Терминал и защищенная компьютерная система, включающая терминал

Авторы патента:

Полезная модель относится к компьютерным системам, а более конкретно, к устройствам и способам защиты данных. Терминал для безопасного доступа к сетевым ресурсам, содержащий, по меньшей мере, одно компьютерное устройство (КУ) и средства управления (СУ), выполненные с возможностью загрузки и выгрузки программной среды в КУ и/или с возможностью переключения между программными средами, загруженными в КУ. Все интерфейсы, по которым осуществляется обмен данными между КУ и средствами ввода-вывода, включая сетевые интерфейсы, подключены к СУ или находятся под их непосредственным контролем. Технический результат - за счет примененных подходов к изоляции программных сред повышена безопасность компьютерного устройства при работе с сетевыми ресурсами, имеющими разный уровень доверия.

ОБЛАСТЬ ТЕХНИКИ

Полезная модель относится к компьютерным системам, а более конкретно, к устройствам и способам защиты данных.

УРОВЕНЬ ТЕХНИКИ

В последние несколько лет количество угроз в сетевом пространстве возросло до критической отметки. Ежедневно возникают новые угрозы информационным системам государств, бизнесов и данным частных пользователей. Информационные системы персональных данных в настоящее время практически открыты для преступников, несмотря на наличие антивирусов, сетевых фильтров, токенов и других программно-аппаратных средств, о чем практически ежедневно сообщается в прессе. Такие общеизвестные средства защиты не могут остановить преступников, использующих все более изощренное вредоносное программное обеспечение и методы атак для повреждения персональных данных и информационных систем, злоупотребления компьютерными системами.

Один из популярных способов нарушения безопасности компьютера - заставить компьютер выполнять программное обеспечение злоумышленника, которое выполняет вредоносные действия на самом компьютере. Такие программы могут перехватывать данные пользователей и передавать их злоумышленнику. Вредоносные программы могут позволить злоумышленнику получить полный контроль над захваченным компьютером, который в дальнейшем может использоваться для получения данных с серверов данных и информационных систем. Программы и методы для атак разрабатываются хакерами и используют недочеты в программном обеспечении компьютера для кражи или уничтожения данных, нарушая целостность, конфиденциальность и доступность информационных систем. Например, атака может привести к получению хакером более высоких привилегий в атакуемой системе и позволит получить доступ к сетевым ресурсам компании. Ситуация ухудшается тем, что средствам безопасности трудно контролировать среду исполнения программ. Более того, средства защиты в основном используют программно-аппаратные ресурсы самих компьютеров, таких как память, процессор, жесткий диск, сетевые адаптеры, что позволяет злоумышленникам успешно атаковать и сами средства защиты

Существуют различные типы мер безопасности, которые можно использовать, чтобы предотвратить выполнение на компьютерной системе вредоносного программного обеспечения. Администратор системы может ограничить программное обеспечение, которое может выполнять компьютерная система, только программами от доверяемых разработчиков или доверяемых источников. Такой подход неэффективен из-за наличия уязвимостей в коде операционных систем и самого программного обеспечения, которые активно используются злоумышленниками. Также, администратор может использовать метод «песочницы», который накладывает ограничения на код из неизвестного источника. Доверяемый код может иметь полный доступ к ресурсам компьютерной системы, в то время как код из неизвестного источника будет иметь только ограниченный доступ. Однако, метод «песочницы» не работает, так как методы изоляции в «песочнице» используют те же программно-аппаратные ресурсы компьютеров и также имеют уязвимости. Поэтому злоумышленники успешно используют уязвимости в операционных системах и в программном обеспечении самих «песочниц».

Еще один подход - проверять все программное обеспечение, выполняемое компьютерным устройством, антивирусной программой для обнаружения вредоносного кода. Однако, антивирусные программы ищут только определенные известные типы угроз и не в состоянии обнаружить все методы, при помощи которых можно вмешаться в ресурсы компьютера.

Кроме того, для защиты может использоваться межсетевой экран. Межсетевой экран - это программа или аппаратное устройство, которое фильтрует сетевые пакеты, проходящие через устройство фильтров в одном или двух направлениях. Если пакет информации не соответствует критерия фильтрации, то прохождение этого пакета не разрешается. Межсетевой экран может выполнять потоковую проверку, при этом не проверяется содержимое каждого пакета, а проверяются ключевые части пакета с таблицами правил.

Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные продукты, базирующиеся на операционных системах общего назначения (таких как Windows и Unix) или на специализированной аппаратной платформе межсетевых экранов (см. патенты РФ на изобретение 2214623 и 2422892). В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный фильтр и алгоритмы фильтрации. Лучшими алгоритмами считаются те, которые построены специально для разрешаемого протокола. Например, алгоритмы фильтрации FTP предназначены для протокола FTP и могут определять: соответствует ли проходящий траффик этому протоколу и разрешен ли этот траффик правилами политики безопасности.

Однако в технологиях межсетевых экранов прикладного уровня могут отсутствовать алгоритмы для определенных приложений, а также важная информация для правильной интерпретации пакетов данных, так как протоколы более высокого уровня разрабатываются для эффективной передачи данных, а не для мониторинга и перехвата данных и часто модифицируются. В результате, злоумышленник может маскировать несанкционированную передачу данных под разрешенный траффик.

Кроме того, межсетевой экран обычно устанавливается на входе защищенной сети, чтобы управлять доступом к этой сети. Он не может предотвратить неавторизованный доступ внутри сети пользователем этой сети.

Перечисленные выше меры особенно неэффективны в случаях работы с сетями с различным уровнем доверия. Пользователю часто необходимо иметь доступ к сетевым ресурсам с различным уровнем доверия. Например, пользователь должен иметь доступ к конфиденциальным данным находящимся в локальной сети, к данным служебного пользования находящимся на удаленном сервере и к различным сетевым ресурсам интернет. В случае использования одного компьютера для доступа ко всем трем ресурсам, нарушитель может захватить контроль над компьютером, что автоматически позволяет нарушителю получить доступ к сетям с более высоким уровнем доверия. Применение трех отдельных компьютеров для обеспечения доступа к этим сетевым ресурсам экономически не выгодно и неэффективно, т.к. не существует достаточного контроля над средой выполнения программного обеспечения и самим программным обеспечением, что может привести к захвату всех компьютеров даже стандартными методами взлома.

Поэтому особенно важно создание архитектуры компьютера, (для персональных компьютеров, ноутбуков, серверов, сетевых устройств, планшетов, мобильных коммуникаторов и т.д.), имеющей внутренний независимый (изолированного от основных ресурсов) периметр защиты для контроля исполняемых приложений и контроля доступа к сетевым ресурсам. Такой подход позволит обеспечить защиту от внутренних сетевых атак, обеспечить гарантированную защиту при доступе к неизвестным сетевым источникам (интернет) а также гарантированную защиту при работе, например, с финансовыми приложениями или приложениями для работы с базами данных, как и любых других приложений. Более того, если на защищенном компьютере уже есть вредоносный код, и он подает запрос на отсылку информации с компьютера внешнему неизвестному получателю, система защиты предотвращает отсылку компьютером такой информации, чего практически невозможно достичь применением межсетевых фильтров и антивирусов.

Во многих информационных системах включая локальные сети, виртуальные сети, виртуальные частные сети, компьютерное устройство должно следовать правилам доступа к сети, например, политикам безопасности, которые управляют доступом к различным ресурсам сети. На практике, часто необходимо обеспечить доступ с одного компьютерного устройства к различным сетям, например, к серверам баз данных по VPN соединению, либо - к сетевым ресурсам интернет - по внешнему сетевом каналу, либо - к сетевым ресурсам компании - по локальному сетевому каналу. В существующих решениях невозможно эффективно изолировать приложения для доступа к сетям с различным уровнем доверия. Поэтому, было бы желательно создать устройство для защиты компьютера и способ, которые обеспечивали бы достаточную гибкость защиты, чтобы позволить компьютерному устройству получить доступ к ресурсам сети в соответствии с нужными сетевыми политиками обеспечивая при этом надежную изоляцию соответствующих приложений для обеспечения гарантированной защиты от утечки данных по внешним каналам связи.

Такое устройство должно обеспечивать полную изоляцию программных сред, в соответствии с установленными для них политиками безопасности, под которыми понимается набор правил, разрешающих и запрещающих доступ к сетевым ресурсам. Под программными средами следует понимать исполняемый код операционной системы, исполняемый код прикладных программ, данные программ и пользовательские данные.

