Устройство управления доступом к информационным ресурсам мультисервисной сети



 

Полезная модель относится к области повышения информационной безопасности в компьютерных сетях, в частности к устройствам защиты информации и управления доступом к информационным ресурсам и сменным носителям информации. Технический результат заключается в создании устройства, позволяющего предотвратить утечку конфиденциальной информации. Настоящая полезная модель предусматривает формирование базы данных для хранения информации о принадлежности информационных ресурсов к определенному уровню конфиденциальности. Пользователь имеет возможность получения доступа к любому информационному ресурсу, но ему запрещается одновременный доступ к ресурсам разных уровней конфиденциальности. 2 ил.

Предполагаемое техническое решение относится к области вычислительной техники и может быть применено в системах обмена данными.

Известны устройства-аналоги, используемые для фильтрации пакетов, передаваемых из одной сети в другую, см., например, «Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP - межсетевой экран без операционной системы (варианты)», свидетельство на полезную модель 53522 МПК H04L 12/02, опубликованное 10.05.2006, где осуществляется разрешение и запрещение доступа к информационным ресурсам по соответствию IP-адресов заданному набору разрешенных и запрещенных IP-адресов.

Общим недостатком аналогов является необходимость предварительного создания списков доступа, что не позволяет гибко изменять их в процессе работы в зависимости от изменившихся потребностей пользователей в доступе к информационным ресурсам, а также невозможность формирования списков доступа, разрешающих или запрещающих доступ к информационным ресурсам в зависимости от уровня конфиденциальности вновь устанавливаемых подключений.

Из известных наиболее близким аналогом (прототипом) по своей технической сущности заявленному устройству является устройство для управления доступом ко внешним сайтам через Интернет в компьютерной системе, описанное в изобретении «Способ и устройство для управления доступом к Интернету в компьютерной системе и считываемый компьютером носитель информации для хранения компьютерной программы», по патенту РФ 2231115 класс G06F 17/30, G06F 13/00 заявл. 23.03.2001. Изобретением предусматриваются средства обеспечения первой и второй баз данных для хранения списков разрешенных и запрещенных интернет-сайтов, средства обеспечения третьей и четвертой баз данных для хранения запрещенных и полезных ключевых слов, средство, позволяющее разрешать доступ к интернет-сайтам, включенным в первую базу данных, и запрещать доступ к интернет-сайтам, включенным во вторую базу данных, средства, позволяющие проверять информацию или информационное наполнение, найденное на интернет-сайте на предмет наличия ключевых слов, и средство, разрешающее отображение информации на компьютере пользователя при отсутствии запрещенных ключевых слов или при наличии запрещенного и полезного ключевых слов.

Недостатками устройства-прототипа являются: а) возможность утечки конфиденциальной (не подлежащей широкому распространению) информации, хранимой на компьютере-клиенте и на подключаемых к нему носителях, в результате подключения компьютера-клиента к интернет-сайтам и открытым информационным ресурсам; б) возможность утечки конфиденциальной информации из внутренних ресурсов корпоративной компьютерной сети в сеть Интернет при одновременном установлении подключений к информационным ресурсам разных уровней конфиденциальности. Это объясняется тем, что одновременный доступ пользователя к информационным ресурсам разных уровней конфиденциальности приводит к появлению множества угроз информационной безопасности, показанных, например, в книге Скибы В.Ю., Курбатова В.А. «Руководство по защите от внутренних угроз информационной безопасности» (СПб.: Питер, 2008. с.23-29).

Задачей полезной модели является создание устройства управления доступом к информационным ресурсам мультисервисной сети, позволяющего предотвратить утечку конфиденциальной информации из корпоративной компьютерной сети: с компьютера-клиента, защищенных компьютеров-серверов и со сменных носителей информации, подключаемых к компьютерам-клиентам.

Эта задача решается тем, что в известном устройстве для управления доступом ко внешним сайтам через Интернет в компьютерной системе, содержащем средство обеспечения первой базы данных, содержащей список доступных интернет-сайтов, средство обеспечения второй базы данных, содержащей список запрещенных интернет-сайтов, средство, позволяющее, при попытке пользователя осуществить доступ к интернет-сайтам, разрешать доступ к интернет-сайтам, включенным в первую базу данных, и запрещать доступ к интернет-сайтам, включенным во вторую базу данных, дополнительно введены средство сравнения, добавлена связь между средством обеспечения первой базы данных и средством сравнения, связь между средством сравнения и средством, позволяющим разрешать и запрещать доступ к интернет-сайтам, связь между средством сравнения и средством обеспечения второй базы данных, связь между средством, позволяющим разрешать и запрещать доступ к интернет-сайтам и средством обеспечения второй базы данных, позволяющие временно запрещать доступ к используемым информационным ресурсам, если их уровень конфиденциальности отличается от уровня конфиденциальности информационного ресурса, к которому устанавливается подключение, передавать информацию о необходимости применения средств защиты на компьютер-клиент и возобновлять подключения к временно запрещенным информационным ресурсам при отключении компьютера-клиента от информационного ресурса по инициативе пользователя.

