Система управления безопасностью мобильного вычислительного устройства

 

Полезная модель относится к системам безопасности вычислительных устройств и более конкретно к системам управления безопасностью мобильного вычислительного устройства и предназначена для обеспечения эффективной защиты мобильного вычислительного устройства от кибер-угроз. Технический результат, заключающийся в оптимальном управлении безопасностью мобильного вычислительного устройства, достигается за счет автоматического выбора запущенных сервисов защиты и их настройки эффективности с учетом риска опасности в месте географического положения мобильного устройства и уровня заряда аккумулятора. Данная система позволяет экономить заряд аккумулятора и изменять настройки модуля безопасности в зависимости от местоположения, сохраняя эффективную защиту мобильного устройства.

Область техники

Настоящая полезная модель относится к системам безопасности вычислительных устройств и более конкретно к системам управления безопасностью мобильного вычислительного устройства.

Уровень техники

В современном мире стремительно растет количество мобильных вычислительных устройств (МВУ), таких как ноутбуки, нетбуки, карманные портативные компьютеры (КПК) и многофункциональные коммуникаторы (смартфоны) под управлением операционных систем Symbian, Windows Mobile, Android, iPhoneOS, BlackBerry OS и др. Пользователи проявляют повышенный интерес к широкополосному доступу в Интернет по беспроводным каналам связи: к ускоренному доступу в Интернет на основе цифровой технологии для мобильной связи EDGE; 3G (также и 3.5G) - высокоскоростному мобильному доступу с услугами сети Интернет; различным сетям Wi-Fi (по стандартам IEEE 802.11 a/b/g/n), а также WiMAX (по стандартам IEEE 802.16) и др. При скорости передачи данных, которая приближается к десяткам мегабит в секунду, особенно возрастает риск того, что пользователь может получить вредоносную программу наряду с полезными данными.

Важными критериями для МВУ являются, например, малые габариты (компактность), мобильность, функциональность и время автономной работы. Все эти факторы сдерживают рост производительности таких устройств и накладывают ограничения на выполнение приложений, использующих значительную часть ресурсов системы (процессорной мощности, оперативной памяти и др.). В частности, к таким приложениям относятся и системы по обеспечению безопасности МВУ.

Актуальным становится вопрос создания системы управления безопасностью МВУ, способствующей рационализации использования ресурсов устройства. В данной заявке описывается система, позволяющая экономить заряд аккумулятора и изменять настройки модуля безопасности в зависимости от местоположения, сохраняя при этом эффективность защиты МВУ.

Известны системы, которые предназначены для защиты МВУ. Подобные системы позволяют создавать защищенные каналы связи, задавать политику безопасности МВУ, обнаруживать вредоносные программы и спам.

В заявках JP20030288275 и W006/076536 описаны системы для настройки безопасности МВУ в зависимости от его местонахождения. При этом описаны различные архитектуры защиты устройства и поддержка политик безопасности. Данные системы не обладают комплексным подходом в управлении безопасности, так как не учитывают заряд батареи и поведение пользователя.

Система для распределенных приложений для балансировки нагрузки раскрывается в патентной заявке US20030120502. Данная система также предусматривает различные архитектуры системы, такие как тонкий и толстый клиент. Данная система решает задачу экономного расхода электроэнергии, тогда как система управления безопасностью МВУ осуществляет контроль расхода энергии и с учетом этого настраивает модули системы безопасности.

Фильтрация данных для предотвращения несанкционированного доступа к МВУ реализована в патенте US7174566 и W006/1131124. В них раскрывается идея сетевого экрана, работающего на уровне пакетов и приложений. Для приложений предусмотрена политика безопасности с учетом известных угроз. Сетевой экран анализирует различные порты для определения атак.

Описываемая полезная модель позволяет более эффективно и результативно решить задачу управления безопасностью на МВУ. Преимущества заключаются в настройке модулей безопасности адаптивно, в зависимости от местоположения, уровня заряда батареи и типа пользователя.

Сущность полезной модели

Настоящая полезная модель предназначена для решения проблемы обеспечения эффективной защиты мобильного вычислительного устройства от кибер-угроз. Техническим результатом настоящей полезной модели является оптимальное управление безопасностью мобильного вычислительного устройства. Описанная далее система позволяет экономить заряд аккумулятора и изменять настройки модуля безопасности в зависимости от местоположения, сохраняя эффективную защиту мобильного устройства. Согласно системе управления безопасностью мобильного вычислительного устройства, содержащей: (а) устройство контроля аккумулятора, предназначенное для отслеживания уровня и расхода электроэнергии, связанное с устройством управления настраиваемым модулем безопасности; (b) настраиваемый модуль безопасности, предназначенный для реализации сервисов защиты мобильного устройства, связанный с устройством управления настраиваемым модулем безопасности; (с) устройство локализации, предназначенное для определения местоположения мобильного устройства, связанное с базой данных профилей локализации; (d) базу данных профилей локализации, предназначенную для хранения информации о рисках опасности множества точек входа в сеть с различными местоположениями, связанную с устройством управления настраиваемым модулем безопасности; (е) устройство классификации пользователей, предназначенное для отнесения пользователя к типу пользователей по действиям, предпринимаемым в мобильном вычислительном устройстве, путем сравнения действий с моделями пользователей, хранящимися в базе данных профилей пользователей, связанное с устройством управления модулем безопасности; (f) устройство анализа действий пользователя, предназначенное для сбора статистики действий пользователя в мобильном устройстве и передачи полученных данных устройству классификации пользователей; (g) базу данных профилей пользователей, предназначенную для хранения моделей пользователей, содержащих, по меньшей мере, данные о поведении пользователей и статистику действий пользователей, которая связана с устройством определения типа пользователя; (h) устройство управления настраиваемым модулем безопасности, предназначенное для оценки риска опасности, используя профили локализации, которые хранятся в базе данных профилей для местоположения мобильного устройства, связанное с устройством контроля аккумулятора и динамически настраивающее сервисы защиты, реализуемые в модуле безопасности.