Типичные компьютерные системы для доступа к сетевым ресурсам не отвечают этим требованиям. Одно из таких устройств, показанное на фигуре 1 включает стандартное компьютерное устройство КУ 8, содержащее центральный процессор ЦП 1, подключенный по процессорной шине 2 к северному мосту 3. КУ 8 включает в себя контроллер графической шины 7 для подключения средств отображения информации 6, контроллер памяти 5 по шине 4, а также южный мост 7, подключаемый по шине 8 и служащий для контроля шины РСI и РСIе 11 а также подключения различных периферийных контроллеров и устройств 12, таких как жесткий диск, USB, клавиатура и мышь. КУ 8 также содержит контроллер прерываний и прямого доступа к памяти 10. КУ 8 выполняет коды незащищенной операционной системы и программ и не может обеспечить защиты данных т.к. не обеспечивает эффективного разделения и изоляции приложений для доступа к различным сетевым ресурсам.

Изоляция программных средств в соответствии с поставленной выше задачей может осуществляться, - как показано на фигуре 2, - за счет физического увеличения количества независимых компьютерных устройств, показанных на фигуре 1, таким образом, что каждому компьютерному устройству соответствует своя программная среда и политики безопасности. В соответствии с этим подходом компьютерные устройства 16, 17, 18 по соответствующим изолированным каналам связи 19, 20, 21 подключаются к сетевым ресурсам 22, 23, 24, соответственно.

Однако такое разделение неэффективно по двум причинам. Во-первых, в нем применяются компьютеры с незащищенной архитектурой, подверженные всем типичным сетевым угрозам, включая модификацию исполняемого кода злоумышленником. Во-вторых, архитектура компьютерной системы, предусматривающая отдельное компьютерное устройство для каждой программной среды, неэффективна с точки зрения использования ресурсов.

СУЩНОСТЬ ПОЛЕЗНОЙ МОДЕЛИ

Одна из основных задач настоящей полезной модели состоит в создании терминала (например, в виде персонального компьютера, ноутбука, сервера, планшета, сетевого устройства, мобильного коммуникатора или любого другого компьютерного устройства), с множественностью программных сред для доступа к сетевым ресурсам с разным уровнем доверия, в котором обеспечивается полная изоляция этих сред от взаимного влияния.

Технический результат состоит в том, что за счет введения в конструкцию компьютера общего назначения средств управления, выполненных с возможностью контроля доступа к средствам хранения данных и к потоку ввода-вывода, обеспечивается полная изоляция программных сред от взаимного влияния.

Вышеуказанная задача решена благодаря тому, что терминал для безопасного доступа к сетевым ресурсам, содержит, по меньшей мере, одно компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода, корпус, выполненный в виде моноблока, и установленные внутри него средства управления (СУ), выполненные с возможностью загрузки и выгрузки программной среды в КУ и/или с возможностью переключения между программными средами, загруженными в КУ, в котором:

СУ снабжены интерфейсами для подключения средств ввода-вывода (СВВ), выполненных с возможностью считывания данных от средств ввода и вывода информации посредством средств вывода,

СУ снабжены интерфейсами для подключения к сетевым устройствам (СУ), выполненным с возможностью доступа к сетевым ресурсам,

СУ снабжены интерфейсами для подключения к средствам хранения данных (СХД), выполненным с возможностью хранения данных, по меньшей мере, двух программных сред, каждая из которых включает исполняемый код, данные программ, политики безопасности и пользовательские данные, при этом

СУ выполнена с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным программных сред, имеющих возможность управления КУ в иные моменты времени, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ в любой момент времени.

Вышеупомянутый исполняемый код и данные программ в упомянутых программных средах может включать в себя исполняемый код операционных систем, данные операционных систем, исполняемый код прикладных программ и данные прикладных программ.

Под исполняемым кодом в настоящем тексте понимаются данные и команды, подготовленные для исполнения с помощью компьютерного устройства. Под данными операционной системы и данными прикладных программ понимаются данные, которые предназначены для функционирования исполняемого кода и которые обычно хранятся отдельно от него, в частности, данные о настройках, базы данных, ресурсы для формирования графического интерфейса и другие подобные данные. Под программным обеспечением понимается совокупность исполняемого кода операционной системы или исполняемого кода прикладных программ и данных операционной системы или данных прикладных программ. Пользовательские данные представляют собой данные, полученные в результате работы пользователя с прикладными программами.

Каждой программной среде соответствует, по меньшей мере, одна политика безопасности, содержащая, по меньшей мере, одно правило, регламентирующее доступ к сетевым ресурсам. Например, первая программная среда может содержать файлы операционной системы (ОС) и браузера для доступа к произвольным сетевым ресурсам с низким уровнем доверия (Интернет), вторая программная среда может содержать набор файлов ОС и браузера с настройками для доступа только к банковским ресурсам для проведения финансовых транзакций, третья программная среда может содержать набор файлов ОС и прикладные программы для доступа к конфиденциальной корпоративной информации по шифрованным каналам связи, хранимой на защищенных серверах баз данных, четвертая программная среда может содержать набор файлов ОС и прикладные программы для анализа и обработки загружаемых файлов и почтовых сообщений в целях обмена данными между различными программными средами.

Данные политик безопасности могут быть записаны непосредственно в память СУ, или могут храниться в СХД, или же могут передаваться по сети или вводиться системным администратором вручную. Для усиления защиты, данные политик безопасности могут быть зашифрованы и подписаны цифровой подписью.

В процессе функционирования компьютерного устройства, данные программной среды, а именно, данные пользователя и данные программ могут храниться в оперативной памяти, регистрах компьютерного устройства и в СХД. Каждой программной среде может соответствовать больше одного набора прикладных программ и пользовательских данных. При загрузке программной среды или прикладных программ СУ могут сохранять новые (или измененные) пользовательские данные и данные прикладных программ в СХД или же, в зависимости от политик безопасности, запись может блокироваться. Например, если программное обеспечение представляет собой браузер для доступа в интернет, и необходимо предотвратить установку стороннего программного обеспечения или сохранение информации из Интернет, предотвращение записи пользовательских данных позволит обеспечить неизменность начальных настроек браузера при последующей загрузке и конфиденциальность сведений о страницах, посещенных пользователем.

В зависимости от того, насколько велик риск подключения злоумышленника к каналам связи, соединяющим отдельные компоненты системы, вышеописанные КУ, СУ, СВВ и СХД и корпус могут быть различным образом скомпонованы друг с другом, в частности:

а) КУ и СУ могут быть установлены внутри упомянутого корпуса;

б) терминал может содержать СВВ, интерфейсы СУ, и/или СХД, установленные внутри упомянутого корпуса.

В тех случаях, когда КУ и СУ скомпонованы раздельно, будет предпочтительно, когда КУ выполнен с возможностью получения исполняемого кода и данных прикладных программ и/или операционных систем с удаленного сервера приложений, соединенного с СУ защищенным каналом передачи данных.

Безопасность терминала может быть повышена с помощью различных приемов, например, петем использования защищенных каналов передачи данных, если СУ скомпонованы отдельно от КУ, или путем предварительной авторизации пользователя, работающего с терминалом, или посредством предварительной проверки целостности кода и данных и восстановления поврежденного кода из резервного хранилища, а также посредством предотвращения модификации кода и данных в защищенных областях СХД,

- для этого вышеописанные СУ могут быть выполнены:

- с возможностью получения настроек, политик безопасности и других данных с удаленного сервера по защищенному каналу связи и/или

- таким образом, что перед загрузкой программной среды и/или перед переключением между программными средами они осуществляют аутентификацию и авторизацию пользователя, и/или

- таким образом, что перед передачей управления программной среде они выполняют очистку оперативной памяти и регистров КУ от данных предшествующей программной среды, и/или

- таким образом, что перед передачей управления исполняемому коду программной среды, осуществляют проверку целостности этого кода, а также проверку целостности соответствующих данных программ; при этом упомянутая проверка целостности может (но не обязательно) осуществляться посредством вычисления хэш-функций или проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма, и/или

- таким образом, что при нарушении целостности исполняемого кода и данных программ, выявленной в результате упомянутой проверки, они осуществляют их восстановление из резервного хранилища данных и/или

- с возможностью предотвращения модификации исполняемого кода и данных программ в СХД, и/или

- с возможностью извещения пользователя о несанкционированных попытках модификации исполняемого кода и/или данных программ в СХД и/или

- таким образом, что перед загрузкой программной среды проверяют пользовательские данные на наличие вредоносного кода.

Средства управления могут быть выполнены на базе архитектуры электронной вычислительной машины общего назначения, или же в виде интегрированного устройства на основе микросхем с программируемой логикой. Конкретная форма реализации средств управления не имеет принципиального значения, если только такое средство будет иметь приоритет перед подконтрольным компьютерным устройством в доступе к данным ввода-вывода и средствам хранения данных. Наличие приоритета позволяет предотвратить перехват и/или подмену данных ввода и вывода различными средствами.

Помимо КУ, в одной из предпочтительных форм выполнения терминал может дополнительно содержать, по меньшей мере, одно дополнительное компьютерное устройство (ДКУ), подключенное к СУ, а СУ при этом выполнено таким образом, что исполняемый код программной среды, под управлением которой находится ДКУ в любой момент времени, не имеет доступа к данным программной среды КУ, под управлением которой находится КУ в любой момент времени, и к данным остальных программных сред, имеющих возможность управления КУ в другие моменты времени.

