Способ физического разнесения трактов приема и передачи данных в условиях деструктивных программных воздействий

Изобретение относится к области телекоммуникаций, а именно к способам передачи данных в системах связи, и может быть использовано при проектировании сетей связи и разработке протоколов передачи данных, предназначенных для обеспечения передачи пользовательского трафика в условиях деструктивных программных воздействий.

Развитие цифровых и информационных технологий привело к формированию самой сложной системы на Земле - международной информационно-телекоммуникационной системы, ресурсами которой пользуется практически все мировое сообщество практически в любой сфере жизнедеятельности населения, государств, корпораций и т.д.

Сети и системы связи (информационно-телекоммуникационные системы) относятся к классу больших систем этапы проектирования, внедрения, эксплуатации и эволюции которых невозможны без учета взаимосвязей и взаимовлияния их свойств, последствий различных видов деструктивных воздействий (Советов Б.Я., Яковлев С.А. «Моделирование систем». - М.: Высшая школа, 2009, - 343 с).

Нарастающие темпы развития сетей связи, сопровождающиеся процессами глобализации, обуславливают развитие форм и методов неправомерных процессов в сетях связи посредством деструктивных программных воздействий. Открытость и архитектура сетей связи, являющихся фрагментами международной информационно-телекоммуникационной системы, способствует реализации этих деструктивных воздействий.

Зачастую последствия деструктивных программных воздействий (ДПВ) отрицательно сказываются на деятельности потребителей (как юридических лиц, так и физических), особенно существенными могут быть последствия для критической инфраструктуры. Современные, массово применяющиеся методы и способы защиты корреспондентов (потребителей) и элементов сетей связи от ДПВ, относящихся к внутренним деструктивным факторам, основаны на объектовом подходе к защите [Климов С.М., Сычев М.П., Астрахов А.В. Противодействие компьютерным атакам. Технологические основы: Электронное учебное издание. - М.: МГТУ имени Н.Э. Баумана, 2013. 70 с.; Дроботун Е.Б. Теоретические основы построения систем защиты от компьютерных атак для автоматизированных систем управления. Монография. - СПб.: Наукоемкие технологии, 2017. - 120 с., ил.], заключающемся в реализации защиты корреспондентов и элементов сетей связи непосредственно в месте (физическом и логическом) их расположения программно-аппаратными средствами (межсетевыми экранами (фильтрами), криптошлюзами, антивирусным программным обеспечением и т.п.). Реализация данного подхода сопровождается разнотипностью в сетях связи оборудования и применяемых технологий в широком диапазоне показателей, что обуславливает техническую сложность и большой перечень аппаратно-программных средств защиты по значениям их целевых показателей. Кроме того, данные средства обладают определенными показателями защитного потенциала, преодоление которого возможно при ДПВ, обладающих превышающим защиту потенциалом атаки. Поэтому необходима разработка новых способов передачи данных в сетях и системах связи, внедрение которых позволит своевременно блокировать деструктивные программные воздействия и изолировать их источники.

Одним из перспективных направлений достижения этой цели является применение в способах передачи данных двух аспектов:

1. Физическое блокирование направления (в линии связи) деструктивного программного воздействия.

2. Физическое блокирование корреспондирующего узла связи источника деструктивного программного воздействия.

Термины и определения, используемые в заявке.

Сеть (система) связи - технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи (Федеральный закон от 7 июля 2003 г. N 126-ФЗ «О связи»).

Узел связи - совокупность технических средств связи, обеспечивающих маршрутизацию трафика (данных), оказание услуг связи и присоединение пользователей к сети общего пользования.

Узел коммутации - узел связи, на котором осуществляется коммутация линий связи (каналов и трактов в ней) согласно маршрута информационного направления.

Корреспондирующий узел связи - узел связи, к которому присоединен пользователь (отправитель/получатель) информационного направления.

Линия связи - линии передачи, физические цепи и линейно-кабельные сооружения связи.

Простой канал связи - система технических средств и среда распространения сигналов в рамках одной системы каналообразования для передачи данных от отправителя к получателю.

Составной информационный канал - два и более последовательно соединенных простых канала связи, обеспечивающих передачу данных между корреспондентами информационного направления в виде физических сигналов, соответствующих типу линий связи.

Блок данных - битовая последовательность, передаваемая как единое целое между элементами информационно-телекоммуникационной системы. Для различных технологий - это пакет, контейнер и др.

Пропускная способность - предельная скорость передачи данных линии связи (информационного направления).

Память - среда для хранения данных в течение определенного времени. Имеет показатели объема, скорости чтения/записи и др.

Информационное направление - совокупность технических средств связи, обеспечивающая перенос данных между корреспондентами (пользователями).

Сеанс - время непрерывного функционирования информационного направления.

Маршрутизация - процесс определения маршрута передачи данных в сетях связи.