В частном варианте реализации мобильное вычислительное устройство может представлять собой такие устройства, как ноутбук, нетбук, смартфон, мобильный телефон, коммуникатор, тонкий клиент и содержит, по меньшей мере, процессор, память, аккумулятор и устройство связи, обеспечивающее соединение для мобильного устройства.

Еще в одном частном варианте устройство связи использует для соединения стандартные протоколы связи.

В другом частном варианте реализации устройство контроля аккумулятора предназначено для измерения оставшегося заряда аккумулятора, количества потребляемой мощности, расчета времени работы мобильного устройства без подзарядки в зависимости от количества включенных сервисов защиты.

В другом частном варианте реализации модуль безопасности включает следующие сервисы защиты: антивирус, предназначенный, по меньшей мере, для сигнатурного и эвристического анализа; антиспам, предназначенный для фильтрации почтовых сообщений мобильного устройства; контроль приложений, отслеживающий доступ приложений к критическим областям операционной системы и несанкционированные действия; межсетевой экран, предназначенный для контроля подключения к мобильному устройству по сети; резервное копирование; (рас-)шифрование данных.

В другом частном варианте реализации сервисы защиты обладают настройкой эффективности, в зависимости от которой изменяется уровень безопасности мобильного устройства и потребление мощности аккумулятора, причем потребление мощности тем больше, чем выше уровень эффективности сервиса защиты.

В другом частном варианте реализации устройство локализации, предназначенное для определения местоположения по GPS и/или с помощью позиционирования в сотовых сетях и/или с помощью позиционирования относительно Wi-Fi станций и/или с помощью сетевых сервисов стека ТСР/IР.

В другом частном варианте реализации профиль локализации включает в себя, по меньшей мере, наименование локальной сети, ее местоположение, степень риска опасности работы в данной сети и минимальные настройки модуля безопасности, и хранится в базе данных, при этом с одним местоположением может существовать несколько локальных сетей.

В другом частном варианте реализации база данных профилей локализации хранится на удаленном сервере, соединенном с мобильным устройством по средствам устройства связи, и/или в памяти мобильного устройства.

В другом частном варианте реализации множеством точек входа в сеть является набор устройств, обеспечивающих соединение между собой мобильных устройств и подключение мобильного устройства к ресурсам интернета.

В другом частном варианте реализации предлагает пользователю и/или автоматически подключает мобильное вычислительное устройство к наиболее безопасной сети, если доступно сразу несколько точек входа в сеть.

В другом частном варианте реализации устройство управления настраиваемым модулем безопасности для определенного устройством позиционирования местоположения предназначено для нахождения локальных сетей, соответствующие этому местоположению, в базе данных профилей локализации, и для этой сети находит риски опасности.

В другом частном варианте реализации устройство управления упомянутым настраиваемым модулем безопасности выполнено с возможностью определять наименование локальной сети по информации о подключении к ней и для данной локальной сети находит в базе данных профилей локализации риски опасности.

В другом частном варианте реализации устройство управления настраиваемым модулем безопасности выполнено с возможностью в зависимости от риска опасности подключать сервисы защиты и изменяет их уровень эффективности, причем, чем больше риск, тем больше количество включенных сервисов и выше уровень их эффективности.

В другом частном варианте реализации устройство управления настраиваемым модулем безопасности в зависимости от данных, полученных от устройства контроля аккумулятора, подключает сервисы защиты и изменяет их уровень эффективности, причем, чем больше оставшаяся емкость аккумулятора, тем больше кол-во включенных сервисов и выше уровень их эффективности.

В другом частном варианте реализации в случае, если количество работающих сервисов защиты, определенных уровнем заряда аккумулятора и/или местоположением и/или типом пользователя, и/или настройки эффективности, определенные уровнем заряда аккумулятора и/или местоположением и/или типом пользователя, отличаются, то пользователю предлагается выбрать между вариантами настройки.

Краткое описание прилагаемых чертежей

Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания полезной модели и составляют часть этого описания, показывают варианты осуществления полезной модели и совместно с описанием служат для объяснения принципов полезной модели.

Заявленная полезная модель поясняется следующими чертежами, на которых:

Фиг.1 показывает структурную схему мобильного вычислительного устройства.

Фиг.2а показывает схему использования сервера безопасности для защиты мобильного вычислительного устройства.

Фиг.2б показывает схему использования системы безопасности в составе мобильного вычислительного устройства.

Фиг.3 показывает систему безопасности с разделением на серверную и клиентскую части, а также входящие в их состав устройства.

Фиг.4 показывает варианты установки системы безопасности на мобильное устройство.

Фиг.5 показывает схему разделения информационного пространства на области с различными уровнями безопасности.

Фиг.6 показывает пример базы данных профилей локализации.

Фиг.7 показывает схему работы устройства позиционирования, что позволяет определить местоположение мобильного вычислительного устройства в пространстве проводных и/или беспроводных сетей.

Фиг.8 показывает структурную схему системы управления безопасностью МВУ.

Фиг.9 показывает алгоритм отключения и сервисов защиты в зависимости от уровня заряда аккумулятора.

Фиг.10 показывает пример более детальной настройки сервиса защиты.

Фиг.11 показывает возможность улучшения защиты данных при их передаче через зашифрованный канал.

Фиг.12 показывает работу двойного сетевого экрана более детальным образом.

