06F 17/00. Способ и устройство выбора предпочтительного средства защиты информации / Шемигон Н.Н., Черноскутов А.И., Кукушкин С.С., опубл. 27.07.2015.

4. Одрин В.М. Метод морфологического анализа технических систем. - М.: ВНИИПИ, 1989.

5. Мукминов В.А., Хуцишвили В.М., Лобузько А.В. Методика оценки реального уровня защищенности автоматизированных систем // Программные продукты и системы. 2012. №1(97). С. 39-42.

Способ построения системы защиты от компьютерных атак для автоматизированных систем управления, включающий в себя этап формирования множества всех возможных вариантов построения подсистем системы защиты от компьютерных атак, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, формируют множество возможных вариантов построения подсистемы обнаружения компьютерных атак, множество возможных вариантов построения подсистемы противодействия компьютерным атакам и множество возможных вариантов построения подсистемы устранения последствий применения компьютерных атак, при этом для уменьшения количества возможных вариантов построения подсистем для параметров элементов подсистем с плавно изменяющимися значениями принимают минимальное, среднее и максимальное значения; этап формирования множества всех возможных вариантов построения системы защиты от компьютерных атак, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, на основе множеств возможных вариантов построения подсистем, полученных на предыдущем этапе, формируют множество всех возможных вариантов построения системы защиты от компьютерных атак, которое записывают в память компьютера; этап оценки стоимости и требуемых ресурсов вариантов построения системы защиты от компьютерных атак, в ходе которого с помощью компьютера определяют стоимость и требуемые для функционирования ресурсы всех вариантов построения системы из множества вариантов, сформированного на предыдущем этапе, с помощью компьютера, выбирают варианты, стоимость и потребляемые ресурсы которых не превышают заданных, и далее из этих отобранных вариантов формируют множество вариантов построения системы защиты от компьютерных атак, удовлетворяющих требованиям по стоимости и потребляемым ресурсам, которое записывают в память компьютера; этап оценки эффективности вариантов построения системы защиты от компьютерных атак, в ходе которого с помощью тестирования с применением компьютера определяют эффективность вариантов построения системы защиты из множества, сформированного на предыдущем этапе, выбирают варианты, эффективность которых равна или превышает требуемую, и далее из этих отобранных вариантов формируют множество вариантов построения системы защиты от компьютерных атак, удовлетворяющих требованиям по эффективности, при этом в качестве показателей эффективности используют коэффициент защищенности автоматизированной системы управления и время восстановления работоспособности автоматизированной системы управления после применения компьютерных атак; этап оценки степени влияния вариантов построения системы защиты на производительность защищаемой автоматизированной системы управления, в ходе которого оценивают уровень снижения производительности защищаемой автоматизированной системы управления при введении в ее состав вариантов системы защиты от компьютерных атак, удовлетворяющих требованиям по эффективности из множества, сформированного на предыдущем этапе, и выбирают рациональный вариант построения системы защиты от компьютерных атак с минимальным уровнем снижения производительности защищаемой автоматизированной системы управления, при этом в качестве показателя уровня снижения производительности используют комплексный коэффициент снижения производительности, включающий в себя коэффициент снижения производительности технической компоненты защищаемой системы и коэффициент снижения производительности обслуживающего защищаемую систему персонала.

Изобретение относится к области обновления функций. Техническим результатом является реализация динамического обновления функций патчами.

Способ дистанционного перехвата конфиденциальной речевой информации, циркулирующей в защищенном помещении // 2642034

Изобретение относится к области радио- и аудиотехники, в частности к методам приема сигналов при их утечке из защищенного помещения по различным техническим каналам, и может преимущественно использоваться для дистанционного перехвата конфиденциальной акустической речевой информации, циркулирующей в защищенном помещении.

Способ защиты средств вычислительной техники от утечки информации по каналу побочных электромагнитных излучений и наводок // 2642032

Изобретение относится к области защиты информации, циркулирующей в средствах вычислительной техники (СВТ). Техническим результатом является снижение сложности технической реализации защиты информации в СВТ от утечки по каналу побочных электромагнитных излучений и наводок (ПЭМИН).

