Модель безопасной обработки информации различных уровней конфиденциальности в информационно-телекоммуникационных системах

Авторы патента:

"Модель безопасной обработки информации различных уровней конфиденциальности в информационно-телекоммуникационных системах" (МБОИ РУК ИТС) относится к классу компьютерных систем, основанных на специфических математических моделях и реализованных на компьютерах общего назначения (устройства или методы цифровых вычислений или обработки данных, специально предназначенные для сбора, хранения, поиска и обработки данных), и может быть использована для автоматизированного учета, хранения, обмена и обработки данных различных уровней конфиденциальности. Заявляемая система содержит два основных блока, обеспечивающих обмен и обработку информации различных уровней конфиденциальности: блок управления безопасностью и блок управления данными различных уровней конфиденциальности: блок управления безопасностью служит для построения системы защиты информации от несанкционированного доступа, а так же для обеспечения управления безопасной обработки и обмена данными различных уровней конфиденциальности; блок управления данными различных уровней конфиденциальности служит для управления потоками данных различного уровня конфиденциальности информации путем выполнения требований мандатной политики безопасности и реализуется средствами операционный систем серверов и рабочих станций, входящих в состав локальной информационно-телекоммуникационной системы. Система МБОИ РУК ИТС обеспечивает выполнение следующих функций: ручной и автоматизированный ввод информации с внешних устройств с присвоением вводимым данным меток безопасности, соответствующих определенным уровням конфиденциальности информации; вывод информации на печать в соответствии с установленными метками безопасности, а также с фиксацией и отметкой ее уровней конфиденциальности; электронный обмен информацией различного уровня конфиденциальности между другими подобными системами как по электронным каналам связи, так и с использованием внешний отчуждаемых носителей; учет, хранение, обмен и обработка информации в информационно-телекоммуникационной системе с соблюдением требований мандатной политики безопасности; разграничение полномочий и доступа к информации в соответствии с мандатом безопасности абонента (пользователя системы). Использование заявляемой модели для учета, хранения, обмена и обработки информации различных уровней конфиденциальности позволяет обеспечить требуемый уровень безопасности информационно-телекоммуникационных систем, в которых одновременно циркулирует разнородная по содержанию, структуре и уровню конфиденциальности информация.

Система относится к классу компьютерных систем, основанных на специфических математических моделях и реализованных на компьютерах общего назначения (устройства или методы цифровых вычислений или обработки данных, специально предназначенные для сбора, хранения, поиска и обработки данных), и может быть использована для автоматизированного учета, хранения, обмена и обработки данных различных уровней конфиденциальности.

Известна система /1/, которая представляет собой автоматизированную систему сбора и обработки данных с различных уровней иерархии. К ограничениям данной системы при ее использовании в интересах обработки данных нескольких уровней конфиденциальности можно отнести:

- отсутствие возможности учета, хранения, обмена и обработки информации различного уровня конфиденциальности;

- отсутствие возможности вывода на печать информации определенного уровня конфиденциальности с фиксацией и отметкой этого уровня;

- отсутствие возможности разграничения доступа пользователей системы к информации, хранимой в хранилище, в зависимости от ее уровня конфиденциальности.

Известна система /2/, которая позволяет использовать метки безопасности информации, передаваемой по каналам связи. Однако указанная система обладает рядом недостатков, к которым следует отнести следующее:

- отсутствие возможности обеспечения многопользовательского режима работы и разграничения прав и полномочий доступа пользователей системы к информации различного уровня конфиденциальности;

- отсутствие возможности обеспечения автоматизированного ввода данных с внешних устройств, к которым относят сканирующее устройство (сканер) и отчуждаемые носители (ГМД, Flash, CD-ROM, DVD-ROM) с обеспечением присвоения вводимым данным соответствующих меток безопасности;

- отсутствие возможности вывода информации на печать в соответствии с установленными метками безопасности, а также с фиксацией и отметкой ее уровней конфиденциальности.