Фиг.13 показывает таблицу профилей пользователей.

Подробное описание предпочтительных вариантов осуществления

Объекты и признаки настоящей полезной модели, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящая полезная модель не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.

Мобильное вычислительное устройство (МВУ) в общем случае необходимо для работы исключительно пользовательских приложений, называется так по причине того, что его удобно брать с собой в дорогу, на работу, домой, отдых. В связи с этим особенностями МВУ являются легкий вес и небольшая производительность. Питается такое устройство от аккумулятора или батареи питания, заряда которой хватает менее чем на 30 часов работы без подзарядки от сети, а при более интенсивной работе заряд батареи тратиться менее чем за половину суток. В связи с этим встает вопрос оптимального использования этих ресурсов для поддержания работы устройства в сети Интернет и носителями информации, в том числе учитывая вопрос безопасности и сохранности данных.

На данный момент очень быстро развивается рынок компактных устройств, которые также имеют полноценный доступ в Интернет. Это происходит благодаря введению новых технических процессов при создании новейших микросхем, а также применению современных стандартов связи и улучшения инфраструктуры.

Одним из примеров является Intel Atom - новейший процессор для небольших устройств, который найдет свое применение как в нетбуках, так и в новых разработках, которые названы MID-устройствами (например, Moorestown).

Выделим основные мобильные устройства, для которых позиционируется описываемая система. Подобные мобильные устройства должны обладать сложной архитектурой для того, чтобы на них можно было поставить много приложений. К таковым можно отнести: нетбуки (netbooks), планшетные ПК (Ultra-Mobile PC, UMPC), наладонники (Handheld PC), некоторые смартфоны (Smartphone) и коммуникаторы. Как уже было упомянуто, в будущем они могут все перейти в разряд одних устройств под названием MID (Mobile Internet Device), которые позволяют выходить в Интернет на уровне самых технологичных сетей, сочетают (к этому идет нарастающая тенденция) сенсорный экран (touch-screen), т.е. отсутствие клавиатуры, интуитивный интерфейс, возможность использования большого количества приложений.

Понятно, что недостатком для небольших портативных устройств остается емкость батареи. Если для смартфонов и наладонников при не очень большой нагрузке емкости хватает буквально на день, то у нетбуков заряда батареи хватает на несколько часов при непрерывной работе.

При этом надо отметить, что работающие приложения напрямую влияют на скорость расхода заряда батареи - основными потребителями в подобных устройствах являются экран и устройства коммуникации (чипы WiFi, 3G и т.д.). Помимо этого, большую роль играет и частота процессора, чипы хранения данных (обычно это флэш), используемая периферия (например, динамик).

Структурная схема МВУ показана на Фиг.1. Приложения пользователя загружаются в память 120 и исполняются в процессоре 110. Работа устройств, входящих в состав МВУ, контролируется процессором 110. GPS-модуль 130 определяет местоположение МВУ по связям со спутниками. Устройство связи 140 осуществляет связь МВУ с другими устройствами с использованием протоколов модели OSI, по таким стандартам, как, например: IRDA, USB, EIA RS-232, EIA-422, EIA-423, RS-449, RS-485, Ethernet, 802.11Wi-Fi, DSL, ISDN, SONET/SDH, GSM Um radio interface, IEEE 802.15, ITU и ITU-T, Firewire, TransferJet, Etherloop, ARINC 818, G.hn/G.9960. Среди них есть как проводные, так и беспроводные стандарты связи. Питание процессора 110, GPS-модуля 130, устройства связи 140 осуществляется при помощи аккумулятора 150.

На фиг.2а изображена схема, по которой защиту от различных угроз для клиентского устройства 250 и установленных на нем приложений 260 обеспечивает сервер 200, который контролирует трафик, идущий к сети 240 из Интернета (внешней сети) 210. К мобильным вычислительным устройствам (МВУ) 250 относятся как обычные ноутбуки, так и субноутбуки (нетбуки), а также различные коммуникаторы. В качестве сети может быть, например, корпоративная сеть в которой работает клиент. На сервере 200 установлены различные приложения 230, которые работают совместно с клиентскими приложениями 260 - примером подобного приложения может быть веб-сервер. Помимо подобных приложений на сервере должны быть и обеспечивающие безопасность. Для управления ими а также для изменения различных настроек предусмотрено приложение - консоль управления 220. Эта консоль имеет собственный графический интерфейс, который позволяет администратору сервера в режиме реального времени настраивать приложения и изменять различные настройки (в том числе и настройки безопасности). Важно отметить, что с помощью данной консоли администратор может настраивать как приложения безопасности, так и различные другие приложения, работающие на сервере. Основной целью подобной архитектуры является уменьшение нагрузки на вычислительные ресурсы МВУ, удаленная настройка, а также дополнительная защита связи при работе в глобальной сети Интернет.

На фиг.2б изображена схема работы клиентского устройства, которое используется пользователем в незащищенной сети. Такое может произойти, когда пользователь пытается выйти в Интернет 270 из кафе или гостиницы, пытается загрузить обновление для программы, находясь в аэропорту и т.п.

Клиентское устройство 260 должно быть снабжено собственной системой безопасности, которая заключена в приложении 285. С помощью собственной консоли управления 280 пользователь может настраивать уровень защиты в зависимости от того, где он находится или по собственному желанию. Таким образом, можно обеспечить защиту для пользовательских приложений 290 и данных пользователя.

В системе имеются следующие модули, которые могут находиться на мобильном устройстве (показаны на Фиг.3):

Устройство шифрования, которое работает только при подключении к серверу безопасности. Эффективность и ресурсоемкость данного модуля определяется размерами ключей шифрования. Таким образом снизить потребление ресурсов можно, уменьшив размер ключа шифрования или выбрав более простой алгоритм шифрования (например вместо 3DES использовать 2DES).