Способ и аппаратура для управления устройствами // 2641257

Изобретение относится к способу и устройству управления устройствами. Технический результат заключается в обеспечении управления устройствами.

Способ функционирования secureos на многопроцессорных системах в мобильных устройствах // 2641226

Изобретение относится к способу функционирования защищенной операционной системы (SecureOS) на многопроцессорных системах в мобильных устройствах. Технический результат заключается в повышении производительности SecureOS.

Кривые в вариационной системе // 2640739

Изобретение относится к средствам управления данными о продукте. Технический результат заключается в расширении арсенала технических средств редактирования кривых редактируемой геометрической модели.

Способ моделирования пунктов управления // 2640734

Изобретение относится к области моделирования и может быть использовано для моделирования процессов функционирования элементов пунктов управления, систем военной связи и автоматизированных систем управления (АСУ) в условиях вскрытия и внешних деструктивных воздействий.

Способ получения информации для биометрической идентификации личности // 2640732

Изобретение относится к биометрической аутентификации, верификации и идентификации человека и может быть использовано для определения или подтверждения личности пользователя в платежных системах, системах лояльности, системах контроля и управления доступа.

Способ и устройство управления веб-приложением // 2640720

Изобретение относится к области технологий связи. Технический результат заключается в повышении эффективности обратного перехода на веб-приложение в форме веб-страницы.

Сетевое управление наборами защищенных данных // 2640653

Изобретение относится к системе для эмуляции физически подсоединенной доверенной среды исполнения. Технический результат заключается в сохранении безопасности локальной доверенной среды исполнения.

Способ защиты информационно-телекоммуникационной сети от пассивных компьютерных атак // 2642403

Изобретение относится к области защиты информационно-телекоммуникационных сетей (ИТКС) от пассивных компьютерных атак. Технический результат заключается в повышении коэффициента исправного действия ИТКС с учетом определения уровня информированности нарушителя о защищаемой ИТКС. Технический результат достигается тем, что рассчитывают вероятность информированности нарушителя о защищаемой ИТКС за заданный временной интервал с учетом типа и количества выявленных пассивных компьютерных атак, сравнивают значение рассчитанной вероятности информированности нарушителя за заданный временной интервал с заданным пороговым значением; если рассчитанное значение информированности нарушителя не превышает заданного порогового значения, то выбирают множество управляющих воздействий на ИТКС и ее систему защиты в соответствии с рассчитанным значением вероятности информированности нарушителя, и применяют выбранные управляющие воздействия на ИТКС и ее систему защиты; запрещают прием и передачу пакетов сообщений (ПС) в канал связи при превышении рассчитанного значения вероятности информированности нарушителя о защищаемой ИТКС над заданным пороговым значением, а также при определении факта воздействия активной компьютерной атаки. 3 ил.

Обновление рабочей системы для защищенного элемента // 2643457

Изобретение относится к области встроенных защищенных элементов, таких как смарт-карты. Технический результат заключается в обеспечении обновления рабочей системы надежным и безопасным способом. Раскрыт защищенный элемент (30), содержащий, по меньшей мере, микропроцессор (31), энергонезависимое запоминающее устройство (34) и интерфейс (36) связи, при этом защищенный элемент (30) выполнен с возможностью осуществления связи с устройством (10) обновления для обновления рабочей системы защищенного элемента через интерфейс (36) связи, энергонезависимое запоминающее устройство (34) хранит, по меньшей мере, программу (38) инициирования, а микропроцессор (31) выполнен с возможностью исполнения программы (38) инициирования при запуске защищенного элемента (30), при этом программа (38) инициирования содержит команды для осуществления: этапа запуска (Е1, Е12) для определения, содержит ли энергонезависимое запоминающее устройство (34) активную рабочую программу (35), и при положительном результате определения, для запуска исполнения рабочей системы (35); этапа (Е4, Е5, Е6, Е7, Е13, Е14) аутентификации устройства (10) обновления в зависимости от первых данных аутентификации (AUTH30), определенных защищенным элементом (30), и от вторых данных аутентификации (AUTH10), полученных устройством (10) обновления; этапа (Е9, Е10) запоминания новой рабочей системы, принимаемой от устройства (10) обновления, в энергонезависимом запоминающем устройстве (34); и этапа (Е11) активации новой рабочей системы, при этом, когда процесс обновления рабочей системы запущен и энергонезависимое запоминающее устройство хранит активную рабочую систему, защищенный элемент выполнен с возможностью выбора рабочей системы в качестве приложения обновления, а если неактивную рабочую систему, то с возможностью выбора программы инициирования в качестве приложения обновления. 3 н. и 8 з.п. ф-лы, 13 ил.