Вышеупомянутое дополнительное компьютерное устройство может быть реализовано (в одной из форм выполнения терминала) посредством аппаратной и/или программной виртуализации на базе КУ.

Также как и КУ, дополнительное компьютерное устройство подключается к СУ таким образом, чтобы иметь возможность вывода графической информации на средства вывода.

В качестве средств ввода к терминалу могут быть подключены, в частности, устройство типа «мышь», тачпэд, трэкбол, клавиатуру, сенсорный экран и/или видеокамеру.

В качестве средств вывода к терминалу могут быть подключены, в частности, дисплей и/или устройство аудиовывода.

Политики безопасности обычно представляют собой упорядоченные связки данных, позволяющие идентифицировать (аутентифицировать) пользователя и определить какие программные среды он может использовать (если таковые имеются), и к каким сетевым ресурсам он может получать доступ из этой программной среды (если таковые имеются). Для этого, упомянутые политики безопасности содержат связки данных о разрешенных наборах кодов и данных прикладных программ и операционных систем, а также настройки и права доступа таких наборов для каждого пользователя. Предпочтительно, в частности, когда политики безопасности содержат сетевые адреса, доступ к которым разрешен из той или иной программной среды.

Компьютерное устройство (КУ), которое в одном из вариантов реализации может быть использовано в вышеописанном терминале, может содержать в себе центральный процессор, подключенный по фронтальной (процессорной) шине к северному мосту (контроллеру-концентратору памяти), а также контроллер графической шины, контроллер памяти и южный мост (контроллер-концентратор ввода-вывода), подключенные к северному мосту. СУ, описанные выше, в одном из вариантов реализации, могут быть подключены к шинам южного моста и/или к шине графического контроллера. В другом варианте СУ могут быть подключены к шинам южного моста с возможностью управления контроллерами южного моста, выбранными из группы, состоящей из контроллера шины, РСI Ехрrеss, SМBus, I2С, LРС, Super I/O, и DМА контроллера, РАТА (IDЕ) и SАТА контроллера. Конкретный способ подключения СУ к КУ не имеет значения, если только весь поток данных ввода и вывода будет проходить непосредственно через СУ и/или будет находиться под контролем СУ.

В качестве интерфейсов для подключения средств хранения данных (СХД) терминал может содержать самые различные интерфейсы, предпочтительно, обеспечивающие высокую скорость передачи данных. В частности, терминал интерфейсы для подключения СХД могут представлять собой интерфейсы РСI, РСIе, SАТА, еSАТА, USВ, Fireware, Thunderbolt, Ethernet.

Конкретная аппаратная форма реализации СХД не имеет решающего значения. СХД могут представлять собой RАМ (ОЗУ), RОМ (ПЗУ), стираемую программируемую постоянную память (ЕРRОМ), электрически стираемую программируемую постоянную память (ЕЕРRОМ), флеш-память или другую твердотельную память, ПЗУ на компакт-дисках (СD-RОМ), цифровые универсальные диски (DVD) или другое оптическое запоминающее устройство (ЗУ), магнитные кассеты, магнитную ленту, магнитное дисковое ЗУ или другие магнитные ЗУ или любой другой носитель, который может использоваться, чтобы хранить желательную информацию, и к которому может получить доступ вычислительная система. Наибольшая скорость обмена данных обеспечивается тогда, когда в качестве СХД используют накопители на жестких дисках, твердотельные накопители и/или файловые серверы.

В тех случаях, когда СХД скомпонованы вне корпуса, внутри которого размещены СУ, и, особенно предпочтительно, когда канал передачи данных между СУ и СХД не имеет естественной физической защиты (например, если кабели уложены вне помещения, внутри которого размещен корпус с СУ или, если обмен данными осуществляется по радиоканалам), предпочтилельно применение шифрования при передаче данных межлу СХД и СУ. Альтернативно или дополнительно к этим мерам, для повышения безопасности данные упомянутых программных сред могут храниться в СХД в зашифрованной форме. Дополнительно, данные могут быть подписаны электронной цифровой подписью. Это также позволяет избежать утечек информации в случае кражи СХД.

Наибольшая безопасность обеспечивается в тех случаях, когда исполняемый код, данные программ и пользовательские данные каждой программной среды зашифрованы индивидуальным ключом.

Вышеописанный терминал может функционировать самостоятельно или, в составе защищенной компьютерная системы. Такая система может содержать:

средства ввода-вывода (СВВ), выполненные с возможностью считывания данных от средств ввода и отображения информации посредством средств вывода,

сетевой интерфейс (СИ), выполненный с возможностью доступа к сетевым ресурсам,

компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода,

средства хранения данных (СХД), выполненные с возможностью хранения данных, по меньшей мере, двух программных сред, включающих исполняемый код, данные программ, пользовательские данные и политики безопасности, при этом,

корпус, выполнен в виде моноблока,

СУ размещены внутри упомянутого корпуса и выполнены с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД, и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным остальных программных сред, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ.

В предпочтительной форме выполнения вышеописанной системы СХД выполнены с возможностью шифрования и дешифрации записанных данных и/или с возможностью защиты областей с данными от чтения и/или записи.

Вышеуказанная задача также решается в способе работы вышеописанного терминала, включающего в себя следующие этапы:

(а) обеспечивают получение вводимых данных только от устройств ввода, подключенных к СУ,

(б) при включении упомянутого терминала посредством СУ проводят аутентификацию и авторизацию пользователя посредством СУ,

(в) после успешной аутентификации и авторизации, - предоставляют пользователю возможность выбора программных сред для загругки в КУ из числа программных сред, разрешенных политикой безопасности,

(г) проверяют целостность данных программной среды, выбранной пользователем, посредством СУ,

(д) в случае нарушения целостности, - восстанавливают данные программной среды,

(е) посредством СУ предотвращают доступ к сетевым ресурсам и носителям данных, не предусмотреным политикой безопасности,

(е) посредством СУ предоставляют возможность смены программной среды, таким образом, что перед сменой программной среды очищают регистры КУ и осуществляет загрузку другой среды в соответствии с вышеупомянутыми этапами.

Для аутентификации и авторизации пользователя в вышеописанном способе могут использовать как локальные данные, так удаленные ресурсы или и те и другие одновременно.

Для связи с удаленными системами аутентификации и авторизации предпочтительно использовать защищенные каналы связи.

В случае повреждения данных программной среды их восстановление, в одном из предпочтительных вариантов осуществления, производят из резервного хранилища с аппаратной защитой от записи.

Дополнительные преимущества и аспекты полезной модели приведены в дальнейшем детальном описании, где показана и описана реализация системы на базе настоящей полезной модели. Система, описанная в настоящем тексте, может иметь другие и отличные реализации, несколько ее деталей могут быть модифицированы различными очевидными способами, не отклоняясь от основной идеи полезной модели. Соответственно, чертеж и описания должны рассматриваться как иллюстрирующие, но не ограничивающие полезную модель.

Приведенное ниже детальное описание реализации данного сообщения лучше всего понять, если рассматривать его вместе со следующими чертежами.

КРАТКОЕ ОПИСАНИЕ ФИГУР ЧЕРТЕЖЕЙ

Фиг.1. - Схематическое изображение архитектуры стандартного компьютерного устройства.

Фиг.2. - Схематическое изображение доступа к сетям с разным уровнем доверия

Фиг.3 - Схематическое изображение подключения встраиваемого модуля управления в стандартную компьютерную архитектуру.

Фиг.4 - Схематическое изображение одного из вариантов реализации компьютера с новой архитектурой.

Фиг.5 - Схематическое изображение одного из вариантов использования компьютеров с новой архитектурой в локальной сети.

Фиг.6 - Схематическое изображение одного из вариантов реализации разделения доступа наборов ПО к ресурсам сети с разным уровнем доверия моноблока компьютера с новой архитектурой.

ОСУЩЕСТВЛЕНИЕ ПОЛЕЗНОЙ МОДЕЛИ

Терминал для безопасного доступа к сетевым ресурсам, содержит по меньшей мере, одно компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода, корпус, выполненный в виде моноблока, и установленные внутри него, средства управления (СУ), выполненные с возможностью загрузки и выгрузки программной среды в КУ и/или с возможностью переключения между программными средами, загруженными в КУ. СУ снабжены интерфейсами для подключения средств ввода-вывода (СВВ), выполненных с возможностью считывания данных от средств ввода и вывода информации посредством средств вывода. СУ также снабжены интерфейсами для подключения к сетевым устройствам (СУ), выполненным с возможностью доступа к сетевым ресурсам. Кроме того, СУ снабжены интерфейсами для подключения к средствам хранения данных (СХД), выполненным с возможностью хранения данных, по меньшей мере, двух программных сред, каждая из которых включает исполняемый код, данные программ, политики безопасности и пользовательские данные. Причем, СУ выполнены с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным программных сред, имеющих возможность управления КУ в иные моменты времени, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ в любой момент времени.