Локальная база данных местоположений содержит информацию о сети, в частности координаты, точки доступа, риски опасности и хранится в памяти мобильного устройства или на удаленном сервере. При долговременном нахождении пользователя в одном месте база отключается. Поддержка этой базы в плане ресурсопотребления минимальна. Устройство для определения местоположения мобильного устройства известно из уровня техники и часто является составляющим мобильного устройства (например, встроенный GPS-приемник). Функции этого устройства так же может выполнять устройство связи, измеряя метрику передающихся пакетов.

Консоль управления необходима пользователю для управления системой. Консоль включается только в случае необходимости ручного ввода и не потребляет много ресурсов.

Сетевой экран осуществляет контроль устройства связи, который выявляет активность портов и запущенных приложений. В этом модуле можно создавать правила для приложений и входящего графика.

Антивирус с базой данных описания угроз осуществляет проверку файловой системы и запускаемых программ. Размер базы данных напрямую связан со скоростью поиска, поэтому для ускорения и экономии ресурсов можно уменьшать рабочую область базы угроз. В рамках системы существует возможность установки и управления множеством запущенных антивирусных ядер.

Фиг.3 показывает систему с точки зрения сервера и клиента. Приведены все ключевые модули. Со стороны сервера можно выделить следующие модули: глобальная база данных локаций 395, консоль администратора 351, который может задавать правила настройки 352 (например, красный, желтый, зеленый уровни безопасности), более детальные настройки 353, которые подчиняются правилам настроек, также система двойного межсетевого экрана 375 и 380, базы данных спама 370, резервного хранилища 365 и описания угроз 355, антивирусное ядро 360, модуль балансировки 390, средство для (рас-)шифрования 325 передаваемых данных. Модель спам- и DoS- анализатора 385 может быть вынесена из системы аппаратно - т.е. представлена в виде отдельного компьютера.

На стороне пользователя в минимальном исполнении присутствует консоль управления 305 с заданными пользователем настройками 310 (изначально они заданы по умолчанию), пользовательская база данных локаций 340. При более полной установке также доступны модули отдельного межсетевого экрана 330, антивируса 320 с базой данных 315, устройства шифрования для поддержания защищенного канала связи с сервером 325, а также базу данных резервного хранилища 335. Полная установка всех компонентов позволит пользователю работать автономно и в незащищенной сети, а в защищенной, появляется возможность снизить нагрузку на сервер.

Система клиента включает три слоя: бизнес-логика, которая представлена непосредственно пользователю, сервисы, которые представляют пользовательские данные (например, запрос в браузере) в понятном для самих приложений (например, тот же браузер) виде. При обращении к серверу от клиентского устройства создается соединение, которое обрабатывается через систему, включающую двойной межсетевой экран, а также веб-сервер с серверными службами. Веб-сервер предназначен для установления пользовательских сессий, аутентификации пользователей, а серверные службы обеспечивают связь с базами данных и другими службами. Данная архитектура позволяет улучшить защищенность системы, так как веб-сервера в данном случае передают только данные, которые требуются клиенту.

Отдельного упоминания заслуживает система балансировки нагрузки. Эту систему также может настраивать администратор. Система балансировки может распределять нагрузку между процессорными ядрами, а также может выполнять распараллеливание нагрузки между вычислительным ядрами системы, что позволяет более эффективно использовать вычислительные ресурсы сервера.

Анализатор спама и DoS атак представляет собой систему-приманку (Honeypot), выполненную в виде отдельного компьютера или виртуальной системы. Система-приманка может выполнять не только функции фильтра спама и вредоносной почты, но также использоваться для своевременного обнаружения DoS и других хакерских атак из внешней сети на хост из защищенной сети. Использование системы-приманки в качестве анализатора спама заключается в создании второго почтового ящика (или пользовательского профиля) пользователя с аналогичным названием из защищенной системы, что позволяет фильтровать спам и различные сообщения (не только электронную почту) с вложенными вредоносными программами с помощью различных методов еще до того, как эти сообщения попадут к пользователю. Система также позволяет обновлять базу спама и реагировать на новые угрозы, что отражается в выработке правил противодействия.

Пользователь всегда может воспользоваться резервным копированием, сохранив нужные ему данные в резервной базе данных. При этом для пользователя может быть выделена соответствующая квота, которая может быть настроена с помощью администратора. Также пользователь может сохранить все нужные ему данные на своем компьютере. На фиг.4 изображены примеры установки настоящей системы. Она может быть установлена в полном объеме, как показано на Фиг.4а, и тогда пользователь может быть уверен в том, что система защищена вне зависимости от того, где осуществляется подключение к сети. При этом может быть выбран вариант снижения нагрузки на МВУ 400 (компьютер), если он находится в защищенной сети - модуль безопасности 410, установленный на сервере 420, возьмет на себя всю нагрузку. Такой тип установки показан на Фиг.4б. Если пользовательское МВУ обладает малыми ресурсами (например, коммуникатор), то он выбирает минимальную установку, которая изображена на Фиг.4в, при которой он будет в безопасности в защищенной сети, а в незащищенной сети будет использовать свое устройство на свой страх и риск или осуществлять связь через защищенное соединение с сервером безопасности.