Способ и устройство для взаимодействия с приложением // 2643461

Изобретение относится к области телекоммуникации. Технический результат заключается в повышении эффективности управления пользователем учетными записями соответствующих приложений. Технический результат достигается за счет получения графического идентификатора учетной записи приложения, при этом графический идентификатор учетной записи сконфигурирован для графической идентификации информации учетной записи, используемой приложением в данный момент; и отображения полученного графического идентификатора учетной записи в заранее заданной позиции на значке приложения. 3 н. и 18 з.п. ф-лы, 14 ил.

Способ и аппаратура для идентификации отпечатков пальцев // 2643473

Изобретение относится к обработке изображения идентифицированных отпечатков пальцев. Технический результат заключается в повышении уровня безопасности идентификации. В способе осуществляют захват изображения отпечатков пальцев, извлечение информации характеристик изображения отпечатков пальцев, получение информации условий текущего приложения и получение порога характеристик, соответствующего уровню безопасности идентификации отпечатков пальцев, на основании информации условий текущего приложения, и сравнение информации характеристик с информацией характеристик верификации, сохраненной предварительно, определение успешности идентификации отпечатков пальцев, если результат сравнения достигает порога характеристик, и определение неудачной идентификации отпечатков пальцев, если результат сравнения не достигает порога характеристик. В соответствии с вариантами осуществления настоящего описания процесс идентификации отпечатков пальцев может быть завершен на основании порога характеристик, соответствующего уровню безопасности идентификации отпечатков пальцев. 2 н. и 14 з.п. ф-лы, 14 ил.

Способ построения распределенной компьютерной системы, защищенной от внешнего исследования // 2643482

Изобретение относится к области защиты распределенных информационно-вычислительных систем. Техническим результатом является повышение защищенности распределенных информационно-вычислительных систем. Способ построения распределенной компьютерной системы, защищенной от внешнего исследования, заключается в том, что систему разделяют на блоки, имеющие информационный вход, выход и алгоритм преобразования значения входа в значения выхода, берут два таких блока, для которых выход одного является входом для другого, перед входом на второй блок добавляется новый блок (далее - блок прямого преобразования) с псевдослучайной функцией, для которого множество значений выхода полностью покрывает множество значений входа второго блока и для каждого значения выхода существует значение входа, после выхода первого блока устанавливается дополнительный блок (далее - блок обратного преобразования), который зеркально отражает преобразование входа и выхода блока прямого преобразования, то есть если по значению А входа блок прямого преобразования получает значение В на выходе, то блок обратного преобразования при значении В на входе должен получить значение А на выходе, блоки подключаются последовательно: первый блок - блок обратного преобразования - блок прямого преобразования - второй блок.

Генерация собственного кода из кода на промежуточном языке для приложения // 2643484

Изобретение относится к средствам установки, исполнения и/или обновления управляемых приложений путем генерации собственного кода из кода на промежуточном языке. Технический результат заключается в расширении арсенала средств установки, исполнения и/или обновления управляемых приложений. В способе генерации собственного кода из кода на промежуточном языке для приложения: принимают в вычислительном устройстве характерный для типа устройства установочный пакет для приложения от онлайн-провайдер, пакет включает в себя файлы на машинно-зависимом промежуточном языке MDIL-файлы, генерируемые онлайн-провайдером для приложения, список связывания, который включает в себя перечень MDIL-файлов приложения, которые подлежат связыванию для генерации собственного образа для приложения, и перечень набора из одной или более библиотек, которые подлежат связыванию с соответствующими MDIL-файлами, сохраняют собственный образ на вычислительном устройстве для использования при загрузке приложения для исполнения. 2 н. и 6 з.п. ф-лы, 10 ил.