Благодаря новой совокупности существенных признаков за счет дополнительно введенных элементов в заявленное устройство, реализовано управление доступом к информационным ресурсам разных уровней конфиденциальности. При этом запрещено одновременное использование информационных ресурсов разных уровней конфиденциальности.

Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественных всем признакам, заявленного устройства управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности, отсутствуют. Следовательно, полезная модель соответствует условию патентоспособности «Новизна».

Заявляемое устройство поясняется чертежами, на которых показаны:

фиг.1 - схема мультисервисной сети, содержащей компьютер-клиент, совокупность компьютеров-серверов, входящих в состав сети Интернет и вторая совокупность компьютеров-серверов, входящих в состав корпоративной компьютерной сети, маршрутизатор периметра и устройство управления доступом к информационным ресурсам мультисервисной сети;

фиг.2 - структурная схема заявляемого устройства, где цифрами обозначены:

блок 1 - средство обеспечения первой базы данных, блок 2 - средство сравнения, блок 3 - средство, позволяющее разрешать и запрещать доступ к интернет-сайтам, 4 - вторая база данных; I - связь между компьютером-клиентом и устройством управления доступом к информационным ресурсам, используемая для подключения сменных носителей информации, II - связь между компьютером-клиентом и устройством управления доступом к информационным ресурсам, используемая для подключения к компьютерам-серверам Интернета и компьютерам-серверам корпоративной компьютерной сети. III - связь между компьютером-клиентом и устройством управления доступом к информационным ресурсам, используемая для передачи информации о необходимости включения средств защиты; IV - связь между средством сравнения и средством, позволяющим разрешать и запрещать доступ к интернет-сайтам, V - связь между первой базой данных и средством сравнения, VI - связь между средством сравнения и второй базой данных, VII -связь между средством, позволяющим разрешать и запрещать доступ к интернет-сайтам и второй базой данных, VIII - связь между устройством управления доступом к информационным ресурсам и сменными носителями информации, IX - связь между устройством управления доступом к информационным ресурсам и коммуникационным оборудованием (маршрутизатором).

Устройство управления доступом к информационным ресурсам имеет интерфейс для подключения к компьютеру-клиенту, интерфейс для подключения к маршрутизатору и интерфейс для подключения сменных носителей. Устройство управления доступом к информационным ресурсам содержит средство обеспечения первой базы данных для хранения информации о принадлежности информационных ресурсов к определенному уровню конфиденциальности, средство обеспечения второй базы данных для хранения информации об установленных подключениях и временно запрещенных подключениях, средство сравнения, средство, позволяющее разрешать и запрещать доступ к интернет-сайтам, причем выход средства обеспечения первой базы данных связан с входом средства сравнения, выход средства сравнения связан с входом средства, позволяющего разрешать и запрещать доступ к интернет-сайтам, выход средства, позволяющего разрешать и запрещать доступ к интернет-сайтам связан со входом средства обеспечения второй базы данных, средство обеспечения второй базы данных имеет связь со средством сравнения.

Средство обеспечения первой базы данных состоит из элементов памяти и интерфейса ввода-вывода для связи с программатором, в память которого администратором заносятся указатели URL на все информационные ресурсы организации, идентификационные данные подключаемых сменных носителей с указанием их уровня конфиденциальности и перечень имеющихся средств защиты с указанием видов доступа, при реализации которых требуется применение данных средств защиты, с помощью внешнего программатора, подключаемого к устройству через электрический интерфейс. Средство сравнения позволяет осуществить побитовое сравнение указателя на информационный ресурс, к которому устанавливается подключение с указателями, хранящимися в памяти средства обеспечения первой базы данных, а также формирование команд для разрешения и запрещения доступа. Средство, позволяющее разрешать и запрещать доступ к интернет-сайтам состоит из двух произвольных сетевых интерфейсов, например Ethernet, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую. Средство обеспечения второй базы данных позволяет хранить информацию об установленных подключениях и используемых средствах защиты.