На фигуре 5 показан пример сетевого окружения, в котором может функционировать вышеописанный терминал. Локальная сеть, изображенная на фигуре 5, может обеспечивать проводное или беспроводное подключение терминалу 30, 31, включающему КУ 8 и СУ 200. Терминал может представлять собой персональный компьютер, сервер, группу серверов или рабочих станций, и систему удаленного управления 32. В сети может находиться набор доверяемых сетевых ресурсов 33 содержащих конфиденциальные ресурсы, подключенные к сети с высоким уровнем доверия. Также в сети может находиться шлюз 36, позволяющий терминалу 30, 31 связываться с публичными сетевыми ресурсами 37 с низким уровнем доверия, например, с публичными Интернет-ресурсами. Сеть может содержать набор сетевых ресурсов для служебного пользования 35

Сетевые ресурсы могут представлять собой любые данные, программы удаленной обработки, облачные ресурсы, базы данных с определенным уровнем доверия и т.п.

СУ 200 может быть размещено в одном корпусе с компьютерным устройством КУ 8 представляющим собой любое компьютерное устройство (например, персональный компьютер, ноутбук, планшет, смартфон, сервер, сетевое компьютерное оборудование и т.п.), которое подключается к каналам связи для доступа к сетевым ресурсам. СУ 200 также может быть смонтировано на одной печатной плате с КС 8, или может подключаться к одному из стандартизированных интерфейсных разъемов на печатной плате КУ 8.

Терминалы, показанные на фигуре 5, связаны между собой системой управления СИ 32, и шлюзом 36. Устройство СУ 200 установлено в терминале таким образом, чтобы гарантировать, что соответствующее сетевое устройство или система будет получать доступ к сети только через СУ 200. СУ 200 может быть внешним или внутренним, в зависимости от соответствующего сетевого устройства или системы. Например, устройство СУ 200 может быть выполнено в виде одной или нескольких микросхем. Устройства СУ 200 могут иметь различные конфигурации аппаратного и/или программного обеспечения, которые позволяют поддерживать конкретные сетевые операции, выполняемые соответствующими сетевыми устройствами или системами. Конфигурация аппаратного и/или программного обеспечения, а также набор программного обеспечения СУ может загружаться из защищенной от записи области памяти устройства СХД в соответствии с политикой безопасности, принятой в соответствующем сетевом устройстве или системе. В примере, показанном на фиг.5 терминал 30 может быть сконфигурирован таким образом, что программная среда или ее компоненты могут иметь доступ только к сетевым ресурсам 37 по шифрованному каналу связи VPN2, первый набор программного обеспечения 1 может иметь доступ к сетевым ресурсам 33 по шифрованному каналу связи, а второй набор программного обеспечения 2 может иметь доступ к публичным сетевым ресурсам по обычному каналу связи с использованием шлюза 36, как показано на фигуре 6. Причем программная среда, первый набор программного обеспечения 1 и второй набор программного обеспечения 2 в данном случае имеют доступ только к соответствующим сетевым ресурсам, что может определяться соответствующей политикой безопасности, и не имеют доступа к другим сетевым ресурсам, что предотвращает возможность утечки соответствующих данных пользователей в другие сети. Шифрование каналов связи и двусторонняя аутентификация обеспечивает защиту от перехвата данных в каналах связи.

На фигуре 6 показан пример организации доступа терминала в моноблочном исполнении 46 к трем наборам сетевых ресурсов с различным уровнем доверия. Так например, первая программная среда 40, выполняемая в компьютерном устройстве, имеет доступ только к первой группе сетевых ресурсов 33 с конфиденциальной информацией по каналу связи 43 с использованием шифрования. Вторая программная среда 41, выполняемая компьютерным устройством после выгрузки первой программной среды, имеет доступ к второй группе сетевых ресурсов для служебного пользования через канал связи 44, при этом используется шифрование с ключами, отличными от тех, которые применяются для шифрования в канале связи 43. Третья программная среда 42, выполняемая компьютерным устройством после выгрузки первой программной среды имеет доступ только к третьей группе сетевых ресурсов 35 с информацией общего доступа по каналу связи 43 без использования шифрования. Важно отметить, что для обеспечения защиты каналов связи от перехвата, только канал связи для доступа к публичным ресурсам общего доступа может не иметь шифрования. Остальные каналы связи должны использовать шифрование, причем с разными ключами. Это обеспечивает изоляцию каналов связи даже в случае использования одного физического канала связи с использованием, например кабельной сети Ethernet.

На фигуре 3 показан обобщенный пример подключения СУ 200 к стандартному компьютерному устройству 8, которое реализовано в виде центрального процессора 1, подключенного по процессорной шине 2 к северному мосту 3, включающему в себя контроллер графической шины 7 для подключения средств отображения информации 6, блок памяти 5 подключенный по шине 4, а также южный мост 7, для контроля шины РСI и РСIе 11, в котором подключение различных периферийных контроллеров и средств ввода-вывода 12 осуществляется к средству управления СУ 200 по шинам 103 (шины могут стыковаться с оконечным оборудованием с использованием интерфейсов USВ, SРI, SАТА, РСI, РS/2, и.т.д.). СУ 200 подключается к общей шине 11 устройства КУ 8, например РСIе в режиме мастера и имеет возможность доступа к контроллеру прерываний и прямого доступа к памяти 10 по каналу 107. Также СУ 200 может управлять стартом центрального процессора 1, например управлением тактовой частотой или стартом встроенного программного обеспечения методом перехвата прерываний для обеспечения предварительной целостности программного обеспечения, обеспечивающего базовые функции ввода-вывода, после аутентификации и авторизации пользователя. СУ 200 имеет прямой доступ к средствам отображения информации СО 6 по каналу 101. При необходимости СУ 200 может перенаправлять данные ввода от СВВ 12 в южный мост 9 по шине (или каналу) 204. Устройство СУ 200 подключено к сетевым устройствам 113, например, сетевым контроллерам Ethernet, которые по внешним каналам связи 14 имеют доступ к сетевым ресурсам или устройствам (не показаны). При этом компьютерное устройство КУ 8 не имеет прямого доступа к каналам связи 14 т.к. сетевые устройства 113 не подключаются к шинам КУ 8. Компьютерное устройство КУ выполняет коды, разрешенные к выполнению СУ 200 после выполнения процедур аутентификации и авторизации пользователя и проверки кода и данных на целостность, операционной системы и программ (далее - программная среда) а дополнительное компьютерное устройство ДКУ 201 выполняет защищенные наборы программного обеспечения из множества ПО (ПО1, ПО2, , ПОn), которые хранятся в СХД 202, подключенным к интерфейсам 203 (USВ, SРI, SАТА, РСI, РS/2, GРВ и.т.д) для доступа к соответствующим сетевым ресурсам из множества сетевых ресурсов, разрешенных политикой безопасности.

Как показано на фигуре 3, компьютерное устройство 8 может иметь средства отображения (СО) 6, которые получают данные, переданные на компьютерное устройство 8 в виде входных данных для средств отображения (например, видеоданные), и управляет выводом этих данных на СО 6, такие как внешний или встроенный монитор, подключенный к компьютерному устройству 8. Входные данные, передаваемые на СО 6, могут быть зашифрованы. Кроме того, компьютерное устройство КУ 8 может включать любые другие компоненты или программы, необходимые для его работы и выполнения задач.

СУ 200 может быть подключено к любой высокоскоростной шине компьютерного устройства КУ, а также к любому высокоскоростному интерфейсу обмена данными, такому как USВ, РСI, РСI Ехрrеss и т.д., то есть - к любому интерфейсу, способному поддерживать протокол обмена данными между устройством СУ 200 и компьютерным устройством КУ 8, описанным ниже. СУ 200 может быть реализовано в виде одной или нескольких микросхем, интегрировано в центральный процессор 1, в северный мост 3, или в южный мост 9 или другие в другие интегральные микросхемы или контроллеры КУ 8, включая контроллеры периферийных устройств. СУ 200 может быть размещено отдельно в виде вспомогательной платы или интегрировано в материнскую плату. Кроме того СУ 200 может быть внешним относительно компьютерного устройства КУ. Например, СУ 200 может представлять собой плату, подключаемую к компьютерному устройству КУ через соответствующий разъем. Также устройство СУ может быть реализовано с применением технологий виртуальных машин.