Вышеуказанные недостатки и ограничения отсутствуют в заявляемой полезной модели Модель безопасной обработки информации различных уровней конфиденциальности в информационно-телекоммуникационных системах (МБОИ РУК ИТС), которая направлена на решение задачи учета, хранения, обмена и обработки информации различных уровней конфиденциальности.

В результате, использование предлагаемой полезной модели в информационно-телекоммуникационных системах (ИТС) обеспечивает обработку, учет, хранение, ввод, обмен информации различного уровня конфиденциальности, доступ пользователей ЛИС к информации определенного уровня конфиденциальности, в соответствии с установленными полномочиями на доступ к информации.

Заявляемая система, структура которой представлена на чертеже 1, содержит два основных блока, обеспечивающих обмен и обработку информации различных уровней конфиденциальности: блок управления безопасностью (Блок УБ - блок 5) и блок управления данными различных уровней конфиденциальности (Блок УДРУК - блок 3).

Считывание и запись информации из (в) блок хранения информации (Блок ХИ - блок 4) осуществляется через Блок УДРУК под управлением Блока УБ, что обеспечивает контроль доступа пользователей к информации различных уровней конфиденциальности в соответствии с мандатной политикой безопасности. Информация поступает в систему через блок электронного ввода-вывода (Блок ЭВВ - блок 2) с внешних устройств: устройства ручного ввода (РВ - блок 9) (клавиатура, манипулятор «мышь»), сканирующее устройство (СУ - блок 8) (сканер), отчуждаемые носители (ОН - блок 1) (ГМД, Flash, CD-ROM, DVD-ROM). При попадании в систему и, проходя через Блок УДРУК, информации присваивается соответствующая метка безопасности, определяющая уровень ее конфиденциальности. Только после этого информация с меткой поступает в Блок ХИ. Кроме этого информация может поступать в систему и по каналам электронной связи через блок приема-передачи электронных сообщений (Блок ППЭС - блок 12). После приема информации по системе передачи данных (СПД - блок 13) полученные данные поступают в блок оперативного хранения и обработки данных (Блок ОХиОД - блок 11) для их дальнейшей обработки. В момент попадания информации в Блок ОХиОД данным присваивается метка безопасности соответствующего уровня конфиденциальности. Присвоение мандатной метки осуществляется в Блоке УДРУК. Только после этого информация через Блок УДРУК попадает в Блок ХИ. Пользователь осуществляет манипуляцию с данными различного уровня конфиденциальности (просмотр, корректировка, удаление) в соответствии с установленными полномочиями и доступом к данным такого рода и хранящимся в Блоке ХИ и Блоке ОХиОД с использованием специального и общего программного обеспечения Блока ПРИЛОЖЕНИЙ (блок 10) под управлением Блока УДРУК. Вывод информации на внешние носители осуществляется: через Блок ПЕЧАТИ (блок 6) на печатающее устройство (ПУ - блок 7) (принтер, плоттер) и через Блок ЭВВ на ОН (ГМД, Flash, CD-ROM, DVD-ROM). Вывод информации на внешние носители производится под управлением Блока УБ и Блока УДРУК. Блок обеспечения безопасности соответствующего уровня конфиденциальности (Блок ОБУК - блоки 14 и 15) включает в себя блоки, необходимые для обеспечения работы (доступ, учет, хранение, обмен и обработка) с информацией соответствующего уровня конфиденциальности. Количество Блоков ОБУК определяется числом уровней конфиденциальности, обрабатываемых автоматизированной информационно-телекоммуникационной системой (несекретно, ДСП, секретно, совершенно секретно и т.д.). По своей структуре Блоки ОБУК являются типовыми и служат для обеспечения решения задач сетевого управления (управления телекоммуникационным ресурсом), а также управления обеспечением безопасности информации. Задача сетевого управления заключается в обеспечении эффективного использования пропускной способности каналов передачи данных, в том числе обеспечении их резервирования, настройки и восстановления.