Как правило, человек в своей жизнедеятельности связан с небольшим количеством информационных сетей: домашняя, рабочая, общественное место (кафе, метро и т.д.). Каждая сеть обладает различными уровнями защиты информации, но при этом можно выделить соответствующие профили, которые показаны на Фиг.5. Можно отметить, что общедоступные сети (мобильные, wifi в ресторанах и метро) менее защищены и в большинстве случаев осуществляют доступ анонимным пользователям (не требуют аутентификации). Это делает их более уязвимыми и более привлекательными для злоумышленников. На фиг.6 изображена база данных профилей локализации, модель которой может быть представлена в виде двух связанных таблиц. В первой таблице профилей локализации 610 перечислены виды профилей, определенные по степени безопасности: как безопасные глобально, т.е. защищены системой безопасности установленной на серверах, как изображено на фиг.2а, так и безопасные с точки зрения пользователя. Пользователь может также определить различные локации как условно безопасные в зависимости от своих соображений, так и в зависимости от данных полученных из глобальной базы данных. В профиль потенциально опасных сетей могут входить сети, о которых мало информации или в которых существует большая вирусная/хакерская активность и большое количество уязвимостей. В свою очередь, в потенциально безопасные сети могут входить сети, зарекомендовавшие себя как надежные. В глобальную базу данных включены все места, которые обеспечены данной системой безопасности. Пользователь может обновить свою базу данных локаций (locations database) после соединения с ближайшим сервером, на котором установлена данная система безопасности. Определение местонахождения происходит с помощью вычислений метрики пакетов. Таблица настроек профиля 620 содержит список сетей и их атрибутов, таких как: наименование, местоположение, минимальные настройки безопасности, риски опасности.

Определить местоположение представляется возможным без модуля GSM. Если МВУ 720 подключено по средствам беспроводной связи (GSM, wi-fi и т.д.), как это показано на Фиг.7а, оно может определить расстояния до досягаемых (сигнал к которым дойдет и от которых дойдет) точек доступа 710. Они представляют собой приемно-передающие антенны. Уровень принимаемого сигнала уменьшается с ростом расстояния между МВУ 720 и точкой доступа 710 по определенному закону (как правило, характер убывания один). Качество сигнала можно определить как время отклика данной точки доступа. В качестве варианта в ОС Windows эту функцию выполняет приложение ping. Определив время отклика и уровень сигнала, можно найти расстояние до точки доступа. Повторив действие для других точек доступа, получим n-ое количество векторов (от МВУ до точки доступа). Зная координаты точек доступа 710, которые хранятся на глобальном сервере, можно определить координаты МВУ 720. Количество доступных точек 710 доступа определяют точность расчета координат. Другим способом определения координат является трассировка пакетов. Он показан на Фиг.7б. Строится последовательность хостов 730, через которые МВУ 720 соединяется, например, с глобальным сервером. По этим данным определяется автономная сеть, провайдер, адрес сети, подсети. По регистрационной информации провайдеров можно определить местонахождение с точностью до района и дома, в зависимости от топологии сети. При желании можно использовать несколько способов одновременно.

На Фиг.8 показана структурная схема системы управления безопасностью мобильного устройства. Ключевым устройством в системе является устройство управления модулем безопасности 800, в состав которого входят сервисы защиты, изображенные на Фиг.3. В качестве входных параметров устройство использует уровень заряда батареи, профиль локализации, тип пользователя и технические параметры устройства. Технические параметры устройства являются стандартными для каждой модели, и могут быть загружены из информации о системе или с глобального сервера 810, в котором хранятся базовые конфигурации известных МВУ. Обычно информация содержит характеристики производительности, емкость аккумулятора. Эти данные необходимы для определения зависимостей потребления мощности аккумулятора от загрузки процессора. Устройство позиционирования 820 определяет местоположение с помощью GPS модуля или с помощью трассировки и метрики сетевых пакетов, как это показано на Фиг.7. Местоположение необходимо для определения профиля локализации 830, в котором работает МВУ в данный момент. Если по данным о подключении можно определить название сети/провайдера, то эта информация позволяет более точно выбрать профиль, например, в тех случаях, когда в данном местоположении обеспечивают доступ в Интернет сразу несколько провайдеров. После того, как по местоположению и данным о подключении установлен профиль локализации 830, для него находятся риск опасности работы с данным подключением, о котором оповещается пользователь, и определяются подходящие настройки модуля безопасности 850 и входящих в него сервисов защиты 860. Поиск осуществляется по базе профилей локализации, пример которой описан на Фиг.6. Устройство контроля заряда аккумулятора 840 измеряет оставшуюся емкость аккумулятора, кол-во потребляемой мощности в определенный отрезок времени, рассчитывает время работы мобильного устройства без подзарядки в зависимости от кол-ва включенных сервисов защиты. Собрав входные параметры, устройство управления выбирает настройки модуля безопасности 850, удовлетворяющие выбранным приоритетам. Например, если пользователь установил, что для него приоритетнее всего безопасность, то при большом заряде аккумулятора будут работать все сервисы защиты с высоким уровнем эффективности, если же приоритет больше у производительности пользовательских приложений, будет выбрана указанная в профиле локализации 810 оптимальная настройка. По мере уменьшения заряда аккумулятора сервисы будут отключаться. Количество сервисов защиты и их эффективность также зависит от типа пользователя, к которому относят пользователя по его действиям в МВУ. Существуют определенные профили пользователей, которые обладают схожим поведением в системе: запускают определенное количество приложений, посещают ограниченный круг веб-ресурсов и так далее. Примером класса пользователей может быть «активный пользователь», который устанавливает несколько приложений в месяц, каждый день посещает новые веб-ресурсы, использует несколько подключений к сети. Для такого типа пользователя требуется более надежная защита и соответственно большее количество включенных сервисов защиты 860. Тип пользователя устанавливается в устройстве определения типа пользователя 870, которое ведет учет всех действий, предпринимаемых пользователем в данном МВУ. После того как данные собраны устройство 860 сравнивает их с имеющимися профилями пользователей в базе данных 880 и находит наиболее подходящий тип. После чего для данного типа загружаются определенные настройки модуля безопасности 850.