СУ 200 может подключаться к сетевым каналам, с использованием сетевых интерфейсов или устройств СУ 113, обеспечивающих физический интерфейс с сетью передачи данных. Например, СУ 113 может включать контроллеры Ethernet, Wi-Fi, 3G, 4G и т.п. Также, СУ 113 может быть выполнено в виде отдельного программно-аппаратного сетевого экрана или с применением средств программной или аппаратной виртуализации. Реализация изолированного сетевого экрана позволяет защитить правила доступа и сетевые фильтры от манипуляции наборами программного обеспечения. Межсетевые экраны в модуле СУ 113 могут представлять собой любые системы, подходящие для фильтрации сетевого трафика по соответствующим сетевым каналам, основываясь на заранее заданном критерии или с использованием логики предсказаний. Например, фильтры могут включать межсетевой экран для фильтрации IР трафика, антивирусное программное обеспечение, модули обнаружения атак, модули контроля доступа к сетевым ресурсам, программные или аппаратные модули шифрования каналов связи, фильтры уровня приложений и т.д. Сетевые интерфейсы СУ 113 могут быть реализованы любыми программными или программно-аппаратными средствами. Каждый сетевой интерфейс может иметь уникальный IР адрес.

Устройство СУ 200 подключается между компьютерным устройством КУ 8 и сетью передачи данных, чтобы обеспечить каналы передачи данных между терминалом и сетевыми ресурсами, и предотвратить прямой обмен данными между компьютерным устройством КУ 8 и сетью передачи данных.

Как показано на фиг.4, в устройстве СУ 200 может быть встроен модуль контроллера безопасности КБ 108, выполненный, например, на отдельном микропроцессоре выполняющий соответствующий доверенный микрокод (ПО), отвечающий за аутентификацию, авторизацию и контроль как минимум одного дополнительного компьютерного устройства ДКУ 201 состоящего, например, из модуля управления памятью МУП 109, защищенной памяти наборов программного обеспечения ППО 111, защищенной памяти наборов данных пользователя ПДП 110, и исполнительного модуля ИМ 104. Модуль управления памятью (МУП) может представлять собой контроллер памяти, выполненный на отдельной интегральной схеме, логике или микроконтроллере, позволяющий под управлением контроллера безопасности КБ 108 обеспечивать блокировку команд записи в определенные сегменты (области) памяти, блокировку команд чтения из определенных сегментов (областей) памяти, а также предотвращать выполнение (загрузку) команд процессором из определенных сегментов памяти. Исполнительный модуль может представлять собой стандартый или встраеиваемый процессор и необходимую аппаратную логику для выполнения кода ПО, Контроллер безопасности КБ 108 может управлять аппаратной функцией защиты от записи и чтения МУП 109 и/или СХД, выбором соответствующего политике безопасности уникального набора ПО и соответствующих ДП в который могут входить браузеры, программы доступа к базам данных, и т.д., необходимые Терминалу для работы с соответствующими политике безопасности сетевыми ресурсами. Например, выбранные и загруженные с СХД 202 в ИМ 104, под управлением КБ 108, наборы программного обеспечения ПО (см фиг.6) могут включать компьютерные программы, которые разрешены к использованию ИМ 104 в соответствии с политиками сетевой безопасности при доступе только к сетевым ресурсам с публичными данными, такими как сеть Интернет. Наборы ПО могут, например, включать интернет браузеры, программы обмена сообщениями, программы новостей и т.п.. Код ПО может выполняться в в одном из ДКУ для обеспечения защиты и изоляции от доступа других наборов ПО и СР, а также защиты от доступа к другим наборам ПО и СР. Т.к. МУП 109 предотвращает модификацию ПО в памяти защитой от записи, то злоумышленник не имеет возможности встроить свой вредоносный код или изменить код ПО. ИМ 104 также может использовать любой механизм безопасности, позволяющий безопасно выполнять приложения ПО включая программные и аппаратные методы защиты, такие как защита от исполнения кода (предотвращение выполнения кода из областей памяти программного стека и буферов данных,, ПО защиты от вредоносного кода, динамическую проверку контрольных сумм, механизмы на базе технологий зоны доверия (TrustZone) и т.д.

Приложения П02 могут генерировать выходные данные, подаваемые через интерфейс видеоканала ИВ 107 на средства отображения СО 6, что позволяет компьютерному устройству КУ 8 выводить на внутреннее или внешнее средство отображения графическое изображение, соответствующее выходным данным ИМ 104. Приложения П02 могут генерировать выходные данные в виде любого сигнала, например, видеосигнала, который может использоваться в качестве входного для средства отображения, такого как монитор. Модуль ИВ 107 может иметь управляемый переключатель вывода (ввода) для подключения СО 6 к ИМ 104 или к КУ 8 в зависимости от необходимости. Такое управление может осуществляться с использованием контроллера прерываний и прямого доступа к памяти 10. Таким образом, злоумышленник, даже при наличии вредоносного кода в ПО компьютерного устройства КУ 8 не сможет перехватить изображение, предоставляемое ИМ 104. Как более детально описано ниже, в зависимости от политики безопасности и набора ПО, выходные данные ИМ 104 могут представлять входные данные, полученные из соответствующих СР по внешним каналам связи. Контроллер периферийных устройств КПУ 115 может быть соединен с устройством ввода-вывода 12, таким как клавиатура и/или мышь, чтобы позволить пользователю вводить информацию, необходимую для работы набора приложений П02. КПУ 115 управляется контроллером безопасности 108 таким образом, чтобы обеспечить переключения направления ввода в ИМ 104 для работы, например П01 или в КУ 8, для работы ПО в зависимости от режима работы. Таким образом, при вводе информации, например, для передачи в СР1 (фиг.6), канал передачи будет отключен от КУ 8, что не позволит таким программам как кейлоггер перехватить команды и сигналы ввода и передать их хакеру. Видеосигнал, отображаемый на мониторе модулем ИВ 107, изолирован от ПО компьютерного устройства КУ 8 и не может содержать вирусов, червей, «троянов», программ-шпионов и т.д., способных получить доступ к данному набору ПО. Более того, даже если вредоносный код уже есть на компьютерном устройстве КУ 8, при запросе на передачу информации с компьютерного устройства КУ 8 внешнему получателю, изоляция МД 116, предотвращает отсылку любой информации компьютерным устройством КУ 8 в сетевые ресурсы СРЗ или получения прямого доступа к каналу передачи данных.

Контроллер безопасности КБ 108 может управлять доступом пользователя к сетевым ресурсам, основываясь на информации о политике безопасности, которая может быть загружена в устройство СУ 200 в режиме настройки, который описан более детально ниже. Информация о политике безопасности сети может включать информацию об аутентификации и авторизации, такую как имя или имена одного или нескольких пользователей, имеющих права доступа к терминалу, а также информацию о паролях, связанных с пользователями и права доступа к информационным системам. Кроме того, в информации может содержаться любая другая информация, идентифицирующая пользователей, например по их отпечаткам пальцев или сетчатке глаза в случае многофакторной аутентификации. Далее, политика безопасности может включать информацию авторизации, включающую информацию для контроля доступа пользователей, включая права и привилегии пользователя и т.п.Также политика безопасности может содержать параметры настройки, сертификаты, ключи доступа, контрольные суммы для проверки целостности, списки доступа, параметры соответствия наборов ПО и ДП каналам связи и наборам СР и т.д. Права и привилегии пользователя могут определять сетевые ресурсы, порты и/или определенные 1Р адреса, разрешенные или запрещенные для конкретного пользователя, и/или наборы ПО, ДП, СР, разрешенные или запрещенные для пользователя.

Кроме того, политика безопасности сети может определять различные уровни доверия для различных сетевых ресурсов - от наименее доверяемых до наиболее доверяемых. Наименее доверяемые ресурсы это ресурсы, имеющие большую вероятность компрометации безопасности сети, такие как некоторые сайты и домены, для которых известно, что они распространяют вредоносное программное обеспечение. Наиболее доверяемые ресурсы имеют наименьшую вероятность компрометации безопасности сети, это, например, ресурсы изолированной внутренней сети. Информация о правах доступа пользователя, загруженная в режиме настройки, может указывать права и привилегии пользователя в зависимости от ресурсов определенного уровня доверия. Как описано более детально ниже, контроллер безопасности КБ 108 может назначать определенный сетевой интерфейс из набора сетевых устройств 113 для обеспечения обмена данными с сетевыми ресурсами определенного уровня доверия.

Сетевые устройства СУ 113 могут представлять собой как физические сетевые интерфейсы (например, сетевые экраны, Wi-FI, Ethernet, 3G, 4G и т.п.) так и виртуальные, использующие программное обеспечение. Так к одному физическому интерфейсу могут быть привязаны несколько виртуальных для обеспечения разделения трафика между наборами ПО с использованием одного физического канала связи. Причем, каждый сетевой интерфейс может иметь уникальный адрес, например, 1Р.