Функциональными задачами, возложенными для решения на МБОИ РУК ИТС являются:

обеспечение ручного и автоматизированного ввода информации с внешних устройств с присвоением вводимым данным меток безопасности, соответствующих определенным уровням конфиденциальности информации;

вывод информации на печать в соответствии с установленными метками безопасности, а также с фиксацией и отметкой ее уровней конфиденциальности;

обеспечение электронного обмена информацией различного уровня конфиденциальности между другими подобными системами как по электронным каналам связи, так и с использованием внешний отчуждаемых носителей;

учет, хранение, обмен и обработка информации в информационно-телекоммуникационной системе с соблюдением требований мандатной политики безопасности;

обеспечение доступа к информации в соответствии с мандатом безопасности абонента (пользователя системы).

Печатающее устройство (блок 7) предназначено для вывода информации на печать. В качестве ПУ может быть использован принтер или плоттер. Информация различных уровней конфиденциальности попадает на ПУ через Блок печати под управлением Блока УБ.

Отчуждаемый носитель (блок 1) предназначен для временного хранения и переноса информации в электронном виде и различных уровней конфиденциальности. В качестве ОН используются: ГМД (дискета 1.44), Flash, CD-ROM, DVD-ROM. Перед применением ОН для хранения и переноса информации с мандатными метками такие внешние носители специально форматируются с соблюдением требований мандатной политики.

Сканирующее устройство (блок 8) предназначено для ввода информации путем ее сканирования с бумажного носителя, последующего ее распознавания и хранения в электронном виде. В качестве СУ используется сканер.

Блок ОБУК (блоки 14 и 15) предназначен для обеспечения безопасного хранения, обработки и обмена информацией соответствующего уровня конфиденциальности. Количество Блоков ОБУК может быть различно (1-m) в зависимости от количества уровней конфиденциальности, обрабатываемых системой (несекретно, ДСП, секретно, совершенно секретно и т.д.). Технически представляет собой ЭВМ - сервер с установленным общим программным обеспечением и специальным программным обеспечением.

Блок ОХиОД (блок 11) реализуется средствами операционной системы (ОС) в виде директорий (областей) хранения и обмена защищенной информации в соответствии с ее мандатными метками и с учетом полномочий пользователей системы.

Блок ППЭС (блок 12) представляет собой защищенную информационно-телекоммуникационную сеть для обеспечения функционирования электронного документооборота при взаимодействии территориально-удаленных локальных информационных систем (ЛИС), обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, служебную информацию ограниченного распространения (информацию ограниченного доступа), а также защиту информационных ресурсов ЛИС от несанкционированных информационных воздействий по каналам связи.

Блок УДРУК (блок 3) реализуется программными средствами серверов и рабочих станций (автоматизированных рабочих мест пользователей), входящих в состав локальной информационно-телекоммуникационной системы под управлением и контролем АБ и администратора ЛИС.

Основные функции администратора безопасности определены руководством администратора безопасности /5/ и включают:

- функции создания и управления пользователями домена безопасности;

- контроль целостности защищаемых ресурсов, программной среды и программных средств защиты информации от НСД;

- комплексное управление средствами защиты информации от НСД;

- комплексное управление доступом к защищаемым ресурсам;

- формирование, выдача и оперативный контроль сигналов о несанкционированном доступе;

- регистрация событий по доступу к защищаемым ресурсам;

- антивирусная защита;

- контроль за выводом информации на печать;

- контроль за экспортом информации на съемные носители.

Основные функции администратора ЛИС определены руководством администратора /6/ и включают:

- централизованное управление конфигурацией СПО;

- централизованную установку и обновление ОПО;

- резервное копирование и восстановление критической информации;

- удаленное восстановление СПО;

- управление конфигурацией источников бесперебойного питания;

- сопровождение баз данных, включая их резервное копирование;

- настройка каталогов доступа на рабочих станциях и серверах;

- ограничение доступа к портам и устройствам.