Деструктивное программное воздействие - любое целенаправленное программно-аппаратное воздействие на информационно-телекоммуникационные средства, приводящее к нарушению или снижению эффективности выполнения технологических циклов управления в информационной системе.

Известны способы передачи данных, реализованные на основе технологи с коммутацией каналов, к которым относятся такие сетевые технологии как PDH и SDH [Б.С. Гольдштейн, Н.А. Соколов, Г.Г. Яновский. Сети связи: Учебник для ВУЗов. СПб.: БХВ-Петербург, 2014. - 400 с., ил. С. 53-68, 271-284]. При коммутации каналов в сети связи между корреспондентами образуется непрерывный составной информационный физический канал из последовательно соединенных промежуточных простых каналов связи. Процесс передачи данных включает три этапа:

1. Установление дуплексного (двунаправленного) канала. Прежде, чем начнется передача данных, должен быть скоммутирован канал, соединяющий источник и получателя информации, при этом между узлами сети происходит обмен сигнализационной информацией, в результате узлы всего маршрута запоминают информацию о новом соединении.

2. Передача данных. При этом при передаче данных каждый из транзитных узлов использует информацию, сохраненную на этапе установления канала, для определения следующего узла, которому необходимо передать информацию, относящуюся к данному соединению.

3. Разъединение. Как правило, происходит по инициативе одной из сторон. В ходе разъединения сигнализационная информация передается по всему маршруту - противоположная сторона извещается о прекращении связи, а транзитные узлы освобождают ресурсы, выделенные для данного соединения.

Недостатками данного способа являются: возможность реализации ДПВ в любом направлении линии связи одновременно; необходимость реализации объектовой защиты корреспондентов и элементов сети связи, не исключающей реализации ДПВ.

Известен способ передачи цифровых данных [патент РФ №2541838, опубл. 20.02.2015]. Способ заключается в том, что одновременно передают полезные данные множества услуг с разными характеристиками, в режиме реального времени выстраивают и поддерживают в актуальном состоянии сеть связи с помощью центрального модема, используя основные и альтернативные маршруты связи, на которые переключаются без потери дополнительного времени на поиск маршрутов при изменении условий связи и замене устройств связи. Считывают из центрального модема список адресов подчиненных устройств связи, определяя список вновь появившихся и исключенных из сети связи устройств, для вновь появившихся устройств производят выбор подходящего протокола обмена. Подстраивают протоколы обмена для минимизации времени считывания с устройств полезных данных, группируя запросы и ответы в пакеты, имеющие длину, близкую к максимальному размеру буфера модемов сети связи, где типы запрашиваемых данных отмечаются флагами. Задают приоритет для каждого типа полезных данных, передают параметры, общие для всех устройств, путем передачи из концентратора широковещательных пакетов с последующим контролем успешности выполнения команды путем считывания подтверждения с каждого устройства и индивидуально корректируют параметры.

Недостатком данного способа является отсутствие возможности физического противодействия деструктивным программным воздействиям и их источникам в условиях возможности их действия по любому маршруту (в предельном случае - по всем маршрутам) информационного направления.

Анализ и обобщение теоретических основ и практики передачи данных в сетях коротковолновой (КВ) радиосвязи с использованием физического разнесения трактов приема и передачи корреспондентов в информационных направлениях, обусловленного особенностями построения КВ (ДВ, СДВ) радиолиний, [Основы радиотехники и связи : учебное пособие // П.П. Березовский. - Екатеринбург: Изд-во Урал. ун-та, 2017.- 212 с.; Комплекс моделей функционирования и управления пакетной радиосетью КВ-диапазона // Беляев Д.О., Канаев А.К., Присяжнюк С.П., Сахарова М.А., Сорокин Р.П. Труды учебных заведений связи. 2020. Т. 6. № 1. С. 32-42.; ГОСТ Р 55711-2013 Комплекс технических средств автоматизированной адаптивной ВЧ (КВ) дуплексной радиосвязи. Алгоритмы работы. М.: Стандартинформ, 2018; Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. - СПб.: Питер, 2016. - 992 с.: ил.] позволили выделить следующую последовательность действий, использованную в предлагаемом способе в качестве прототипа: задают состав и структуру сети связи, обеспечивающих как минимум два физических маршрута в информационных направлениях корреспондентов, требования к маршрутам для передачи различных категорий данных, требуемые скорости для трактов приема и передачи в информационных направлениях; отправитель формирует сеансовый поток данных в информационном направлении, выбирают сеансовый алгоритм маршрутизации в соответствии с категорией передаваемых данных в формируемом потоке, определяют существующие маршруты для трактов приема и передачи в информационном направлении в соответствии с направлениями передачи радиолиний и заданными правилами, выбирают соответствующие требованиям маршруты, передают блоки данных по выбранным маршрутам, состоящим из однонаправленных радиолиний, на каждой транзитной радиостанции (радиоузле) принимают блоки данных и передают их по однонаправленным линиям в соответствии с принятым маршрутом, получатель принимает блоки данных и передает отправителю сообщение об их успешном приеме.