Контроллер безопасности КБ 108 взаимодействует с МД 116, так для выполнения аутентификации и авторизации, контроллер безопасности КБ 108 может подавать сигнал запроса, например, видеосигнал, который может использоваться как входной для средства отображения СО 6, например, монитора. Через интерфейс видеоканала ИВ 107, сигнал запроса на авторизацию подается на СО 6, который управляет монитором компьютерного устройства КУ 8, чтобы отобразить графическое изображение для запроса аутентификации. В ответ, пользователь вводит необходимую информацию авторизации, передаваемую на контроллер безопасности КБ 108 для проверки с ипользованием устройства ввода 12, например клавиатуры, токена, смарт карты или сканера отпечатков пальцев. При этом КПУ 115 блокирует ввод данных в КУ 8 и ДКУ. Кроме пароля, введенного с клавиатуры можно реализовать способы считывания информации об авторизации, введенную пользователем, такую как динамический пароль, отпечаток пальца, сканирование сетчатки глаза, токены и карты безопасности и.т.д. Основываясь на информации пользователя, контроллер безопасности КБ 108 выполняет процедуру авторизации пользователя и определяет права и привилегии доступа к сети для этого пользователя. Так как процедура авторизации выполняется в устройстве СУ 200 за пределами компьютерного устройства КУ 8, этой процедурой нельзя манипулировать и ее нельзя фальсифицировать пользователем или вредоносным программным обеспечением, находящимся на компьютерном устройстве КУ 8.

Контроллер безопасности КБ 108 принимает информацию авторизации и позволяет пользователю получить доступ к сетевым ресурсам СР в соответствии с правами и привилегиями, и уникальным набором ПО, установленными для этого пользователя. В противном случае, контроллер безопасности передает сообщение ошибки, сообщающее о недействительной аутентификации и авторизации и требующее от пользователя ввести необходимую информацию снова, а в случае нескольких неудачных попыток КБ 108 может заблокировать систему. По всем операциям СУ 200 могут вестись журналы аудита с разным уровнем детализации, от режима «черного ящика», записывающего абсолютно все действия пользователя и ПО, до режима записи только критических ошибок для службы поддержки. Журналы аудита могут вестись локально и записываться во внутреннюю память СУ 200, а также могут записываться на внешнюю или удаленную память, включая аудит сервера, внешние накопители, сетевые ресурсы и т.д. Данные аудита могут быть зашифрованы соответствующими ключами.

В соответствии с примером реализации, устройство СУ 200 может иметь несколько дополнительных компьютерных устройств ДКУ для обеспечения транзакций между изолированными наборами ПО и ДП и соответствующими сетевыми ресурсами СР по доверительным каналам связи, например с использованием шифрования. Хотя на фиг.6 показано 3 сетевых канала 43, 44, 45, в других реализациях может использоваться любое количество каналов и любое количество ДКУ 201 для доступа к различным сетевым ресурсам. Несколько сетевых каналов позволяют обеспечить доступ пользователя к различным ресурсам через различные каналы, что позволяет изолировать соответствующие наборы ПО, ДП, СР. При использовании одного физического канала связи, например с использованием кабеля с витой парой по стандарту Ethernet или радиоканала WI-FI, разделение каналов может быть виртуальным, например с использованием технологий VРN, VLAN и т.п.Так к первому набору сетевых ресурсов первого уровня доверия доступ может осуществляться по одному сетевому каналу, в то время как набор сетевых ресурсов второго уровня доверия, который ниже первого, будут доступны по другому сетевому каналу. Причем каждому каналу может соответствовать отдельное ДКУ отдельный набор ПО и ДП. Использование шифрования каждого канала связи уникальным ключом предотвратит возможность перехвата и утечки данных в другие каналы связи. Как описано выше, сетевым ресурсам могут быть назначены различные уровни доверия - от самого низкого уровня доверия до самого высокого. Ресурсы с самым низким уровнем доверия имеют самую высокую вероятность компрометации безопасности сети, так как некоторые сайты и домены могут распространять вредоносное программное обеспечение. Наиболее доверяемые ресурсы имеют наименьшую вероятность компрометации безопасности сети, это, например, ресурсы изолированной внутренней сети.

Многоканальная схема устройства СУ 200 обеспечивает гибкость доступа к различным типам сетевых ресурсов с использованием всех доступных сетевых приложений, без компрометации безопасности сети. Устройство СУ 200.

Устройство СУ 200 включает механизм шифрования/дешифрования информации, передаваемой по каналам связи, причем часть функций шифрования может выполняться наборами ПО, ВПО а часть модулем СУ 113. Например, на фиг.6 показан механизм шифрования/дешифрования обеспечивающий шифрование и/или дешифрование информации, передаваемой по второму 44 и третьему 45 сетевым каналам В устройстве СУ 200 контроллер безопасности КБ 108 также может выполнять функции запоминающего устройства для ключей/политик, в котором содержится информация о политике безопасности сети, загруженная в режиме настройки, а также другая информация, связанная с режимами работы и безопасностью СУ 200. В частности в хранилище ключей/значений КБ 108 могут содержаться ключи для шифрования/дешифрования, необходимые для работы механизма шифрования/дешифрования СУ 113, СХД 202, ПДП 110, ППО 111, МУП 109, ИВ 107 и т.д. Конкретному пользователю можно назначить конкретный набор ключей, чтобы позволить пользователю доступ к определенным сетевым ресурсам, таким как сервер или база данных, сервер облачных вычислений, доступ к которым можно получить, только используя этот набор ключей. Это обеспечивает дополнительную защиту, предотвращающую доступ других пользователей к определенным сетевым ресурсам, т.к. пользователь не имеет возможности манипулировать этими данными, как было указанно выше. Также, в хранилище КБ 108 могут храниться другие настройки, определяющие различные аспекты политики сетевой безопасности, такие как авторизация пользователей, права и привилегии пользователя при доступе к сети и т.д.

Далее, устройство СУ 200 имеет модуль ИКУ 106 который может предоставлять сетевые настройки для компьютерного устройства КУ 8, что значительно упрощает настройку устройства.

Этот механизм предотвращает установление сетевого соединения пользователем компьютерного устройства КУ 8 или вредоносным программным обеспечением, даже если пользователь или вредоносное программное обеспечение смогли изменить сетевые настройки, чтобы установить сетевое подключение, которое не разрешено в соответствии с правами и привилегиями конкретного пользователя

Модуль КБ 108 также служит для обеспечения защиты от утечки информации ПО из КУ 8 как по каналам связи, так и с использованием любых периферийных устройств, например, внешним носителям информации, USВ накопителям. Так, например, модуль КБ 108 может содержать ПО сервисов-посредников для обработки, например, исходящей и входящей почты по протоколам передачи почтовых сообщений и принудительного применения политик безопасности и правил в зависимости от параметров почтовых сообщений. Так определенные почтовые сообщения могут быть автоматически зашифрованы или расшифрованы, преобразованы, обработаны или удалены. Также ВМД 112 может служить для обработки всех внешних данных поступающих с периферийных устройств ПУ 12, так и для обработки выводимой информации с КУ 8 на периферийные устройства с принудительным применением политик безопасности. Так, например, при необходимости записать на USВ накопитель ряд файлов данных может применяться политика безопасности, которая запретит запись определенного вида файлов, может зашифровать соответствующими ключами другие виды файлов и преобразовать в PDF или текстовый формат соответствующие политике файлы. Также в КБ 108 может стоять прокси сервисы для контроля доступа наборовПО куомпьютерного устройства КУ 8 к определенным сетевым ресурсам, например средствам автоматического обновления ПО. Контроллер безопасности КБ 108 также может предоставлять ключ шифрования ВПО для обеспечения шифрования данных, например жестких дисков КУ 8. При отзыве такого ключа политикой безопасности, доступ к компьютеру будет перекрыт.

Таким образом, многоканальная схема устройства СУ 200 поддерживает гибкий механизм управления доступом к сети, который позволяет назначать и изолировать определенный сетевой канал для доступа к сетевым ресурсам, имеющим определенный уровень доверия. Более того, механизм управления доступом к сети, приведенный в данном описании, может назначать определенный сетевой канал в устройстве СУ 200 для выполнения определенных сетевых приложений. В частности, сетевые приложения ПО1, выполняемые ИМ устройства ДКУ, могут получить доступ к СР1 33 только через сетевой канал 43, в то время как приложения ПО компьютерного устройства КУ 8 могут получить доступ к СР2 35 через сетевой канал 45.

Таким образом, только изолированные сетевые приложения ПО1 могут получить доступ к сетевым ресурсам с наименьшим уровнем доверия. Сетевые приложения ПО2, имеющие самый высокий уровень доверия получат доступ только к соответствующей сети с самым высоким уровнем доверия. С другой стороны, пользователь может выполнять сетевые приложения ПО компьюьтерного устройства КУ 8, для связи с сетевыми ресурсами с более высоким уровнем доверия, такими как ресурсы внутренней сети или доверяемые ресурсы Интернет. Права и привилегии пользователя по доступу к сети определяются контроллером безопасности КБ 108 Основываясь на настройках и политиках, загруженных в запоминающее устройство КБ 108, они могут определять, какие приложения можно установить на компьютерное устройство КУ 8, а какие приложения должны предоставляться только устройством ДКУ как приложения ПО1, ПО2 ПОn. Также права и привилегии доступа пользователя к сети могут определять, какие сетевые каналы в устройстве СУ 200 должны использоваться для доступа к определенным сетевым ресурсам.