Примерная схема выбора модулей по использованию ресурсов показана на Фиг.9. Различные модули отключаются в различные моменты времени в зависимости от заряда батареи. В первую очередь отключается (точнее, минимизируется) консоль управления 900, т.е. интерфейс. Если весь трафик идет через зашифрованный канал 910, то устройство шифрования нужно будет отключить в последнюю очередь (если пользователь разрешит данный шаг). В противном случае можно считать, что устройство пользователя может обеспечить защиту собственными силами. В случае отключения навигационного устройства или отсутствия перемещения МВУ за определенный отрезок времени (определяется на этапе 930), можно отключить базу данных профилей локализации 940, т.к. ей неоткуда будет брать свежие данные. Затем на шаге 950 можно минимизировать сетевой экран и антивирус, оставив под наблюдением только текущие приложения. На последнем шаге 960 пользователь может задать полное отключение всех оставшихся модулей описываемой системы.

Однако, помимо отключения и включения сервисов защиты существуют более детальные настройки, такие как оптимизация антивирусных баз, которая проиллюстрирована на Фиг.10. При работе на МВУ пользователь создает определенную конфигурацию системы: устанавливает приложения, устанавливает различные интерпретаторы сценариев, настраивает правила загрузки файлов, (не) сохраняет личные данные. Таким образом, для каждого МВУ и каждой учетной записи можно выделить специфический набор атрибутов системы, в который входят: список установленных приложений 1000 (полный список установленных программ), список поддерживаемых форматов файлов 1010, настройки сохранения личной информации 1020, выбор загружаемых типов файлов 1030. Вирусные базы 1050 содержат сигнатуры всех известных вредоносных программ. При этом базу можно сортировать по типу вредоносного файла: архив, исполняемый код, скрипт или медиа файл. Другим способом классификации базы является формат вредоносной программы (формат файлов, распространяющихся с данной вредоносной программой): exe, rar, js, vbs и т.д. Также, все программы можно разделить по функционалу, т.е. по тем действиям, которые они совершают: загрузчики, трояны, вирусы и т.д. Это может быть необходимым тогда, когда пользователь не может быть подвержен атаке определенного класса вируса, например, кейлоггеров (программы, которые перехватывают ввод с клавиатуры), если у пользователя нет клавиатуры (и пользуется виртуальной клавиатурой). Другим примером может быть случай, когда пользователь не сохраняет персональные данные, такие как пароли, логины, поисковые запросы и временные файлы аутентификации (cookie). В этом случае троянские программы, перехватывающие такого рода информацию, не смогут нанести вред. Исполняемые файлы зачастую пишутся и компилируются под определенную операционную систему, и в других работать не будут, поэтому антивирусную базу можно так же сортировать по среде исполнения. Имея возможность классификации базы подобным образом, появляется возможность сокращать размер скачиваемых обновлений в несколько раз. Для этого файл конфигурации МВУ в начале сессии обновления отправляется на сервер, где реализуется специальная выборка, которая пересылается пользователю.

Фиг.11 иллюстрирует возможность улучшения работы по передаче данных через зашифрованный канал. Этот канал можно использовать в том случае, если МВУ 1100 находится вне защищенной сети и хочет воспользоваться ее ресурсами, а также хочет использовать ресурсы Интернета, полагаясь на систему защиты (например, пользователь хочет просмотреть свои банковские счета, находясь на отдыхе). Для создания соединения с сервером безопасности 130 используется не только VPN-соединение 1120, но также может быть опционально использовано еще одно зашифрованное соединение 1110, в которое вложено VPN-соединение 1120. Шифрование происходит на основе идентификатора клиента, который может зависеть от разных параметров, таких как личные данные пользователя или параметры аппаратной части (например, определенный нетбук). Все эти параметры могут быть созданы пользователем до того, как он захочет воспользоваться данным алгоритмом шифрования. После того, как клиент 1100 установил соединение с защищенной сетью 1130, он может воспользоваться ее ресурсами или безопасно работать с внешними ресурсами через соединение 1140. Зашифрованное соединение 1110 также может соблюдать целостность VPN-соединения, пытаясь восстановить соединение в том случае, если оно будет разорвано по какой-либо причине.

В случае если доступно сразу несколько сетей, которые защищены в разной степени, данные о которых имеются в базе или анализируются по параметрам подключения, пользователю предстоит сделать выбор через какую сеть осуществлять подключение. Система способна сравнить соединения и выбрать наиболее безопасное, основываясь на наличии данных в базе данных профилей локализации, защищенности соединения (шифровании), сертификатах и т.д. Далее в зависимости от настроек системы, подключение осуществляется к более безопасной сети по умолчанию или информируя пользователя и предлагая подтвердить или опровергнуть выбор системы.

Фиг.12 иллюстрирует работу двойного межсетевого экрана более детальным образом. От клиента 1200 поступают запросы 1210 в глобальную систему безопасности, которая отсылает ему ответные пакеты данных 1220. Запросы 1210 вначале проходят через первый файервол 1230а, который после фильтрации пакетов передает данные одному из веб-серверов 1240. Задача веб-сервера 1240 - обработка запросов от пользователя, поддержание его сессий. Также веб-сервер 1240 передает через зашифрованный канал данные модулю-диспетчеру 1250 (через второй межсетевой экран 1230b), который дешифрует данные и передает их непосредственно серверным службам 1260 для обработки, а также подтверждает доступ для клиентских приложений. Также есть возможность использовать систему для отчетов 1270, которую может использовать администратор.