Недостатками способа-прототипа является то, что направление работы радиолиний не может быть изменено, что исключает возможность манипуляции ими с целью блокирования ДПВ и их источников.

Технической проблемой, на решение которой направлено предлагаемое изобретение, является высокая вероятность реализации злоумышленниками деструктивных программных воздействий в современных, входящих в международную информационно-телекоммуникационную систему, сетях связи, результатом системно-технических решений которых является физический доступ корреспондентов информационных направлений и источников ДПВ к общим телекоммуникационным и информационным ресурсам. Кроме того, массово реализуемый объектовый подход к защите множества разноуровневых и разнородных корреспондентов и элементов сетей связи характеризуется разнотипностью оборудования и применяемых технологий в широком диапазоне показателей, технической сложностью и большим перечнем аппаратно-программных средств защиты по значениям их целевых показателей.

Техническая проблема решается за счет последовательного и обоснованного физического блокирования направлений осуществления деструктивных программных воздействий, при их обнаружении, на корреспондентов и элементы сети связи, и полном физическом блокировании корреспондирующего узла связи источника ДПВ при его выявлении.

Технический результат заключается в повышении защищенности корреспондентов и элементов сети связи от деструктивных программных воздействий за счет управляемого физического разнесения в структуре сети связи трактов приема и передачи информационных направлений, исключающего наличие физического пути осуществления деструктивных программных воздействий. Таким образом, возможна реализация перехода от подхода объектовой защиты корреспондентов и элементов сетей связи к подходу изоляции источников ДПВ.

Технический результат достигается тем, что в известном способе передачи данных, заключающемся в том, что задают состав и структуру сети связи, обеспечивающих как минимум два физических маршрута в информационных направлениях корреспондентов, требования к маршрутам для передачи различных категорий данных, требуемые скорости для трактов приема и передачи в информационных направлениях; отправитель формирует сеансовый поток данных в информационном направлении, выбирают сеансовый алгоритм маршрутизации в соответствии с категорией передаваемых данных в формируемом потоке, определяют существующие маршруты для трактов приема и передачи в информационном направлении в соответствии с заданными правилами и выбирают соответствующие требованиям, передают блоки данных по выбранным маршрутам, состоящим из однонаправленных линий связи, на каждом транзитном узле принимают блоки данных и передают их в соответствии с принятым маршрутом по однонаправленным линиям связи, получатель принимает блоки данных и передает отправителю сообщение об их успешном приеме; дополнительно размещают по обеим сторонам всех линий связи управляемые переключатели однонаправленной передачи данных, дополнительно задают правила разнесения трактов приема и передачи, исключающее их пересечение на физических элементах сети, запоминают направление передачи данных в линиях связи; выявляют деструктивные программные воздействия на корреспондентов информационного направления и/или элементы сети связи, поступающие по трактам приема и/или передачи данных и их источники, если источник деструктивных программных воздействий не выявлен, то изменяют и запоминают направление потоков данных на линиях связи маршрута, посредством которых осуществляются деструктивные программные воздействия на корреспондентов информационного направления и/или элементы сети связи, на противоположное, определяют существующие маршруты в тракте информационного направления с изменившимся направлением работы линий связи и выбирают соответствующий требованиям, корректируют маршруты трактов приема и/или передачи данных других информационных направлений, задействовавших линии связи с изменившимися направлениями работы; если источник деструктивных программных воздействий выявлен, то переключают все линии связи корреспондирующего узла источника деструктивных программных воздействий на встречное, по отношению к узлу, направление, запоминают изменения направлений потоков данных в данных линиях связи, корректируют маршруты трактов приема и/или передачи данных информационных направлений, задействовавших корреспондирующий узел источника деструктивных программных воздействий; после завершения сеанса, на следующий сеанс заново, в соответствии с задаваемыми требованиями, выбирают сеансовый алгоритм маршрутизации и определяют маршруты трактов приема и передачи данных с учетом текущих направлений передачи в линиях связи.

Из уровня техники не выявлено решений, касающихся способов передачи данных в сетях связи, характеризующихся заявленной совокупностью признаков, следовательно, что указывает на соответствие заявленного способа условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие способ.