Устройство СУ 200 может работать следующим образом. После включения питания, устройство СУ 200 переходит в рабочий режим, в котором запоминающее устройство ключей политик КБ 108 заблокировано и работает в режиме только для чтения. Устройство СУ 200 блокирует загрузку КУ 8 и ДКУ. При помощи интерфейса видеообмена ИВ 107, контроллер безопасности КБ 108 передает компьютерному устройству КУ 8 сообщение с запросом на аутентификацию для авторизации, которое может быть отображено на мониторе компьютерного устройства КУ. В ответ, пользователь вводит необходимую для авторизации информацию, используя устройство ввода, подключенное к интерфейсам ввода-вывода 12. КПУ 115 переключает направление ввода только в КБ 108, таким образом, предотвращая любой перехват набранной информации вредоносными средствами. Контроллер безопасности КБ 108 сравнивает полученную информацию с соответствующей информацией, которая хранится в запоминающем устройстве ключей и политик КБ 108.

Если доступ пользователя подтвержден, контроллер безопасности КБ 108 может включить сетевые интерфейсы, устройства и модули СУ 200 которые разрешены правами и привилегиями доступа конкретного пользователя, содержащимися в запоминающем устройстве ключей и политик КБ 108. Также СУ 200 проверяет целостность разрешенных наборов ВПО и ПО и, в случае нарушения, восстанавливает соответствующие наборы с резервных источников.

Ключ для шифрования/дешифрования, который хранится в запоминающем устройстве ключей и политик КБ, могут использоваться, чтобы позволить работу механизма шифрования/дешифрования ПО, ВПО или СУ 113 и обеспечить шифрование и/или дешифрование данных, передаваемых по доступным сетевым каналам в устройстве СУ 200. Также, на основе информации авторизации в запоминающем устройстве ключ политика КБ 108, могут быть настроены соответствующие фильтры и программы обработки модуля СУ 113, чтобы обеспечивать необходимую фильтрацию. Кроме того, как описано выше, определенному пользователю может быть назначен определенный набор ключей, чтобы обеспечить ему доступ к СР, а также определенным ресурсам сети, таким как сервер или база данных, которые можно использовать только с этим набором ключей.

Далее, при помощи сетевого интерфейса 113, устройство СУ 200 может установить соединение по шифрованному каналу с системой управления СУ 32 (фиг.5). Например, соединение может быть установлено по протоколу Secure Sockets Layer (SSL). Либо же может быть установлено соединение VPN, например, по протоколу Internet Protocol Security (IРsес).

Используя шифрование, контроллер безопасности КБ 108 может проверить, имеет ли система удаленного управления СУУ 32 (фиг.5) информацию о политике безопасности сети, необходимую для управления устройством СУ 200 или же имеет обновленную информацию о политике безопасности сети, которая уже содержится в запоминающем устройстве ключей и политик КБ 108. Информация о политике безопасности сети может содержать информацию об авторизации, информацию о доступе к сети, ключи для шифрования и дешифрования, и любую другую информацию, которая может понадобиться для управления доступом к сети и безопасности данных. Если доступна новая или обновленная информация о политике безопасности, устройство КБ 108 загрузит ее с системы удаленного управления СУУ 32 и начнет процедуру перезагрузки, чтобы перейти в режим настройки. Аналогично устройство СУ 200 работает при получении нового или новых наборов ПО или ДП.

В режиме настройки, запоминающее устройство ключей и политик безопасности КБ 108 разблокировано, чтобы позволить запись данных в запоминающее устройство ключей и политик КБ 108, загруженная информация о политиках безопасности переписывается в это запоминающее устройство. Под управлением КБ 109, МУП 109 разблокирует защищенную от записи память или часть памяти ППО 111 и ПДП 110 для обновления ПО и ДП. Такой же алгоритм обновления может использоваться для обновления ПО, хранимых на СХД 202. После расшифровки и проверки целостности в этом режиме могут быт сохранены новые или модифицированные наборы ПО и ДП, полученные до перезагрузки. Следует заметить, что в режиме настройки устройство СУ 200 недоступно компьютерному устройству КУ 8 или сетевым ресурсам СР, так как все интерфейсы СУ 113, ИКУ 106 устройства СУ 200 отключены. После загрузки необходимой информации, устройство СУ 200 может быть перезагружено для возврата в рабочий режим, в котором запоминающее устройство ключей политик безопасности КБ 108 заблокировано и доступно только для чтения. МУП 109 также защищает от записи необходимые области памяти хранении ПО и ДП и скрывает необходимые области для ограничения доступа. В результате, ни в режиме настройки, ни в рабочем режиме, ни пользователь, ни хакер не может получить доступ к запоминающему устройству КБ 108, чтобы манипулировать информацией политики безопасности. Для обеспечения защиты от физического вмешательства в КБ 108 может встраиваться независимый источник питания и сенсоры физического взлома, при срабатывании которых все данные ключей и политик безопасности КБ могут обнуляться и система приводиться в неработоспособное состояние.

Если система удаленного управления СУУ 32 не имеет новых или обновленных политик безопасности, контроллер безопасности КБ 108 начинает инициализацию сетевых интерфейсов и наборов ПО.

ПРИМЕР 1

При включении питания вышеописанный терминал функционирует следующим образом. Терминал не использует стандартную процедуру загрузки компьютерного устройства, при которой обычно на первом этапе управление передается встроенной программе BIOS, а затем запускаются РOSТ (процедуры тестирования) и после окончания процедуры тестирования оборудования ВIOS генерирует прерывание 19h, обработчик которого управляет дальнейшим ходом загрузки. Он находит первый (в порядке приоритетов в соответствии с настройками ВIOS) загрузочный диск, считывает его первый сектор по линейному адресу 07С00h и передает ему управление. Загрузчик, в свою очередь, загружает в оперативную память необходимые данные из файловой системы и начинает процесс запуска операционной системы.

Терминал, функционирует следующим образом при запуске. Сначала осуществляется запуск СУ 200, который задерживает запуск центрального процессора 1 (например, управляя тактовой частотой), и после выполнения встроенной в СУ программы инициализации, запрашивает данные пользователя для аутентификации. Пользователь, может использовать, например, USВ токен, провести процедуру аутентификации и авторизации используя локальные алгоритмы устройства СУ 200 и/или серверные технологии, включая Kerberos, RADIUS и т.п. Далее СУ, согласно политике, соответствующей пользователю, осуществляет проверку целостности кодов ВIOS и данных программной среды, например, с использованием алгоритмов контрольных сумм, электронной подписи на базе ассиметричного криптографического алгоритма и т.д., при необходимости производит процедуры дешифрования файлов, и далее открывает доступ к этим данным по стандартным адресам загрузки. После этого СУ 200 разрешает запуск центрального процессора 1. Центральный процессор 1 выполняет стандартные процедуры запуска ВIOS, РOSТ, загрузчика операционной системы и самой операционной системы.

При подобном подходе у злоумышленника нет возможности модифицировать код ВIOS, загрузчик, файлы ОС, данные, т.к. такая модификация обнаружится на этапе запуска СУ 200. Т.к. данные и данные программной среды в выключенном терминале могут храниться в зашифрованном виде, у злоумышленника не будет возможности запустить терминал при выключенных СУ 200. Также невозможно похитить данные программной среды, поскольку они хранятся в СХД в зашифрованной форме и не могут быть дешифрованы без СУ 200.

Т.е на этом этапе устройство осуществляет доверенный старт компьютера только с проверенной на целостность программной средой, и только с той программной средой и наборами программного обеспечения, которые разрешены пользователю политикой безопасности. Это отличает вышеописанный терминал от модулей доверенной загрузки, которые могут подключаться только на этапе загрузки операционной системы после выполнения ВIOS, например, по прерыванию 19h. Такие модули не контролируют наборы ВПО и доступ к сетевым ресурсам, т.е. их можно обойти ВIOS вставками или физически.

После завершения загрузки пользователю, может понадобиться осуществить доступ к сети с низким уровнем доверия, например, Интернет.В этом случае СУ 200 может потребовать дополнительную аутентификацию пользователя, после чего предоставит ему соответствующий набор прикладных программ и данных из памяти 110, 111 для запуска в дополнительном компьютерном устройстве 202. Это может быть популярный Интернет браузер «Хром» или «Мозилла», Skype и т.п.В типичных компьютерных устройтвах запуск подобных приложений для доступа в Интернет несет огромный риск, т.к. такие приложения являются основной мишенью хакерских атак. Используя уязвимости интернет браузера, хакер с легкостью может получить доступ к данным и сетям с высоким уровнем доверия.