На фиг.13 показана таблица типов пользователей, в виде которой могут храниться данные в базе данных профилей пользователя. В ней содержатся поля: типы пользователя, действия, риски опасности и настройки модуля безопасности. Для определенного пользователя выделяются характеризующие его действия, такие как подключение к нескольким сетям, посещение веб-ресурсов и установка новых приложений. При этом, в зависимости от статистики данных действий риск опасности может варьироваться от низкого до высокого и в зависимости от этого пользователя отнесут к соответствующему типу. Для примера указаны пассивный и активный типы, которым установлены настройки модуля безопасности: с низким и высоким уровнями эффективности защиты. Сравнивая текущие показатели с данными из этой таблицы, пользователя соотносят с определенным типом и в дальнейшем выставляют соответствующие настройки до тех пор, пока ему не присвоят другой тип или не наступят другие критические события изменяющие настройку модуля безопасности, такие как изменение заряда батареи или работа в защищенном информационном пространстве.

Можно вывести сравнительную характеристику различных мобильных устройств и в зависимости от их конфигурации определить их производительность.

Name DisplayProcessorDrive BatteryCommunication
Asus EEE PC 9008.9"900 MHz Celeron8 Gb SSD 4400-5200 mAh, up to 3h 30 min Ethernet, 802.11 b/g
MSI Wind10"1.6 GHz Atom 80-160 Gb SATA2200-5200 mAh, 2.5-5.5hEthernet, 802.11 b/g
HP 2133 Mini-Note PC 8.9"VIA C7 1.0-1.6 GHzSSD, SATA4400-5200 mAh, 2.5-4hEthernet, 802.11 а/b/g
Dell Inspiron Mini 9 8.9"1.6 GHz Atom4-16 Gb SSD2200-3600 mAh, up to 5hEthernet.802.11 b/g
NanoBook7" VIA C7 1.2 GHz30 Gb HDDup to 4.5hEthernet.802.11 b/g
Sony Vaio UX Micro PC4.5"Intel Core Solo 1.06-1.33 GHzSSD, HDD1.5-7h 802.11 b/g
Samsung SCH-i730 2.8"Intel PXA 520 MHzSDstandby - up to 180-280h802.11 b

Так как подобных устройств достаточно немного и (что очень важно) их конфигурация задается производителем раз и навсегда (присутствует возможность заменить батарею, увеличить объем памяти или жесткого диска), то можно привязать к каждой модели некоторый индекс производительности.

Device Performance rating
Device 11000
Device 27000
Device 532000
Device 1618000

В данном случае указана относительная производительность аппарата. Условные значения производительности можно брать из различных тестов - эксперты компании могут сделать это и сами с помощью популярных пакетов (например, PCMark Vantage или Sysmark, которые подходят только для Windows-платформ или другие тесты, которые могут опираться только на вычислительную мощность). Также в данном случае приведен просто список устройств (Device ), чтобы на данном этапе не затрагивать интересы каких-либо компаний.

В зависимости от индекса производительности пользователю могут быть предложены различные варианты установки.

В качестве примера можно привести следующие цифры (в реально действующей системе цифры могут быть другими):

Performance ratingInstallation type
<1000Base (Management console, locations database, encryption tool)
1000-10000Advanced (Added Antivirus, Firewall)
>10000All (Added Backup tool, Full base of intrusions description)

Это позволит увеличить гибкость нашей системы для различных устройств.

В заключении следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, описанной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующейся с сущностью и объемом, настоящей полезной модели.

1. Система управления безопасностью мобильного устройства, содержащая устройство контроля аккумулятора, предназначенное для отслеживания уровня и расхода электроэнергии, связанное с устройством управления настраиваемым модулем безопасности; настраиваемый модуль безопасности, предназначенный для реализации сервисов защиты мобильного устройства, связанный с устройством управления настраиваемым модулем безопасности; устройство локализации, предназначенное для определения местоположения мобильного устройства, связанное с базой данных профилей локализации; базу данных профилей локализации, предназначенную для хранения информации о рисках опасности множества точек входа в сеть с различными местоположениями, связанную с устройством управления настраиваемым модулем безопасности; устройство классификации пользователей, предназначенное для отнесения пользователя к типу пользователей по действиям, предпринимаемым в мобильном вычислительном устройстве, путем сравнения действий с моделями пользователей, хранящимися в базе данных профилей пользователей, связанное с устройством управления модулем безопасности; устройство анализа действий пользователя, предназначенное для сбора статистики действий пользователя в мобильном устройстве и передачи полученных данных устройству классификации пользователей; базу данных профилей пользователей, предназначенную для хранения моделей пользователей, содержащих, по меньшей мере, данные о поведении пользователей и статистику действий пользователей, которая связана с устройством определения типа пользователя; базу данных параметров мобильных устройств, предназначенную для хранения параметров мобильных устройств, связанную с устройством управления настраиваемым модулем безопасности; устройство управления настраиваемым модулем безопасности, предназначенное для оценки риска опасности, используя профили локализации, которые хранятся в базе данных профилей, соответствующего местоположения мобильного устройства, динамической настройки сервисов защиты, реализуемых в модуле безопасности, связанное с устройством контроля аккумулятора, устройством классификации пользователей, настраиваемым модулем безопасности, базой данных параметров мобильного устройства, базой данных профилей локализации.

2. Система по п.1, в которой мобильное вычислительное устройство может представлять собой такие устройства, как ноутбук, нетбук, смартфон, мобильный телефон, коммуникатор, тонкий клиент и содержит, по меньшей мере, процессор, память, аккумулятор и устройство связи, обеспечивающее соединение для мобильного устройства.

3. Система по п.2, в которой устройство связи использует для соединения стандартные протоколы связи.