Заявленный способ поясняется чертежами, на которых показаны:

фиг. 1 - блок-схема способа физического разнесения трактов приема и передачи данных в условиях деструктивных программных воздействий;

фиг. 2 - графическое представление двунаправленного маршрута информационного направления А-Б в сети связи;

фиг. 3 - графическое представление двунаправленной (дуплексной) линии связи, обеспечивающей передачу данных многоканальной системы передачи;

фиг. 4 - графическое представление линии связи с управляемыми переключателями направления передачи данных, обеспечивающими однонаправленную передачу данных многоканальной системы передачи;

фиг. 5 - графическое представление однонаправленных маршрутов передачи/приема данных маршрутов информационного направления А-Б корреспондента А/Б в сети связи с управляемыми однонаправленными линиями связи;

фиг. 6 - графическое представление реконфигурации маршрута тракта приема корреспондента А в информационном направлении А-Б в результате ДПВ со стороны его источника и блокирования ДПВ путем переключения направления работы линии связи, по которой поступает ДПВ, на противоположное;

фиг. 7 - графическое представление блокирования источника ДПВ при его обнаружении путем переключения всех линий связи корреспондирующего узла источника ДПВ на встречное.

Заявленный способ реализован в виде блок-схемы моделирования, представленной на фиг. 1.

В блоке 1 фиг. 1задают:

- состав и структуру сети связи, обеспечивающих как минимум два физических маршрута в информационных направлениях корреспондентов. В данном случае, к составу сети относятся структурные элементы - узлы и линии связи. При этом топологию и структуру сети связи принимают в соответствии с текущей телекоммуникационной оснащенностью реального географического фрагмента территории либо моделируют при помощи известных способов моделирования фрагментов сетей связи, инвариантных реальных фрагментам сетей связи, при помощи способов, описанных в [Патент РФ 2546318, МПК G06F 17/10 (2006.01), G06F 17/50 (2006.01), H04W 16/22 (2009.01), опубл. 10.04.2015; патент РФ 2723296, МПК H04W 16/22 (2009.01), G06F 30/27 (2020.01), опубл. 09.06.2020; Беликова И.С., Закалкин П.В., Стародубцев Ю.И., Сухорукова Е.В. Моделирование сетей связи с учетом топологических и структурных неоднородностей // Информационные системы и технологии. 2017. № 2 (100). С. 93-101; Программное обеспечение. Bentley Fiber. Режим доступа: www.bentley.com/ru/products/product-line/utilities-and-communications-networks-software/bentley-fiber]. Данное действие может быть выполнено путем выполнения операций по разработанным и указанным в перечисленных источниках алгоритмам при помощи ЭВМ.

- R категорий данных по различным признакам - вид передаваемых данных, предельное время доставки, приоритет передачи данных и др.;

- варианты алгоритмов маршрутизации для различных категорий данных. Вариант и критерии работы алгоритмов могут зависеть от категории передаваемых данных, времени их актуальности для корреспондентов, категории защиты передаваемой информации, требований к устойчивости информационного направления и т.д. Алгоритмы маршрутизации могут быть уникальными - разрабатываться заново под конкретную задачу, либо возможно использование известных алгоритмов и их модификаций [Основы сетевых технологий на базе коммутаторов и маршрутизаторов / Н.Н. Васин. Бином. Лаборатория знаний, 2017 -270 с.]. Например: Алгоритм Дейкстры (находит кратчайший путь от одной из вершин графа до всех остальных во взвешенном графе. Вес ребер должен быть положительным); Алгоритм Беллмана - Форда (находит кратчайшие пути от одной вершины графа до всех остальных во взвешенном графе. Вес ребер может быть отрицательным); Алгоритм поиска A* (находит маршрут с наименьшей стоимостью от одной вершины (начальной) к другой (целевой, конечной), используя алгоритм поиска по первому наилучшему совпадению на графе); Алгоритм Флойда - Уоршелла (находит кратчайшие пути между всеми вершинами взвешенного ориентированного графа); Алгоритм Джонсона (находит кратчайшие пути между всеми парами вершин взвешенного ориентированного графа); Алгоритм Ли (волновой алгоритм, находит путь между вершинами планарного графа, содержащий минимальное количество промежуточных вершин (ребер); Алгоритм Килдала;

- требования к маршрутам, устанавливающие порядок применения критериев выбора алгоритма маршрутизации (по виду передаваемых данных, предельному времени доставки, приоритета передачи данных и др.) и определяющие условия выбора алгоритма маршрутизации на текущий сеанс в информационном направлении;

- требуемые скорости для трактов приема и передачи в информационных направлениях. Значения объема входящего и исходящего трафика корреспондента отличаются друг от друга, причем отличия могут быть существенными. Это обуславливает различные потребности в скорости передачи данных в трактах приема и передачи информационного направления корреспондента. С учетом разнесения трактов отсутствует необходимость в каналах связи, обеспечивающих двустороннюю передачу данных со скоростью, соответствующей наибольшему значению в двух трактах, что позволит снизить нагрузку на линии связи за счет обеспечения маршрута передачи данных тракта с меньшим объемом трафика. Требуемые скорости в трактах информационного направления могут быть статическими или динамическими, они определяются составом услуг связи каждого корреспондента, интенсивностью, генерируемой нагрузки в информационном направлении, его категорией;

- правила разнесения трактов приема и передачи корреспондента информационного направления, исключающее пересечение этих трактов на физических элементах сети. Данные правила относятся к транзитным элементам маршрутов. К сети связи пользователи подключаются, в данном случае дуплексными линиями, поэтому разнесение трактов приема и передачи пользователя в линии привязки и корреспондирующем узле невозможно.