В случае с вышеописанным терминалом, набор прикладных программ для доступа к сети Интернет запускается в изолированной программной среде. СУ 200 переключает устройства ввода пользователя (клавиатуру и мышь) в изолированную программную среду для защиты от перехвата данных программами перехватчиками - кейлоггерами.

Среда выполнения включается в режим так называемого терминального сервера и выводит информацию об операциях на экран пользователя (например, напрямую в видеоадаптер с использованием DМА). За счет того, что СУ блокируют запись данных программной среды в области памяти, не предусмотренные политикой безопасности, программная среда, под управлением которой находится компьютерное устройство или дополнительное компьютерное устройство, всегда полностью изолирована от других программных сред, и в то же самое время не представляет для них опасности, так что злоумышленник не может получить доступ к данным или сетям с высоким уровнем доверия.

Если пользователю далее потребуется осуществить доступ, например, к платежной системе, СУ 200 после аутентификации и авторизации пользователя обнуляет оперативную память, буферы и регистры ДКУ, не оставляя следов от предшествовавшей программной среды. По требованиям государственных органов, может понадобиться выполнения очистки памяти в несколько проходов. Это необходимо для повышения степени изоляции между программными средами и предотвращения утечки информации в случае использования злоумышленником таких изощренных средств, как измерение остаточной намагниченности носителей информации. Далее СУ 200 загружает соответствующий набор программного обеспечения и данных, например программное обеспечение Клиент-Банк, 1С Бухгалтерию и т.п. Сетевые настройки, в соответствии с политикой безопасности могут быть установлены для обеспечения доступа программного обеспечения к удаленному серверу только с использованием шифрования, например VPN. Это позволит предотвратить возможность перехвата данных и модификации сессии. Также двухсторонняя авторизация предотвратит атаки «man in the middle».

В этом режиме также нет возможности перехвата, т.к. клавиатура и мышь перенаправлены в изолированную область КУ, а изображение может отображаться на монитор пользователя через СУ для обеспечения защиты от систем захвата экрана.

Во всех режимах каждому набору программного обеспечения может соответствовать свой набор сетевых настроек, включая маршрутизацию, что позволяет предотвратить доступ к запрещенным политикой безопасности сетевым ресурсам.

1. Терминал для безопасного доступа к сетевым ресурсам, содержащий, по меньшей мере, одно компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода, корпус, выполненный в виде моноблока, и установленные внутри него средства управления (СУ), выполненные с возможностью загрузки и выгрузки программной среды в КУ и/или с возможностью переключения между программными средами, загруженными в КУ, в котором:

СУ выполнены с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным программных сред, имеющих возможность управления КУ в иные моменты времени, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ в любой момент времени.

2. Терминал по п.1, в котором исполняемый код и данные программ в упомянутых программных средах включают исполняемый код операционных систем,

данные операционных систем, исполняемый код прикладных программ и данные прикладных программ.

3. Терминал по п.1, характеризующийся тем, что КУ и СУ установлены внутри упомянутого корпуса.

4. Терминал по п.1 или 2, характеризующийся тем, что он дополнительно содержит интерфейсы СВВ, интерфейсы СУ, и/или СХД, установленные внутри упомянутого корпуса.

5. Терминал по п.1, в котором КУ выполнен с возможностью получения исполняемого кода и данных прикладных программ и/или операционных систем с удаленного сервера приложений, соединенного с СУ защищенным каналом передачи данных.

6. Терминал по п.1, в котором СУ выполнены с возможностью получения настроек, политик безопасности и других данных с удаленного сервера по защищенному каналу связи.

7. Терминал по п.1, в котором СУ выполнено таким образом, что перед загрузкой программной среды и/или перед переключением между программными средами они осуществляют аутентификацию и авторизацию пользователя.

8. Терминал по п.1, в котором СУ выполнены таким образом, что перед передачей управления программной среде они выполняют очистку оперативной памяти и регистров КУ от данных предшествующей программной среды.

9. Терминал по п.1, в котором СУ выполнены таким образом, что перед передачей управления исполняемому коду программной среды осуществляют проверку целостности этого кода, а также проверку целостности соответствующих данных программ.

10. Терминал по п.8, в котором проверка целостности осуществляется посредством вычисления хэш-функций или проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.

11. Терминал по п.10, в котором СУ выполнены таким образом, что при нарушении целостности исполняемого кода и данных программ, выявленной в результате упомянутой проверки, они осуществляют их восстановление из резервного хранилища данных.

12. Терминал по п.1, в котором СУ выполнены с возможностью предотвращения модификации исполняемого кода и данных программ в СХД.

13. Терминал по п.1, в котором СУ выполнены с возможностью извещения пользователя о несанкционированных попытках модификации исполняемого кода и/или данных программ в СХД.

14. Терминал по п.1, в котором СУ выполнены таким образом, что перед загрузкой программной среды они осуществляют проверку пользовательских данных на наличие вредоносного кода.

15. Терминал по п.1, характеризующийся тем, что он дополнительно содержит, по меньшей мере, одно дополнительное компьютерное устройство (ДКУ), подключенное к СУ, а СУ выполнено таким образом, что исполняемый код программной среды, под управлением которой находится ДКУ в любой момент времени, не имеет доступа к данным программной среды КУ, под управлением которой находится КУ в любой момент времени, и к данным остальных программных сред, имеющих возможность управления КУ в другие моменты времени.

16. Терминал по п.15, в котором ДКУ реализовано посредством аппаратной и/или программной виртуализации на базе КУ.

17. Терминал по п.15, в котором ДКУ выполнено с возможностью вывода графической информации на средства вывода через СУ.

18. Терминал по п.1, в котором упомянутые средства ввода представляют собой устройство типа "мышь", тачпэд, трэкбол, клавиатуру, сенсорный экран и/или видеокамеру.

19. Терминал по п.1, в котором упомянутые средства вывода представляют собой дисплей и/или устройство аудиовывода.

20. Терминал по п.1, в котором упомянутые политики безопасности содержат связки данных о разрешенных наборах исполняемых кодов, данных прикладных программ и операционных систем, а также настройки и права доступа таких наборов для того или иного пользователя.

21. Терминал по п.1, в котором упомянутые политики безопасности содержат сетевые адреса, доступ к которым разрешен из той или иной программной среды.

22. Терминал по п.1, в котором КУ содержит центральный процессор, подключенный по фронтальной (процессорной) шине к северному мосту (контроллеру-концентратору памяти), а также контроллер графической шины, контроллер памяти и южный мост (контроллер-концентратор ввода-вывода), подключенные к северному мосту.

23. Терминал по п.21, в котором СУ подключены к шинам южного моста и/или к шине графического контроллера.

24. Терминал по п.23, в котором СУ подключены к шинам южного моста с возможностью управления контроллерами южного моста, выбранными из группы, состоящей из контроллера шины, PCI Express, SMBus, I2C, LPC, Super I/O, и DMA контроллера, PATA (IDE) и SATA контроллера.

25. Терминал по п.1, в котором интерфейсы для подключения СХД представляют собой интерфейсы PCI, PCIe, SATA, eSATA,USB, Fireware, Thunderbolt, Ethernet.

26. Терминал по п.1, в котором СХД представляют собой накопители на жестких дисках, твердотельные накопители и/или файловые серверы.

27. Терминал по п.1, в котором данные упомянутых программных сред хранятся в СХД в зашифрованной форме.

28. Терминал по п.1, в котором данные упомянутых программных сред хранятся в СХД в зашифрованной форме и подписаны электронной цифровой подписью.

29. Терминал по п.1, в котором исполняемый код, данные программ и пользовательские данные каждой программной среды зашифрованы индивидуальным ключом.

30. Защищенная компьютерная система, содержащая:

сетевой интерфейс (СИ), выполненный с возможностью доступа к сетевым ресурсам,

компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода,

31. Система по п.30, в которой СХД выполнены с возможностью шифрования и дешифрации записанных данных и/или с возможностью защиты областей с данными от чтения и/или записи.

Автоматизированное рабочее место с защитой информации от утечек по каналу побочных электромагнитных излучений и наводок // 107608

Автоматизированное рабочее место для контроля эффективности работы персонала и предотвращения инсайдерских атак // 135435

Полезная модель относится к системам обработки и защиты данных, предназначенная для различных целей, а именно для оценки эффективности работы персонала организации, предотвращения и прогнозирования инсайдерских атак

Автоматизированная система планирования и учета материально-технических ресурсов федеральных судов общей юрисдикции и судебного департамента при верховном суде российской федерации // 77699

Система обеспечения удаленного доступа с использованием механизмов биометрической нейросетевой идентификации и аутентификации // 118089

Система взаимодействия разделенных баз персональных данных информационной системы // 103414

Автоматизированная система квалифицированной цифровой электронной подписи документов // 142709

Автоматизированная система квалифицированной цифровой электронной подписи документов относится к устройствам обработки данных для специального применения и может быть использована в структуре электронного документооборота заказчик-исполнитель, в частности, при реализации документооборота в области рекламы