Блок УБ (блок 5) обеспечивает выполнение функций администратора безопасности ЛИС и предназначен для использования в составе системы обеспечения безопасности информации. Блок УБ служит для построения системы защиты информации от несанкционированного доступа, а так же для обеспечения управления безопасной обработки и обмена данными различных уровней конфиденциальности. Строится на основе использования функций администрирования и обеспечения безопасности операционной системы МСВС /3/ и комплекса системы защиты информации от не санкционированного доступа (КСЗИ НСД) /4/. Технически представляет собой рабочее место в виде ЭВМ с установленной операционной системой МСВС и КСЗИ НСД, являющейся автоматизированным рабочим местом (АРМ) администратора безопасности (АБ) ЛИС.

Блок ХИ (блок 4) обеспечивает выполнение функций хранения и резервирования информации (базы данных (БД), директории, файлы). Резервирование осуществляется с использованием RAID-массивов. Для повышения отказоустойчивости БД в Блоке ХИ используется технология с архитектурой хранения данных в виде RAID-массива 5-го уровня, позволяющая за счет резервирования обеспечить необходимую надежность хранения данных и работы оборудования.

Блок ЭВВ (блок 2) служит для ввода-вывода информации с/на ОН или СУ.

Система передачи данных (СПД - блок 13) реализуется с помощью технических и программных средств обеспечивающих криптозащиту, шифрование, использование межсетевых экранов и предназначена для контроля за информацией, поступающей в защищаемую сеть и выходящей из нее, принятия решения о ее распространении в защищаемую сеть и/или из защищаемой сети.

Блок ПЕЧАТИ (блок 6) служит для формирования и выдачи на печать информации различных уровней конфиденциальности с установкой соответствующей метки доступа под управлением Блока УБ.

Блок ПРИЛОЖЕНИЙ (блок 10) обеспечивает физическое размещение и использование прикладных программ (специального программного обеспечения), используемых для решения функциональных задач в ИТС. Технически представляет собой ЭВМ - сервер приложений, предназначенный для обеспечения решения функциональных задач с использованием информации соответствующего уровня конфиденциальности. Количество серверов определяется количеством уровней конфиденциальности обрабатываемых в системе.

Представленный вариант построения системы не исчерпывает возможные способы ее практического использования.

Источники, принятые во внимание:

/1/ Иерархическая многоуровневая автоматизированная система сбора и обработки данных. - Патент на полезную модель РФ 43984, приоритет от 21.07.2004. Жирков В.М., Латышев Н.В., Мартинкевич Ж.К., Матюхин Д.В., Матюхин С.В., Цветков В.В., Янин Д.М.

/2/ Программно-технический комплекс защиты и транспортировки информации. - Патент на полезную модель РФ 59353, приоритет от 01.06.2006. Журицкий Г.И., Волосатов А.Д., Жирков В.М., Латышев Н.В., Мартинкевич Ж.К., Матиевский А.В., Пугин А.А., Давыдов Е.Б., Давыдов А.Е.

/3/ КСЗИ НСД, Книга 3, Руководство администратора безопасности, ФЛИР.461829.001 И1, г.Москва, концерн ВНИИНС, 2008 г.

/4/ ОС МСВС 3.0, Книга 3, Описание применения, ФЛИР.80001-01 31 01, г.Москва, концерн ВНИИНС, 2008 г.

/5/ ПТК-1, Руководство администратора безопасности, КНБГ.466453.002РЭЗ, АИС «Реестр-РИД», г.Тверь, ЗНП АО «Отделение ПВЭ и Ф», 2008 г.

/6/ ПТК-1, Руководство администратора, КНБГ.466453.002РЭ1, АИС «Реестр-РИД», г.Тверь, ЗНП АО «Отделение ПВЭ и Ф», 2008 г.