Система для защиты критических данных бортовой системы самолета // 2643491

Изобретение относится к системе безопасности данных для обеспечения безопасности критических данных системы бортовой авиационной электроники самолета, установленной на борту самолета. Технический результат заключается в повышении защищенности и безопасности самолета. В предложенной системе критические данные хранятся в средстве хранения данных, которое содержит средство управления доступом для управления доступом к указанным данным по меньшей мере для одного пользователя/по меньшей мере одним пользователем, для того чтобы подтвердить или не подтвердить доступ к указанным данным на основе информации, связанной с безопасностью, при этом информация, связанная с безопасностью, выбрана из группы, включающей в себя, в частности: список авторизованных пользователей, которым разрешен доступ к данным; максимальное количество разрешенных доступов к данным, а также типов разрешенных доступов к указанным данным; временное окно, имеющее ограниченную длительность разрешения доступа к указанным данным; последовательности/каскадные соединения, разрешенные при доступе различных пользователей к указанным данным; иерархическую приоритезацию областей, связанных со средством хранения данных. 11 з.п. ф-лы, 1 ил.

Управление памятью // 2643499

Группа изобретений относится к области электроники и может быть использована для управления памятью в электронных устройствах. Техническим результатом является обеспечение возможности энергонезависимой памяти эмулировать атрибуты энергозависимой памяти при сбросе питания. Контроллер памяти содержит логику для извлечения глобального порядкового номера из устройства памяти; приема запроса на чтение данных, хранящихся по адресу логического блока в устройстве памяти; извлечения медиа порядкового номера из адреса логического блока в устройстве памяти и возврата пустого ответа вместо данных, хранящихся по адресу логического блока, когда медиа порядковый номер старше глобального порядкового номера. 3 н. и 22 з.п. ф-лы, 11 ил.

Способ шифрования методом расщепления // 2643502

Изобретение относится к области потокового шифрования текстов при их передаче и хранении в различных системах и устройствах, требующих защиты информации от вмешательства посторонних лиц и контроля с их стороны. Технический результат - повышение уровня защиты при передаче каждого символа. Способ шифрования текста методом расщепления заключается в том, что каждый отдельный символ текста, представленный в виде целого числа в соответствии с выбранной кодовой таблицей, предварительно преобразуют посредством новой математической операции - операции расщепления, которая в простейшем варианте позволяет превратить выбранный код символа с помощью очередного псевдослучайного числа, порождаемого генератором псевдослучайных чисел (ГПСЧ), в последовательность двух (или более) положительных целых чисел, из которых второе (или оба числа) снова подвергаются действию операции расщепления, создавая, таким образом, для каждого передаваемого символа конечную последовательность из трех, четырех и более положительных целых чисел, а затем все члены указанной конечной последовательности для каждого символа текста независимо шифруют с применением операции исключающее ИЛИ и соответствующей гаммы чисел, получаемых от ГПСЧ. 2 ил.

Использование кэш-памяти и памяти другого типа в распределённой запоминающей системе // 2643642

Группа изобретений относится к распределенным запоминающим системам и может быть использована для сохранения данных в кэш-памяти или памяти другого типа. Техническим результатом является обеспечение улучшенного использования ресурсов кэш-памяти и ресурсов других типов памяти. Система содержит множество взаимосвязанных узлов, которые коллективно управляют сохранением данных, содержащее первый узел, имеющий процессор выполнения логики, при этом логика выполнена с возможностью: приема данных от ресурса, имеющего сообщение с множеством взаимосвязанных узлов, при этом принятые данные предназначены для сохранения в репозитории для сохранения данных, который включает в себя ресурс энергонезависимой кэш-памяти и ресурс энергонезависимой памяти, не являющейся кэш-памятью; создания первых метаданных, основанных на принятых данных; и пересылки первых метаданных управляющей логике сохранения данных для побуждения управляющей логики сохранить принятые данные в репозитории на основании информации, включенной в первые метаданные. 3 н. и 22 з.п. ф-лы, 9 ил.