В блоке 2 фиг. 1 размещают по обеим сторонам всех линий связи по одному управляемому переключателю однонаправленной передачи данных (ПОПД).

Традиционно, передача сигналов (потоков данных) в линиях сети связи осуществляется в обе стороны (двунаправленная передача). Графическое представление двунаправленного маршрута информационного направления А-Б в сети связи показано на фиг. 2, где А и Б - корреспонденты информационного направления, 31 - 47 - узлы сети связи, пунктирной линией с указанием стрелками направления передачи - линия привязки корреспондента к сети связи, сплошной утолщенной линией с указанием стрелками направления передачи - двунаправленная линия связи маршрута информационного направления На фиг. 2 маршрут тракта приема данных корреспондента А от корреспондента Б обеспечивается одними и теми же узлами (40, 39, 36, 37) и линиями связи, что и маршрут тракта передачи данных от корреспондента А корреспонденту Б.

В таких сетях системы передачи работают по линиям связи с двунаправленной передачей сигналов в среде. На фиг. 3 представлена обобщенная схема двунаправленной (дуплексной) линии связи, обеспечивающей передачу данных многоканальной системы передачи в которой:

24 - среда передачи сигналов,

25 - канальное оборудование (КО),

26 - линейное оборудование (ЛО),

27 - оборудование линейного тракта передачи (пер),

28 - оборудование линейного тракта приема (пр).

Размещение управляемых переключателей однонаправленной передачи данных на концах линий связи позволяет реализовать однонаправленную передачу данных в линиях связи.

Однонаправленная передача данных, например, может обеспечиваться путем применения диодов [Диоды и тиристоры. Под. Общ. Ред. А.А. Чернышева. М.: Энергия, 1976. - 200 с., ил.] в электропроводных системах, или оптических изоляторов [Ю. Юрчук. Оптические изоляторы // Фотоника, № 5/59. 2016. - С. 34-41] в оптических системах, пропускающих оптическое излучение в одном направлении.

Переключатель однонаправленной передачи данных можно представить в виде диодной схемы, состоящей из двух диодов и ключа, переключающего линию связи на один из диодов (бл. 29, фиг. 4). Первый диод открыт для тракта приема (бл. 26, фиг.4) линейного оборудования (ЛО) (бл. 28, фиг.4) станционного полукомплекта системы передачи данных, а второй открыт для тракта передачи (бл. 27, фиг.4) (имеет обратное направление по отношению к первому диоду). Наличие ключа не позволяет подключить оба диода одновременно, а однонаправленность диода не позволяет подключить одновременно противоположные тракты системы передачи через ключ, находящийся в одном из положений. Станционный полукомплект с противоположной стороны линии связи подключается к линии противоположным трактом (т.е., если один полукомплект подключается к линии передающим трактом, то второй полукомплект - приемным). Полукомплекты других систем передачи, к данной линии связи, подключаются через те же ПОПД. Таким образом, линия связи (включая среду передачи (бл. 24, фиг. 4)) становится однонаправленной, образованные каналообразующим оборудованием (КО) (бл. 25, фиг. 4) системы передачи N каналов связи (кс) так же, внутри потока данных (линейного спектра), имеют только один тракт в линии связи. Второй тракт каналов связи и системы передачи подключается к другой линии связи. На фиг. 5 показано графическое представление однонаправленных маршрутов передачи/приема данных маршрутов информационного направления А-Б корреспондентов А и Б в сети связи с управляемыми однонаправленными линиями связи, где 31 - 47 - узлы сети связи. Все линии связи между узлами данной сети связи являются однонаправленными, направление передачи в которых на фиг. 5 показано при помощи условного обозначения . Маршрут тракта передачи корреспондента А в информационном направлении А-Б обеспечивается узлами связи №№ 40, 41, 42, 37 фиг. 5 и обозначен утолщенной линией со стрелкой, указывающей направление передачи . Маршрут тракта приема корреспондента А в информационном направлении А-Б обеспечивается узлами связи №№ 37, 36, 39, 40, фиг. 5). Таким образом, обеспечивается разнесение трактов приема и передачи данных систем передачи данных при их прохождении через транзитные узлы связи.