4. Система по п.1, в которой устройство управления настраиваемым модулем безопасности предназначено также для оценки риска опасности, используя параметры мобильного устройство, которые хранятся в базе данных параметров мобильного устройства.

5. Система по п.1, в которой параметры мобильного устройства включают, по меньшей мере, наименование модели, емкость аккумулятора, производительность процессора, скорость обмена данными.

6. Система по п.1, в которой устройство контроля аккумулятора предназначено для измерения оставшегося заряда аккумулятора, количества потребляемой мощности, расчета времени работы мобильного устройства без подзарядки в зависимости от количества включенных сервисов защиты.

7. Система по п.1, в которой модуль безопасности включает следующие сервисы защиты: антивирус, предназначенный, по меньшей мере, для сигнатурного и эвристического анализа; антиспам, предназначенный для фильтрации почтовых сообщений мобильного устройства; устройство контроля приложений, отслеживающее доступ приложений к критическим областям операционной системы и несанкционированные действия; межсетевой экран, предназначенный для контроля подключения к мобильному устройству по сети; систему резервного копирования; систему (рас-)шифрование данных.

8. Система по п.7, в которой сервисы защиты обладают настройкой эффективности, в зависимости от которой изменяется уровень безопасности мобильного устройства и потребление мощности аккумулятора, причем потребление мощности тем больше, чем выше уровень эффективности сервиса защиты.

9. Система по п.1, в которой устройство локализации, предназначенное для определения местоположения по GPS, и/или с помощью позиционирования в сотовых сетях, и/или с помощью позиционирования относительно Wi-Fi станций, и/или с помощью сетевых сервисов стека TCP/IP.

10. Система по п.1, в которой профиль локализации включает в себя, по меньшей мере, наименование локальной сети, ее местоположение, степень риска опасности работы в данной сети и минимальные настройки модуля безопасности и хранится в базе данных, при этом с одним местоположением может существовать несколько локальных сетей.

11. Система по п.1, в которой база данных профилей локализации хранится на удаленном сервере, соединенном с мобильным устройством по средствам устройства связи, и/или в памяти мобильного устройства.

12. Система по п.1, в которой множеством точек входа в сеть является набор устройств, обеспечивающих соединение между собой мобильных устройств и подключение мобильного устройства к ресурсам Интернета.

13. Система по п.12, которая предлагает пользователю и/или автоматически подключает мобильное вычислительное устройство к наиболее безопасной сети, если доступно сразу несколько точек входа в сеть.

14. Система по п.1, в которой устройство управления настраиваемым модулем безопасности для определенного устройством позиционирования местоположения предназначено для нахождения локальных сетей, соответствующие этому местоположению, в базе данных профилей локализации, и для этой сети находит риски опасности.

15. Система по п.1, в которой устройство управления упомянутым настраиваемым модулем безопасности выполнено с возможностью определять наименование локальной сети по информации о подключении к ней и для данной локальной сети находит в базе данных профилей локализации риски опасности.

16. Система по п.14, в которой устройство управления настраиваемым модулем безопасности выполнено с возможностью в зависимости от риска опасности подключать сервисы защиты и изменяет их уровень эффективности, причем чем больше риск, тем больше количество включенных сервисов и выше уровень их эффективности.

17. Система по п.15, в которой устройство управления настраиваемым модулем безопасности выполнено с возможностью в зависимости от риска опасности подключать сервисы защиты и изменяет их уровень эффективности, причем чем больше риск, тем больше количество включенных сервисов и выше уровень их эффективности.

18. Система по п.14, в которой устройство управления настраиваемым модулем безопасности в зависимости от данных, полученных от устройства контроля аккумулятора, подключает сервисы защиты и изменяет их уровень эффективности, причем чем больше оставшаяся емкость аккумулятора, тем больше количество включенных сервисов и выше уровень их эффективности.

19. Система по п.15, в которой устройство управления настраиваемым модулем безопасности в зависимости от данных, полученных от устройства контроля аккумулятора, подключает сервисы защиты и изменяет их уровень эффективности, причем чем больше оставшаяся емкость аккумулятора, тем больше количество включенных сервисов и выше уровень их эффективности.

20. Система по п.1, в которой в случае, если количество работающих сервисов защиты, определенных уровнем заряда аккумулятора, и/или местоположением, и/или типом пользователя, и/или настройки эффективности, определенные уровнем заряда аккумулятора, и/или местоположением, и/или типом пользователя, отличаются, то пользователю предлагается выбрать между вариантами настройки.



 

Похожие патенты:

Переносной автономный комплекс связи с внешней антенной 3G, 4G, wi-fi, относится к комплексам связи, а именно, к переносным комплексам с устройствами ввода-вывода, средствами приема и передачи информации, ее обработки и отображения.

Полезная модель относится к мебели из металла, предназначенной, предпочтительно, для гаражных комплексов и подземных паркингов, и может быть использована для безопасного хранения запасных автомобильных колес и шин

Техническим результатом предлагаемой полезной модели является получение возможности оповещения людей, находящихся вблизи охранной системы

Изобретение относится к области мониторинга и компьютерного управления инженерным оборудованием (инженерными системами жизнеобеспечения и охраны), оборудованием учета, торговли и сервиса единого объекта, в частности «Научно-производственного логистического центра по совершенствованию сферы обслуживания населения», для оптимизации работы инженерного оборудования, работы персонала и качественного торгово-сервисного обслуживания покупателей

Полезная модель относится к беспроводным технологиям, а более конкретно к выявлению уязвимостей в беспроводных сетях типа Wi-Fi Техническим результатом, на достижение которого направлена полезная модель, является расширение функциональных возможностей за счет выявления уязвимостей протоколов аутентификации Wi-Fi сетей
Наверх