Модель безопасной обработки информации различных уровней конфиденциальности в информационно-телекоммуникационных системах, как и прототипы, содержит блок хранения информации, блок печати, блок электронного ввода-вывода, систему передачи данных, отличающаяся тем, что в нее включены печатающее устройство, отчуждаемый носитель, сканирующее устройство, блок ручной ввод, блок управления безопасностью, блок управления данными различного уровня конфиденциальности, блок приложений, блок оперативного хранения и обработки данных, блок приема-передачи электронных сообщений, блок обеспечения безопасности соответствующего уровня конфиденциальности, причем второй выход отчуждаемого носителя связан со вторым входом блока электронного ввода-вывода, первый и пятый выходы которого соединены соответственно с первым входом отчуждаемого носителя и с четвертым входом блока управления данными различного уровня конфиденциальности, пятый и седьмой выходы которого соединены соответственно с третьим и первым входами блока обеспечения безопасности соответствующего уровня конфиденциальности, пятый выход которого связан с третьим входом системы передачи данных, который связан по своему четвертому выходу с четвертым входом блока обеспечения безопасности соответствующего уровня конфиденциальности, второй выход которого связан с шестым входом блока управления данными различного уровня конфиденциальности, который связан своим десятым выходом с первым входом блока приложений, второй и третий выходы которого соединены соответственно с пятым входом блока оперативного хранения и обработки данных и с первым входом блока приема передачи электронных сообщений, пятый выход которого связан с первым входом системы передачи данных, второй выход которого связан с четвертым входом блока приема передачи электронных сообщений, который связан своим третьим выходом с третьим входом блока оперативного хранения и обработки данных, второй выход которого соединен с восьмым входом блока управления данными различного уровня конфиденциальности, который своим одиннадцатым выходом связан с третьим входом блока хранения информации, который связан своим вторым выходом с двенадцатым входом блока управления данными различного уровня конфиденциальности, второй и девятый входы которого соединены соответственно с шестым входом блока электронного ввода-вывода и с первым входом блока оперативного хранения и обработки данных, который своим четвертым выходом соединен со вторым входом блока приема передачи электронных сообщений, первый, второй, третий и четвертый выходы блока управления безопасностью соединены соответственно с седьмым входом блока электронного ввода-вывода, с первым входом блока управления данными различного уровня конфиденциальности, с первым входом блока хранения информации и с третьим входом блока печати, который своим первым выходом соединен с первым входом печатающего устройства, сканирующее устройство своим первым выходом соединен с третьим входом блока электронного ввода-вывода, блок ручной ввод своим первым выходом соединен с четвертым входом блока электронного ввода-вывода.

Автоматизированная система управления защитой информации в территориально распределенной прикладной системе управления // 113442

Система для аппаратной антивирусной проверки и лечения устройств хранения информации // 108168

Сервер централизованного хранения и обработки разнородных данных с обеспечением идентификации и аутентификации пользователей по биометрическим параметрам // 117243

Универсальный автомат для развлечения, маркетинга, рекламы, социально-психологической коррекции // 56026

Модель построения защищенного интернета // 91494

Предоплатный счетчик электроэнергии с ic-картой // 97548

Программно-аппаратный комплекс защиты информации в it-системах // 106974

Комплексное обучающее устройство // 81361

Универсальный пилотажный моделирующий стенд // 108685

Автоматизированная система идентификации и аутентификации граждан по биометрическим параметрам личности // 56668

Изобретение относится к вычислительной технике, в частности, к автоматизированной системе идентификации и аутентификации граждан по биометрическим параметрам личности

Система для оценки безопасности функционирования сложных телекоммуникационных систем // 102410

Установка для создания средств гарантированной защиты передаваемой по радиоканалу информации от неправомерного доступа с помощью специального кодирования (преобразования) информации при открытом хранении параметров кодирования // 124015

Съемный носитель информации // 102139

Устройство маскировки информационных сигналов // 83164

Устройство защиты вычислительных сетей и систем от компьютерных атак // 113041

Система мониторинга объектов телекоммуникации "ценсор" // 86027

Изобретение относится к области телекоммуникаций, в частности, к информационным системам удаленного мониторинга объектов городской и сельской связи с последующей передачей аварийной информации в диспетчерский центр, обеспечивающим объективный круглосуточный контроль работы и сохранности объектов и служб

Современный идентификационный беспроводный считыватель // 72592

Телемеханическая система контроля и управления станциями катодной защиты // 101545

Мобильное устройство защиты информации // 83862

Универсальная телекоммуникационная платформа с широкополосным доступом, использующая технологию пассивной оптической сети // 81023