В блоке 3 отправитель формирует сеансовый поток данных в информационном направлении, характеристики которого (вид передаваемых данных, предельное время доставки, приоритет передачи данных и др.) определяют условия выбора алгоритма маршрутизации на текущий сеанс в информационном направлении.

В блоке 4 выбирают сеансовый алгоритм маршрутизации в соответствии с категорией передаваемых данных в формируемом потоке. Маршрутизация, как правило, является многокритериальной задачей, поэтому условия выбора алгоритма должны ранжировать эти критерии - определять последовательность применения критериев выбора.

В блоке 5 определяют существующие маршруты для трактов приема и передачи в информационном направлении в соответствии с заданными правилами. Определение маршрутов может быть осуществлено при помощи ЭВМ по известным алгоритмам [Стародубцев П.Ю., Сухорукова Е.В., Закалкин П.В. Способ управления потоками данных распределенных информационных систем // Проблемы экономики и управления в торговле и промышленности. 2015. № 3 (11). С. 73-78; Основы сетевых технологий на базе коммутаторов и маршрутизаторов / Н.Н. Васин. Бином. Лаборатория знаний, 2017 -270 с.; Патент 2690213 Российская Федерация, G06N 5/00 (2018.08); H04W 16/22 (2018.08). Способ моделирования оптимального варианта топологического размещения множества информационно взаимосвязанных абонентов на заданном фрагменте сети связи общего пользования / Вершенник А.А., Вершенник Е.В., Латушко Н.А., Стародубцев Ю.И., заявитель Латушко Н.А., Стародубцев Ю.И. - 2018118104; заявл. 16.05.2018; опубл. 31.05.2019. бюлл. № 16 - 17 с.]. Маршруты определяют попарно для тракта приема и передачи корреспондента, в соответствии с их правилами разнесения, между корреспондирующими узлами информационного направления.

В блоке 6 выбирают соответствующие требованиям маршруты в трактах приема и передачи данных с учетом правил их разнесения, заданных в исходных данных.

В блоке 7 запоминают направление передачи данных в линиях связи.

В блоке 8 передают блоки данных по выбранным маршрутам, состоящим из однонаправленных линий связи.

В блоке 9 на каждом транзитном узле принимают блоки данных. Передача-прием блоков данных осуществляется посредствам систем передачи (например - системы DWDM «Волга» компании «Т8»; режим доступа: «http://t8.ru/?page_id=3600», дата обращения 08.10.2020)

В блоке 10 передают блоки данных в соответствии с принятым маршрутом по однонаправленным линиям связи. Маршрутизация может осуществляться различными средствами (маршрутизатора [например - маршрутизаторы серии NCS 5500 компании «Cisco»; режим доступа: https://www.cisco.com/c/en/us/products/routers/network-convergence-system-5500-series/index.html , дата обращения 08.10.2020], коммутатора с функцией маршрутизации [например - коммутатор ML-IPSW2516-4SFP-IND компании «Микролинк-Связь»; режим доступа: http://microlink.ru/ml-ipsw/ , дата обращения 19.09.2020]).

В блоке 11 выявляют деструктивные программные воздействия на корреспондентов информационного направления и/или элементы сети связи, поступающие по трактам приема и/или передачи данных и их источники

Деструктивные программные воздействия - любые целенаправленные программно-аппаратные воздействия на информационно-телекоммуникационные средства, приводящее к нарушению или снижению эффективности выполнения технологических циклов управления в информационной системе [Климов С.М., Сычев М.П., Астрахов А.В. «Экспериментальная оценка противодействия компьютерным атакам на стендовом полигоне»]. Выявление деструктивных программных воздействий (ДПВ) возможно на основе установления отклонений характеристик показателей элементов сети от их штатных диапазонов значений в текущих режимах работы и при текущей нагрузке [Оценка эффективности деструктивных программных воздействий на сети связи / Гречишников Е. В., Добрышин М. М. Системы управления, связи и безопасности, № 2, 2015. - С. 135-146].

Выявление ДПВ и их источников возможно, например, посредством системы обнаружения атак (СОА) «ФОРПОСТ» [Система обнаружения атак «ФОРПОСТ» версии 2.0 Электронный ресурс доступа: «http://www.rnt.ru/ru/production/detail.php?ID=19». В случае обнаружения СОА ДПВ для всех пар «источник ДПВ - объект воздействия» определяют крайний узел с которого поступили IP пакеты определенные СОА как ДПВ. Определение маршрута осуществляется с помощью утилиты tracert. [Использование команды TRACERT для устранения неполадок TCP/IP в Windows. Электронный ресурс. Режим доступа: https://support.microsoft.com/ru-ru/help/314868.] Данная утилита является одним из наиболее часто используемых инструментов сетевой диагностики. Основное ее назначение - получить цепочку узлов, через которые проходит IP-пакет, адресованный конечному узлу, имя или IP-адрес которого задается параметром командной строки. Результатом работы утилиты будет маршрут, по которому прошли пакеты определенные СОА как ДПВ, где крайним будет маршрутизатор с которого поступали данные пакеты.