Указанные средства могут быть реализованы в качестве программно-аппаратного комплекса с использованием микропроцессорной техники (компьютера) с соответствующим программным обеспечением.

Устройство работает следующим образом.

1. В начальный период работы администратор формирует первую базу данных (блок 1 фиг.2), в которую заносит указатели URL на все информационные ресурсы организации, идентификационные данные подключаемых сменных носителей и их уровень конфиденциальности. Информационные ресурсы, не указанные в первой базе данных, считаются принадлежащими общедоступной сети Интернет.

2. Первая база данных (блок 1 фиг.2) дополняется перечнем имеющихся средств защиты с указанием видов доступа, при реализации которых требуется применение данных средств защиты.

3. Средство сравнения (блок 2 фиг.2) контролирует запросы на установление и окончание соединений.

4. При поступлении запроса на установление соединения, указатель на запрашиваемый ресурс побитно записывается в память средства сравнения (блок 2 фиг.2). В другую область памяти средства сравнения поочередно заносятся указатели на информационные ресурсы из первой базы данных. Информация, записанная в обеих областях памяти, сравнивается побитно. При обнаружении совпадения, из первой базы данных считывается информация об уровне конфиденциальности и необходимости применения средств защиты.

5. Средство сравнения считывает из второй базы данных (блок 4 фиг.2) информацию о наличии подключений пользователя к информационным ресурсам.

6. Если во второй базе данных отсутствуют записи об установленных подключениях, информация о необходимости применения средств защиты передается на компьютер-клиент, а на вход средства, позволяющего разрешать и запрещать доступ к интернет-сайтам, поступает команда о разрешении доступа к данному ресурсу. Указатель на информационный ресурс, к которому устанавливается подключение, и информация об его уровне конфиденциальности помещается во вторую базу данных.

7. Если во второй базе данных обнаружены записи об установленных подключениях, информация об их уровне конфиденциальности и используемых средствах защиты считывается и помещается в память средства сравнения. Уровень конфиденциальности устанавливаемого подключения и информация об используемых средствах защиты сравнивается с уровнем конфиденциальности установленных подключений и информацией о требуемых средствах защиты для данного вида доступа. При совпадении информации о конфиденциальности на компьютер-клиент выдается команда о необходимости применения дополнительных средств защиты, а на средство разрешения и предоставления доступа выдается команда о разрешении устанавливаемого подключения.

8. Если информация об уровне конфиденциальности устанавливаемого подключения и установленных ранее не совпадает, на компьютер-клиент выдается команда о необходимости применения требуемых средств защиты, а на средство разрешения и предоставления доступа выдается команда о временном запрещении доступа к информационным ресурсам, указатели на которые содержатся во второй базе данных, и разрешении доступа к новому информационному ресурсу. Во вторую базу данных заносятся сведения о новом подключении и состоянии временно запрещенных подключений к информационным ресурсам.

9. В случае завершения работы пользователя с информационным ресурсом, средство сравнения удаляет из второй базы данных информацию о данном подключении, после чего считывает информацию о временно запрещенных подключениях и выдает команду о разрешении доступа к ним средству, позволяющему разрешать и запрещать доступ к интернет-сайтам, а на компьютер-клиент передает информацию о возобновлении установленных подключений и необходимости применения требуемых средств защиты.

Устройство управления доступом к информационным ресурсам мультисервисной сети, содержащее средство обеспечения первой базы данных, средство обеспечения второй базы данных, средство, позволяющее разрешать доступ к Интернет-сайтам и запрещать доступ к Интернет-сайтам, отличающееся тем, что введены средство сравнения, добавлена связь между средством обеспечения первой базы данных и средством сравнения, связь между средством сравнения и средством, позволяющим разрешать и запрещать доступ к Интернет-сайтам, связь между средством сравнения и средством обеспечения второй базы данных, связь между средством, позволяющим разрешать и запрещать доступ к Интернет-сайтам, и средством обеспечения второй базы данных.



 

Похожие патенты:

Техническим результатом является повышение точности построения геолого-гидродинамической модели нефтегазового месторождения

© Патентный поиск, поиск патентов на полезные модели - PoleznayaModel.RU 2012-2024
Политика конфиденциальности Реклама на сайте Вход/Регистрация
Рейтинг@Mail.ru
Наверх