В блоке 12 фиг.1 контролируют факт выявления источника деструктивных программных воздействий.

Если источник ДПВ не выявлен, то в блоке 13 фиг. 1 изменяют направление потоков данных в линиях связи маршрута, посредством которых осуществляются деструктивные программные воздействия на корреспондентов информационного направления и/или элементы сети связи, на противоположное. Например, при осуществлении ДПВ посредством линии связи между узлами 39, 40 (фиг. 6) направление потоков данных в ней изменяют на противоположное. На фиг. 6 корреспондент А информационного направления А-Б, подвергшийся деструктивному программному воздействию, обозначен серым кругом, источник деструктивных программных воздействий (ИДПВ) обозначен серым треугольником, линия привязки ИДПВ обозначена пунктирной линией с указанием стрелкой направления передачи ДПВ , направление деструктивного программного воздействия в сети связи обозначено стрелкой с соответствующей надписью ДПВ . Изменение направления потоков данных в линиях осуществляется посредством управляемых переключателей однонаправленной передачи данных (блок 2, фиг. 1), размещенных по обеим сторонам линий связи (бл. 29, фиг. 4). Изменение направления потоков данных в линии между узлами 39 и 40 фиг. 6 обозначено при помощи условного обозначения . Выполнение данного действия исключает осуществление деструктивных программных воздействий на корреспондентов информационного направления и/или элементы сети связи по сформированному маршруту проведения ДПВ.

В блоке 14 фиг. 1запоминают изменения в направлениях передачи данных в линиях связи.

В блоке 15 фиг. 1 определяют существующие маршруты в тракте информационного направления с изменившимся направлением работы линий связи. Определение маршрутов может быть осуществлено при помощи ЭВМ по известным алгоритмам [Стародубцев П.Ю., Сухорукова Е.В., Закалкин П.В. Способ управления потоками данных распределенных информационных систем // Проблемы экономики и управления в торговле и промышленности. 2015. № 3 (11). С. 73-78; Основы сетевых технологий на базе коммутаторов и маршрутизаторов / Н.Н. Васин. Бином. Лаборатория знаний, 2017 -270 с.; Патент 2690213 Российская Федерация, G06N 5/00 (2018.08); H04W 16/22 (2018.08). Способ моделирования оптимального варианта топологического размещения множества информационно взаимосвязанных абонентов на заданном фрагменте сети связи общего пользования / Вершенник А.А., Вершенник Е.В., Латушко Н.А., Стародубцев Ю.И., заявитель Латушко Н.А., Стародубцев Ю.И. - 2018118104; заявл. 16.05.2018; опубл. 31.05.2019. бюлл. № 16 - 17 с.]. Маршруты определяют попарно для тракта приема и передачи корреспондента, в соответствии с их правилами разнесения, между корреспондирующими узлами информационного направления (например, маршрут тракта передачи корреспондента А в информационном направлении А-Б остается неизменным (обеспечивается узлами связи №№ 40, 41, 42, 37, фиг. 6), т.к. в нем не выявлены ДПВ; маршрут тракта приема корреспондента А в информационном направлении А-Б изменен с учетом правил разнесения трактов (обеспечивается узлами связи №№ 37, 36, 35, 34, 38, 40, фиг. 6), в обход узла связи (№ 39, фиг. 6) со стороны которого, по указанной выше линии, осуществлялось ДПВ).

В блоке 16 выбирают соответствующие требованиям маршруты с учетом правил их разнесения, заданных в исходных данных.

В блоке 17 корректируют маршруты трактов приема и/или передачи данных других информационных направлений, задействовавших линии связи с изменившимися направлениями работы. Коррекция маршрутов осуществляется на основе действий, осуществляемых в блоках 15-16.

Использование ресурсов постоянной памяти телекоммуникационного оборудования узлов связи позволит обеспечить целостность потоков данных, нарушение которой возникает в следствии временных задержек [патент РФ № 2734021 C1, H04L 12/54, опубл. от 12.10.2020 г.], появляющихся при выполнении действий блоков 13-17, 18-20.

Если в блоке 12 фиг. 1 выявлен факт установления источника деструктивных программных воздействий, то в блоке 18 фиг. 1 переключают все линии связи корреспондирующего узла источника деструктивных программных воздействий на встречное, по отношению к узлу, направление, что позволяет физически заблокировать передачу данных от этого узла (например, изменение направления потока данных в линиях связи меду узлами 34, 39 и 40, 39 приводит к тому, что у узла 39 отсутствуют передающие линии - следовательно, этот узел заблокирован на передачу до устранения угрозы ДПВ (39, фиг. 7). На фиг. 7 заблокированный корреспондирующий узел связи источника деструктивных программных воздействий 39 заштрихован . Изменение направления потоков данных в линиях осуществляется посредством управляемых переключателей однонаправленной передачи данных (бл. 2, фиг. 1), размещенных по обеим сторонам линий связи (бл. 29, фиг. 4). Выполнение данного действия исключает возможность целевого функционирования источника ДПВ по отношению к любому объекту сети кроме его корреспондирующего узла связи. Так как корреспондирующий узел связи не будет иметь ни одной исходящей линии связи, то все информационные направления, использующие его как транзитный узел, изменят свои маршруты с исключением данного узла.

Таким образом возможна реализация перехода от подхода объектовой защиты корреспондентов и элементов сетей связи к подходу изоляции источников ДПВ.

В блоке 19 запоминают изменения в направлениях передачи данных в линиях связи.

В блоке 20 корректируют маршруты трактов приема и/или передачи данных информационных направлений, задействовавших корреспондирующий узел источника деструктивных программных воздействий. Коррекция маршрутов осуществляется на основе действий, осуществляемых в блоках 15-16.

В блоке 21 получатель принимает блоки данных и в блоке 22 передает отправителю сообщение об успешном приеме блоков данных. Периодичность проверки может задаваться на наихудший случай [патент РФ № 2623791 C1, G06F 19/00, G05B 23/00, опубл. 29.06.2017 г.], либо оптимизироваться в соответствии с интенсивностью изменения показателей состояния элементов системы [патент РФ № 2718152 C1, G06F 17/10, G05B 23/00, опубл. 30.03.2020 г.].

В блоке 23 с заданной периодичностью проверяют степень завершенности сеанса.

Если текущий сеанс информационного направления не завершен (не все блоки данных приняты), то переходят к блоку 11.

Если все блоки данных приняты, то в завершают текущий сеанс информационного направления. После завершения сеанса, на следующий сеанс заново, в соответствии с задаваемыми требованиями, выбирают сеансовый алгоритм маршрутизации и определяют маршруты трактов приема и передачи данных с учетом текущих направлений передачи в линиях связи.

Таким образом, за счет управляемого физического разнесения в структуре сети связи трактов приема и передачи информационных направлений, исключающего наличие физического пути реализации деструктивных программных воздействий, повышается защищенность корреспондентов и элементов сети связи от деструктивных программных воздействий.

Способ разнесенной передачи данных в условиях деструктивных программных воздействий, заключающийся в том, что задают состав и структуру сети связи, обеспечивающих как минимум два физических маршрута в информационных направлениях корреспондентов, требования к маршрутам для передачи различных категорий данных, требуемые скорости для трактов приема и передачи в информационных направлениях, отправитель формирует сеансовый поток данных в информационном направлении, выбирают сеансовый алгоритм маршрутизации в соответствии с категорией передаваемых данных в формируемом потоке, определяют существующие маршруты для трактов приема и передачи в информационном направлении в соответствии с заданными правилами и выбирают соответствующие требованиям, передают блоки данных по выбранным маршрутам, состоящим из однонаправленных линий связи, на каждом транзитном узле принимают блоки данных и передают их в соответствии с принятым маршрутом по однонаправленным линиям связи, получатель принимает блоки данных и передает отправителю сообщение об их успешном приеме, отличающийся тем, что размещают по обеим сторонам всех линий связи управляемые переключатели однонаправленной передачи данных, дополнительно задают правила разнесения трактов приема и передачи, исключающее их пересечение на физических элементах сети, запоминают направление передачи данных в линиях связи, выявляют деструктивные программные воздействия на корреспондентов информационного направления и/или элементы сети связи, поступающие по трактам приема и/или передачи данных и их источники, если источник деструктивных программных воздействий не выявлен, то изменяют и запоминают направление потоков данных на линиях связи маршрута, посредством которых осуществляются деструктивные программные воздействия на корреспондентов информационного направления и/или элементы сети связи, на противоположное, определяют существующие маршруты в тракте информационного направления с изменившимся направлением работы линий связи и выбирают соответствующий требованиям, корректируют маршруты трактов приема и/или передачи данных других информационных направлений, задействовавших линии связи с изменившимися направлениями работы, если источник деструктивных программных воздействий выявлен, то переключают все линии связи корреспондирующего узла источника деструктивных программных воздействий на встречное по отношению к узлу направление, запоминают изменения направлений потоков данных в данных линиях связи, корректируют маршруты трактов приема и/или передачи данных информационных направлений, задействовавших корреспондирующий узел источника деструктивных программных воздействий, после завершения сеанса, на следующий сеанс заново в соответствии с задаваемыми требованиями выбирают сеансовый алгоритм маршрутизации и определяют маршруты трактов приема и передачи данных с учетом текущих направлений передачи в линиях связи.